Künstliche Intelligenz (KI) ist längst im Bankensektor angekommen – ob bei der Betrugserkennung, dem Risikomanagement oder der Kundenkommunikation. Doch mit großen Chancen kommen auch neue Herausforderungen. Der Artificial Intelligence Act of the European Union, kurz AI Act der EU, schafft erstmals einen klaren regulatorischen Rahmen für den Einsatz von KI und stellt Banken vor wichtige Aufgaben: von der Einstufung als Hochrisiko-KI bis zu strengen Transparenz- und Governance-Anforderungen. Aber der AI Act bringt nicht nur regulatorische Hürden, sondern auch Investitionssicherheit mit sich und eröffnet damit neue Perspektiven.
Einordnung in die europäische Digitalstrategie
Der AI Act ist Teil eines umfassenden regulatorischen Rahmens, mit dem die Europäische Union den digitalen Binnenmarkt harmonisieren, Innovation fördern und zugleich hohe Standards für Datenschutz, Verbraucherschutz und Sicherheit setzen will. Besonders präsent ist die gerade erst erfolgte Umsetzung der DORA-Regulierung (Digital Operational Resilience Act) mit erheblichen Auswirkungen. Der AI Act ergänzt dieses digitale Gesamtkonzept, indem er verbindliche Anforderungen an alle Akteure entlang der KI-Wertschöpfungskette stellt. Für Banken bedeutet dies sowohl gestiegene Anforderungen an die IT Governance, auch über die offensichtlichen KI-Anwendungsfälle hinaus, als auch zum ersten Mal ein verlässliches Rahmenwerk, das eine regulatorisch konforme Einführung von KI in Bereichen von Kundenkommunikation und Marketing bis hin zur Betrugsprävention und Risikomanagement, möglich macht. Somit ist der Einsatz von KI-Systemen langfristig tatsächlich von Nutzen und trägt zur Sicherheit in der Finanzbranche bei.
Grundprinzipien und Geltungsbereich
Der AI Act verfolgt das Ziel, vertrauenswürdige KI-Anwendungen zu etablieren. Hierzu gehören transparente, faire und sichere Systeme, die Grundrechte schützen. Erfasst werden alle Unternehmen, die KI-Systeme in der EU entwickeln, vertreiben oder nutzen – unabhängig bspw. von der Größe. Damit sind auch sämtliche Banken betroffen, die mit KI-Anwendungen arbeiten. Der KI-Begriff geht hier über ein häufig impliziertes, eher technologisch geprägtes, Verständnis von KI hinaus („KI = neuronale Netze“). Das maßgebliche Merkmal ist die Fähigkeit von Systemen, Ausgaben aus Daten abzuleiten. Dies ist eine sehr weite Bestimmung des Begriffs und alle gängigen Scoring-Systeme (lineare Regressionen, Entscheidungsbäume usw.) fallen damit unter KI. Hiervon abzugrenzen sind die KI-Modelle, die ihrerseits lediglich dazu trainiert sind, Muster zu erkennen und zunächst nicht vom AI Act betroffen sind. Diese sind jedoch je nach Ausprägung und Fähigkeit als General Purpose AI zu klassifizieren und fallen damit schlussendlich doch in den Regelungsbereich des AI Acts. Man kann also festhalten, dass praktisch alle Banken KI im Sinne des AI Acts einsetzen.
Systematische Einordnung nach Risikoklassen
Der AI Act schlägt eine Einstufung von KI-Anwendungen in verschiedene Risikoklassen vor:
- Verbotene KI-Systeme: Etwa voll automatisierte Kreditvergabe ohne menschliche Aufsicht.
- Hochrisiko-KI: Systeme, die besonders sensible Bereiche betreffen, unter anderem Kreditvergabe, Betrugserkennung oder Geldwäscheprävention. Hierbei gelten besonders strenge Vorschriften zur Datenqualität, Dokumentation und Überwachung.
Geringeres Risiko: Weniger sicherheitskritische KI-Anwendungen unterliegen leichteren Vorgaben, müssen aber dennoch Transparenz- und Informationspflichten erfüllen.
