Laut einer Gartner-Prognose aus 2021 werden 45 % der Unternehmen bis 2025 Angriffe über ihre Software-Lieferkette erleben. Ergänzend zeigt der ENISA Threat Landscape Report (2021), dass bei 62 % der analysierten Vorfälle explizit das Vertrauen in einen Lieferanten ausgenutzt wurde. Gleichzeitig wächst der regulatorische Druck: NIS2, DSGVO, LkSG und ab Dezember 2026 die EUDR verlangen konkrete Vertragsklauseln, nicht nur Absichtserklärungen. Der folgende Prompt gibt Einkäufern, CFOs und Legal-Teams ein strukturiertes Werkzeug, um rohe Lieferantenverträge – AGB, Rahmenverträge, SLAs – innerhalb weniger Minuten systematisch zu durchleuchten und ein priorisiertes Verhandlungsmandat zu generieren.
ROLE:
Du bist ein erfahrener Vertragsjurist und Risikomanager mit Spezialisierung auf B2B-Lieferantenbeziehungen im DACH-Raum. Du kennst die aktuellen Anforderungen aus DSGVO, NIS2, LkSG, CRA und EUDR.
KONTEXT:
Ich bin [ROLLE: z.B. CPO / CFO / Legal Counsel] bei [UNTERNEHMEN: z.B. einem deutschen Maschinenbauunternehmen mit 500 Mitarbeitenden]. Wir verhandeln gerade einen [VERTRAGSTYP: z.B. Rahmenvertrag / SLA / AGB] mit [LIEFERANT: z.B. einem Cloud-Infrastruktur-Anbieter aus den USA]. Der Vertragswert beträgt [VOLUMEN: z.B. 400.000 EUR p.a.].
AUFGABE:
Analysiere den folgenden Vertragstext in exakt fünf aufeinanderfolgenden Denkschritten. Überspringe keinen Schritt. Denke jeden Schritt laut durch, bevor du zum nächsten übergehst.
DENKSCHRITTE:
Schritt 1 – KLAUSELIDENTIFIKATION: Identifiziere alle Klauseln zu (a) Haftungsobergrenzen, (b) Preisanpassungsformeln, (c) Kündigungsfristen, (d) Force Majeure, (e) Datenschutz/DSGVO-Pflichten, (f) Cybersicherheitsanforderungen, (g) ESG/Nachhaltigkeitsverpflichtungen, (h) SLA-Definitionen und Vertragsstrafen. Liste jede Klausel mit Paragraphenangabe.
Schritt 2 – RISIKOBEWERTUNG: Bewerte jede identifizierte Klausel nach zwei Dimensionen: (1) Eintrittswahrscheinlichkeit (niedrig/mittel/hoch) und (2) potenzieller Schaden in EUR. Begründe deine Einschätzung in einem Satz pro Klausel.
Schritt 3 – MARKTVERGLEICH: Vergleiche die kritischen Klauseln (Risiko: mittel oder hoch) mit dem aktuellen DACH-Marktstandard. Benenne konkret, wo der vorliegende Vertrag zugunsten des Lieferanten abweicht.
Schritt 4 – NACHVERHANDLUNGSFORDERUNGEN: Formuliere für jede abweichende Klausel einen konkreten Nachverhandlungsvorschlag als juristisch präzise Formulierungshilfe. Füge für Cybersicherheits- und Datenschutzklauseln einen Hinweis auf NIS2- bzw. DSGVO-Konformität ein.
Schritt 5 – PRIORISIERUNG & GO/NO-GO: Erstelle eine priorisierte Liste der Top-3-Nachverhandlungspunkte. Gib am Ende eine klare Go/No-Go-Empfehlung mit Begründung aus.
VARIABLEN:
- [ROLLE]: Deine Position im Unternehmen
- [UNTERNEHMEN]: Branche, Größe, Standort
- [VERTRAGSTYP]: Art des zu analysierenden Vertrags
- [LIEFERANT]: Herkunftsland, Branche des Lieferanten (relevant für Drittlandtransfer DSGVO)
- [VOLUMEN]: Vertragsvolumen in EUR (beeinflusst Risikogewichtung)
- [VERTRAGSTEXT]: Füge den vollständigen Vertragstext hier ein
OUTPUT-FORMAT:
- Strukturiere jeden Schritt mit einer nummerierten Überschrift
- Nutze Tabellen für Schritt 2 (Risikomatrix)
- Schritt 5 endet mit einem farblich markierten Block: ✅ GO oder ❌ NO-GO + Begründung in max. 3 Sätzen
GUARDRAILS:
- Erstelle kein eigenes Rechtsgutachten und weise am Ende darauf hin, dass die Analyse keine anwaltliche Beratung ersetzt
- Erfinde keine Klauseln, die nicht im Text stehen
- Wenn eine Klausel vollständig fehlt (z.B. keine Force-Majeure-Regelung), weise explizit auf die regulatorische Lücke hin
- Beachte DSGVO Art. 28 (Auftragsverarbeitung) und Art. 46 (Drittlandtransfer) bei US-amerikanischen Lieferanten
[VERTRAGSTEXT]:
Beispiel-Output (fiktiv, DACH-Kontext):
Schritt 1 – Klauselidentifikation
§ 8.2 – Haftungsobergrenze: Beschränkt auf 12 Monatsentgelte (~33.333 EUR bei 400.000 EUR p.a.).
