Ausschreibung für KI-Unternehmensanbieter: 40 Fragen, die Sie stellen sollten (2026)

Geschrieben von: Sajli
In der Veröffentlichung: On May 5, 2026
worqlo

Die meisten Ausschreibungsverfahren für KI-Systeme in Unternehmen scheitern, weil die Beschaffungsteams die falschen Fragen stellen – oder die richtigen Fragen in einem Format formulieren, das Anbietern ausweichende Antworten ermöglicht. Diese 40 Fragen sollen aufdecken, was KI-Anbieter nicht von selbst preisgeben.

Standardisierte IT-Beschaffungsrahmen wurden für eine Welt mit On-Premise-Software und unkomplizierten SaaS-Tools entwickelt. Künstliche Intelligenz (KI) im Unternehmen bricht mit diesen Rahmen in dreierlei Hinsicht. KI-Systeme verarbeiten Ihre sensiblen Geschäftsdaten mithilfe von Wahrscheinlichkeitsmodellen, die Sie nicht kontrollieren. Sie leiten diese Daten häufig über LLM-APIs von Drittanbietern, ohne dies in Verkaufsgesprächen explizit zu erwähnen. Und sie beeinflussen Entscheidungen in einem Ausmaß und einer Geschwindigkeit, die mit herkömmlicher Software nie erreicht wurden.

Eine typische Evaluierung von KI-Anbietern für Unternehmen, die auf einem Standard-IT-Ausschreibungsformular basiert, lässt bis zu 60 % der risikorelevanten Fragen unbeantwortet. Die Folge ist ein Vertragsabschluss, bevor das Sicherheitsteam nach dem tatsächlichen Datenfluss gefragt hat, oder eine Implementierung, die später von der Rechtsabteilung wegen fehlender DSGVO-Dokumentation beanstandet wird.

Dieser Fragenkatalog mit 40 Fragen ist in 7 Kategorien unterteilt. Nutzen Sie ihn als Ausgangspunkt und ergänzen Sie ihn um Fragen, die speziell auf Ihre Branche und Ihren Anwendungsfall zugeschnitten sind.

Warum Standard-IT-Ausschreibungen KI-spezifische Risiken außer Acht lassen

Die traditionelle IT-Beschaffung bewertet Funktionen, Verfügbarkeit, Support-Reaktionsfähigkeit und Preis. Diese Faktoren sind auch für KI relevant – sie machen aber weniger als die Hälfte der Bewertung aus. Die besonderen Risiken bei der KI-Beschaffung in Unternehmen lassen sich in drei Bereiche einteilen, die in den meisten Ausschreibungsvorlagen nicht berücksichtigt werden.

  • Routing von Drittanbietermodellen: Viele KI-Anbieter nutzen kommerzielle LLM-APIs (OpenAI, Anthropic, Google Gemini) zur Verarbeitung von Nutzeranfragen. Ihre Daten können an diese APIs übermittelt werden – und Ihr Vertrag sieht dies möglicherweise nicht explizit vor. Standardmäßige SaaS-Ausschreibungen fragen nicht danach, da dies vor dem Aufkommen von KI keine Rolle spielte.
  • Wahrscheinlichkeitsrisiko der Ausgabe: KI-Ergebnisse sind nicht deterministisch. Dieselbe Anfrage kann unterschiedliche Ergebnisse liefern. Standardmäßige IT-Ausschreibungen fragen nicht danach, wie dies gehandhabt, protokolliert oder geprüft wird – doch für regulierte Branchen, in denen KI-Ergebnisse Entscheidungen beeinflussen, stellt dies ein erhebliches Risiko dar.
  • Sich wandelnde Compliance-Landschaft: Das EU-KI-Gesetz, die vorgeschlagenen Haftungsrahmen für KI und die branchenspezifischen KI-Leitlinien sind neu, seit die meisten Ausschreibungsvorlagen für Unternehmen zuletzt aktualisiert wurden. Anbieter, die in regulierten Märkten tätig sind, müssen ihre Bereitschaft zur Einhaltung der Vorschriften nachweisen, nicht nur bestehende Zertifizierungen.

