KI-Verordnung: Neue Anforderungen für das Drittparteienrisikomanagement

KI-Verordnung: Neue Anforderungen für das Drittparteienrisikomanagement

Warum Finanzinstitute Risiken neu bewerten, Verträge anpassen und Teams vernetzen müssen

veröffentlicht am 21.10.2025 | Lesezeit: ca. 5 Minuten
Daniel Wagenknecht
Daniel Wagenknecht
Julia Ester
Julia Ester
Wayne Caßelmann
Wayne Caßelmann

Keyfacts:

  • Die KI-Verordnung (KI-VO) – auch EU AI Act – fordert die Risikobewertung von KI-Systemen auch im Drittparteienrisikomanagement.
  • Finanzdienstleister sollten KI-Risiken und Konformitätsprüfungen in ihre TPRM-Risikoanalyse aufnehmen.
  • Auch die Verträge mit Dienstleistern müssen neue Regelungen enthalten.

Banken und andere Finanzinstitute sind heute mehr denn je auf externe Dienstleister angewiesen, um Effizienz, Innovation und Skalierbarkeit sicherzustellen. Insbesondere KI-Systeme werden häufig nicht ausschließlich im eigenen Haus entwickelt, sondern durch externe Anbieter bereitgestellt – sei es über Cloud-Dienstleister oder spezialisierte Technologiepartner.

Mit Inkrafttreten des EU AI Act im August 2024 wird klar: Es kommen weitere Anforderungen auf Finanzinstitute zu. Die KI-Verordnung (KI-VO) fordert von Finanzdienstleistern einen proaktiven Ansatz in Bezug auf Compliance und Risikomanagement. Das Nichtbefolgen der Vorschriften kann zu erheblichen finanziellen Sanktionen führen.

Es ist daher von entscheidender Bedeutung, dass Finanzdienstleister die Anforderungen der KI-Verordnung genau verstehen und umsetzen, um potenzielle Risiken zu minimieren und die Vorteile der KI-Technologie sicher und effektiv zu nutzen. Das Drittparteienrisikomanagement (Third Party Risk Management, TPRM) wird damit zur zentralen Schnittstelle zwischen regulatorischer Verantwortung und operativer Umsetzung.

 

Bußgelder können bis zu 35 Millionen Euro oder 7 Prozent des gesamten weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres betragen.

 

KI-Systeme: Verantwortung bleibt trotz Auslagerung bestehen

Die Auslagerung von Dienstleistungen an Dritte entbindet Unternehmen nicht von ihrer Verantwortung. Auch wenn Unternehmen KI-Systeme vollständig von Dritten beziehen, bleiben sie für die Einhaltung der regulatorischen Anforderungen in der Verantwortung – insbesondere, wenn es sich um Hochrisiko-KI-Systeme im Sinne der KI-Verordnung handelt. Diese umfassen unter anderem KI-Systeme zur Bewertung von Kreditwürdigkeit, automatisierte Personalentscheidungen oder Systeme im Bereich kritischer Infrastrukturen.

Für solche Systeme gelten besonders strenge Auflagen in Bezug auf Transparenz, Datenqualität, technische Robustheit und menschliche Kontrolle, je nach Anbieter oder Betreiberrolle. Für das Drittparteienrisikomanagement bedeutet das: Die Auswahl, Risikobewertung, Überwachung und Steuerung von Dienstleistern muss um KI-spezifische Anforderungen ergänzt werden.

Studie: Sourcing in der Finanzbranche

Sourcing bietet enormes Potenzial, um im digitalen Wandel zu bestehen – doch wie lässt sich dieses strategisch und kosteneffizient nutzen? Wir haben 200 Führungskräfte befragt.

Studie herunterladen

Wie lassen sich KI-Risiken in das Auslagerungsmanagement integrieren?

Die klassischen Elemente des Outsourcings – wie Risikoanalyse, Vertragsmanagement und laufendes Monitoring – müssen künftig auch Aspekte der KI-Verordnung abdecken, um einen sicheren und regulatorisch konformen Einsatz von KI-Systemen zu ermöglichen. Im Rahmen der bereits vorhandenen Risikoanalyse im TPRM können KI-spezifische Risiken als auch die Konformitätsbewertung im Sinne der KI-VO integriert werden, um entsprechende Maßnahmen daraus abzuleiten.

