Der Einfluss von Künstlicher Intelligenz (KI) auf die Entwicklung der Finanzdienstleistungen reicht von der Personalisierung des Bankerlebnisses für die Kunden über die Optimierung der Kreditvergabe bis hin zu Alpha-Investitionsstrategien und modernen Chatbot-Diensten. Die am 13.03.2024 von der EU verabschiedete Verordnung über Künstliche Intelligenz ist ein wegweisender und weltweit erstmaliger Rechtsakt, der darauf abzielt, die Nutzung von KI in verschiedenen Sektoren zu regulieren, wobei der Finanzsektor einen Schwerpunkt bildet.
Dieser Artikel befasst sich mit den Auswirkungen der KI-Verordnung auf den europäischen Finanzsektor.
Europas digitale Zukunft gestalten
Nach der Verabschiedung des Gesetzes über Künstliche Intelligenz am 13.03.2024 positioniert sich die Europäische Union an der Spitze der globalen Bemühungen, streng regulierte KI-Rahmenbedingungen zu schaffen. Das Gesetz ist ein zentraler Bestandteil eines breiteren Pakets politischer Maßnahmen zur Unterstützung der Entwicklung einer vertrauenswürdigen Künstlichen Intelligenz und wird durch weitere Initiativen (z.B. KI-Innovationspaket) flankiert. Besonders im Fokus steht der Finanzsektor, der eine Vorreiterrolle bei der Implementierung von KI-Technologien, von der Bonitätsprüfung bis hin zur Erkennung von Betrugsfällen, übernommen hat.
Die KI-Verordnung ist Teil einer umfassenderen europäischen Datenstrategie, die darauf abzielt, das Potenzial von Daten für Innovationen zu nutzen und gleichzeitig die Privatsphäre und den Datenschutz zu gewährleisten. Es erleichtert die Wiederverwendung von Datenbanken des öffentlichen Sektors und den Zugang zu privaten Datensätzen, wodurch Finanzinstitute in die Lage versetzt werden, personalisierte und effizientere Dienstleistungen zu entwickeln. Dies wird den Wettbewerb ausweiten und die Wahlmöglichkeiten der Verbraucher im Finanzsektor verbessern. Darüber hinaus wird die noch im Entwurfsstadium befindliche Verordnung über den Zugang zu Finanzdaten (FiDA), die die KI-Verordnung ergänzt, den Datenzugang weiter demokratisieren, indem sie es den Verbrauchern ermöglicht, ihre Finanzdaten auf sichere Weise mit Dritten zu teilen.
Was ist KI?
Die EU-Kommission definiert ein „System der künstlichen Intelligenz“ (KI-System) als eine Software, die einerseits mit maschinellem Lernen, logik- und wissensgestützten Konzepten oder statistischen Ansätzen entwickelt wurde und andererseits im Hinblick auf eine Reihe von Zielen, die vom Menschen festgelegt werden, Ergebnisse wie Inhalte, Vorhersagen, Empfehlungen oder Entscheidungen hervorbringen kann, die das Umfeld beeinflussen, mit dem sie interagieren (vgl. Artikel 3 Nr. 1 KI-Verordnung). Einerseits bietet diese Begriffsbestimmung die notwendige Anpassungsfähigkeit an den schnellen technologischen Wandel im Bereich der KI-Systeme, andererseits führt sie jedoch auch zu einer gewissen Rechtsunsicherheit für Entwickler, Betreiber und Anwender solcher Systeme, da sie sehr weit angelegt ist.
Im Kern zielt die KI-Verordnung darauf ab, die fortschrittlichen Potenziale der KI-Technologie mit der unabdingbaren Notwendigkeit zu vereinen, Risiken zu minimieren und den Verbraucher- sowie Datenschutz zu gewährleisten. Die Europäische Kommission hat hierfür einen risikobasierten Ansatz gewählt und festgelegt, ob ein System ein inakzeptables, hohes, begrenztes oder geringes/minimales Risiko für den Endnutzer darstellt.
