Wie gehe ich vor, wenn im AIMS Lieferanten Infos fehlen?

Wenn im AIMS Lieferanten Infos zur KI-Compliance fehlen

„Wir wissen ehrlich gesagt selbst nicht genau, ob da KI drin ist.“
Dieser Satz kommt häufig nicht von kleinen Start-ups. Sondern von etablierten Softwareherstellern, deren Produkte in Unternehmen seit Jahren produktiv genutzt werden.

Die Situation läuft oft ähnlich ab: In einem Projekt oder Audit fällt plötzlich das Thema KI-Funktion. Vielleicht wegen des EU AI Acts, vielleicht wegen einer Datenschutzfrage oder weil intern erstmals über AI Governance gesprochen wird. Verantwortliche fragen daraufhin beim Hersteller nach, ob im Produkt KI eingesetzt wird und wie die Daten verarbeitet werden.

Die Antworten bleiben häufig vage:

„Das verarbeitet alles in Europa.“
„Das ist kein echtes KI-System.“
„Dazu haben wir aktuell noch kein Statement.“
„Unsere Rechtsabteilung arbeitet daran.“

Was mir dabei immer wieder auffällt: Das Problem ist oft nicht fehlender Wille. Viele Hersteller sind selbst noch dabei, ihre KI-Funktionen organisatorisch einzuordnen. Und genau das trifft aktuell auch viele KMU. Sie nutzen längst Tools mit KI-Bezug, beginnen aber erst jetzt, diese Themen strukturiert und organisatorisch zu betrachten.

Warum fehlende KI-Compliance-Informationen von Softwarelieferanten zum Risiko werden

Das eigentliche Problem beginnt nicht erst dann, wenn ein Unternehmen selbst aktiv KI entwickelt oder einführt. In vielen Fällen entstehen die ersten KI-Risiken deutlich früher – nämlich durch bestehende Softwarelösungen, bei denen plötzlich KI-Funktionen integriert werden, ohne dass Verantwortliche das sauber bewerten können.
Genau hier wird fehlende Transparenz kritisch.

Wenn ein Hersteller keine klaren Aussagen treffen kann, bleiben zentrale Fragen offen:

Werden Unternehmensdaten oder personenbezogene Daten zum Training genutzt?
Welche KI-Modelle laufen überhaupt im Hintergrund?
Sind weitere Drittanbieter beteiligt?
Erfolgt eine Verarbeitung außerhalb der EU?
Welche KI-Funktionen sind standardmäßig aktiv?

Das betrifft nicht nur Datenschutz. Auch Informationssicherheit, Vertragsmanagement, Risikoanalyse und Compliance greifen hier ineinander. Und sobald niemand mehr genau sagen kann, welche Daten wohin fließen oder welche Systeme Entscheidungen unterstützen, werden Verantwortlichkeiten schnell unscharf.

Was ich dabei häufig beobachte: Viele Unternehmen beruhigen sich unbewusst mit typischen Gedankengängen wie:

„Wenn wir nichts Genaues wissen, betrifft es uns vermutlich nicht.“
„Der Anbieter wird das schon geprüft haben.“
„Das ist doch nur ein kleines KI-Feature.“
„Wir sind ohnehin zu klein für den EU AI Act.“

Genau diese Denkweise erinnert stark an klassische Probleme im Lieferantenmanagement eines ISMS. Auch dort würde niemand akzeptieren, wenn ein externer Dienstleister nur sagt: „Vertrau uns einfach.“ Stattdessen fordert man nachvollziehbare Informationen, Verantwortlichkeiten und Risikobewertungen ein.

Und genau diese Denkweise lässt sich sehr gut auf AI Governance übertragen. KI verändert nicht nur Software. KI verändert auch die Anforderungen an Transparenz, Steuerung und Lieferantenbewertung.

