Die Drittanbieter-KI-Risiko-Lücke
Die meisten KI-Governance-Rahmen konzentrieren sich auf KI-Systeme, die eine Organisation entwickelt oder direkt kontrolliert. Dieser Fokus ist für die meisten Organisationen fehlgeleitet. Die Mehrheit der Enterprise-KI-Risiken entsteht nicht aus maßgefertigten intern entwickelten KI-Systemen, sie entsteht aus KI, die in die kommerzielle Software, Plattformen und Dienste eingebettet ist, die Organisationen kaufen und verwenden.
Ihre HR-Plattform verwendet möglicherweise KI, um Stellenbewerber zu bewerten. Ihr ERP-System verwendet möglicherweise KI, um anomale Transaktionen zu flaggen. Ihre Kundenservice-Plattform verwendet möglicherweise KI, um Kundenanfragen zu leiten und zu beantworten. In jedem Fall ist die KI eine Komponente eines Drittanbieter-Produkts, kein System, das Sie gebaut haben, kein Modell, das Sie trainiert haben. Aber die Ergebnisse dieser KI sind die Ergebnisse Ihrer Organisation.
Betreiber-Pflichten nach EU AI Act
Der EU AI Act macht deutlich, dass Betreiber-Pflichten nicht wegkontrahiert werden können. Eine Organisation, die ein Hochrisiko-KI-System nutzt, das von einem Anbieter gebaut wurde, trägt direkte regulatorische Pflichten als Betreiber: menschliche Aufsichtsmechanismen implementieren, KI-Systemleistung überwachen, Grundrechte-Folgenabschätzungen wo erforderlich durchführen und betroffene Personen über KI-Nutzung informieren.
Das Drittanbieter-KI-Due-Diligence-Framework
Die Bewertung von KI-Anbietern erfordert einen anderen Due-Diligence-Rahmen als die traditionelle Technologie-Anbieter-Bewertung. Standardmäßige Anbieter-Due-Diligence konzentriert sich auf Sicherheitslage, finanzielle Stabilität und Service-Zuverlässigkeit. KI-Anbieter-Due-Diligence muss zusätzlich die KI-Governance-Reife bewerten: technische Dokumentation, Bias-Testing-Ergebnisse, Datenverarbeitungsvereinbarungen und Vorfallreaktionsfähigkeit.
Konzentrationsrisiko
Organisationen, die sich für kritische Funktionen auf wenige KI-Plattformanbieter verlassen, stehen vor systemischem Konzentrationsrisiko. Wenn ein großer KI-Plattformanbieter einen erheblichen Ausfall erleidet, seine Nutzungsbedingungen ändert oder regulatorischen Maßnahmen ausgesetzt ist, stehen davon abhängige Organisationen vor operationellen Störungen ohne angemessene Alternative. Governance sollte KI-Konzentrationsrisiken als Teil der breiteren operationellen Resilienzplanung bewerten.