Zurück zu Richtlinienvorlagen
Richtlinie 10 von 15

KI-Anbieterrisiko-Richtlinie

Erweitert das Drittanbieter-Risikomanagement um KI-spezifische Sorgfaltsprüfung, laufende Überwachung und vertragliche Anforderungen.

1. Zweck

Diese Richtlinie definiert, wie [Name der Organisation] Risiken von Drittanbieter-KI-Anbietern, APIs und Diensten bewertet, verwaltet und überwacht. KI-Anbieterrisiken unterscheiden sich von traditionellen Anbieterrisiken, da Modelle unvorhersehbar agieren, Trainingsdaten versteckte Compliance-Risiken erzeugen und anbieterseitige Änderungen das Systemverhalten ohne Vorankündigung verändern können.

2. Geltungsbereich

Diese Richtlinie gilt für:

  • Alle Drittanbieter-KI-Dienste (APIs, SaaS, gehostete Modelle, eingebettete KI-Funktionen).
  • Alle vortrainierten oder Foundation Models, die von externen Anbietern beschafft werden.
  • Alle KI-Beratungsaufträge, die Modelle oder Modellhosting liefern.
  • Alle Open-Source-Modelle, die für den Produktiveinsatz übernommen werden.
  • Alle Verlängerungen und wesentlichen Änderungen bestehender KI-Anbieterbeziehungen.

3. Bewertung vor Beauftragung

Vor der Aktivierung eines KI-Anbieters muss die folgende Bewertung abgeschlossen werden:

3.1 KI-spezifischer Risikofragebogen

Zusätzlich zum Standard-Anbieterrisikofragebogen müssen KI-Anbieter beantworten:

  • Modell-Governance: Welche Modellarchitektur wird verwendet? Wie werden Modelle versioniert? Welcher Change-Management-Prozess gilt für Modellaktualisierungen?
  • Trainingsdaten: Welche Datenquellen wurden für das Training verwendet? Enthalten die Trainingsdaten personenbezogene Informationen? Wird Opt-out respektiert? Sind Model Cards und Datasheets for Datasets verfügbar?
  • Bias und Fairness: Welche Bias-Tests wurden durchgeführt? Welche Metriken wurden verwendet? Welche demographischen Gruppen wurden bewertet? Welche Behebungsmaßnahmen wurden angewandt?
  • Sicherheit: Welche Schutzmaßnahmen gegen Prompt Injection, Datenexfiltration und Modelldiebstahl gibt es? Welche Penetrationstests wurden durchgeführt?
  • Datenhandhabung: Werden Kundendaten zum Training oder zur Verbesserung der Modelle des Anbieters verwendet? Welche Datenstandortgarantien werden gegeben? Wer sind die Unterauftragsverarbeiter?
  • Transparenz: Kann der Anbieter erklären, wie das Modell Ergebnisse erzeugt? Sind Konfidenzwerte oder Unsicherheitsindikatoren verfügbar?
  • Vorfallreaktion: Welches SLA hat der Anbieter für die KI-Vorfallbenachrichtigung? Wie werden Modellfehler kommuniziert?

3.2 Dokumentationsanforderungen

Anbieter müssen bereitstellen:

  • Model Card mit Beschreibung von Architektur, Trainingsdaten, beabsichtigter Nutzung und Einschränkungen.
  • Sicherheitszertifizierungen (SOC 2 Type II, ISO 27001 oder gleichwertig).
  • Auftragsverarbeitungsvereinbarung (AVV) für KI-spezifische Datenverarbeitung.
  • Unterauftragsverarbeiterliste mit Datenstandortinformationen.
  • SLA für Vorfallmeldungen und Eskalationsprozess.

3.3 Risikobewertung

Jeder KI-Anbieter wird anhand der Risikomatrix der Organisation bewertet (gemäß KI-Risikomanagement-Richtlinie). Faktoren umfassen:

  • Sensibilität der vom Anbieter verarbeiteten Daten.
  • Kritikalität des vom Anbieter unterstützten Geschäftsprozesses.
  • Grad der Autonomie (beratend vs. entscheidend).
  • Transparenz- und Kontrollfähigkeiten des Anbieters.
  • Regulatorische Exposition (fällt der Anwendungsfall unter Hochrisiko-Kategorien des EU AI Act?).