Wie ich bei fehlender KI-Compliance von Softwarelieferanten vorgehe

Wenn in Projekten plötzlich Unsicherheit rund um KI-Funktionen bei Softwarelieferanten entsteht, versuche ich zuerst, bewusst Tempo rauszunehmen. Viele Verantwortliche reagieren verständlicherweise nervös, sobald Begriffe wie EU AI Act, KI-Compliance oder Trainingsdaten fallen. Aber fehlende Antworten bedeuten nicht automatisch, dass ein Tool unzulässig oder unsicher ist.

Das erste Ziel ist fast immer dasselbe: Transparenz schaffen.

Ich vergleiche das oft mit einem unbekannten Dienstleister im klassischen ISMS. Dort bewertet man ebenfalls nicht sofort panisch jedes Risiko, sondern versucht zunächst zu verstehen:
Wer ist beteiligt? Welche Daten fließen? Welche Verantwortung liegt wo?

Genau dieselbe Denkweise hilft auch bei AI Governance.
In der Praxis arbeite ich deshalb oft mit drei einfachen Fragen.

1. Nutzt das Produkt überhaupt KI?

Das klingt banal, ist aber erstaunlich oft unklar. Manche Hersteller sprechen von KI, obwohl eigentlich nur klassische Automatisierung gemeint ist. Andere integrieren generative KI-Funktionen still im Hintergrund.

Hier versuche ich pragmatisch herauszufinden:

Gibt es generative KI-Funktionen?
Werden externe Modelle genutzt?
Ist die Funktion aktiv oder optional?
Handelt es sich eher um Marketing oder um echte KI-Unterstützung?

2. Welche Daten fließen wohin?

Danach wird es meist konkreter:

Werden personenbezogene Daten verarbeitet?
Gehen Unternehmens- oder Kundendaten an externe Systeme?
Erfolgt eine Nutzung für Trainingszwecke?
Gibt es Verarbeitungen außerhalb der EU?

Dabei geht es zunächst nicht um perfekte juristische Bewertungen. Wichtig ist zuerst ein nachvollziehbares Grundverständnis.

3. Welche Rolle übernimmt der Anbieter eigentlich?

Auch das wird häufig unterschätzt. Manche Anbieter entwickeln eigene KI-Funktionen. Andere integrieren lediglich Drittmodelle oder treten primär als Cloud-Betreiber auf.

Für die Bewertung macht das einen großen Unterschied:

Wer ist technisch verantwortlich?
Wer verarbeitet Daten?
Wer steuert die Modelle?
Wer haftet bei Problemen?

Gerade KMU empfehle ich hier keinen überkomplexen Governance-Ansatz. Was in der Praxis oft völlig ausreicht:

die bestehende Lieferantenliste um KI-Bezug ergänzen,
ein paar standardisierte Fragen definieren,
kritische Tools priorisieren,
Entscheidungen dokumentieren,
und fehlende Transparenz bewusst als Risiko erfassen.

Wichtig ist dabei ein Perspektivwechsel: Das Ziel ist selten perfekte Compliance auf dem Papier. Das Ziel ist nachvollziehbare Steuerung.

Und genau dort passiert oft etwas Interessantes. Sobald Fachbereiche konkrete Fragen stellen müssen, merken viele Unternehmen plötzlich selbst:
„Wir wissen eigentlich gar nicht genau, was dieses Tool im Hintergrund macht.“

Deshalb ist KI-Governance aus meiner Sicht häufig weniger ein Technikproblem als ein Transparenzproblem. Und genau dort lohnt es sich meistens, anzusetzen.

Zum Mitnehmen & Weiterdenken: KI-Compliance bei Softwarelieferanten pragmatisch bewerten

Was mir in den letzten Monaten immer wieder auffällt: Viele Unternehmen beschäftigen sich nicht wegen eigener KI-Projekte erstmals mit AI Governance – sondern wegen bestehender Software, deren KI-Funktionen plötzlich Fragen aufwerfen.

Gerade deshalb helfen oft schon ein paar klare Grundgedanken:

Fehlende Informationen zur KI-Nutzung sind ein relevantes Risiko.
Viele KI-Themen entstehen heute indirekt über bestehende Tools und SaaS-Lösungen.
KMU brauchen keine perfekte AI Governance – aber nachvollziehbare Entscheidungen und klare Zuständigkeiten.
Bewährtes Lieferantenmanagement aus dem ISMS lässt sich sehr gut auf KI-Themen übertragen.
Transparenz ist langfristig wichtiger als Marketingaussagen oder unklare Herstellerformulierungen.