Risikobasierter Ansatz für KI-Technologien
Im AI-Act heißt es, “KI soll eine auf den Menschen ausgerichtete Technologie sein. Sie sollte als Werkzeug für den Menschen dienen, mit dem letztendlichen Ziel, das menschliche Wohlbefinden zu steigern“. Um dies zu erreichen, hat die EU den Einsatz von KI für eine Reihe von potenziell schädlichen Zwecken (mit einigen festgelegten Ausnahmen für staatliche, strafverfolgungsbehördliche oder wissenschaftliche Zwecke) verboten. Dazu gehören z.B.
- biometrische Kategorisierungssysteme, die auf sensiblen Merkmalen beruhen,
- das ungezielte Auslesen von Gesichtsbildern aus dem Internet oder aus Videoüberwachungsaufnahmen zur Erstellung von Gesichtserkennungsdatenbanken
- die Erkennung von Emotionen am Arbeitsplatz und in der Schule,
- Social Scoring
- prädiktive Polizeiarbeit (wenn sie ausschließlich auf der Erstellung von Profilen oder der Bewertung von Merkmalen einer Person beruht)
- KI, die menschliches Verhalten manipuliert oder die Schwachstellen von Menschen ausnutzt.
Einige Passagen des Gesetzes sind leider sehr vage und offen formuliert, was zu unterschiedlichen Auslegungen führen kann. Um die gesamten Auswirkungen dieser Regelungen zu verstehen, muss auf zusätzliche Richtlinien oder Informationen zur praktischen Umsetzung dieser Vorschriften gewartet werden.
Neue Regeln für Hochrisiko-KI in der Finanzwelt
Systeme mit hohem Risiko – also solche Systeme, die potenziell “nachteilige Auswirkungen auf die Sicherheit der Menschen oder ihre Grundrechte” haben könnten – sind nach der KI-Verordnung zulässig, müssen aber eine Reihe neuer Regeln einhalten. Systeme mit hohem Risiko haben einen erheblichen Einfluss auf das Leben und die Existenzsicherung einer Person oder können deren Teilhabe an der Gesellschaft erschweren. In diese Kategorie fallen daher auch KI-Anwendungen, die für finanzielle Entscheidungsprozesse wie Kreditwürdigkeitsprüfung, Risikobewertung und Betrugserkennung von Bedeutung sind. Außerdem erfasst sind biometrische Systeme, der Betrieb kritischer Infrastrukturen und KI-gestützte Personalsoftware, etwa für Bewerbungen.
Für solche hochrisikoreichen KI-Anwendungen schreibt die KI-Verordnung eine umfassende Risikobewertung und Maßnahmen zur Risikominderung vor, um Transparenz, Genauigkeit und Fairness zu gewährleisten. Die Finanzinstitute müssen für den Einsatz solcher KI-Anwendungen also gründliche Risikobewertungen durchführen und robuste Systeme zur Risikominderung einführen. Das beinhaltet
- die Sicherstellung der Qualität der Daten, die in KI-Systeme eingespeist werden, um Verzerrungen und diskriminierende Ergebnisse zu minimieren,
- die Führung einer detaillierten Dokumentation für Transparenz
- die automatische Protokollierung von Vorgängen und Ereignissen im KI-System,
- die Erfüllung von Transparenz- und Bereitstellungspflichten gegenüber den Nutzern und
- die Einrichtung von Mechanismen für die menschliche Aufsicht.
KI-Systeme mit hohem Risiko sind außerdem so zu konzipieren und zu entwickeln, dass sie ein angemessenes Maß an Genauigkeit, Robustheit und Cybersicherheit erreichen und in dieser Hinsicht während ihres gesamten Lebenszyklus konsistent funktionieren.
