Die Anbieterwahl entscheidet über Ihre Abhängigkeit

Die Auswahl eines KI-Anbieters wird oft als Technikfrage behandelt, ist aber in Wahrheit eine Risikoentscheidung. Sie bestimmt, wie auditierbar Ihre Anwendung ist, wo Ihre Daten liegen, was der Betrieb kostet und ob Sie den Anbieter im Zweifel wieder verlassen können. Ein Finanzinstitut, das diese Fragen erst nach der Unterschrift stellt, hat sich in eine Abhängigkeit begeben, die regulatorisch und wirtschaftlich teuer wird. Die zentrale Leitfrage lautet daher nicht, welcher Anbieter die beste Demo zeigt, sondern welcher Ihre Datenhoheit, Ihre Prüfpflichten und Ihren möglichen Ausstieg trägt.

Selbst bauen oder einkaufen

Beide Wege haben einen Preis. Selbst bauen bedeutet maximale Kontrolle, aber hohen Aufwand und langsames Tempo. Einkaufen bedeutet Geschwindigkeit, aber das Risiko der Abhängigkeit von einem Anbieter. In der Praxis fahren die meisten Institute einen Mittelweg: Sie kaufen die Plattform und bauen die fachliche Logik des eigenen Anwendungsfalls darauf selbst, weil dort der eigentliche Wettbewerbsvorteil liegt. Entscheidend ist, dass diese Trennung bewusst getroffen wird und nicht aus der Verfügbarkeit einer beeindruckenden Demo entsteht.

Welche Kriterien wirklich zählen

Fünf Kriterien tragen die Entscheidung. Erstens die Datenhoheit, also wo die Daten verarbeitet und gespeichert werden, was eng mit der Cloud-Souveränität im KI-Betrieb zusammenhängt. Zweitens die Transparenz des Modells, denn ohne Nachvollziehbarkeit lässt sich eine Entscheidung weder erklären noch prüfen. Drittens die Integration in die Bestandssysteme, in der Praxis OSPlus oder agree21, weil eine Lösung ohne saubere Schnittstelle im Alltag scheitert. Viertens die Kostenlogik im Regelbetrieb. Und fünftens, oft unterschätzt, die Frage des Ausstiegs: Können Sie Daten und Konfiguration mitnehmen, oder sind Sie gebunden?

Was DORA und MaRisk verlangen

Bei externen KI-Diensten greift das volle Auslagerungsregime. DORA verlangt ein Register der IKT-Drittdienstleister, dokumentierte Ausstiegsstrategien und Transparenz über die Subdienstleister in der Lieferkette. MaRisk AT 9 stellt eigene Anforderungen an Auslagerungen, von der Risikoanalyse bis zu den Kontroll- und Weisungsrechten. Ein Anbieter, der diese Pflichten nicht unterstützt, ist kein Schnäppchen, sondern ein regulatorisches Problem, und das gilt unabhängig davon, ob der Betrieb im Inland oder über Nearshoring erfolgt.

Der Test vor der Unterschrift

Vier Fragen klären, ob ein Anbieter trägt. Können Sie ihn wieder verlassen, und zu welchen Bedingungen? Können Sie seine Entscheidungen prüfen und dokumentieren? Wo liegen Ihre Daten, und wer hat Zugriff? Und wer haftet, wenn etwas schiefgeht? Wer diese vier Fragen vor der Unterschrift beantwortet, vermeidet die teure Korrektur danach. Eingebettet ist die Wahl in die grundsätzliche Entscheidung über die interne KI-Plattform.

Wenn Sie vor einer Anbieterauswahl stehen, strukturieren wir mit Ihnen die Kriterien, die Build-versus-Buy-Frage und die regulatorischen Anforderungen. Buchen Sie eine Sprechstunde, dann ordnen wir Ihre Entscheidung.