4. Vertragliche Anforderungen

KI-Anbieterverträge müssen die folgenden Klauseln enthalten:

  • Kein Training mit Kundendaten: Der Anbieter darf die Daten der Organisation nicht zum Trainieren, Feinabstimmen oder Verbessern seiner Modelle verwenden, es sei denn, dies wird ausdrücklich genehmigt.
  • Änderungsmitteilung: Der Anbieter muss die Organisation vor wesentlichen Änderungen am Modell (Versionsupgrade, Architekturänderung, Trainingsdatenänderung) mit mindestens 30 Tagen Vorlauf benachrichtigen.
  • Datenportabilität: Die Organisation muss ihre Daten ohne unzumutbaren Aufwand exportieren oder löschen können.
  • Auditrecht: Die Organisation oder ihr beauftragter Prüfer darf die KI-Governance-Praktiken des Anbieters auditieren.
  • Vorfallbenachrichtigung: Der Anbieter muss die Organisation über KI-bezogene Vorfälle innerhalb von 24 Stunden benachrichtigen.
  • Haftungszuweisung: Klare Zuweisung der Verantwortung für KI-Systemausfälle, Bias und regulatorische Nichteinhaltung.
  • Kündigungsrechte: Die Organisation darf kündigen, wenn der Anbieter inakzeptable Risiken einführt oder Feststellungen nicht behebt.

5. Laufende Überwachung

Genehmigte KI-Anbieter werden kontinuierlich überwacht. Eine Neubewertung wird ausgelöst durch:

Die Überwachung umfasst: Leistungsverfolgung anhand vereinbarter SLAs, Bias-Tests mit den eigenen Daten der Organisation, Überprüfung der Sicherheitslage und Status der regulatorischen Compliance.

  • Wesentliche Modellversionsänderung durch den Anbieter.
  • Änderung der Unterauftragsverarbeiterliste des Anbieters.
  • Sicherheitsvorfall oder regulatorische Durchsetzungsmaßnahme beim Anbieter.
  • Änderung der Nutzung des Anbieters durch die Organisation (erweiterter Umfang, neue Datentypen).
  • Jährlicher Überprüfungszyklus (mindestens).

6. Anbieter-Austrittsplanung

Für jeden KI-Anbieter muss ein dokumentierter Austrittsplan umfassen:

  • Datenexportverfahren und Zeitplan.
  • Identifizierter alternativer Anbieter oder interne Fähigkeit.
  • Übergangszeitraum und Migrationsplan.
  • Vertragliche Verpflichtungen, die nach Beendigung fortbestehen (Datenlöschung, Vertraulichkeit).

7. Rollen und Verantwortlichkeiten

RolleAnbieterrisiko-Verantwortlichkeiten
Anforderndes TeamReicht Anbieteranfrage mit geschäftlicher Begründung und Risikoklassifizierung ein.
SicherheitFührt Sicherheitsbewertung des Anbieters durch, prüft Zertifizierungen und Penetrationstestergebnisse.
RechtPrüft Verträge, AVVs und Haftungszuweisung. Berät zu regulatorischen Verpflichtungen.
KI-Governance-VerantwortlicherKoordiniert KI-spezifische Bewertung, verfolgt Anbieter-Risikobewertungen, verwaltet Neubewertungszeitplan.
KI-Governance-AusschussGenehmigt Hochrisiko-Anbieterbeauftragungen, überprüft Anbieter-Austrittsentscheidungen.

8. Regulatorische Ausrichtung

  • EU AI Act: Artikel 25 (Verantwortlichkeiten entlang der KI-Wertschöpfungskette), Artikel 16 (Anbieterpflichten).
  • DSGVO: Artikel 28-29 (Auftragsverarbeiterpflichten, AVV-Anforderungen).
  • ISO/IEC 42001: Abschnitt 8.5 (Drittanbieter- und Kundenbeziehungen).
  • NIST AI RMF: GOVERN-Funktion (GV-6: Richtlinien für Drittanbieter-KI).

9. Überprüfung

Diese Richtlinie wird jährlich oder bei Auslösung durch wesentliche Anbietervorfälle, neue regulatorische Anforderungen oder Änderungen des KI-Anbieterportfolios der Organisation überprüft.

Dokumentenlenkung

FeldWert
Richtlinienverantwortlicher[KI-Governance-Verantwortlicher / CISO]
Genehmigt durch[KI-Governance-Ausschuss]
Inkrafttreten[Datum]
Nächste Überprüfung[Datum + 12 Monate]
Version1.0
KlassifizierungIntern

Bereit, diese Richtlinie umzusetzen?

Nutzen Sie VerifyWise, um diese Richtlinienvorlage anzupassen, bereitzustellen und die Compliance zu verfolgen.

Kostenlos startenAlle Vorlagen durchsuchen
KI-Anbieterrisiko-Richtlinie | VerifyWise KI-Governance-Vorlagen