Die 40 Fragen zur Angebotsanfrage: Nach Kategorien

Kategorie 1: Datensicherheit und Datenschutz (Fragen 1–8)

  1. Wo genau werden unsere Daten verarbeitet?
    Eine konkrete Antwort ist erforderlich: Cloud-Region, Infrastrukturanbieter (AWS, Azure, GCP) und ob die Verarbeitung mandantenfähig oder mandantenfähig ist. „Die Daten sind sicher“ ist keine ausreichende Antwort.
  2. Welche Drittanbieter-APIs für LLM erhalten unsere Daten?
    Wenn der Anbieter OpenAI, Anthropic, Google Gemini oder eine andere externe Modell-API verwendet, verlassen Ihre Daten die Infrastruktur des Anbieters. Prüfen Sie, welche APIs genutzt werden, welche Daten gesendet werden und unter welchen Bedingungen.
  3. Wie sieht Ihre Richtlinie zur Datenaufbewahrung für Abfragedaten und KI-Ergebnisse aus?
    Wie lange speichert der Anbieter die von Ihren Nutzern eingegebenen Suchanfragen, die KI-generierten Ergebnisse und alle zugehörigen Metadaten? Ist dies konfigurierbar?
  4. Werden unsere Daten zum Trainieren oder Feinabstimmen Ihrer Modelle verwendet?
    Verlangen Sie eine schriftliche Antwort. Viele Anbieter verstecken die Möglichkeit, Schulungen abzubestellen, in den Einstellungen – Sie benötigen eine ausdrückliche Bestätigung, dass Ihre Geschäftsdaten nicht ohne Ihre Zustimmung zur Modellverbesserung verwendet werden.
  5. Welche Verschlüsselungsstandards verwenden Sie für die Übertragung und die Speicherung gespeicherter Daten?
    Spezifische Angaben sind erforderlich: TLS-Version, Verschlüsselungsalgorithmus, Schlüsselverwaltungsansatz. „Branchenübliche Verschlüsselung“ ist nicht ausreichend.
  6. Wie sieht Ihr Datenlöschprozess bei Vertragsende aus?
    Innerhalb welcher Frist werden Ihre Daten nach Vertragsende gelöscht? Welcher Löschnachweis wird erbracht? Sind auch Sicherungskopien enthalten?
  7. Können Sie eine vollständige Liste der Subprozessoren bereitstellen?
    Die DSGVO schreibt vor, dass Verantwortliche für die Datenverarbeitung wissen müssen, wer die Unterauftragnehmer ihrer Auftragsverarbeiter sind. Ein DSGVO-konformer Anbieter verfügt über diese Liste und stellt sie auf Anfrage zur Verfügung.
  8. Wie sieht Ihre Service-Level-Vereinbarung (SLA) zur Benachrichtigung bei Datenschutzverletzungen aus?
    Wie schnell werden Sie uns im Falle einer Datenschutzverletzung benachrichtigen? Die DSGVO sieht für meldepflichtige Verstöße eine Mindestfrist von 72 Stunden vor. Bitte stellen Sie sicher, dass dies vertraglich und nicht nur in den Richtlinien garantiert ist.

Kategorie 2: Konformität & Zertifizierungen (Fragen 9–14)

