Der Drittanbieter-Verantwortungs-Irrtum

Wenn eine Organisation ein KI-System von einem Anbieter kauft, glauben viele, dass die Governance-Verantwortung mit dem Kauf übergeht. Das stimmt nicht. Nach dem EU AI Act sind Betreiber-Pflichten unabhängig und nicht durch den Kauf eliminierbar. Eine Organisation, die ein Hochrisiko-KI-System verwendet, trägt Betreiber-Pflichten unabhängig davon, wer das System gebaut hat.

Das Anbieter-Due-Diligence-Framework

Technische Dokumentation: Stellt der Anbieter angemessene technische Dokumentation des KI-Systems bereit? Nach dem EU AI Act sind Anbieter von Hochrisiko-KI-Systemen verpflichtet, Betreibern ausreichende Informationen zur Verfügung zu stellen. Anbieter, die dies nicht können oder wollen, erfüllen entweder ihre eigenen regulatorischen Pflichten nicht oder betreiben Systeme, die nicht angemessen gemanagt werden können.

Bias-Testing: Wurde das KI-System auf Bias über relevante demographische Gruppen getestet? Was waren die Ergebnisse? Welche Abhilfemaßnahmen wurden angewendet?

Datenverarbeitung: Welche Daten verarbeitet das KI-System? Wie werden diese Daten verwendet, insbesondere, werden sie für Modelltraining oder -verbesserung verwendet? Wo werden sie verarbeitet und gespeichert?

Vorfallreaktion: Wie erkennt und kommuniziert der Anbieter KI-System-Ausfälle oder Leistungsdegradation?

Vertragliche Schutzmaßnahmen

Anbieterverträge für KI-Systeme sollten Governance explizit adressieren: Darstellungen zu Governance-Praktiken und regulatorischer Compliance; Prüfrechte, die dem einsetzenden Unternehmen erlauben, KI-Systemleistung und Governance zu bewerten; Vorfallmeldepflichten mit definierten Zeitplänen; Datenverarbeitungsbedingungen; und Bestimmungen zu wesentlichen Änderungen am KI-System oder seinem zugrundeliegenden Modell.