ki governancebeschaffungverantwortungsvolle beschaffungrohstoffbrancheb2b saas

Eine Responsible Procurement Charter. Aber für KI

L'Oréal, Unilever und Henkel lassen ihre Lieferanten Responsible Procurement Charters zu Arbeit, Beschaffung und Nachhaltigkeit unterzeichnen. Wir haben das Format für KI übernommen. Hier steht, was sich ändert, wenn die KI-Richtlinie eines Softwareanbieters wie die Beschaffungsrichtlinie eines Kosmetikkäufers liest.

18. Juni 2026 · 9 Min. Lesezeit

A corporate procurement office in soft daylight, a hardcover supplier code-of-conduct binder open on a desk next to a laptop, a fountain pen resting beside a signature line

Die wichtigsten Erkenntnisse

✓ Die meisten KI-Ethikrichtlinien sind für eine ethikforschende Zielgruppe geschrieben. Die tatsächliche Zielgruppe der KI-Richtlinie eines B2B-Anbieters ist die Beschaffung. Die bereits ein Format hat, dem sie vertraut: die Responsible Procurement Charter
✓ Fünf Abschnitte einer Standard-Lieferanten-Charter (Arbeitspraktiken, Beschaffungsgeografie, Prüfrechte, Offenlegung der Unterlieferanten, jährliches Sozialaudit) lassen sich direkt in KI-Anbieter-Begriffe übersetzen (Trainingsdatenrichtlinie, Inferenzregion, Drittanbieter-Transparenzscores, Unterauftragsverarbeiterliste, jährliche Charter-Überprüfung)
✓ Die wichtigste Formatentscheidung ist: 'Regeln, nicht Präferenzen'. Beschaffung kauft keine Wertaussagen. Sie kauft harte Verpflichtungen mit Konsequenzen
✓ Gründer-unterschrieben schlägt komitee-ausgestellt in Unternehmensphasen, in denen ein einziger verantwortlicher Name glaubwürdiger ist als eine Abteilung

Das Format existiert bereits in der Lieferkette

Unsere Kunden verkaufen Rohstoffe an die größten Marken in Kosmetik, Körperpflege und Wellness. Wenn L'Oréal, Unilever oder Henkel einen neuen Rohstofflieferanten einbinden, unterzeichnet der Lieferant eine Responsible Procurement Charter. Das Dokument ist kurz, spezifisch und an manchen Stellen unbequem. Es verpflichtet den Lieferanten zu Regeln über Arbeit, Beschaffungsgeografie, Nachhaltigkeit, Offenlegung der Unterlieferanten und jährliche Überprüfung. Der Lieferant unterzeichnet, die Marke unterzeichnet, und das Dokument wird als bindend behandelt.

Beschaffungsteams lesen solche Dokumente berufsmäßig. Sie kennen das Format. Sie wissen, wie ein gutes aussieht. Sie wissen, welche Abschnitte Anbieter typischerweise verwässern und an welchen sie festhalten.

Wenn dasselbe Beschaffungsteam aufgefordert wird, die KI-Richtlinie eines Softwareanbieters zu bewerten, sieht das Dokument, das es erhält, gar nicht aus wie das, was es gewohnt ist zu lesen. Es sind zwölf Seiten Prinzipien. Es erwähnt ein KI-Ethik-Komitee. Es verwendet das Wort 'laufend' sechsmal. Es gibt keine Unterschriftenzeile. Es gibt keinen Konsequenzenabschnitt. Es gibt keinen Namen darauf.

Wir haben das Lieferanten-Charter-Format übernommen. Dieser Beitrag ist das Argument dafür, warum dieses Format das richtige für KI ist, und was sich ändert, wenn man es tatsächlich anwendet.

