Skip to main content

On-demand-Webinar kommt bald...

Blog

KI-Risiken durch Drittparteien: Ein ganzheitlicher Ansatz zur Bewertung von Anbietern

Unternehmen verlassen sich zunehmend auf Drittanbieter, um KI-Systeme in ihre Abläufe zu integrieren. Erfahren Sie, wie Sie Ihr Drittparteienrisikomanagement anpassen können, um KI-bezogenen Risiken Rechnung zu tragen

Marco Barone
Senior Counsel Data Privacy, CIPP/E, CIPP/US, CIPM, FIP
6. Februar 2024

Low-angle photo of two colleagues talking in their office through a glass wall.

Während KI für viele Unternehmen zu einem Rückgrat moderner Geschäftsabläufe wird, entwickeln nur wenige Unternehmen KI-Systeme selbst. Immer mehr Unternehmen verlassen sich auf Drittanbieter, um KI-Lösungen in ihre täglichen Abläufe zu integrieren. 

Aufgrund dieser Veränderung ist ein grundlegender Wandel in der Art und Weise erforderlich, wie Unternehmen die mit dem Einsatz von KI verbundenen Risiken bewerten und verwalten. 

In diesem Artikel erfahren Sie, warum es so wichtig ist, einen ganzheitlichen Ansatz für die Bewertung von Anbietern zu verfolgen und wie AI Governance eine entscheidende Rolle bei der Risikominderung und der Förderung verantwortungsvoller KI-Praktiken spielen kann. 
 

Paradigmenwechsel bei der Bewertung von Anbietern

Die meisten Unternehmen verfügen zwar über Strategien für das Drittparteienrisikomanagement (Third-Party Risk Management, TPRM) für andere Anbieter, jedoch müssen sich diese traditionellen TPRM-Workflows weiterentwickeln, um mit der dynamischen Integration von KI Schritt zu halten. 

Wir konnten feststellen, dass eine isolierte Herangehensweise an die traditionellen Aspekte des Drittparteirisikos (z. B. Datenschutz, Sicherheit, Ethik, Geschäftskontinuität und Resilienz usw.) für Unternehmen nicht mehr sinnvoll ist. Dies gilt auch für den Einsatz von KI bei Drittanbietern und unterstreicht die Notwendigkeit für Unternehmen, ihren Ansatz zur Bewertung von Anbietern neu zu definieren und ganzheitlicher zu gestalten, um den Einsatz von KI zu berücksichtigen. 
 

Bewertung von KI-Systemen und -Komponenten

Das Verständnis der technischen Feinheiten der von Anbietern eingesetzten KI-Systeme ist die Grundlage für eine solide Bewertung. Eine genaue Prüfung der zugrunde liegenden Technologie zeigt potenzielle Risiken im Zusammenhang mit KI-Komponenten in Drittanbieterlösungen auf, darunter Aspekte wie:

  • Datensatzattribute 
    KI-Systeme benötigen ein Übermaß an Daten, und Sie müssen genau wissen, welche Attribute diese Datensätze haben. Ihre Bewertungen sollten Ihnen Klarheit über Datenqualität, Trainingsdatenquellen, Dateneigentum, Datenversionierung und Rückverfolgbarkeit usw. verschaffen.  

  • Modellattribute 
    Sobald Sie Einblick in die zu verwendenden Datensätze gewonnen haben, müssen Sie sich auch über das Modell selbst Klarheit verschaffen. Handelt es sich bei dem von Ihnen verwendeten Modell um ein Basismodell? Welche Lernmethode wird verwendet? Welche Verzerrungen können vorliegen, und wie groß ist das Demographic Parity Ratio? Wie hoch ist der Grad der Autonomie des Modells, und wie viel menschliche Aufsicht ist erforderlich?

Dieses technische Geflecht aus Datensatz- und Modellattributen bildet die erste Ebene einer umfassenden Bewertung Ihres Drittanbieter-KI-Systems. 

Auch wenn Sie das KI-System nicht selbst entwickeln oder bereitstellen, haben Sie als Betreiber dennoch Verpflichtungen und Verantwortlichkeiten in Bezug auf die von Ihnen verwendeten Daten und Modelle - daher ist es wichtig, die Antworten auf diese Fragen gut zu dokumentieren. 
 

AI-Governance-Rahmen: Compliance und Anforderungen

AI-Governance-Praktiken sind ein entscheidender Bestandteil einer verantwortungsvollen KI-Nutzung, und zwar nicht nur Ihre eigene interne AI-Governance. Zudem wird es immer wichtiger, auch den AI-Governance-Rahmen Ihres Anbieters zu bewerten. Auf diese Weise erhalten Sie einen besseren Einblick in die Compliance und die rechtlichen und ethischen Aspekte seiner KI-Praktiken. 