Gerade für Banken hat der AI Act daher eine hohe Relevanz, da die gängigen Kreditscorings als Hochrisiko-KI eingestuft sind. Natürlich befinden wir uns in diesem Bereich heute schon in einem hochregulierten Bereich, und viele Anforderungen an diese kritischen Systeme werden für Banken auch einfach zu erfüllen sein. Dennoch ist zum Beispiel im Bereich der Transparenzpflichten bei vielen Banken auch noch ein klares Gap erkennbar. Denn die Transparenzanforderungen gelten von Dokumentationspflichten und Nachvollziehbarkeit über die Datenherkunft bis hin zur menschlichen Aufsicht und Überprüfung. Doch auch hinsichtlich eines Diskriminierungsrisikos hat die BaFin auf eine Notwendigkeit von Überprüfungsprozessen hingewiesen, mittels derer potenzielle Diskriminierungen umgehend identifiziert und beseitigt werden sollen. Bei den Transparenzanforderungen kommt es somit auf einen holistischen Blick an, um im Bereich des KI-Einsatzes compliant zu sein.
Im oben genannten Beispiel der Betrugserkennung bzw. Geldwäscheprävention wird die Herausforderung der Abgrenzung zu bestehenden Monitoringsystemen besonders deutlich und wichtig: bisher sind gängige Erkennungssysteme regelbasiert, bedürfen häufig manueller Nachschärfung und sind aufgrund ihrer Mustererkennung statisch und nicht flexibel. KI-basierte Erkennungssysteme hingegen lernen durch die Zufuhr von Daten und das Aufdecken der Muster ständig dazu und erkennen hierdurch auch neue Muster und Methoden. Wann genau ein System jedoch als KI-basiert gilt und nicht noch als regelbasiert angesehen wird, ist aufgrund der weitgefassten Definition stets einzelfallabhängig und zieht demnach niedrigere bis sehr hohe Compliance-Anforderungen nach sich.
Verantwortlichkeiten und Haftungsrahmen
Verantwortlich für die Einhaltung der Vorgaben sind alle Beteiligten entlang der KI-Wertschöpfungskette: Anbieter, Betreiber, Einführer und Händler. Jedoch kommen mit dem Inkrafttreten des AI Acts auch weitere Pflichten auf Führungspositionen, Mitarbeitende und andere dazu. Denn nicht nur der Einsatz von KI soll den regulatorischen Anforderungen genügen, sondern auch der Umgang mit KI. So müssen alle Mitarbeitenden, die mit einem KI-System arbeiten, Schulungen absolvieren, deren Inhalt auf die konkrete Risikoklasse der KI in diesem Einsatz abgestimmt ist. Führungspositionen, die also über den potenziellen Einsatz eines KI-Systems entscheiden, sind hierzu ebenfalls angehalten.
Die Verantwortlichkeiten der Beteiligten unterscheiden sich dabei teilweise erheblich. Für Banken wird es damit wichtig, in der eigenen Governance sehr konkret zwischen den Rollen zu unterscheiden. Die umfassenden regulatorischen Pflichten bedeuten, dass es künftig entweder konkrete KI-Beauftragte geben wird oder aber, dass die Pflichten und Verantwortungen auf andere Rollen aufgeteilt werden und somit ein sich neu erschließendes Rollenkonzept ergeben wird.
Grundlage dafür ist eine Bestandsaufnahme der aktuell verwendeten Systeme. Aufgrund der weiten Definition von KI im AI Act auf der einen Seite und der häufig wenig transparenten Verwendung des Begriffs in den Marketingmaterialen von Softwareanbietern auf der anderen Seite, wird hier ein tieferer Blick nötig sein, als er heute teilweise schon vorhanden ist.
Fazit: Was müssen Banken beim EU AI Act jetzt tun?
Der AI Act betrifft alle Banken. Nicht nur die offensichtlichen KI-Systeme wie Chatbots fallen unter die Regulierung, und Banken sind vorwiegend im Kreditumfeld und Bereichen im Einsatz mit Monitoringsystemen durch die Einstufung als Hochrisiko-KI besonders im Fokus der Regulierung. Um reibungslos agieren und Rechtssicherheit gewährleisten zu können, empfiehlt es sich, bereits jetzt alle KI-Anwendungen zu erfassen, ihre Risiken zu bewerten und mittels einer robusten Governance zu steuern.
Wir bei PPI unterstützen Banken dabei, konforme KI-Lösungen ganzheitlich umzusetzen. Dank unserer Expertise in IT, Risikomanagement und Compliance begleiten wir Sie von der ersten Risikoanalyse über die Implementierung bis hin zur fortlaufenden Überwachung Ihrer KI-Anwendungen und verhelfen Ihnen zu einem zukunftssicheren Einsatz von KI, eingebettet in den wachsenden europäischen Rechtsrahmen. Unser Leistungsangebot finden Sie auf unserer Landingpage zum EU AI Act.
Verfasst von