Was eine Responsible Procurement Charter tatsächlich enthält

Wer bereits eine Rohstofflieferantenvereinbarung mit einer Tier-1-Konsumentenmarke unterzeichnet hat, kennt die Struktur. Für alle anderen die Kurzfassung:

Eine Aussage von Regeln, zu denen sich der Lieferant verpflichtet. Keine Präferenzen. Regeln.
Eine Liste von Ausschlüssen: Praktiken, Materialien, Geografie oder Endverwendungen, an denen der Lieferant nicht teilnimmt
Offenlegung der Unterlieferanten: jede Partei in der Kette, die die Waren berührt, schriftlich benannt, aktualisiert wenn Änderungen eintreten
Prüfrechte: wie die Marke verifizieren kann, dass der Lieferant tut, was er sagt, und wie unabhängige Parteien (oft Drittprüfer) bestimmte Ansprüche bestätigen
Geografische Beschränkungen der Beschaffung, wo relevant: aus welchen Ländern die Waren stammen dürfen und unter welchen Bedingungen
Ein benannter Unterzeichner, üblicherweise der CEO oder Länderkopf des Lieferanten. Eine echte Person. Keine Abteilung.
Eine jährliche Überprüfung und Neununterzeichnung, mit vorheriger Ankündigung wesentlicher Änderungen

Jede Zeile in dieser Liste hat ein direktes Gegenstück in der KI-Anbieterfrage. Der Grund, warum die meisten Anbieter-KI-Richtlinien nicht so aussehen, ist, dass der Anbieter das Dokument für eine interne Ethikprüfung oder eine Investorenfrage geschrieben hat, nicht für den Beschaffungsleser, der es tatsächlich bewertet.

Die Übersetzung, Abschnitt für Abschnitt

Hier ist die Eins-zu-eins-Zuordnung, in derselben Reihenfolge. Keine dieser Übersetzungen ist erzwungen. Die Beschaffungsfrage und die KI-Frage sind dieselbe Frage, auf unterschiedliche Lieferketten gerichtet.

Arbeitspraktiken entsprechen der Trainingsdatenrichtlinie. Geografische Beschaffungsbeschränkungen entsprechen der Inferenzregion. Prüfrechte entsprechen unabhängigen Drittanbieter-Scores. Offenlegung der Unterlieferanten entspricht einer öffentlichen Unterauftragsverarbeiterliste. Jährliches Sozialaudit entspricht jährlicher Charter-Neununterzeichnung und vierteljährlicher Modellkarten-Überprüfung.

Beginnen wir mit den Arbeitspraktiken. Eine Beschaffungs-Charter verpflichtet den Lieferanten zu spezifischen Bedingungen bezüglich der Herstellung der Waren: keine Zwangsarbeit, keine Kinderarbeit, Arbeitszeiten, Lohnuntergrenzen. Auf KI übertragen ergibt das die Trainingsdatenrichtlinie: eine harte, schriftliche Verpflichtung darüber, wie die Daten, die Ihre Kunden an den Anbieter senden, verwendet werden und nicht verwendet werden. Die Standardregel lautet: Kundendaten werden niemals zum Training von Modellen eines Anbieters genutzt. Beschaffung möchte dies als Regel mit einem Namen dahinter, nicht als Wert.

Als nächstes die Geografie. Lieferanten-Charters beschränken die Beschaffung oft auf Länder, die bestimmte regulatorische oder ethische Standards erfüllen. Die KI-Version der Geografie ist die Inferenzregion: eine Verpflichtung darüber, in welchen Jurisdiktionen die Daten des Kunden verarbeitet werden. Bei Corial veröffentlichen wir das als Tier-Wahl zwischen US-Routing unter Standardvertragsklauseln und einem EU-Datenhaltungs-Tier, der jeden KI-Aufruf über Vertex AI EU routet. Das Argument für diese Wahl findet sich in unserem früheren Beitrag zur EU-Datenhaltung.

Dann die Prüfrechte. In einer Beschaffungs-Charter behält sich die Marke das Recht vor, die Ansprüche des Lieferanten zu verifizieren: Drittprüfer, Zertifizierungen, regelmäßige Inspektionen. Das KI-Äquivalent sind unabhängige Drittanbieter-Transparenzbewertungen. Stanford führt den Foundation Model Transparency Index durch. MLCommons führt den AILuminate Safety Benchmark durch. Ein Anbieter, der diese Benchmarks nach Score zitiert. Einschließlich der ungünstigen -, tut das Prüfrechtsäquivalent. Ein Anbieter, der seine eigene Ethikbewertung veröffentlicht, tut das Marketing-Rating-Äquivalent. Beschaffung kennt den Unterschied.

