Sysbus
ComplianceKünstliche IntelligenzSecurity

ABBYY: Drittanbieter-KI wird zur Governance-Frage für Unternehmen

dcg

Unternehmen integrieren zunehmend KI-Systeme externer Anbieter in operative Prozesse, Kundeninteraktionen und Entscheidungsabläufe. Damit greifen sie auf Fähigkeiten zu, die intern oft nur mit hohem Zeit- und Kapitaleinsatz aufzubauen wären. Drittanbieter-KI kann Prozesse beschleunigen, Services verbessern und den Kapitaleinsatz effizienter machen. Gleichzeitig entsteht jedoch eine neue Risikolage, die viele Führungsteams noch nicht vollständig verinnerlicht haben: Systeme, die nicht im eigenen Haus entwickelt wurden, lassen sich nur begrenzt überprüfen und können nach der Einführung ihr Verhalten verändern.

„Wenn ein KI-System einen schwerwiegenden Fehler verursacht, trägt die einsetzende Organisation die Verantwortung für das Ergebnis. Nicht der Anbieter, nicht der Lieferant des Basismodells und nicht die API-Plattform müssen sich gegenüber Aufsichtsbehörden, Kunden und Öffentlichkeit verantworten“, sagt Jon Knisley, Product Marketing Manager beim Technologieanbieter ABBYY. „Das ist die entstehende Steuerungsherausforderung. Führungskräfte, die sich ihr früh aktiv stellen, können den von KI geschaffenen Wert besser erschließen und zugleich die von ihr eingeführten Risiken steuern.“

Eine neue Kategorie von Unternehmensrisiken

Risiken durch Drittanbieter-KI unterscheiden sich grundlegend von jenen Anbieterrisiken, für deren Steuerung bestehende Unternehmensprogramme konzipiert wurden. Traditionelles Risikomanagement bei Drittanbietern befasst sich vor allem mit bekannten Ausfallarten. Dazu zählt etwa, wenn ein Dienstleister für Lohn- und Gehaltsabrechnung offline geht oder ein Lieferant einen Liefertermin verpasst. In solchen Fällen ist klar erkennbar, ob eine Leistung erbracht wird oder ausfällt. Die Verantwortlichkeit ist relativ eindeutig, die Ausfallarten sind weitgehend vorhersehbar.

KI stellt diese Annahmen infrage. Das Modell eines Anbieters kann im Durchschnitt gut funktionieren und dennoch systematisch verzerrte Ergebnisse für bestimmte Kundensegmente erzeugen. Auch wenn es während der Beschaffung alle Evaluierungsbenchmarks bestanden hat, kann es sich nach der Bereitstellung unbemerkt verschlechtern. Das geschieht vor allem dann, wenn die Daten in der Einsatzumgebung von den Daten abweichen, mit denen das Modell trainiert wurde. Ebenso kann ein System Ergebnisse erzeugen, die flüssig und selbstsicher klingen, aber völlig falsch sind. Solche Fälle sind keine Ausnahmen. Sie ergeben sich aus der Funktionsweise probabilistischer Systeme, die Ergebnisse auf Basis von Wahrscheinlichkeiten erzeugen. Deshalb erfordert Drittanbieter-KI eine andere Form der Aufsicht.

Besonders dringlich wird diese Lage, weil sich hinter dem Produkt eines einzelnen Anbieters oft mehrere KI-Ebenen verbergen. Eine Lösung kann auf dem Basismodell eines Lieferanten beruhen, das von einem zweiten Dienstleister per Fine-Tuning angepasst und in eine Plattform integriert wird, die ein dritter Anbieter verkauft. Jede Ebene bringt ein eigenes Risikoprofil mit sich. Nur wenige Organisationen haben heute vollständige Transparenz über diese Lieferkette. Governance-Frameworks für deterministische Software lassen sich deshalb nicht einfach auf probabilistische, vielschichtige und kontinuierlich weiterentwickelte KI-Systeme übertragen.