Das KI-Gesetz differenziert die Anwendungen jedoch und gibt vor, dass KI-Systeme nicht als hochriskant gelten, wenn sie kein erhebliches Risiko für die Gesundheit, die Sicherheit oder die Grundrechte natürlicher Personen darstellen. Dies gilt auch dann, wenn das KI-System das Ergebnis der Entscheidungsfindung wesentlich beeinflusst. KI-System gelten demnach nicht als hochrisikoreich, wenn eines oder mehrere der folgenden Kriterien erfüllt sind:
- Das KI-System ist für die Ausführung einer engen verfahrenstechnischen Aufgabe bestimmt;
- das KI-System ist dazu bestimmt, das Ergebnis einer zuvor ausgeführten menschlichen Tätigkeit zu verbessern;
- das KI-System ist dazu bestimmt, Entscheidungsmuster oder Abweichungen von früheren Entscheidungsmustern zu erkennen, und ist nicht dazu bestimmt, die zuvor durchgeführte menschliche Bewertung ohne angemessene menschliche Überprüfung zu ersetzen oder zu beeinflussen; oder
- das KI-System ist dazu bestimmt, eine vorbereitende Aufgabe für eine Bewertung durchzuführen, die für die im KI-Gesetz aufgeführten Anwendungsfälle relevant ist. Ungeachtet dessen gilt ein KI-System immer dann als mit hohem Risiko behaftet, wenn es ein Profiling natürlicher Personen durchführt.
Die entsprechende Klassifizierung als hochrisiko-KI ist daher in jedem Einzelfall zu prüfen und kann unter Umständen durchaus in einen Graubereich fallen.
Systeme, die ein begrenztes Risiko für den Endnutzer darstellen (einschließlich Chatbots und biometrische Sortiersysteme) müssen dagegen nur unter “einer begrenzten Anzahl von Transparenzverpflichtungen” arbeiten. Dies bedeutet, dass z.B. KI-generierte Audio-, Bild- und Videoinhalte als solche gekennzeichnet werden müssen, so dass der Nutzer die Wahl hat, ob er seine Interaktion mit der Technologie fortsetzen möchte oder nicht.
Obwohl Systeme mit geringem bzw. minimalem Risiko nach dem KI-Gesetz keinen zusätzlichen regulatorischen Anforderungen unterliegen, wird durch das Gesetz angeregt, dass die Anbieter solcher Systeme einen theoretischen “Verhaltenskodex” einhalten, der eine ähnliche Form hat wie die Regulierung für ihre Gegenstücke mit hohem Risiko. Dies soll vor Allem die Marktkonformität fördern.
Inkrafttreten
Die Pflichten der KI-Verordnung treffen Hersteller, Anbieter und Händler von KI-Systemen, Produkthersteller, die KI-Systeme in ihre Produkte einbinden, sowie Nutzer von KI-Systemen. Faktisch ist damit jedes Unternehmen, das mit KI in Berührung kommt, von der KI-Verordnung betroffen.
Je nach Risikoklasse der zugrundeliegenden KI-Systeme sieht das KI-Gesetz Übergangsfristen von 6 bis 36 Monaten vor, innerhalb derer die Anforderungen umgesetzt sein müssen.
Wie bei der Datenschutz-Grundverordnung dient diese Verzögerung dazu, dass die Unternehmen sicherstellen können, dass sie die Vorschriften einhalten. Nach Ablauf dieser Frist kann bei Verstößen mit erheblichen Strafen gerechnet werden. Diese sind gestaffelt, wobei die schwerwiegendsten Strafen denjenigen vorbehalten sind, die gegen das Verbot der “inakzeptablen Nutzung” verstoßen. Am oberen Ende stehen Geldstrafen von bis zu 30 Millionen Euro oder sechs Prozent des weltweiten Umsatzes des Unternehmens (je nachdem, welcher Betrag höher ist).
Möglicherweise noch schädlicher sind jedoch die Auswirkungen auf die Reputation eines Unternehmens, wenn es gegen die neuen Gesetze verstößt. Gerade in der Finanzwelt ist das Vertrauen von Kunden und Partnern von nicht zu unterschätzendem Wert.