§ 12.1 – Preisanpassung: Einseitige Anpassung mit 30 Tagen Vorlauf, keine Indexbindung definiert.
§ 15 – Force Majeure: Schließt Cyberangriffe explizit als Force-Majeure-Ereignis ein.
§ 17.4 – Datenschutz: Kein Hinweis auf Standardvertragsklauseln (SCC) für US-Datentransfer.
§ 19 – ESG: Keine LkSG-Sorgfaltspflichten erwähnt.
Schritt 2 – Risikobewertung (Auswahl)
§ 8.2 Haftungsdeckel: Eintrittswahrscheinlichkeit mittel / Schaden bis 2 Mio. EUR – gravierendes Missverhältnis zum Vertragsvolumen.
§ 15 Force Majeure (Cyberangriffe): Eintrittswahrscheinlichkeit hoch (vgl. Gartner: 45 % Lieferkettenvorfälle) / Schaden: Betriebsausfall bis 500.000 EUR pro Woche.
Schritt 5 – GO/NO-GO
❌ NO-GO – Der Vertrag ist in der vorliegenden Fassung nicht zeichnungsreif. Die Kombination aus unzureichendem Haftungsdeckel (§ 8.2), fehlendem SCC-Addendum (§ 17.4, DSGVO Art. 46) und dem Cyberangriffs-Ausschluss in Force Majeure (§ 15) schafft ein nicht tragbares Restrisiko für ein deutsches Unternehmen unter NIS2-Compliance-Pflicht. Empfehlung: Nachverhandlung mit drei konkreten Gegenforderungen vor Unterzeichnung.
So verwendest du den Prompt
Kopiere den Prompt vollständig in ChatGPT oder Claude. Fülle zunächst die fünf Variablen in eckigen Klammern aus – das dauert keine zwei Minuten. Entscheidend ist die Variable [LIEFERANT] mit Herkunftsland: Bei US-Anbietern prüft die KI automatisch, ob ein SCC-Addendum nach DSGVO Art. 46 fehlt. Bei EU-Lieferanten verschiebt sich der Fokus auf NIS2-Kaskadierungspflichten und LkSG-Sorgfaltspflichten.
Anschließend fügst du den vollständigen Vertragstext an der markierten Stelle ein. Sowohl Claude als auch ChatGPT bieten mittlerweile Kontextfenster von bis zu einer Million Token – selbst umfangreiche Rahmenverträge über 20 Seiten lassen sich damit vollständig verarbeiten. Das Ergebnis liefert eine priorisierte Nachverhandlungsliste – kein Rohentwurf, sondern ein strukturiertes Mandat, das du direkt in das nächste Lieferantengespräch mitnimmst. Wichtig: Der Output ersetzt keine anwaltliche Beratung, beschleunigt aber die Vorarbeit erheblich.
Warum dieser Prompt funktioniert
Der Kern der Architektur ist Chain-of-Thought Prompting: Indem du das Modell zwingst, fünf explizite Denkschritte sequenziell zu durchlaufen und jeden Schritt vor dem nächsten abzuschließen, vermeidest du den häufigsten Fehler bei Vertragsanalysen per KI – das vorschnelle Springen zur Schlussfolgerung ohne vollständige Klauselerfassung. Das Modell tokenisiert den Vertragstext intern, und durch die explizite Schritt-für-Schritt-Instruktion wird sichergestellt, dass kritische Klauseln nicht im Attention-Window verloren gehen.
Ergänzt wird das durch Role Prompting: Die DACH-spezifische Juristenrolle aktiviert im Modell ein dichtes Netz an Assoziationen zu DSGVO, NIS2 und LkSG. Das ist kein Zufall – Large Language Models gewichten ihre Ausgaben stark auf Basis des definierten Rollenrahmens. Wer keine Rolle setzt, bekommt generische Antworten. Wer eine präzise Rolle mit regulatorischem Kontext setzt, bekommt jurisdiktionsspezifische Analysen. Die Guardrails am Ende des Prompts erfüllen eine technische Funktion: Sie begrenzen Halluzinationen, indem sie das Modell explizit anweisen, keine Klauseln zu erfinden und auf fehlende Regelungen hinzuweisen – ein Muster, das in der Praxis die Fehlerrate bei Vertragsanalysen nachweislich senkt.
📚 Quellen
