Am Montag, 28. April, um 16:00 Uhr Ortszeit hat Google einen vertraulichen KI-Vertrag mit dem US-Verteidigungsministerium unterschrieben — für “jeden rechtmäßigen staatlichen Zweck”. Das ist exakt dieselbe Formulierung, die Anthropic im März abgelehnt hat. Die Ablehnung, die zur offiziellen Pentagon-Einstufung als “Lieferkettenrisiko” am 5. März führte, zur Klage in Kalifornien am 9. März und zur abgelehnten einstweiligen Anordnung beim D.C.-Berufungsgericht am 8. April.
Mehr als 600 Google-Mitarbeiter haben am gleichen Montag einen offenen Brief gegen den eigenen Vertrag unterschrieben, darunter über 20 Direktoren und VPs. Der Pentagon-KI-Chef erklärte am Mittwoch bei CNBC, die Abhängigkeit von einem einzelnen KI-Modell sei “nie eine gute Sache” — verschlüsselte Spitze gegen Anthropic.
Wenn du IT-Leiter oder CIO im DACH-Mittelstand bist, GRC-Verantwortlicher, oder wenn dein Unternehmen Claude oder Gemini einsetzt — die nächsten 21 Tage zählen mehr, als die Schlagzeilen vermuten lassen. Das D.C.-Berufungsgericht verhandelt die Hauptsache am 19. Mai. Bis dahin operierst du in einem Fenster, in dem der Rechtsstatus deines KI-Anbieters offen ist — und die meisten DACH-Beschaffungs-Frameworks sind für genau diese Situation nicht gebaut worden.
Hier ist die Checkliste, die du vor der Verhandlung durchgehen solltest. Fünf Fragen, in Klartext, mit Primärquellen.
Was sich am 28. April konkret geändert hat (90 Sekunden)
Drei Verträge sind jetzt öffentlich bekannt, alle mit derselben Grundstruktur: vertraulicher Pentagon-Zugriff auf kommerzielle KI-Modelle für “jeden rechtmäßigen staatlichen Zweck”.
| Anbieter | Status | Vertragsobergrenze | Datum |
|---|---|---|---|
| OpenAI | Aktiv | 200 Mio. USD | 2025 |
| xAI | Aktiv | 200 Mio. USD | 2025 |
| Gerade unterschrieben | Vergleichbarer Rahmen berichtet | 28. April 2026 | |
| Anthropic | Abgelehnt → als Lieferkettenrisiko eingestuft | — | März 2026 |
Der Apr-28-Google-Vertrag ist die Schlagzeile. Strukturell wichtig ist aber, was im Vertragstext steht. Laut The Information (übernommen von Reuters und Business Standard — die vollständige Vertragsversion wurde von keiner Primärquelle veröffentlicht) enthält der Vertrag folgende Passage:
“Die Parteien vereinbaren, dass das KI-System nicht für inländische Massenüberwachung oder autonome Waffen (einschließlich Zielauswahl) ohne angemessene menschliche Aufsicht und Kontrolle verwendet werden soll oder sollte.”
Lies diese Einschränkung sorgfältig. “Ohne angemessene menschliche Aufsicht und Kontrolle” ist kein Verbot. Es ist eine Genehmigung mit einer Fußnote. Der Vertrag erlaubt autonome Waffennutzung mit menschlicher Aufsicht — was auch immer das operativ bedeutet — kein flat-no.
Eine separate Klausel besagt, dass der Vertrag Google “kein Recht zur Kontrolle oder zum Veto” über staatliche Entscheidungen einräumt. Google hat Leitplanken auf Papier. Das Pentagon hat das Lenkrad.