Zweischneidiges Schwert für die Finanzindustrie
Für den Finanzsektor hat die KI-Verordnung positive und negative Seiten:
Finanzinstitute müssen ihre KI-Systeme anpassen und sicherstellen, dass sie den Vorgaben entsprechen, insbesondere im Hinblick auf Hochrisikosysteme wie die Kreditwürdigkeitsprüfung. Mit der KI-Verordnung wird die Notwendigkeit transparenter, interpretierbarer KI-Modelle und die Verwendung unvoreingenommener Daten von höchster Qualität sehr deutlich.
Die Umsetzung des KI-Gesetzes erfordert, dass Finanzinstitute die neuen Anforderungen an die KI-Governance und das Risikomanagement in ihren operativen Rahmen integrieren. Dies beinhaltet die Anpassung an sektorspezifische Leitlinien und die Nutzung neuer Technologien für Aufsichtszwecke. Die Europäische Kommission wird ein neues KI-Aufsichtsbüro einrichten, das eine entscheidende Rolle bei der Durchsetzung des Gesetzes spielen und sicherstellen wird, dass die im Finanzsektor eingesetzten KI-Systeme den Vorschriften entsprechen und keine unangemessenen Risiken für die Verbraucher darstellen.
Für die Institute bedeutet die Anpassung an die KI-Verordnung jedoch auch, mehr als je zuvor das Vertrauen der Verbraucher zu gewinnen, einen ethischen KI-Betrieb zu gewährleisten und möglicherweise eine Wettbewerbsdifferenzierung auf dem Markt zu erreichen. Finanzinstitute sollten ihre KI-Systeme deshalb proaktiv bewerten und einer Gap-Analyse unterziehen, um festzustellen, welche Systeme für die Hochrisikoszenarien des Gesetzes anfällig und welche neuen gesetzlichen Anforderungen noch nicht erfüllt sind.
Außerdem wird eine neue Transparenzkultur im Hinblick auf die Gewinnung und Verwendung der Verbraucherdaten notwendig werden, um das Vertrauen der Verbraucher weiterhin zu erhalten.
Die Notwendigkeit, sich an höhere, sauberere und schärfere Transparenzstandards zu halten, kann aber auch das Potenzial haben, die nächste Generation von Dienstleistungen und Innovationen in der gesamten Branche zu inspirieren.
Ausblick
Während die EU vor allem über KI-Halluzinationen (wenn die Modelle Fehler machen und Dinge erfinden), die virale Verbreitung von Deepfakes und die automatisierte Manipulation von KI, die Wähler bei Wahlen in die Irre führen könnte, besorgt ist, hat der Finanzsektor eigene Herausforderungen mit der neuen KI-Verordnung.
Angesichts der engen Fristen für die Umsetzung ist es entscheidend, sofort mit der Planung der entsprechenden Compliance-Maßnahmen zu beginnen. Eine frühzeitige und umfassende Einführung von KI-Governance-Strategien kann Finanzinstituten einen Vorsprung hinsichtlich der Zeit bis zur Markteinführung und der Qualität hochriskanter KI-Systeme verschaffen. Die Vorgaben der entsprechenden Verordnung gestalten sich allerdings als sehr vielschichtig und anspruchsvoll. Auf lange Sicht wird daher die Fähigkeit, Qualität, Konformität und die Skalierbarkeit von KI-Systemen miteinander zu verbinden, ausschlaggebend für den Erfolg von KI-System im europäischen Raum sein.
Der Schwerpunkt des Gesetzes auf KI-Systemen für allgemeine Zwecke, einschließlich großer Sprachmodelle und generativer KI, eröffnet Finanzinstituten neue Möglichkeiten, ihre Dienstleistungen zu verbessern. Diese Technologien können für eine Reihe von Anwendungen genutzt werden, von der personalisierten Finanzberatung, die so entscheidend sein könnte wie die Wahl der richtigen Anlagen, bis hin zu einem effizienteren Kundenservice, der sowohl Innovation als auch Wettbewerbsvorteile bringt.
