AI Procurement (KI-Beschaffung)
AI Procurement (KI-Beschaffung) bezeichnet den strukturierten Auswahl- und Einkaufsprozess für KI-Tools und -Services – inklusive fachlicher Bewertung, IT- und Sicherheitsprüfung, Datenschutz- und Rechtscheck sowie der vertraglichen und organisatorischen Absicherung. Ziel ist, KI schnell nutzbar zu machen, ohne Compliance-, Kosten- oder Sicherheitsrisiken in die Organisation zu holen.
Was umfasst AI Procurement konkret?
Im Unterschied zum klassischen Software-Einkauf müssen bei KI-Lösungen zusätzliche Fragen beantwortet werden: Welche Daten werden verarbeitet? Wie verlässlich sind Ergebnisse? Wie werden Modelle aktualisiert? Und wer haftet bei Fehlern? AI Procurement verbindet daher Einkauf, IT, Informationssicherheit, Datenschutz, Legal und die Fachbereiche.
- Anforderungsdefinition: Use Case, Nutzergruppen, Integrationen, benötigte Qualität (z. B. Antwortgenauigkeit), Latenz und Budget.
- Tool-/Vendor-Auswahl: Vergleich von Anbietern (z. B. Chatbots wie ChatGPT, Plattformen wie Azure OpenAI Service oder Workflows mit n8n).
- Technische Prüfung: Architektur, API-Qualität, Monitoring, Skalierbarkeit, Logging, SSO, Rollen/Rechte, Export/Backup, Datenflüsse.
- Security & Risk: Bedrohungen wie Prompt Injection, Datenabfluss, Berechtigungsmodelle, Verschlüsselung, Pen-Tests/Reports, Red-Teaming; oft ergänzt durch AI Risk Assessment (KI-Risikobewertung).
- Datenschutz & Compliance: DSGVO-Prüfung, TOMs, Auftragsverarbeitung, Datenresidenz (siehe Data Residency (Datenresidenz)), Löschkonzepte, PII-Handling (z. B. PII Redaction (PII-Schwärzung)).
- Recht & Verträge: AVV/DPA, Haftung, IP-/Urheberrechtsfragen (z. B. Copyright & KI (Urheberrecht)), SLA/SLO (siehe SLA & SLO (Service Level Objectives)), Audit-Rechte, Exit-Klauseln.
- Einführung & Governance: Richtlinien, Freigabeprozesse, Schulungen, Betriebskonzept; häufig eingebettet in AI Governance und regulatorische Anforderungen wie den EU AI Act.
Wie funktioniert AI Procurement? (typischer Ablauf)
- 1) Use Case scopen: z. B. Support-Antworten, Wissenssuche oder Dokumentenverarbeitung (z. B. Document AI (Intelligent Document Processing, IDP)).
- 2) Make-or-buy entscheiden: Fertigtool vs. Eigenbau mit Large Language Model (LLM)-API; ggf. RAG (Retrieval-Augmented Generation) mit Vektordatenbank (Vector Database).
- 3) Shortlist & Test: Proof of Concept mit klaren Metriken (Qualität, Kosten, Latenz), idealerweise mit Evaluation (Eval) & Benchmarking.
- 4) Risiko-, Datenschutz- und Security-Checks: Datenklassifizierung, DPA, Sicherheitsfragebogen, Logging/Retention, DLP.
- 5) Vertrag, Rollout, Betrieb: SLA, Kostenmodell, Zugriffssteuerung, Monitoring (z. B. Model Monitoring & Observability (LLMOps)), kontinuierliche Reviews.
Beispiel aus der Praxis
Ein Unternehmen möchte einen internen Wissensassistenten bauen. AI Procurement klärt zuerst, welche Daten in den Assistenten dürfen (PII ja/nein), ob Antworten Quellen brauchen (z. B. Citations (Quellenangaben) in LLMs), und ob ein RAG-Ansatz mit Vektorsuche sinnvoll ist. Danach werden Anbieter anhand von Datenresidenz, Sicherheitsfeatures, Kosten pro Token (siehe Cost Optimization (Token-Kostenoptimierung)) und Integrationen (SSO, M365, Ticketsystem) verglichen. Erst nach PoC, Datenschutz-Freigabe und Vertrag wird produktiv ausgerollt – mit Monitoring und klaren Verantwortlichkeiten.
Warum ist AI Procurement wichtig?
KI-Einkauf ohne strukturierte Beschaffung führt häufig zu Schatten-IT, unklaren Datenflüssen, rechtlichen Risiken und unkontrollierbaren Kosten. AI Procurement schafft Transparenz, reduziert Sicherheits- und Compliance-Risiken und sorgt dafür, dass KI-Lösungen messbar Nutzen liefern – statt nur „spannende Tools“ zu sein.