Anthropics Acceptable-Use-Policy enthält entgegen den meisten Pressedarstellungen keine eigenständige Klausel, die vollautonome Zielauswahl durch tödliche Waffensysteme verbietet. Diese rote Linie wurde von CEO Dario Amodei in seiner öffentlichen Erklärung am 24. Februar und in den nicht-öffentlichen Vertragsverhandlungen gezogen — sie ist kein dedizierter AUP-Punkt. Was in der AUP steht: Verbote für “Battlefield-Management-Anwendungen”, “Predictive Policing” und “Strafverfolgungsanwendungen, die Freiheit, bürgerliche Freiheiten oder Menschenrechte natürlicher Personen verletzen”. Bemerkenswerter ist die folgende Klausel:
“Anthropic kann mit bestimmten Regierungskunden Verträge schließen, die die Nutzungsbeschränkungen an die öffentliche Mission und die rechtlichen Befugnisse dieses Kunden anpassen, sofern Anthropic der Auffassung ist, dass die vertraglichen Nutzungsbeschränkungen und die geltenden Schutzmaßnahmen ausreichen, um die potenziellen Schäden zu mindern.”
Übersetzt: Anthropic war von Anfang an verhandlungsbereit. Das DoD wollte aber die angebotene Anpassung nicht akzeptieren. Was zerbrochen ist, ist die bilaterale Verhandlung — nicht die AUP.
Die Lieferkettenrisiko-Einstufung hat echten Biss (auch wenn sie wie PR aussieht)
Die meiste Berichterstattung hat die Einstufung als symbolische PR-Watsche gerahmt. Sie ist es nicht. Es ist durchsetzbares Beschaffungsrecht, das sich durch jeden Vertrag in der US-Verteidigungslieferkette zieht.
Das DoD hat zwei gesetzliche Grundlagen geltend gemacht: DFARS Subpart 239.73 (NDAA-basierte Ausschlussbefugnis) und FASCA (Federal Acquisition Supply Chain Security Act). Laut der Mayer-Brown-Analyse gilt die Einstufung für “alle DoW-Beschaffungen, auf die 48 C.F.R. Subpart 239.73 anwendbar ist” und erstreckt sich auf alle Anthropic-Tochtergesellschaften, -Produkte und -Dienste.
Der Mechanismus ist FAR-52.204-25-Style-Flow-down — dasselbe Modell, das für die Huawei- und ZTE-Telekommunikationsausschlüsse verwendet wurde. So kaskadiert es:
- Hauptauftragnehmer unterzeichnet einen DoD-Vertrag mit der Lieferkettenrisiko-Klausel.
- Der Hauptauftragnehmer muss die Klausel an alle Unteraufträge und sonstigen Vertragsinstrumente weitergeben — auch an Unterträge für kommerzielle Posten.
- Erst-Tier-Subunternehmer geben weiter an Zweite, Zweite an Dritte — verpflichtende Alle-Tier-Kaskade, unabhängig vom Vertragswert.
- Jeder Auftragnehmer auf jeder Stufe muss eine affirmative Bescheinigung abgeben, dass er Anthropics Claude in seinen militärbezogenen Operationen nicht einsetzt.
- Wenn ein Auftragnehmer betroffene Technologie in seiner Lieferkette entdeckt, hat er 1 Geschäftstag Zeit, den Beschaffungsbeamten zu benachrichtigen, und 10 Geschäftstage, einen Mitigationsplan vorzulegen.
Laut CNBC-Bericht vom 28. April verpflichtet die Einstufung explizit “Verteidigungsauftragnehmer, einschließlich Microsoft und Palantir, die Nichtverwendung von Claude in ihren militärbezogenen Operationen zu bescheinigen”. Microsoft ist Claude-Kunde via Azure Foundry. Palantir setzt Claude in einigen AIP-Deployments ein. Beide haben jetzt eine Beschaffungsfrage, die vor 60 Tagen nicht existierte.
Eine wichtige Nuance: Die Einstufung deckt nur DoD/DoW-Beschaffungen ab — nicht zivile Behördenverträge. Unternehmen können Claude für Nicht-Pentagon-Arbeit weiter nutzen, einschließlich Verträge mit zivilen US-Behörden und sicherlich Verträge mit dem deutschen oder europäischen öffentlichen Sektor.