Dabei gewinnen KI-spezifische Leistungskennzahlen (KPIs) und Dienstleistungsvereinbarungen (Service Level Agreements, SLAs) an Bedeutung, die eine kontinuierliche Überwachung relevanter Leistungs- und Risikoparameter ermöglichen. Solche Kennzahlen sollten nicht nur technische Aspekte wie die Genauigkeit des zugrundeliegenden KI-Modells berücksichtigen, sondern auch sicherheitsrelevante und compliance-bezogene Faktoren abbilden – zum Beispiel die Reaktionszeit bei Datenschutz- oder Sicherheitsvorfällen.

Auf diese Weise lassen sich potenzielle Schwachstellen wie Intransparenz, Diskriminierung oder Systemversagen frühzeitig erkennen. Die Verknüpfung mit der KI-Verordnung sowie mit etablierten Steuerungsmechanismen im Outsourcing schafft so die Grundlage für ein ganzheitliches, verantwortungsvolles Monitoring von KI-Systemen entlang der gesamten Wertschöpfungskette.

EBA-Guideline: Banken müssen Zusammenarbeit mit Drittanbietern anpassen

Auch die EBA hat mit neuen Leitlinien die Anforderungen an die Zusammenarbeit mit Drittanbietern verschärft – mehr dazu lesen Sie in unserem Artikel „EBA-Guideline: Banken müssen die Zusammenarbeit mit Drittanbietern anpassen“.

Jetzt lesen

Welche Anforderungen gibt die KI-Verordnung vor?

 Mit zunehmendem Einsatz von künstlicher Intelligenz in Drittdienstleistungen erweitert sich das Spektrum der zu bewertenden Risiken. Neu ist, dass auch die eingesetzten KI-Systeme einer eigenständigen Risikobewertung unterzogen werden müssen.

Die KI-Verordnung folgt einem risikobasierten Ansatz und ordnet Akteuren je nach Risikoklassifizierung unterschiedliche Pflichten zu. Hierbei kann auf die Risikoanalyse des bestehenden Outsourcing-Prozesses zurückgegriffen werden, der um eine spezifische Risikoklassifikation für KI-Systeme ergänzt wird.

Es gilt zu klären, ob es sich bei der Dienstleistung um ein reguliertes KI-System handelt, welche Risikoklasse zutrifft und welche damit verbundenen Pflichten erfüllt werden müssen. Weiterhin sind auch Datenschutz- und Informationssicherheitsaspekte im Rahmen des KI-Einsatzes zu bewerten.

Risikoklassifizierung von KI-Systemen nach der EU-KI-Verordnung

Quelle: KPMG in Deutschland, 2025

 

Welche neuen Anforderungen gibt es für Verträge?

Auch die vertragliche Ausgestaltung gewinnt an Bedeutung. Künftig sollten Dienstleisterverträge ausdrücklich Regelungen enthalten, die sich auf die Einhaltung der KI-Verordnung beziehen – etwa zur technischen Dokumentation, zu Prüf- und Zugriffsrechten, zur Sicherstellung der Datenqualität und zu Meldepflichten im Fall von Störungen oder Fehlverhalten der KI-Systeme.

Sollten KI-Systeme im Rahmen der eingekauften Dienstleistung eingesetzt werden, sollten vertragliche Vereinbarungen im Rahmen des Drittparteienrisikomanagements ausdrücklich regeln, ob und in welchem Umfang künstliche Intelligenz bei der Erbringung der Dienstleistung eingesetzt wird.

Das gilt insbesondere dann, wenn der KI-Einsatz für den Auftraggeber nicht unmittelbar erkennbar ist. Dabei sind Transparenz über die Art des KI-Systems, dessen Funktionsweise sowie potenzielle Risiken essenziell.

Änderungen am eingesetzten KI-Modell, etwa durch Updates, Retraining oder den Austausch des Systems, sollten einer vorherigen Informationspflicht und gegebenenfalls einer Zustimmungspflicht unterliegen.