Am Ende geht es häufig weniger darum, sofort jede regulatorische Detailfrage beantworten zu können. Viel wichtiger ist, dass Unternehmen anfangen, die richtigen Fragen zu stellen und Risiken bewusst einzuordnen.

Vielleicht lohnt sich deshalb auch bei Euch einmal ein kurzer Realitätscheck:

Wisst Ihr aktuell, welche Eurer Tools KI-Funktionen nutzen?
Gibt es bereits standardisierte Fragen an Softwarelieferanten?
Wie dokumentiert Ihr Entscheidungen, wenn Hersteller nur vage Aussagen treffen?

Was Du jetzt tun kannst: KI-Compliance bei Softwarelieferanten pragmatisch angehen

Quick-Check

Gibt es bei Euch bereits eine Übersicht kritischer Softwarelieferanten?
Werden KI-Funktionen bei neuen Tools oder SaaS-Lösungen aktiv hinterfragt?
Ist dokumentiert, wenn Hersteller keine klaren Aussagen zur KI-Nutzung liefern können?
Gibt es eine verantwortliche Stelle für KI-bezogene Lieferantenbewertungen oder AI Governance-Themen?

Oft zeigt schon dieser kurze Check, wo aktuell noch Transparenz fehlt. Und genau dort lohnt es sich meistens anzusetzen.

Mini-CTA

Wenn Ihr beim Thema KI-Lieferanten gerade erst startet, beginnt nicht mit einem riesigen Governance-Projekt. In vielen KMU reicht zuerst eine einfache Übersicht der eingesetzten Tools und drei strukturierte Fragen an Eure wichtigsten Anbieter. Genau dadurch entstehen oft die ersten wirklich brauchbaren Erkenntnisse.

Wie gehe ich vor, wenn unser Softwarelieferant keine Infos zur KI-Compliance gibt?

Wenn im AIMS Lieferanten Infos zur KI-Compliance fehlen

Warum fehlende KI-Compliance-Informationen von Softwarelieferanten zum Risiko werden

Wie ich bei fehlender KI-Compliance von Softwarelieferanten vorgehe

1. Nutzt das Produkt überhaupt KI?

2. Welche Daten fließen wohin?

3. Welche Rolle übernimmt der Anbieter eigentlich?

Zum Mitnehmen & Weiterdenken: KI-Compliance bei Softwarelieferanten pragmatisch bewerten

Was Du jetzt tun kannst: KI-Compliance bei Softwarelieferanten pragmatisch angehen

Quick-Check

Mini-CTA

Wie dokumentiere ich KI-Nutzung pragmatisch, ohne alles doppelt aufzuschreiben?

Wer ist betroffen? NIS2-Geltungsbereich erklärt.

Was ist NIS2? Warum KMU jetzt reagieren müssen

Der EU AI Act – Pflicht oder Kür für KMU?

NIS2 & Risikomanagement – pragmatisch umsetzen

„Aber das hat uns der IT-Dienstleister so eingerichtet“ – Fremdverantwortung als Risiko

Wenn im AIMS Lieferanten Infos zur KI-Compliance fehlen

Warum fehlende KI-Compliance-Informationen von Softwarelieferanten zum Risiko werden

Wie ich bei fehlender KI-Compliance von Softwarelieferanten vorgehe

1. Nutzt das Produkt überhaupt KI?

2. Welche Daten fließen wohin?

3. Welche Rolle übernimmt der Anbieter eigentlich?

Zum Mitnehmen & Weiterdenken: KI-Compliance bei Softwarelieferanten pragmatisch bewerten

Was Du jetzt tun kannst: KI-Compliance bei Softwarelieferanten pragmatisch angehen

Quick-Check

Mini-CTA

Ähnliche Beiträge