Die Frage für einen DACH-DAX- oder Mittelstandseinkäufer ist also nicht “verbieten wir Claude?” — sondern “wo in unserer Organisation berührt Claude einen Pentagon-Flow-Down-Vertrag, und haben wir entsprechend bescheinigt?”
Diese Frage ist es, die die meisten DACH-Beschaffungs-Frameworks bisher nicht beantwortet haben.
Die 5-Fragen-Checkliste vor dem 19. Mai
Nimm das in deine nächste KI-Anbieter-Prüfung mit. Fünf Fragen, in dieser Reihenfolge. Jede verweist entweder auf den oben zitierten Vertragstext oder auf den FAR-/DFARS-Rahmen. Keine erfordert juristische Vorbildung — manche Antworten erfordern aber juristische Prüfung.
1. Sind wir (oder eine unserer Top-20-Kunden) irgendwo in einer DoD-/DoW-Lieferkette?
Das ist die Gating-Frage. Wenn die Antwort “nirgendwo” lautet, hat die Lieferkettenrisiko-Einstufung minimale direkte Beschaffungsfolgen für dich — die größere politische Frage (sollten wir Claude weiter kaufen?) bleibt aber.
Wenn die Antwort “ja” oder “wir wissen nicht” lautet, kann ein FAR-52.204-25-Style-Flow-down Anwendung finden, und du hast eine echte Prüfung am Tisch. Schon ein einziger Verteidigungs-Subvertrag irgendwo in deiner Kundenbasis erzeugt Pass-through-Verpflichtungen.
Was zu prüfen: Zieh die Top-20-Kundenliste. Lauf sie gegen das SAM.gov-System. Markiere jeden Kunden mit aktivem DoD-/DoW-Haupt- oder -Substatus. Für die markierten: fordere den Wortlaut der Flow-down-Klausel an.
2. Wo in unserer Organisation ist Claude im Einsatz, und welche Deployments berühren einen Flow-down-Vertrag?
Das ist die Inventarfrage. Die meisten DACH-Mittelständler haben darauf keine saubere Antwort. Claude erscheint via Anthropics direkte API, via AWS Bedrock, via Microsoft Azure Foundry, in Integrationen in Notion / Slack / Salesforce / GitHub Copilot, und in Custom Builds. Jeder Berührungspunkt ist potenzieller Flow-down-Trigger, wenn er bei der Erfüllung eines DoD-flow-downed-Vertrags zum Einsatz kommt.
Was zu prüfen: Drei Listen. (a) Alle ausgegebenen Claude-API-Keys. (b) Alle Drittanbieter-SaaS, in denen Claude das zugrunde liegende Modell ist. (c) Mapping der Deployments zu Verträgen, die euer Team aktuell ausführt. CTO und Vertragsabteilung müssen das gemeinsam machen.
3. Können wir bescheinigen — oder hätten wir bescheinigen können —, dass Claude nicht in militärbezogenen Operationen verwendet wird?
Wenn ihr Verteidigungs-Hauptauftragnehmer oder -Subunternehmer seid, ist die Bescheinigungsanforderung nicht theoretisch, sondern vertraglich. Die Claude-Nutzungskarte aus Frage 2 fließt direkt in diese Bescheinigung ein.
Was zu prüfen: Lies die Lieferkettenrisiko-Sprache in deinem aktuellsten DoD-flow-downed-Vertrag. Identifiziere die Bescheinigungsklausel. Vergleiche sie mit deinem Claude-Deployment-Inventar. Wenn du die Nicht-Verwendung nicht ehrlich bescheinigen kannst, läuft eine Frist von einem Geschäftstag, sobald das aufgedeckt wird — und eine Mitigationsplan-Frist von zehn Geschäftstagen.