Regulierung verankert Verantwortung beim Anwender

Das regulatorische Umfeld verstärkt diese Entwicklung. Der EU AI Act, dessen wesentliche Compliance-Verpflichtungen am 2. August 2026 in Kraft treten sollen, etabliert die Kategorie des „Betreibers“. Damit entstehen direkte Pflichten für die Organisation, die ein KI-System einsetzt – unabhängig davon, wer das zugrunde liegende Modell entwickelt hat. Der Colorado AI Act gilt ab 30. Juni 2026 und folgt einer ähnlichen Logik. Aufsichtsbehörden weltweit nähern sich damit einem klaren Prinzip an: Verantwortung lässt sich nicht an den Anbieter auslagern.

Dies ist keine reine Compliance-Aufgabe, die an die Rechtsabteilung delegiert werden kann. Die Verantwortung für Drittanbieter-KI beeinflusst, wie Organisationen Technologie beschaffen, Lieferantenbeziehungen strukturieren, Governance-Ressourcen zuweisen und letztlich im Wettbewerb bestehen. Entsprechend behandeln Vorstände KI-Steuerung zunehmend als treuhänderische Verantwortung. Sie erwarten nicht nur qualitative Zusicherungen, sondern quantitative Kennzahlen und nachweisbare Aufsichtsstrukturen.

Organisationen, die diese Fähigkeiten proaktiv aufbauen, schaffen regulatorische Compliance als Ergebnis guter Governance – und nicht als kostspielige nachträgliche Anpassung.

KI-Governance als Wettbewerbsfaktor

Ausgereifte KI-Governance ist mehr als eine zusätzliche Prozessebene in einem komplexen Betriebsumfeld. Sie schafft konkrete Vorteile bei Beschaffung, Einführung und Kontrolle externer KI-Systeme.

Unternehmen können bessere Konditionen mit Anbietern verhandeln, weil sie präzisere Fragen stellen und die Risikoarchitektur hinter den Produkten verstehen, die sie beschaffen. Neue KI-Fähigkeiten lassen sich schneller einführen, wenn wiederholbare Evaluierungsrahmen vorhanden sind. Ad-hoc-Prüfungen, die Engpässe erzeugen, verlieren dadurch an Bedeutung. Auch das Vertrauen von Kunden, Aufsichtsbehörden und Partnern steigt. Voraussetzung ist eine nachweisbar disziplinierte Steuerung jener KI-Systeme, die folgenschwere Entscheidungen beeinflussen. Außerdem lassen sich Reputations- und Finanzkosten vermeiden, wenn vorhersehbare KI-Fehler früh erkannt werden.

Zukunftsorientierte Unternehmen behandeln KI-Governance daher nicht mehr als Kostenfaktor, sondern als Quelle wettbewerblicher Differenzierung. Sie konsolidieren ihr KI-Lieferantenökosystem auf eine kleinere Zahl sorgfältig geprüfter Partner. Damit schaffen sie operative Vertrautheit und größere Verhandlungsmacht. Ebenso wichtig sind funktionsübergreifende Governance-Teams, die Beschaffung, Recht, Risikomanagement, Technologie und Geschäftsführung zusammenbringen. Dadurch lassen sich schnellere und fundiertere Entscheidungen über die Einführung von KI-Fähigkeiten treffen.

Das könnte dir auch gefallen

Vertrauen durch Transparenz: Warum Observability der Schlüssel zu verantwortungsvoller KI ist

dcg

GuardiCore aktualisiert Sicherheitstool Infection Monkey

gg

Das Thema „Ransomware“ wird in der G DATA academy konkretisiert

dcg
Powered by  GDPR Cookie Compliance
Datenschutz-Übersicht

Diese Website verwendet Cookies, damit wir Ihnen die bestmögliche Benutzererfahrung bieten können. Cookie-Informationen werden in Ihrem Browser gespeichert und führen Funktionen aus, wie das Wiedererkennen von Ihnen, wenn Sie auf unsere Website zurückkehren, und hilft unserem Team zu verstehen, welche Abschnitte der Website für Sie am interessantesten und nützlichsten sind.