Globale Rahmenwerke, wie der EU AI Act, sehen zunehmend spezifische Anforderungen an verantwortliche Akteure je nach Rolle vor, z. B. Konformitätsbewertungen durch Anbieter von risikobehafteten KI-Systemen. 

Auch wenn Unternehmen, die KI von Drittanbietern nutzen, nicht in diese Anbieterkategorie fallen, müssen sie sich dennoch ihrer Verantwortung als Betreiber dieser Systeme bewusst sein und sich an entsprechenden Rahmenwerken orientieren, um Compliance und verantwortungsvolle KI-Praktiken ihrer Anbieter sicherzustellen.

 

Umsetzung eines ganzheitlichen Bewertungsansatzes

Die Vorteile einer ganzheitlichen Bewertung gehen über die reine Compliance hinaus. Es gilt, rechtliche und ethische Fallstricke im Zusammenhang mit KI-Systemen, die von Dritten eingesetzt werden, zu vermeiden, um Vertrauen zu schaffen und die Transparenz im Anbieter-Ökosystem zu erhalten. 

Der Gedanke, zusätzlich zu Ihren eigenen AI-Governance-Verantwortlichkeiten auch noch Anbieter bewerten zu müssen, mag überwältigend klingen, aber dieser Prozess muss nicht bei Null beginnen. Die Operationalisierung von AI-Governance-Bewertungen erfolgt in kleineren, praktischen Schritten, etwa durch die Integration von AI-Governance in bestehende TPRM-Workflows. 

Tools wie die OneTrust Lösungen „AI Governance“ und „Drittparteienrisikomanagement“ unterstützen Unternehmen bei der Optimierung dieses Prozesses und gewähren einen umfassenderen Überblick über Onboarding-Initiativen für KI-Komponenten in Ihrem Unternehmen.

 

Drittparteienrisikomanagement zum Aufbau von Vertrauen

Da sich die KI-Risiken durch Drittanbieter ständig weiterentwickeln, müssen Unternehmen bei der Bewertung von Anbietern einen ganzheitlichen Ansatz verfolgen. 

Die Einbeziehung von KI-Risiken in diese Bewertungen ist ein strategisches Erfordernis und ein proaktiver Schritt hin zu durchdachten Praktiken des Drittparteienrisikomanagements und zu einer verantwortungsvollen KI-Nutzung. 

Ein umfassendes Rahmenwerk hilft nicht nur, die mit der Einführung von KI durch Drittparteien verbundenen Risiken zu mindern, sondern fördert auch ein Ökosystem aus Transparenz, Vertrauen und Innovation. 

Unternehmen müssen ihre TPRM-Workflows anpassen, um die Komplexität von KI zu bewältigen und eine Zukunft zu gewährleisten, in der KI verantwortungsvoll für ein nachhaltiges Geschäftswachstum genutzt wird.


Sie könnte auch interessieren

Webinar

Drittparteienrisiken

From reliance to resilience: Building a strong third-party risk management

With this webinar, you'll learn how to tackle the complexities of Third-Party Risk Management (TPRM). Explore real-world incidents, widespread challenges, regulatory expectations, and the key components of a robust TPRM framework.

Dezember 17, 2024

Mehr erfahren

E-Book

Drittparteienrisiken

Leitfaden für das Drittparteienrisikomanagement

Dieser Leitfaden zum Risikomanagement für Dritte gibt Ihnen einen Überblick über die Voraussetzungen für den Aufbau eines erfolgreichen Risikomanagementprogramms für Dritte.

September 03, 2024

Mehr erfahren

Webinar

Drittparteienrisiken

Sind Ihre Auslagerungspartner und Drittparteien eine Belastung für Ihre Datenschutz Compliance? 5 Tipps, um Ihr Risiko zu reduzieren

Dieses Webinar erläutert, wie Sie mit einem Third Party Risk Management-Programm datenschutzbezogene Risiken verringern, Compliance Records mit Leichtigkeit führen und die Zusammenarbeit von Geschäftseinheiten fördern können.

Juli 19, 2023

Mehr erfahren

Webinar

Drittparteienrisiken

Trends im IT-Risikomanagement – Behandeln Sie schon oder bewerten Sie noch?

Dieses Webinar thematisiert einen strukturierten und effektiven Umgang mit IT-/IS- Risikomanagement.

Januar 18, 2023

Mehr erfahren

Blog

Drittparteienrisiken

Aufbau eines effektiven Third Party Managements

Dieser Blog diskutiert, wie ein effektives Third Party Management etabliert werden kann, das Sicherheit für Datenschutz-, Sicherheits-, Ethik- und ESG-Teams schafft.

5 lesezeit

Mehr erfahren

E-Book

Drittparteienrisiken

DORA verstehen: Auswirkungen des Digital Operational Resilience Act auf das Third-Party Risk Management

Mehr erfahren