Dann die Offenlegung der Unterlieferanten. Eine Lieferanten-Charter erfordert eine Liste jeder Partei in der Kette. Für KI-Anbieter wird das zur Unterauftragsverarbeiterliste: jeder Drittanbieter, der Kundendaten verarbeitet, benannt, mit Kategorie, mit Land und mit einer Ankündigungsfrist vor Änderungen. Dreißig Tage ist der übliche Standard. Alles, was die Kette versteckt, bricht das Format.

Schließlich das jährliche Sozialaudit. In der Beschaffung ist das die einmal jährliche Bestätigung, dass die Verpflichtungen noch erfüllt werden. Die KI-Version hat zwei Ebenen: eine jährliche Neununterzeichnung der Charter selbst, plus eine häufigere Überprüfung der Modellkarte, auf der die Anbieter und Regionen aufgeführt sind. Quartalsweise ist ein vernünftiger Rhythmus für die Modellkarte, weil sich die zugrunde liegende Modelllandschaft schneller bewegt als der politische Rahmen darum herum.

Regeln, nicht Präferenzen

Der einzige wichtigste Unterschied zwischen einer Beschaffungs-Charter und einer typischen KI-Ethikseite ist das Verb. Die Beschaffungs-Charter sagt 'wird nicht'. Die Ethikseite sagt 'strebt an', 'sucht nach', 'berücksichtigt', 'ist engagiert in einem laufenden Dialog mit'. Die Verben auf der Ethikseite leisten die Arbeit, die Verpflichtung abzumildern, damit das Dokument nicht durchgesetzt werden muss.

Beschaffung liest Verben. Sie behandelt 'wird nicht' als harte Verpflichtung mit Konsequenzen bei Verletzung. Sie behandelt 'strebt an' als Präferenz. Ein Dokument voller Präferenzen übersteht keine Beschaffungsprüfung, weil das Beschaffungsteam es nicht als Grundlage für irgendetwas verwenden kann.

Als wir Abschnitt 2 der Corial Responsible AI Charter schrieben. Der Abschnitt heißt 'Was wir nicht tun werden'. Ist jede Zeile eine harte Regel. Keine Kundendaten fließen in das Training eines Anbieters. Kein Einsatz für militärische, Überwachungs- oder politische Einflussnahme-Anwendungsfälle. Kein Produktionsverkehr zu einem Anbieter, der die Offenlegung von Trainingsdatenquellen oder Sicherheitspraktiken verweigert. Keine im Namen eines Kunden gesendeten Nachrichten ohne dass der Kunde den Entwurf gelesen und genehmigt hat. Keine stillen Routing-Änderungen: Wenn ein Anbieter wechselt, aktualisiert sich die öffentliche Unterauftragsverarbeiterliste mit mindestens dreißig Tagen Vorankündigung.

Vergleichen Sie 'Wir sind dem verantwortungsvollen KI-Einsatz verpflichtet und glauben, dass Kundendaten mit Sorgfalt behandelt werden sollten' mit 'Kein KI-Anbieter trainiert auf Kundendaten. Jemals.' Das erste bedeutet nichts. Das zweite ist ein Satz, den die Beschaffung durchsetzen kann.

Gründer-unterschrieben schlägt komitee-ausgestellt

Beschaffungs-Charters in der Lieferkette werden von einer benannten Person unterzeichnet, fast immer auf CEO- oder Länderkopf-Ebene. Sie werden nicht von einem Ethik-Komitee unterzeichnet. Der Grund ist strukturell: Ein Komitee kann die Mitgliedschaft wechseln und Verantwortung verwässern. Ein Name auf einer Seite ist rechenschaftspflichtiger als eine Abteilung auf einer Seite.

Frühphasen-Anbieter haben hier einen Vorteil, den sie nutzen sollten. Die Corial Responsible AI Charter ist von mir persönlich als Gründer und KI-Verantwortlichen unterzeichnet. Ich überprüfe sie einmal im Jahr. Wenn sich eine Verpflichtung darin als nicht zutreffend erweist, ist die Person, an die man sich wenden muss, ich. Die Charter sagt das so.