4. Was ist unser Risiko, wenn das D.C.-Berufungsgericht am 19. Mai gegen Anthropic entscheidet?
Zwei Szenarien. Wenn Anthropic in der Hauptsache vor dem D.C.-Berufungsgericht gewinnt (oder die N.D.-Cal.-einstweilige Anordnung hält), pausiert die Einstufung effektiv und du hast Luft. Wenn Anthropic verliert, härtet die Einstufung — und alle offenen Verträge, die ihr in der Annahme “das wird sich klären” unterschrieben habt, kommen zur Fälligkeit.
Die Begründung des D.C.-Berufungsgerichts vom 8. April lohnt sich zu lesen: Das Gericht rahmte Anthropics Schaden als “relativ begrenztes Risiko finanziellen Schadens für ein einzelnes Privatunternehmen”. Das ist ein Signal, wie das Berufungsgericht die Interessen abwägt. Es prognostiziert nicht den 19. Mai, ist aber kein Beruhigungssignal.
Was zu prüfen: Baue zwei Szenarienpläne. Szenario A: einstweilige Anordnung hält, Anthropic gewinnt. Szenario B: Einstufung durchgesetzt ab 20. Mai. Listet für jedes die vertraglichen Trigger, die Bescheinigungsfristen und alternative Modellanbieter auf (Gemini Enterprise, Microsoft MAI, OpenAI auf AWS post-Restrukturierung, Open-Weights via Bedrock, oder DACH-Souveränitäts-Modelle wie Aleph Alpha-Ableger). Ja, “auf Gemini umsteigen” ist seit dieser Woche ein anderes Gespräch — siehe Frage 5.
5. Ändert der Apr-28-Google-Vertrag unsere Gemini-Risikoposition?
Diese Frage stellt fast niemand öffentlich, und sie ist diejenige, die für DACH-Käufer beim Lesen des Vertragstexts am wichtigsten ist. Googles Einschränkung “ohne angemessene menschliche Aufsicht und Kontrolle” ist vertragliche Aspiration, kein externer Schutz. In der öffentlichen Berichterstattung ist kein Drittanbieter-Auditrecht offengelegt. Es gibt keine Strafklausel. Es gibt eine ausdrückliche Veto-Verzichts-Klausel. Googles Sicherheitsfilter sind — laut anonymer Engadget-Quelle — auf Anfrage der Regierung anpassbar. Diese spezifische Klausel ist in Primärquellen nicht bestätigt.
Wenn deine Governance-Position explizit auf “unser KI-Anbieter wird problematische staatliche Nutzung aus Prinzip ablehnen” beruht, ist diese Position für Google jetzt strikter schwächer als am 27. April. Anthropic hat — selbst mit der Einstufung — gezeigt, dass es einen finanziellen Schlag in Kauf nimmt, um eine erklärte rote Linie zu halten. Google hat gezeigt, dass es bereit ist, mit der Formulierung “jeder rechtmäßige staatliche Zweck” und einer nicht bindenden menschlich-Aufsicht-Fußnote zu unterschreiben.
Das macht Gemini nicht falsch für deinen Use-Case. Es ändert aber den Wortlaut, den du in dein KI-Lieferanten-Risikoregister aufnehmen musst. Für DACH-Mittelständler mit Souveränitätsanforderung gewinnt das Argument für DSGVO-konforme deutsche/europäische Anbieter (z.B. das Cohere-Aleph-Alpha-Bündel) damit messbar an Gewicht — auch wenn Modellqualität noch eine Lücke hat.
Was zu prüfen: Zieh deinen Gemini-Enterprise-Vertrag. Identifiziere jede Klausel, die das Recht des Anbieters anspricht, staatliche Zugriffsanforderungen abzulehnen. Aktualisiere dein KI-Lieferanten-Risikoregister, um den Apr-28-Vertrag widerzuspiegeln. Wenn ihr im Gesundheitswesen, Finanzwesen oder einer anderen regulierten Branche seid, wo das Vertrauen der Endkunden zählt, ist das eine Frage auf Vorstandsebene.
