Was Vendor-KI ist
Wenn Finanzinstitute über Künstliche Intelligenz nachdenken, denken sie meist an bewusste Entscheidungen: ein neues KI-Tool anschaffen, ein Pilotprojekt starten, ein Budget freigeben. Die Realität ist oft anders. KI kann bereits in der bestehenden Softwarelandschaft enthalten sein.
Das ist Vendor-KI: KI-Funktionalität in Systemen externer Anbieter. Für Banken und Versicherungen ist sie deshalb kritisch, weil Betreiberpflichten auch dann entstehen können, wenn das Institut das Modell nicht selbst entwickelt hat.
Typische Vendor-KI-Systeme
| Bereich | Typische Anbieter | EU AI Act-Relevanz |
|---|---|---|
| Kernbanking / Kreditvergabe | Temenos, Finastra, Mambu | KI-Unterstützung in Kreditentscheidungsprozessen kann Annex III Nr. 5(b) berühren. |
| Kredit-Scoring | FICO, Moody's Analytics, SAS | Kreditwürdigkeitsbewertung natürlicher Personen ist ein direkter Hochrisiko-Bereich. |
| AML / Fraud Detection | NICE Actimize, Oracle FCCM | Fraud Detection ist ausdrücklich aus Annex III Nr. 5(b) ausgenommen; andere Funktionen können dennoch Datenschutz-, DORA- oder Governance-Pflichten auslösen. |
| Underwriting Leben/Kranken | Guidewire, Sapiens, Duck Creek | Risikobewertung und Pricing in Life/Health Insurance können Hochrisiko-KI sein. |
| HR-Recruiting | Personio, SAP SuccessFactors, Workday | Recruiting, Matching, Leistungsbewertung und Monitoring können Hochrisiko-KI und arbeitsrechtliche Pflichten auslösen. |
| Chatbot / Kundenservice | Genesys, NICE CXone, Leena AI | Transparenzpflichten nach Art. 50 und Datenschutzfragen bei Kundendialogen. |
Die Rollenverschiebung nach Art. 25
Art. 25 EU AI Act enthält eine für die Praxis wichtige Regelung: Ein Unternehmen, das ein eingekauftes KI-System unter eigenem Namen betreibt, es wesentlich modifiziert oder für einen anderen Zweck einsetzt, kann in Anbieterpflichten hineinrutschen. Dann wird aus einer Betreiberrolle eine deutlich anspruchsvollere Compliance-Situation.
- Branding: Betrieb eines Vendor-Systems unter eigenem Namen oder eigener Marke.
- Wesentliche Modifikation: Anpassung mit Einfluss auf Zweck, Leistung oder Risikoklassifikation.
- Zweckänderung: Nutzung für einen anderen Zweck als vom Anbieter vorgesehen.
Die Bewertung ist einzelfallabhängig. Eine falsche Annahme, nur Betreiber zu sein, kann zu erheblichen Lücken bei Dokumentation, Konformität und Lieferantensteuerung führen.
CSRD/ESRS: Vendor-KI als Teil der Wertschöpfungskette
Vendor-KI kann auch eine CSRD-/ESRS-Relevanz haben. Die CSRD verlangt Berichterstattung über eigene Tätigkeiten und, soweit anwendbar, Wertschöpfungsketten, Produkte, Dienstleistungen und Geschäftsbeziehungen. Wenn eingekaufte KI-Systeme Diskriminierungsrisiken oder Menschenrechtsauswirkungen verursachen, müssen Beschaffung, Lieferantenmanagement und Governance darauf vorbereitet sein.
Die Vendor-Liste muss nicht nur nach Produktnamen durchsucht werden. Entscheidend sind Release Notes, Vertragsgrundlagen, tatsächliche Nutzung, Fachprozesse, Rollenverteilung und Risikoklassifikation. Einkauf, IT, Compliance und Fachabteilungen müssen gemeinsam arbeiten.