  1. Besitzen Sie eine SOC 2 Typ II Zertifizierung?
    SOC 2 Typ II (nicht nur Typ I) ist die grundlegende Unternehmensanforderung. Fordern Sie den aktuellsten Bericht an und beachten Sie den Abdeckungszeitraum und den Geltungsbereich.
  2. Können Sie eine unterzeichnete DSGVO-Datenverarbeitungsvereinbarung vorlegen?
    Vor der Verarbeitung personenbezogener Daten von EU-Bürgern ist eine Datenschutzvereinbarung (DSV) gesetzlich vorgeschrieben. Verfügt der Anbieter nicht über eine standardisierte DSV, ist dies ein Warnsignal für einen Verstoß gegen die Compliance-Vorgaben.
  3. Ist eine HIPAA-Geschäftspartnervereinbarung verfügbar?
    Erforderlich für jede Implementierung, die geschützte Gesundheitsdaten verarbeitet. Einige KI-Anbieter bieten BAAs nur in höheren Vertragsstufen an – Verfügbarkeit und Kosten vor der Vorauswahl prüfen.
  4. Welchen FedRAMP-Zulassungsstatus haben Sie?
    Für Einsätze der US-Bundesregierung oder einzelner Bundesstaaten ist in der Regel eine FedRAMP-Genehmigung erforderlich. Erfragen Sie die genaue Stufe (niedrig, mittel, hoch) und vergewissern Sie sich, dass diese aktuell ist und nicht „in Bearbeitung“.
  5. Verfügen Sie über Dokumente zur Einhaltung des EU-Gesetzes zur künstlichen Intelligenz?
    Der EU-KI-Gesetzentwurf trat ab 2024 schrittweise in Kraft. Bei EU-regulierten Implementierungen sollten Sie nachfragen, unter welche KI-Risikoklassifizierung das Produkt des Anbieters fällt und welche Konformitätsdokumentation er vorlegen kann.
  6. Wie häufig führen Sie Penetrationstests durch?
    Jährliche Penetrationstests sind der Mindeststandard. Fragen Sie nach dem aktuellsten Testbericht (üblicherweise eine Managementzusammenfassung) und vergewissern Sie sich, dass der Test von einem unabhängigen Dritten durchgeführt wurde.

Kategorie 3: Bereitstellungsarchitektur (Fragen 15–19)

  1. Bieten Sie eine Option für die Selbsthosting- oder die On-Premise-Bereitstellung an?
    Für regulierte Branchen ist dies unerlässlich. Selbstgehostet bedeutet, dass die Software vollständig in Ihrer Infrastruktur läuft. Stellen Sie sicher, dass dadurch kein Datenabfluss an Systeme von Anbietern oder Drittanbietern erfolgt.
  2. Ist eine Option für den Einsatz außerhalb des Luftraums verfügbar?
    Air-Gap-Systeme verfügen über keine Netzwerkverbindung zum öffentlichen Internet. Sie sind für bestimmte Regierungs-, Verteidigungs- und Hochsicherheits-Finanzumgebungen erforderlich.
  3. Welche Cloud-Regionen stehen für gehostete Bereitstellungen zur Verfügung?
    Anforderungen an den Datenstandort legen häufig fest, dass die Daten in einem bestimmten Land oder einer bestimmten Region verbleiben müssen. Prüfen Sie, welche Regionen verfügbar sind und ob die Regionsauswahl im Vertrag garantiert ist.
  4. Wer ist Ihr Infrastrukturanbieter und welche Redundanz haben Sie?
    Machen Sie sich mit dem zugrunde liegenden Cloud-Anbieter, der Redundanzarchitektur (Multi-AZ, Multi-Region) und den Auswirkungen dieser auf die Verfügbarkeitszusagen vertraut.
  5. Ist Ihre Architektur mandantenfähig oder mandantenfähig?
    Multi-Tenant bedeutet, dass Ihre Daten die Infrastruktur mit anderen Kunden teilen. Single-Tenant isoliert Ihre Umgebung. Für Umgebungen mit hohen Sicherheitsanforderungen ist Single-Tenant in der Regel erforderlich und sollte schriftlich bestätigt werden.

Kategorie 4: KI-Modell & Ergebnisse (Fragen 20–25)

