Künstliche Intelligenz im Einkauf ist kein Innovationsprojekt mehr. Sie analysiert Verträge, prognostiziert Preise, bewertet Lieferantenrisiken und unterstützt strategische Sourcing-Entscheidungen. In vielen Organisationen beeinflusst KI bereits heute Ausgaben in Millionenhöhe.
Mit dem EU AI Act verschiebt sich der Fokus jedoch grundlegend. Nicht mehr nur Effizienz und Automatisierung stehen im Vordergrund, sondern Nachweisbarkeit, Steuerbarkeit und Sicherheit.
Für CPOs bedeutet das: KI im Einkauf wird zur Governance- und Risikodisziplin.
EU AI Act Procurement: Compliance ist kein IT-Thema
Der EU AI Act (Verordnung (EU) 2024/1689) etabliert erstmals einen einheitlichen europäischen Rechtsrahmen für KI. Ab dem 2. August 2026 greifen die meisten operativen Pflichten – insbesondere für High-Risk-Systeme.
Das Gesetz folgt einem risikobasierten Modell. Je stärker ein KI-System Entscheidungen beeinflusst oder sensible Bereiche berührt, desto höher die regulatorischen Anforderungen. Für High-Risk-Anwendungen bedeutet das unter anderem:
- strukturiertes Risikomanagement über den gesamten Lifecycle
- Data Governance und Bias-Kontrolle
- technische Dokumentation
- Logging und Nachvollziehbarkeit
- Human Oversight
- Anforderungen an Robustheit und Cybersecurity
Was technisch klingt, ist strategisch hoch relevant: Kann Ihre Organisation KI-Entscheidungen erklären, auditieren und notfalls verteidigen? Wenn nicht, entsteht ein strukturelles Risiko – regulatorisch und reputativ.
Warum KI im Einkauf besonders exponiert ist
Der Einkauf sitzt an einer sensiblen Schnittstelle zwischen Markt, Lieferkette und Unternehmensstrategie. KI-Systeme im Procurement greifen potenziell ein in:
- Lieferantenbewertungen
- Vertragsauslegung
- Risikoscoring
- Preisprognosen
- personenbezogene Daten
- ESG-Entscheidungen
Ein algorithmisch erzeugtes Supplier-Rating kann Geschäftsbeziehungen verändern. Eine fehlerhafte Vertragsinterpretation kann rechtliche Risiken erzeugen. Ein verzerrtes Risikomodell kann Lieferketten destabilisieren.
Der EU AI Act macht deutlich: Automatisierung entbindet nicht von Verantwortung.
Gleichzeitig bleibt die DSGVO uneingeschränkt anwendbar. Sobald KI im Einkauf personenbezogene Daten verarbeitet, gelten Datenschutzpflichten parallel weiter.
Die stille Haftungsdimension
Auch wenn der EU AI Act primär Compliance-Pflichten und behördliche Durchsetzung regelt, entsteht faktisch eine neue Erwartungshaltung: Unternehmen müssen zeigen können, dass sie KI verantwortungsvoll betreiben. Logging, Dokumentation und Human Oversight sind nicht nur regulatorische Anforderungen. Sie sind die Grundlage, um im Ernstfall Entscheidungen nachvollziehbar zu machen.
Für CPOs heißt das:AI Governance ist integraler Bestandteil des Enterprise Risk Managements.
Third-Party-LLMs: Vendor Management wird zur Sicherheitsfrage
Viele Procurement-Lösungen nutzen General Purpose AI (GPAI), etwa große Sprachmodelle. Der EU AI Act verpflichtet Anbieter solcher Modelle zu technischer Dokumentation, Copyright-Transparenz und bestimmten Offenlegungen zu Trainingsdaten.
Doch diese Anforderungen entfalten nur Wirkung, wenn sie vertraglich abgesichert sind.
Das verändert Vendor Management grundlegend. LLM-Anbieter sind nicht nur Innovationspartner – sie sind Compliance- und Sicherheitsfaktoren.
CPOs müssen künftig prüfen:
- Wie werden Daten verarbeitet und gespeichert?