Was durchsetzbar ist vs. was PR ist
Der nützlichste Rahmen für einen DACH-Käufer beim Lesen der Apr-28-Ankündigungen:
Googles Pentagon-Vertragssprache hat PR-Niveau-Durchsetzbarkeit. Die “angemessene menschliche Aufsicht”-Einschränkung und die “kein Veto-Recht”-Klausel sind aspirative vertragliche Verpflichtungen ohne technischen Durchsetzungsmechanismus, ohne Drittanbieter-Auditrecht und ohne öffentlich bekannte Strafklausel. Sie sind nur als Vertragsbedingungen zwischen Google und dem DoD durchsetzbar — keine externen Schutzmechanismen, auf die ein DACH-Unternehmens-Käufer unabhängig vertrauen kann.
Anthropics Lieferkettenrisiko-Einstufung hat Beschaffungsrecht-Niveau-Durchsetzbarkeit. Sie kaskadiert durch jede Stufe jedes DoD-flow-downed-Vertrags. Sie verlangt affirmative Bescheinigungen. Sie löst Berichtspflichten innerhalb eines Geschäftstags aus. Das ist nicht PR — das ist Beschaffungsrecht mit gesetzlichen Zähnen.
Die Wildcard ist das Weiße Haus. Laut Axios-Bericht vom 28. April entwickelt das Weiße Haus eine Entwurfsleitlinie — möglicherweise eine Executive Order —, die es Bundesbehörden erlauben würde, die Lieferkettenrisiko-Einstufung zu umgehen und neue Anthropic-Modelle einschließlich Mythos einzuführen. Reuters konnte den Bericht nicht unabhängig verifizieren und Anthropic lehnte einen Kommentar ab. Wenn diese Leitlinie vor dem 19. Mai landet, verschiebt sich die Beschaffungslandschaft erneut. Eine Quelle charakterisierte die Anstrengung als “Anthropic zurück in den Schoß bringen, ohne Gesicht zu verlieren”.
Viele bewegliche Teile. Die obige Checkliste hält sie nicht an. Sie sorgt aber dafür, dass am 20. Mai — wie auch immer das Gericht entscheidet — du nicht der Käufer bist, der die Inventur noch nicht gemacht hat.
Was am Freitag zu tun ist
Leite diesen Beitrag an deinen GRC-Leiter und deinen KI-/ML-Verantwortlichen weiter. Wenn du Verteidigungs-Hauptauftragnehmer oder -Subunternehmer bist, auch an deine Vertragsabteilung und deinen Vertriebsleiter. Setze 30 Minuten am nächsten Dienstag in den Kalender, um die fünf Fragen durchzugehen. Bis zur Hauptverhandlung am 19. Mai solltest du Antworten haben — oder mindestens eine schriftliche Liste, wer dir welche Antwort bis wann schuldet.
Das ist eine dieser Wochen, in denen Schlagzeilen-Framing und operative Realität auf unterschiedlichen Uhren laufen. Die 600 Mitarbeiter mit dem offenen Brief und der CNBC-Sound-Bite des Pentagon-KI-Chefs sind das Schlagzeilen-Framing. FAR-52.204-25-Flow-down-Bescheinigungsfristen und die Hauptverhandlung am 19. Mai sind die operative Realität. Dein Beschaffungskomitee lebt downstream von beiden.
Mehr zur Microsoft-OpenAI-Restrukturierung, die zwei Tage vor diesem Pentagon-Deal abgeschlossen wurde — und wie sie den Modellstapel verändert, den du tatsächlich für 15 USD/Nutzer kaufen kannst — findest du in unserer Begleitanalyse zu Microsoft Agent 365 und den vier Modellpfaden.