  1. Welche Modellvarianten werden aktuell produziert?
    Spezifische Versionsinformationen (nicht nur „GPT-4-Klasse“ oder „großes Sprachmodell“) sollten dokumentiert werden. Dies ist wichtig für die Nachverfolgung und um zu verstehen, wann sich das Verhalten ändern kann.
  2. Wie werden Modellaktualisierungen kommuniziert und verwaltet?
    Wie viel Vorlaufzeit erhalten Kunden vor einer Modellversionsänderung? Besteht die Möglichkeit, bei einer vorherigen Version zu bleiben? Wer genehmigt Modellaktualisierungen im Änderungsmanagementprozess des Anbieters?
  3. Welche Dokumentation zur Erklärbarkeit ist verfügbar?
    In regulierten Branchen, in denen KI-Ergebnisse Entscheidungen beeinflussen (Kreditvergabe, Personalwesen, Gesundheitswesen), ist Nachvollziehbarkeit eine Compliance-Anforderung. Fragen Sie nach, welche Maßnahmen der Anbieter zur Erfüllung dieser Verpflichtung ergreift.
  4. Welche Richtwerte haben Sie für falsch positive und falsch negative Ergebnisse?
    Wird die KI für Klassifizierung, Kennzeichnung oder Empfehlungen eingesetzt, sollten dokumentierte Genauigkeitswerte angefordert werden. „Sehr genau“ ist kein ausreichender Genauigkeitswert.
  5. Sind menschliche Kontrollpunkte für KI-gesteuerte Aktionen verfügbar?
    Wenn die KI automatisierte Aktionen auslösen kann (E-Mails senden, Datensätze aktualisieren, Aufgaben erstellen), stellen Sie sicher, dass menschliche Genehmigungsmechanismen verfügbar und konfigurierbar sind – und nicht nur optionale Einstellungen, die in der erweiterten Konfiguration versteckt sind.
  6. Ist die vollständige Ausgabeprotokollierung aktiviert?
    Jede KI-generierte Ausgabe sollte mit Zeitstempel, Benutzerzuordnung, Eingabeabfrage und Ausgabetext protokolliert werden. Prüfen Sie die Aufbewahrungsdauer der Protokolle und ob diese für Compliance-Prüfungen exportiert werden können.

Kategorie 5: Integration & Vernetzung (Fragen 26–30)

  1. Welche CRM- und ERP-Systeme unterstützen Sie nativ?
    Man unterscheidet zwischen „nativer Integration“ (vom Hersteller entwickelt und gewartet) und „Integration über Konnektor“ (Zapier, Middleware von Drittanbietern). Native Integrationen sind zuverlässiger und einfacher zu warten.
  2. Ist eine vollständige API-Dokumentation verfügbar?
    Für Unternehmenseinsätze sind häufig individuelle Integrationen erforderlich. Stellen Sie sicher, dass eine umfassende API-Dokumentation verfügbar ist, unabhängig davon, ob diese öffentlich zugänglich ist oder unter Geheimhaltungsvereinbarung bereitgestellt wird, und welche Authentifizierungsmethoden unterstützt werden.
  3. Unterstützen Sie Webhooks und wie werden diese gesichert?
    Webhooks sind ein gängiger Integrationsmechanismus, stellen aber gleichzeitig eine häufige Angriffsfläche dar. Fragen Sie nach, wie Webhook-Endpunkte authentifiziert werden und welche Payload-Validierung implementiert ist.
  4. Wie hoch ist die Datensynchronisationsfrequenz und ist sie konfigurierbar?
    Wie häufig synchronisiert die KI Daten aus verbundenen CRM- oder ERP-Systemen? Ist eine Synchronisierung nahezu in Echtzeit möglich? Kann die Synchronisierungsfrequenz aus Performance- oder Compliance-Gründen angepasst werden?
  5. Wer ist für die Instandhaltung der Integration zuständig, wenn die Verbindungen ausfallen?
    Wenn Ihr CRM-Anbieter ein API-Update veröffentlicht, das einen Konnektor beschädigt, wer ist dann für die Behebung verantwortlich – der KI-Anbieter, Ihr IT-Team oder ein Drittanbieter? Halten Sie dies schriftlich fest.

Kategorie 6: Preisgestaltung & Vertrag (Fragen 31–35)

