Neuausrichtung bei der Lieferantenbewertung
Die meisten Unternehmen haben Strategien für das Risikomanagement von Drittanbietern – diese müssen sich aber weiterentwickeln, um der dynamischen Einbindung von KI gerecht zu werden. Ein isolierter Blick auf die üblichen Risikodimensionen wie Datenschutz, Sicherheit, Ethik, Geschäftskontinuität und Resilienz reicht nicht mehr aus – auch nicht im Hinblick auf den KI-Einsatz durch Drittanbieter. Der komplexe Kontext der KI-Anwendungen erfordert vielmehr einen ganzheitlichen Ansatz bei der Bewertung von Anbietern.
Technische Dimension: Beurteilung von KI-Systemen und -Komponenten
Ein fundiertes Verständnis der technologischen Grundlagen von KI-Systemen ist essenziell, um Risiken von Drittanbietern systematisch zu identifizieren:
- Datenattribute
KI-Systeme sind datenintensiv, weshalb Verantwortliche genau wissen müssen, welche Eigenschaften diese Daten aufweisen. Zu prüfen sind Aspekte wie Datenqualität, Herkunft der Trainingsdaten, Eigentum an den Daten, Versionierung und Nachverfolgbarkeit. - Modellattribute
Ebenso wichtig ist es, das Modell zu verstehen: Handelt es sich um ein Basismodell? Welche Lernmethoden kommen zum Einsatz, und welche Biases könnten auftreten? Welche Rolle spielt die demographische Parität? Darüber hinaus sollten Fragen zur Autonomie des Modells und zum Ausmaß der notwendigen menschlichen Überwachung geklärt sein. Auch wenn ein KI-System durch einen externen Anbieter bereitgestellt wird, bleibt die Verantwortung beim Betreiber, die relevanten Informationen zu dokumentieren und zu hinterfragen.
KI-Governance: Einhaltung von Vorschriften und Standards
Um KI verantwortungsvoll zu nutzen, ist ein umfassendes KI-Governance-Framework notwendig. Die wachsende Bedeutung eines solchen Rahmens zeigt sich auch in den Anforderungen, die Anbieter von KI-Systemen erfüllen müssen – etwa durch den EU AI Act, der klare Compliance-Anforderungen an Hochrisiko-KI-Systeme stellt. Selbst wenn diese Vorgaben nicht direkt auf KI-Nutzer zutreffen, die Drittanbieterlösungen einsetzen, ist es entscheidend, dass Unternehmen sich an diesen Standards orientieren, um Compliance und ethisches Handeln sicherzustellen.
Ganzheitlicher Bewertungsansatz für mehr als Compliance
Ein umfassender Ansatz in der Anbieterbewertung bringt mehr als nur die Einhaltung gesetzlicher Vorschriften. Er unterstützt Unternehmen dabei, Vertrauen bei Kunden und Mitarbeitern aufzubauen, indem rechtliche und ethische Risiken gezielt vermieden werden. Die Umsetzung solcher Bewertungen muss jedoch nicht von Grund auf neu entwickelt werden, sondern kann in bestehende Prozesse des Drittanbietermanagements integriert werden.
KI-Risikomanagement: Mehr als nur Drittparteien
Drittanbieter-Risiken stellen nur einen Teil der Herausforderungen im verantwortungsvollen Umgang mit KI dar. Unternehmen sind gefordert, ein umfassendes Framework zu schaffen, das nicht nur Risiken durch Drittanbieter abdeckt, sondern auch eine zentrale Steuerung und Kontrolle über die eigenen KI-Systeme und die verwendeten Daten für maschinelles Lernen ermöglicht.
Mit der OneTrust-Lösung für Drittanbieter-Management und KI-Governance können Unternehmen ein solches Framework etablieren – und damit eine Kultur von Transparenz, Vertrauen und Innovation fördern.
Weitere Informationen dazu erhalten Sie in unserem Handelsblatt Webinar: KI von Drittanbietern: Best Practice für Beschaffung und Risikomanagement – Handelsblatt Live.