Unternehmen verlassen sich zunehmend auf Drittanbieter, um KI-Systeme in ihre Abläufe zu integrieren. Erfahren Sie, wie Sie Ihr Drittparteienrisikomanagement anpassen können, um KI-bezogenen Risiken Rechnung zu tragen
Marco Barone
Senior Counsel Data Privacy, CIPP/E, CIPP/US, CIPM, FIP
6. Februar 2024
Während KI für viele Unternehmen zu einem Rückgrat moderner Geschäftsabläufe wird, entwickeln nur wenige Unternehmen KI-Systeme selbst. Immer mehr Unternehmen verlassen sich auf Drittanbieter, um KI-Lösungen in ihre täglichen Abläufe zu integrieren.
Aufgrund dieser Veränderung ist ein grundlegender Wandel in der Art und Weise erforderlich, wie Unternehmen die mit dem Einsatz von KI verbundenen Risiken bewerten und verwalten.
In diesem Artikel erfahren Sie, warum es so wichtig ist, einen ganzheitlichen Ansatz für die Bewertung von Anbietern zu verfolgen und wie AI Governance eine entscheidende Rolle bei der Risikominderung und der Förderung verantwortungsvoller KI-Praktiken spielen kann.
Die meisten Unternehmen verfügen zwar über Strategien für das Drittparteienrisikomanagement (Third-Party Risk Management, TPRM) für andere Anbieter, jedoch müssen sich diese traditionellen TPRM-Workflows weiterentwickeln, um mit der dynamischen Integration von KI Schritt zu halten.
Wir konnten feststellen, dass eine isolierte Herangehensweise an die traditionellen Aspekte des Drittparteirisikos (z. B. Datenschutz, Sicherheit, Ethik, Geschäftskontinuität und Resilienz usw.) für Unternehmen nicht mehr sinnvoll ist. Dies gilt auch für den Einsatz von KI bei Drittanbietern und unterstreicht die Notwendigkeit für Unternehmen, ihren Ansatz zur Bewertung von Anbietern neu zu definieren und ganzheitlicher zu gestalten, um den Einsatz von KI zu berücksichtigen.
Das Verständnis der technischen Feinheiten der von Anbietern eingesetzten KI-Systeme ist die Grundlage für eine solide Bewertung. Eine genaue Prüfung der zugrunde liegenden Technologie zeigt potenzielle Risiken im Zusammenhang mit KI-Komponenten in Drittanbieterlösungen auf, darunter Aspekte wie:
Dieses technische Geflecht aus Datensatz- und Modellattributen bildet die erste Ebene einer umfassenden Bewertung Ihres Drittanbieter-KI-Systems.
Auch wenn Sie das KI-System nicht selbst entwickeln oder bereitstellen, haben Sie als Betreiber dennoch Verpflichtungen und Verantwortlichkeiten in Bezug auf die von Ihnen verwendeten Daten und Modelle - daher ist es wichtig, die Antworten auf diese Fragen gut zu dokumentieren.
AI-Governance-Praktiken sind ein entscheidender Bestandteil einer verantwortungsvollen KI-Nutzung, und zwar nicht nur Ihre eigene interne AI-Governance. Zudem wird es immer wichtiger, auch den AI-Governance-Rahmen Ihres Anbieters zu bewerten. Auf diese Weise erhalten Sie einen besseren Einblick in die Compliance und die rechtlichen und ethischen Aspekte seiner KI-Praktiken.
Globale Rahmenwerke, wie der EU AI Act, sehen zunehmend spezifische Anforderungen an verantwortliche Akteure je nach Rolle vor, z. B. Konformitätsbewertungen durch Anbieter von risikobehafteten KI-Systemen.
Auch wenn Unternehmen, die KI von Drittanbietern nutzen, nicht in diese Anbieterkategorie fallen, müssen sie sich dennoch ihrer Verantwortung als Betreiber dieser Systeme bewusst sein und sich an entsprechenden Rahmenwerken orientieren, um Compliance und verantwortungsvolle KI-Praktiken ihrer Anbieter sicherzustellen.
Die Vorteile einer ganzheitlichen Bewertung gehen über die reine Compliance hinaus. Es gilt, rechtliche und ethische Fallstricke im Zusammenhang mit KI-Systemen, die von Dritten eingesetzt werden, zu vermeiden, um Vertrauen zu schaffen und die Transparenz im Anbieter-Ökosystem zu erhalten.
Der Gedanke, zusätzlich zu Ihren eigenen AI-Governance-Verantwortlichkeiten auch noch Anbieter bewerten zu müssen, mag überwältigend klingen, aber dieser Prozess muss nicht bei Null beginnen. Die Operationalisierung von AI-Governance-Bewertungen erfolgt in kleineren, praktischen Schritten, etwa durch die Integration von AI-Governance in bestehende TPRM-Workflows.
Tools wie die OneTrust Lösungen „AI Governance“ und „Drittparteienrisikomanagement“ unterstützen Unternehmen bei der Optimierung dieses Prozesses und gewähren einen umfassenderen Überblick über Onboarding-Initiativen für KI-Komponenten in Ihrem Unternehmen.
Da sich die KI-Risiken durch Drittanbieter ständig weiterentwickeln, müssen Unternehmen bei der Bewertung von Anbietern einen ganzheitlichen Ansatz verfolgen.
Die Einbeziehung von KI-Risiken in diese Bewertungen ist ein strategisches Erfordernis und ein proaktiver Schritt hin zu durchdachten Praktiken des Drittparteienrisikomanagements und zu einer verantwortungsvollen KI-Nutzung.
Ein umfassendes Rahmenwerk hilft nicht nur, die mit der Einführung von KI durch Drittparteien verbundenen Risiken zu mindern, sondern fördert auch ein Ökosystem aus Transparenz, Vertrauen und Innovation.
Unternehmen müssen ihre TPRM-Workflows anpassen, um die Komplexität von KI zu bewältigen und eine Zukunft zu gewährleisten, in der KI verantwortungsvoll für ein nachhaltiges Geschäftswachstum genutzt wird.
Webinar
With this webinar, you'll learn how to tackle the complexities of Third-Party Risk Management (TPRM). Explore real-world incidents, widespread challenges, regulatory expectations, and the key components of a robust TPRM framework.
E-Book
Dieser Leitfaden zum Risikomanagement für Dritte gibt Ihnen einen Überblick über die Voraussetzungen für den Aufbau eines erfolgreichen Risikomanagementprogramms für Dritte.
Webinar
Dieses Webinar erläutert, wie Sie mit einem Third Party Risk Management-Programm datenschutzbezogene Risiken verringern, Compliance Records mit Leichtigkeit führen und die Zusammenarbeit von Geschäftseinheiten fördern können.
Webinar
Dieses Webinar thematisiert einen strukturierten und effektiven Umgang mit IT-/IS- Risikomanagement.
Blog
Dieser Blog diskutiert, wie ein effektives Third Party Management etabliert werden kann, das Sicherheit für Datenschutz-, Sicherheits-, Ethik- und ESG-Teams schafft.