  1. Erfolgt die Preisgestaltung pro Nutzer oder nutzungsabhängig?
    Die nutzerbasierte Preisgestaltung ist zwar planbar, aber für große Organisationen mit nur gelegentlichen Nutzern teuer. Nutzungsbasierte Preise können hingegen zu unerwarteten Kosten führen. Machen Sie sich mit dem Modell vertraut und berechnen Sie Ihre voraussichtlichen Kosten bei 50 %, 100 % und 150 % der prognostizierten Nutzung.
  2. Gibt es Beschränkungen des Datenvolumens und wie hoch sind die Gebühren für die Überschreitung des Datenvolumens?
    Manche KI-Plattformen begrenzen die Anzahl der synchronisierten Datensätze, verarbeiteten Abfragen oder gespeicherten Daten. Prüfen Sie diese Grenzwerte und die Kosten bei Überschreitung vor Vertragsabschluss.
  3. Was ist die Verfügbarkeits-SLA und welche Maßnahmen gibt es bei Ausfallzeiten?
    99.9 % Verfügbarkeit bedeuten maximal 8.7 Stunden Ausfallzeit pro Jahr. 99.5 % bedeuten maximal 43.8 Stunden. Fragen Sie nach der genauen Service-Level-Vereinbarung (SLA), wie diese gemessen wird und welche Gutschriften oder Entschädigungen bei Nichteinhaltung der SLA gelten.
  4. Was ist die Ausstiegsklausel und wie funktioniert die Datenportabilität?
    Sie sollten Ihre Daten innerhalb von 30 bis 90 Tagen nach Vertragsende in einem Standardformat exportieren können. Stellen Sie sicher, dass dies im Vertrag festgehalten ist und nicht nur in einer Richtlinie, die der Anbieter einseitig ändern kann.
  5. Wie sehen die Preisanpassungsbedingungen bei Vertragsverlängerung aus?
    Jährliche Preiserhöhungen von 5–10 % sind bei Enterprise-SaaS üblich. Fragen Sie nach, ob die Preiserhöhungen begrenzt sind und wenn ja, um welchen Prozentsatz, um unerwartete Kosten bei der Vertragsverlängerung zu vermeiden.

Kategorie 7: Unterstützung & Implementierung (Fragen 36–40)

  1. Ist die Unterstützung bei der Implementierung inbegriffen oder wird sie separat berechnet?
    Viele Anbieter von KI-Lösungen für Unternehmen berechnen Implementierungsleistungen separat. Klären Sie, was im Basisvertrag enthalten ist, welche Zusatzleistungen angeboten werden und ob Ihnen ein dedizierter Implementierungsmanager zugewiesen wird.
  2. Wie lange dauert die durchschnittliche Implementierung bei einem vergleichbaren Kunden?
    Erfragen Sie den typischen Zeitrahmen für Kunden vergleichbarer Größe und Komplexität – und fragen Sie nach der längsten Implementierungsdauer und den Gründen dafür. Dies deckt realistische Erwartungen im Vergleich zu Umsatzprognosen auf.
  3. Wird nach dem Launch ein fester Customer Success Manager zugewiesen?
    Bei Unternehmensverträgen ab einem bestimmten Preis ist ein dedizierter Customer Success Manager (CSM) Standard. Klären Sie, ob Sie einen dedizierten CSM oder ein Support-Pooling-Modell erhalten und wie der Eskalationsprozess aussieht.
  4. Wie sieht die Eskalations-SLA für kritische Supportanfragen aus?
    Wie schnell reagiert der Anbieter auf kritische (P1-)Probleme? Was genau gilt als P1-Problem? Ist dies im Vertrag oder nur in den Supportrichtlinien garantiert? Fragen Sie nach der durchschnittlichen Lösungszeit für P1-Probleme der letzten 12 Monate.
  5. Können Sie mir drei Referenzkunden aus unserer Branche nennen?
    Als Referenzen sollten Sie echte Kunden aus Ihrer Branche oder mit vergleichbaren Compliance-Anforderungen angeben – keine von der Marketingabteilung freigegebenen Fallstudien. Sprechen Sie direkt mit einem Branchenkollegen und nicht über ein vom Anbieter vermitteltes Referenzgespräch.

Warnsignale, auf die Sie bei Anbieterantworten achten sollten

Die Antworten, die Sie erhalten, sind genauso wichtig wie die Fragen, die Sie stellen. Dies sind die häufigsten Warnsignale in den Angeboten von KI-Anbietern für Unternehmen.