- Welche Logging-Mechanismen existieren?
- Gibt es klare Security-Controls?
- Ist Audit-Zugriff vertraglich gesichert?
KI im Einkauf ist damit untrennbar mit IT-Security und Informationssicherheit verbunden.
Sicherheit und Governance als Differenzierungsmerkmal
Während viele Unternehmen noch Use Cases evaluieren, entsteht bereits eine neue Wettbewerbsebene: Trust in AI.
Ein strukturiertes Artificial Intelligence Management System (AIMS) wird zunehmend zum strategischen Vorteil. Internationale Standards wie ISO/IEC 42001 definieren erstmals Anforderungen an ein systematisches Management von KI – inklusive Governance, Ethik, Data Governance, Security und kontinuierlicher Verbesserung. JAGGAER hat kommuniziert, sein Artificial Intelligence Management System nach ISO/IEC 42001:2023 zertifiziert zu haben (Stand: 25. Juni 2025). Damit verfolgt das Unternehmen einen strukturierten Ansatz, KI-Funktionen innerhalb von JAGGAER One unter Berücksichtigung von Sicherheit, Data Governance und verantwortungsvoller Entwicklung zu betreiben.
Für CPOs bedeutet das einen relevanten Aspekt bei der Tool-Auswahl: Nicht nur Funktionalität zählt – sondern die Frage, ob der Anbieter über ein belastbares Governance- und Sicherheitsframework verfügt.
Gerade im Kontext des EU AI Act Procurement wird diese Differenzierung zunehmend geschäftskritisch.
Der strategische Fahrplan für CPOs
Der erste Schritt ist Transparenz: ein vollständiges AI-Inventory im Einkauf, inklusive Datenflüssen und Zweckbestimmung. Jede Anwendung sollte gegen die Kriterien des EU AI Act geprüft werden – insbesondere im Hinblick auf High-Risk-Einstufungen.
Parallel dazu braucht es ein belastbares Betriebsmodell: definierte Human-in-the-Loop-Prozesse, Monitoring gegen Model Drift, dokumentierte Performance-Metriken und strukturierte Logging-Mechanismen. Entscheidend ist zudem die Rollenklärung. Wer KI-Systeme wesentlich modifiziert oder unter eigener Marke vertreibt, kann regulatorisch zum „Provider“ werden – mit erweiterten Pflichten.
Diese Diskussion gehört auf C-Level – nicht ausschließlich in die IT oder in einzelne Projektteams.
Fazit: KI im Einkauf professionalisiert sich
Der EU AI Act ist kein Innovationshemmnis. Er ist ein Professionalisierungsschub.
Unternehmen, die KI im Einkauf strukturiert, sicher und governance-orientiert implementieren, gewinnen:
- regulatorische Resilienz
- höhere Entscheidungssicherheit
- Vertrauen bei Stakeholdern
- strategische Skalierbarkeit
August 2026 ist kein fernes Datum. Es ist ein Fixpunkt für organisatorische Reife.
CPOs, die KI, Sicherheit und Governance jetzt zusammendenken, positionieren den Einkauf nicht nur als Effizienztreiber – sondern als verantwortliche, strategische Instanz im Unternehmen.
Jetzt Demo-Termin vereinbaren und KI im Einkauf zukunftssicher aufstellen.
FAQ
Was bedeutet der EU AI Act für KI im Einkauf?
Unternehmen müssen KI im Einkauf risikobasiert klassifizieren und – je nach Einstufung – Dokumentation, Logging, Human Oversight und Sicherheitsmaßnahmen implementieren.
Welche Rolle spielt Security im EU AI Act Procurement?
Cybersecurity, Robustheit und Nachvollziehbarkeit sind zentrale Anforderungen, insbesondere bei High-Risk-Systemen. KI-Governance ist damit eng mit Informationssicherheit verknüpft.
Warum ist ISO/IEC 42001 für KI im Einkauf relevant?
Der Standard definiert Anforderungen an ein strukturiertes KI-Managementsystem und unterstützt Unternehmen dabei, Governance- und Sicherheitsanforderungen systematisch umzusetzen.