Größere Unternehmen erben oft eine Komiteestruktur und finden es schwerer, die Verantwortung auf einen einzigen Namen zu reduzieren. Der Kompromiss ist der Kompromiss. Ein vom Gründer unterzeichnetes Dokument ist für die Beschaffung glaubwürdiger, aber weniger robust gegenüber dem Ausscheiden des Gründers. Ein vom Komitee ausgestelltes Dokument ist umgekehrt. In unserer Phase ist die vom Gründer unterzeichnete Version die ehrliche und nützlichere.

Was Sie übernehmen können, wenn Sie eine eigene schreiben

Wenn Sie Ihre eigene KI-Charter schreiben und möchten, dass sie eine Beschaffungsprüfung übersteht, sind hier die Abschnitte, die direkt aus dem Lieferanten-Charter-Format übernommen werden können:

Ein kurzer Rahmenparagraph, der benennt, für wen das Dokument ist und warum es existiert. Beschaffung, nicht eine interne Ethikprüfung
Ein Abschnitt darüber, wie Anbieter ausgewählt werden, mit konkreten gewichteten Kriterien, nicht Wertaussagen
Ein 'wird nicht'-Abschnitt. Harte Regeln. Keine abmildernden Verben. Fünf bis sieben Zeilen sind die richtige Länge
Ein 'wo wir tendieren'-Abschnitt für weiche Präferenzen, klar von den harten Regeln getrennt. Beschaffung liest die Trennung als Ehrlichkeit
Ein Offenlegungsabschnitt, der jeden öffentlichen Artefakt (Unterauftragsverarbeiterliste, Modellkarte, Trust-Seite, DPA) auflistet, gegen den der Kunde verifizieren kann
Ein kurzer 'Warum eine Charter statt einer Zertifizierung'-Abschnitt, wenn Sie nicht formal geprüft sind. Die Lücke zu benennen ist glaubwürdiger als sie zu verstecken
Ein 'Was das nicht behauptet'-Abschnitt. Die stärksten KI-Richtlinien sind die, die ihre eigenen Grenzen markieren
Ein Unterschriftenblock: Name, Rolle, Datum, Ort. Jährliches Überprüfungsdatum schriftlich

Die Corial Charter finden Sie unter corial.app/responsible-ai-charter und folgt dieser Struktur. Sie können sie gerne als Vorlage verwenden. Das Format ist nicht proprietär; die Beschaffungsteams, die Ihre Version irgendwann lesen werden, denken das sicher auch nicht.

Für Beschaffung schreiben, nicht für Ethikforschung

Darunter steckt eine tiefere These. Die meisten KI-Ethik-Texte setzen einen akademischen oder politikforschenden Leser voraus. Das Dokument ist geschrieben, um mit der Literatur zu interagieren, das Unternehmen in einer Debatte zu positionieren und durch Länge und Zitation Ernsthaftigkeit zu demonstrieren.

Die tatsächliche Zielgruppe der KI-Richtlinie eines B2B-Anbieters ist in dem Moment, der zählt, ein Beschaffungsbeauftragter, der bewertet, ob er den Anbieter einer genehmigten Liste hinzufügen soll. Dieser Beauftragte liest Lieferantencodes berufsmäßig. Das Format, dem der Beauftragte vertraut, ist das Lieferanten-Charter-Format. Die Verben, denen der Beauftragte vertraut, sind die harten. Das Dokument, dem der Beauftragte vertraut, hat unten einen Namen.

KI-Anbieter haben ein paar Jahre damit verbracht, Richtlinien für den falschen Leser zu schreiben. Der Leser, der zählt, liest bereits Dokumente, die auf eine bestimmte Weise aussehen. Schreiben Sie für diesen Leser. Die ethikforschende Zielgruppe kann es auch lesen. Die Beschaffungszielgruppe hätte die Alternative nicht gelesen.

Wenn Sie das ausgearbeitete Beispiel sehen möchten, finden Sie die Corial Responsible AI Charter unter corial.app/responsible-ai-charter und die breitere Trust-Seite darunter unter corial.app/trust. Beide sind zuerst für den Beschaffungsleser geschrieben.

Häufig gestellte Fragen.

Wie unterscheidet sich eine Responsible Procurement Charter für KI von einer generischen KI-Ethikrichtlinie?