Ablenkung am Datenverarbeitungsort. „Ihre Daten sind sicher und verschlüsselt“ ist keine Antwort auf die Frage „Wo werden unsere Daten verarbeitet?“. Verlangen Sie eine konkrete Antwort. Kann oder will der Anbieter diese nicht geben, ist das ein Ausschlusskriterium für regulierte Anwendungen.
Kein SOC 2 Typ II, oder nur Typ I. SOC 2 Typ I bestätigt, dass die Kontrollen zu einem bestimmten Zeitpunkt korrekt konzipiert wurden. Typ II bestätigt ihre Wirksamkeit über einen Zeitraum von 6 bis 12 Monaten. Typ I allein ist für die Beschaffung in Unternehmen nicht ausreichend.
Die Option zum Deaktivieren der Trainingsdaten ist in den Einstellungen versteckt. Wenn Ihre Daten standardmäßig zum Trainieren von Modellen verwendet werden und eine schwer auffindbare Einstellung zum Deaktivieren erforderlich ist, gehen Sie davon aus, dass sich Ihre Daten im Trainingspool befinden, es sei denn, Sie ändern die Einstellung aktiv – und vergewissern Sie sich im Nachhinein, dass die Änderung wirksam ist.
Keine Ausstiegsklausel oder Möglichkeit zur Datenübertragbarkeit über „Kontaktieren Sie uns“. Ein Anbieter, der sich nicht schriftlich zu einem standardisierten Datenexportprozess innerhalb eines festgelegten Zeitraums verpflichtet, schafft eine Kundenbindung. Akzeptieren Sie mündliche Zusagen in diesem Punkt nicht.
Die Implementierungszeit ist deutlich kürzer als der Branchendurchschnitt. Wenn ein Anbieter eine zweiwöchige Implementierungszeit angibt, obwohl der Branchenschnitt für vergleichbare Komplexität sechs bis acht Wochen beträgt, werden entweder wichtige Konfigurationsschritte ausgelassen oder der Zeitplan verzögert sich. Beides ist kostspielig.
Referenzen nicht verfügbar oder alle aus verschiedenen Branchen. Kann ein Anbieter nicht mindestens zwei Referenzen aus Ihrer Branche oder mit Bezug zu Ihren Compliance-Anforderungen vorweisen, verfügt er möglicherweise nicht über die entsprechende Implementierungserfahrung, die sein Vertriebsteam behauptet.

Wie man RFP-Antworten bewertet und vergleicht

Nutzen Sie ein gewichtetes Bewertungsmodell, um die Antworten der Anbieter in den sieben Kategorien zu vergleichen. Passen Sie die Gewichtung an die Prioritäten Ihres Unternehmens an. In regulierten Branchen sollten die Kategorien 1 und 2 stärker gewichtet werden. Unternehmen, die Wert auf schnelle Wertschöpfung legen, sollten Kategorie 7 stärker gewichten.

KategorieFragenEmpfohlenes Gewicht (reguliert)Disqualifikation bei Nichtbestehen?
Datensicherheit & Datenschutz825%Ja
Compliance und Zertifizierungen620%Ja (für regulierte Organisationen)
Bereitstellungsarchitektur515%Ja (falls selbst gehostet erforderlich)
KI-Modell & Ergebnisse615%Nein
Integration und Konnektivität510%Nein
Preisgestaltung & Vertrag510%Nein
Support & Implementierung55%Nein
Gesamt40100% 
Empfohlene Vorgehensweise: Bewerten Sie die Antworten jedes Anbieters auf jede Frage auf einer Skala von 1 bis 5 (1 = ausweichend/unvollständig, 5 = konkret und nachvollziehbar). Multiplizieren Sie die Punktzahlen mit der Gewichtung der jeweiligen Kategorie. Anbieter, die in Kategorie 1 oder Kategorie 2 weniger als 3 Punkte erzielen, sollten vor den Demos disqualifiziert werden.

Wie Worqlo Beantworten Sie diese 40 Fragen

Worqlo wurde speziell für Teams in regulierten Branchen entwickelt, in denen diese 40 Fragen obligatorisch sind. So funktioniert es Worqlo behandelt die für regulierte Einsätze wichtigsten Kategorien.