Welche Abteilungen müssen zusammenarbeiten?

Um einen sicheren Einsatz von KI-Systemen zu gewährleisten, ist es unerlässlich, dass Fachabteilungen wie Compliance, Datenschutz, Risikomanagement und IT eng mit dem Drittparteienrisikomanagement zusammenarbeiten – typischerweise bildet das TPRM dabei die übergreifende Klammer und Koordinationsfunktion.

Der Aufbau interner Kompetenzen zur Beurteilung und Überwachung KI-relevanter Sachverhalte ist dabei ebenso notwendig wie eine enge Abstimmung mit dem Einkauf, der Rechtsabteilung und der internen Revision.

TPRM als Schlüssel zur KI-Compliance: Finanzdienstleister sollten jetzt aktiv werden

Die KI-Verordnung verändert nicht nur den Umgang mit künstlicher Intelligenz, sondern hat direkte Auswirkungen auf das Outsourcing. Finanzdienstleister können die Verantwortung nicht an Dritte abgeben – sie müssen sicherstellen, dass ausgelagerte KI-Systeme transparent, sicher und regelkonform eingesetzt werden.

Dazu gehört es:

  • KI-Risiken in das TPRM zu integrieren und regelmäßig zu bewerten.
  • Verträge mit klaren Regelungen zu Dokumentation, Prüf- und Zugriffsrechten sowie Meldepflichten auszustatten.
  • Interne Kompetenzen und Governance-Strukturen aufzubauen, um den Einsatz von KI-Systemen wirksam zu steuern.

Wer KI nutzt – insbesondere durch Drittanbieter – muss die Regelkonformität aktiv und nachvollziehbar sicherstellen. Eine vorausschauende Integration der KI-Verordnung in das Drittparteienrisikomanagement ist daher nicht nur regulatorische Pflicht, sondern strategische Notwendigkeit. Sie lässt sich durch den Aufbau einer umfassenden KI-Governance (wie hier beschrieben) und den gezielten Ausbau von KI-Kompetenzen absichern.

Das könnte Sie auch interessieren

Datenmanagement und KI

Warum KI in der Finanzbranche jetzt eine sorgfältige Governance braucht

Warum KI in der Finanzbranche jetzt eine sorgfältige Governance braucht

23.05.2025 | ca. 3 Minuten Lesezeit

Klassische Modelle aus der IT greifen bei der Steuerung von KI zu kurz.

Markus Tomanek
Markus Tomanek
Marc Jung
Marc Jung
Misti Khan
Misti Khan
Regulatorik und Compliance

Geopolitische Umbrüche: Drittparteienrisikomanagement im aktuellen Umfeld

Geopolitische Umbrüche: Drittparteienrisikomanagement im aktuellen Umfeld

23.05.2025 | ca. 6 Minuten Lesezeit

So mindern Finanzunternehmen Abhängigkeiten von Providern und bleiben handlungsfähig.

Daniel Wagenknecht
Daniel Wagenknecht
Olaf Rösener
Olaf Rösener
Anne Bunkenburg
Anne Bunkenburg
Datenmanagement und KI

AI Act & DORA: Was jetzt für KI-Anwendungen und IDV-Systeme gilt

AI Act & DORA: Was jetzt für KI-Anwendungen und IDV-Systeme gilt

15.04.2025 | ca. 6 Minuten Lesezeit

Die neuen EU-Vorgaben schaffen Klarheit über die Legaldefinition von KI-Systemen.

Dr. Fabian Bohnert
Dr. Fabian Bohnert
Julian Krautwald
Julian Krautwald
Markus Hupfauer
Markus Hupfauer
Suche
Schliessen
© 2025 KPMG AG Wirtschaftsprüfungsgesellschaft, eine Aktiengesellschaft nach deutschem Recht und ein Mitglied der globalen KPMG-Organisation unabhängiger Mitgliedsfirmen, die KPMG International Limited, einer Private English Company Limited by Guarantee, angeschlossen sind. Alle Rechte vorbehalten. Für weitere Einzelheiten über die Struktur der globalen Organisation von KPMG besuchen Sie bitte https://home.kpmg/governance.