Eine KI-Ethikrichtlinie ist üblicherweise ein Wertedokument für ein internes oder akademisches Publikum: lang, prinzipienbasiert, voller abschwächender Verben. Eine Responsible Procurement Charter für KI ist kurz, regelbasiert, für den Beschaffungsleser geschrieben und von einer benannten Person unterzeichnet. Sie verpflichtet den Anbieter zu spezifischen 'wird nicht'-Klauseln mit Konsequenzen und listet die öffentlichen Artefakte (Unterauftragsverarbeiterliste, Modellkarte, Audit-äquivalente Scores) auf, gegen die der Kunde verifizieren kann. Dasselbe Thema, sehr unterschiedliches Publikum.

Müssen wir ISO 42001 zertifiziert sein, um eine Responsible AI Charter zu unterzeichnen?

Nein. ISO 42001 ist der 2023 veröffentlichte KI-Management-Standard, und die Zertifizierung dauert Monate und erfordert erhebliches Budget. Eine Charter ist etwas, das ein Gründer heute unterzeichnen kann, in einfacher Sprache, mit seinem eigenen Namen darauf. Die beiden Artefakte dienen unterschiedlichen Zwecken: Eine Zertifizierung verifiziert, dass die Organisation das tut, was sie behauptet; eine Charter gibt an, was sie behauptet. Die meisten Anbieter in unserer Phase sollten die Charter jetzt veröffentlichen und die Zertifizierung anstreben, wenn eine spezifische Kundenbeziehung sie erfordert. 'Im Einklang mit ISO 42001 entwickelt' zu sagen ist ehrlich, wo 'ISO 42001 zertifiziert' es nicht wäre.

Wer sollte die Charter unterzeichnen. Der Gründer, der CTO oder ein Komitee?

Beschaffung liest einen Namen. Bei Frühphasen-Unternehmen ist der glaubwürdigste Unterzeichner der Gründer, besonders wenn der Gründer auch de facto KI-Verantwortlicher, Datenschutzbeauftragter und Incident Commander ist. Mit dem Wachstum des Unternehmens kann der Unterzeichner zu einem benannten Führungskräften wechseln (Chief AI Officer, Chief Privacy Officer), aber das Prinzip gilt: Ein einziger rechenschaftspflichtiger Name schlägt eine Abteilung oder ein Komitee. Ein Komitee verwässert die Verantwortung. Das Gegenteil dessen, wonach ein Beschaffungsleser sucht.

Wie oft sollte die Charter aktualisiert werden?

Mindestens einmal jährlich neu unterzeichnet, mit einem Datum schriftlich auf dem Dokument. Wesentliche Änderungen (neuer Anbieter hinzugefügt, Regionswechsel, Ausschluss entfernt) sollten Kunden mindestens dreißig Tage im Voraus mitgeteilt werden. Dieselbe Ankündigungsfrist, die für Änderungen der Unterauftragsverarbeiter gilt. Die Modellkarte, die die Anbieter, Regionen und Drittanbieter-Scores auflistet, sollte häufiger überprüft werden, üblicherweise vierteljährlich, weil sich die zugrunde liegende Modelllandschaft schneller bewegt als der politische Rahmen.

Können wir die Corial Responsible AI Charter als Vorlage für unsere eigene verwenden?

Ja. Das Charter-Format ist nicht proprietär. Die Corial-Version ist unter corial.app/responsible-ai-charter veröffentlicht und folgt der in diesem Beitrag beschriebenen Lieferanten-Charter-Struktur. Die nützlichsten Abschnitte zum Übernehmen sind die Kriterien zur Anbieterwahl, die 'was wir nicht tun werden'-Regelliste, die Trennung zwischen harten Regeln und weichen Präferenzen sowie der Offenlegungsabschnitt 'Was das nicht behauptet'. Passen Sie die Spezifika an Ihr Geschäft an; behalten Sie die Struktur und den Unterschriftenblock.

Artikel teilen LinkedIn X

Möchten Sie einen KI-Anbieter, den Ihre Beschaffung wirklich genehmigen kann?

Corial ist das KI-native CRM für B2B-Rohstoffvertriebsteams, deren nachgelagerte Markenkunden formale Lieferantenrisikoprüfungen durchführen. Gründer-unterzeichnete Charter. Öffentliche Modellkarte. Unterauftragsverarbeiterliste mit dreißig Tagen Vorankündigung. Lesen Sie die Charter vor dem Gespräch.

Frühen Zugang sichern