  • Datensicherheit und Datenschutz: Worqlo bietet eine vollständig selbstgehostete Bereitstellung – Ihre Daten werden vollständig innerhalb Ihrer Infrastruktur verarbeitet. Es werden keine Daten an LLM-APIs von Drittanbietern weitergeleitet. Eine Abmeldung von Anbieterschulungen ist nicht erforderlich, da Worqlo hat niemals Zugriff auf Ihre Daten.
  • Kundenbindung: SOC 2 Typ II, DSGVO-Datenschutzvereinbarung und HIPAA-Vereinbarung sind für Unternehmensverträge verfügbar. Für EU-Implementierungen wird die entsprechende Dokumentation zur Einhaltung des EU-Gesetzes zur künstlichen Intelligenz bereitgestellt.
  • Einsatz: Es stehen Optionen für selbstgehostete und vom Internet getrennte Systeme zur Verfügung. Die Datenresidenz wird vollständig von Ihrem Infrastrukturteam kontrolliert.
  • KI-Modell-Governance: Modellversionen werden dokumentiert und vor Aktualisierungen kommuniziert. Die vollständige Ausgabeprotokollierung ist standardmäßig aktiviert.
  • Integrationen: Native Integrationen mit Salesforce, HubSpot, Zoho, Odoo, Slack und Power BI. Die vollständige API-Dokumentation ist im Rahmen eines Enterprise-Vertrags erhältlich.

Siehe wie Worqlo Verantwortlich für die Unternehmensbeschaffung

WorqloUnser Enterprise-Team ist mit detaillierten RFP-Prozessen bestens vertraut. Wir beantworten jede Frage dieser Checkliste schriftlich und dokumentieren sie. Vereinbaren Sie eine Demo, um die Plattform kennenzulernen und unser Standard-Antwortpaket für Enterprise-RFPs zu erhalten.

Demo buchen
Sehen Sie sich das Webinar

Häufig gestellte Fragen

Welche Fragen sollte ich Anbietern von KI-Systemen für Unternehmen stellen?

Die wichtigsten Fragen betreffen den Ort der Datenverarbeitung und -speicherung, die Empfänger Ihrer Daten durch Drittanbieter-LLMs, die Verfügbarkeit einer selbstgehosteten oder isolierten Bereitstellungsoption, die Zertifizierungen des Anbieters, die Kommunikation von Modellaktualisierungen sowie die Ausstiegsklausel und die Bedingungen zur Datenportabilität. Anbieter, die diese Fragen schriftlich ausweichen, sollten vor der engeren Auswahl besonders sorgfältig geprüft werden.

Was ist eine Ausschreibung für KI-Anbieter (RFP)?

Eine Ausschreibung für KI-Softwareanbieter (RFP – Request for Proposal) ist ein strukturiertes Dokument, das von den Einkaufs- und IT-Abteilungen von Unternehmen zur Bewertung von KI-Softwareanbietern verwendet wird. Im Gegensatz zu einer Standard-IT-Ausschreibung enthält eine KI-Ausschreibung Fragen zu spezifischen KI-Risikobereichen: Modell-Governance, Datenweiterleitung an Drittanbieter-LLMs, Erklärbarkeit, Ausgabeprotokollierung und Dokumentation zur Einhaltung gesetzlicher Bestimmungen, die bei Standard-SaaS-Tools nicht erforderlich sind.

Welche Zertifizierungen sollten Anbieter von KI-Lösungen für Unternehmen besitzen?

Anbieter von KI-Lösungen für Unternehmen sollten mindestens über eine SOC-2-Typ-II-Zertifizierung verfügen und eine unterzeichnete DSGVO-Datenverarbeitungsvereinbarung vorlegen. Je nach Branche sind außerdem HIPAA-Geschäftspartnervereinbarungen (Gesundheitswesen), FedRAMP-Zulassungen (US-Bundes- oder Landesregierungen) und Dokumentationen zur Einhaltung des EU-KI-Gesetzes (EU-regulierte Branchen) erforderlich. Berichte über Penetrationstests, die üblicherweise jährlich von einem unabhängigen Dritten durchgeführt werden, sollten auf Anfrage verfügbar sein.

Wie vergleiche ich Anbieter von KI-Lösungen für Unternehmen?

Bewerten Sie die Angebote der Anbieter anhand von sieben Kriterien: Datensicherheit und Datenschutz, Compliance-Zertifizierungen, Bereitstellungsarchitektur, Governance von KI-Modellen, Integrationsmöglichkeiten, Preisgestaltung und Vertragsbedingungen sowie Support und Implementierung. Gewichten Sie jedes Kriterium entsprechend den Prioritäten Ihres Unternehmens – in regulierten Branchen sollten Sicherheit und Compliance am höchsten gewichtet werden. Anbieter, die die Fragen der Kategorien 1 und 2 nicht schriftlich und mit nachweisbaren Dokumenten beantworten können, werden ausgeschlossen.

Was sind Warnsignale bei der Evaluierung eines Anbieters von KI-Lösungen für Unternehmen?

Wichtige Warnsignale sind: Der Anbieter kann nicht schriftlich bestätigen, wo Ihre Daten verarbeitet werden; er verfügt nicht über eine SOC-2-Typ-II-Zertifizierung; er kann nicht bestätigen, ob Ihre Daten zum Trainieren von Modellen verwendet werden; es gibt keine Ausstiegsklausel oder Option zur Datenübertragbarkeit; die Verfügbarkeitsgarantie (SLA) liegt unter 99.5 %; Implementierungsunterstützung wird massiv als Zusatzleistung angeboten; und Referenzkunden sind nicht verfügbar oder alle außerhalb Ihrer Branche. Jedes einzelne Warnsignal der Kategorien 1 oder 2 führt zum Ausschluss von regulierten Projekten.

Wie lange sollte ein Ausschreibungsprozess für KI-Systeme in Unternehmen dauern?

Ein gründlicher Ausschreibungsprozess für KI-Lösungen in Unternehmen dauert typischerweise 6 bis 10 Wochen: 1 bis 2 Wochen für die Erstellung und Veröffentlichung der Ausschreibung, 2 bis 3 Wochen für die Angebotsabgabe der Anbieter, 1 bis 2 Wochen für die Bewertung der Angebote und die Vorauswahl sowie 2 bis 3 Wochen für Demos, Referenzprüfungen und Vertragsverhandlungen. Eine überstürzte Vorgehensweise führt häufig zu Sicherheits- und Compliance-Problemen nach der Implementierung – und die Behebung dieser Probleme ist in der Regel teurer als die durch die verkürzte Bewertung eingesparte Zeit.

Sollten Anbieter von KI-Lösungen für Unternehmen selbstgehostete Bereitstellungen anbieten?

Für regulierte Branchen wie Gesundheitswesen, Finanzdienstleistungen, Behörden und Rechtswesen ist eine selbstgehostete oder On-Premise-Bereitstellung oft Pflicht, nicht nur eine Option. Bei einer selbstgehosteten Bereitstellung verlassen Ihre Daten Ihre Infrastruktur nie und werden niemals an eine Drittanbieter-Cloud oder eine LLM-API weitergeleitet. Nicht alle KI-Anbieter bieten diese Option an; diejenigen, die sie anbieten, berechnen sie in der Regel als Enterprise-Lösung. Wenn eine selbstgehostete Bereitstellung für Ihr Unternehmen erforderlich ist, prüfen Sie Verfügbarkeit und Preise, bevor Sie einen Anbieter in die engere Auswahl nehmen.

Was sollte die Ausstiegsklausel in einem Vertrag mit einem KI-Anbieter beinhalten?

Die Ausstiegsklausel sollte ein definiertes Datenexportformat und einen Zeitplan (üblicherweise 30 bis 90 Tage nach Vertragsbeendigung) festlegen, die Bestätigung enthalten, dass Ihre Daten nach dem Export aus den Systemen des Anbieters gelöscht werden, gegebenenfalls ein Verfahren zum Export von Daten zur Modelloptimierung beschreiben und sicherstellen, dass Sie durch keine Anbieterbindung an einen anderen Systemwechsel gehindert werden. Anbieter, die sich weigern, klare Ausstiegsbedingungen aufzunehmen, signalisieren eine langfristige Bindungsstrategie, die in Ihre Bewertung einfließen sollte.

Sind Sie bereit, Ihre Pipeline zu automatisieren?

Buchen Sie eine Demo, um zu sehen, wie es funktioniert Worqlo Hält Ihre Geschäfte automatisch in Bewegung.
Kontakt

Related articles

worqlo
Produkt & Plattform
Worqlo vs Copilot vs Glean: Leitfaden für KI-Unternehmen (2026)
Mai 2026
worqlo
Knowledge Base
Checkliste für die KI-Einführung in Unternehmen: 30 wichtige IT-Prüfungen (2026)
Mai 2026
worqlo
KI & Automatisierung
Richtlinie zur akzeptablen Nutzung von KI in Unternehmen: Vorlage und Checkliste bis 2026
Mai 2026