Skip to main content

Bankengruppe

Implementierung von künstlicher Intelligenz

(Übersetzt von DeepL)

ChatGPT und GenAI – diese neuen Wörter sind seit November 2022 in unseren Alltag eingezogen und werden heute nicht mehr vorgestellt. Der zunehmende Einsatz von künstlicher Intelligenz (KI) im Bankensektor wirft komplexe rechtliche und regulatorische Fragen auf. Wie navigiert man durch die Welt der KI, wenn man in der Schweiz im Finanzsektor tätig ist ?

Der Ausgangspunkt ist die Kenntnis des bestehenden rechtlichen und regulatorischen Rahmens. Bis heute sind nur wenige Gesetze in Kraft, die speziell die KI regeln. Allerdings befinden sich mehrere Projekte in mehr oder weniger fortgeschrittenen Stadien des Gesetzgebungsprozesses. Beispiele hierfür sind die EU-Verordnung zur KI (siehe cdbf.ch/1359/), die am1. August 2024 in Kraft trat, oder die Arbeiten des Europarats an einem Übereinkommen über künstliche Intelligenz, das zur Ratifizierung offen steht. Erwähnenswert ist auch die Arbeit des englischen und kanadischen Gesetzgebers an einem Gesetz über KI.

Die meisten Finanzregulierungsbehörden haben nicht bis 2022 gewartet, um ihre Erwartungen in Bezug auf KI zu äußern. Die CSSF (Luxemburg) hat beispielsweise bereits im Dezember 2018 eine Studie durchgeführt und ihre Empfehlungen formuliert und stellt unter anderem fest, dass das Topmanagement die ultimative Verantwortung für den Einsatz von KI und Machine Learning trägt . Dasselbe gilt für die BaFIN (Deutschland), die im Juni 2021 ihre Leitlinien für den Einsatz von KI veröffentlicht. In jüngster Zeit hat auch die ESMA Empfehlungen für den Einsatz von KI im Rahmen der MiFID II herausgegeben. Die FINMA hat vier Schlüsselbereiche für den Einsatz von KI identifiziert : (1) Definition von Rollen und Verantwortlichkeiten, (2) Genauigkeit und Zuverlässigkeit der Ergebnisse, (3) Transparenz und Erklärbarkeit sowie (4) Nichtdiskriminierung. Auf gesetzgeberischer Ebene dürfte sich das UVEK bis Ende des Jahres dazu positionieren, ob das Thema gesetzlich geregelt werden soll. Eine regulatorische Überwachung muss eingerichtet werden, um diese neuen, fast täglich veröffentlichten Anforderungen zu identifizieren.

Insgesamt betonen die Regulierungsbehörden, wie wichtig es ist, (1) eine Strategie zu implementieren, (2) eine Governance zu definieren, (3) Risiken und Kontrollen zu identifizieren und (4) Mitarbeiter zu schulen – vier Schlüsselpunkte, die man im Auge behalten sollte, wenn eine KI in einem Finanzinstitut implementiert wird.

Die Strategie

Der Vorstand hat die ultimative Kompetenz, eine Strategie zu genehmigen. Seine Mitglieder müssen daher geschult und sensibilisiert werden, damit sie in der Lage sind, eine Strategie festzulegen : Wird KI zugelassen ? Wenn ja, in welchem Rahmen und zu welchen Zwecken ? Wo liegen die Grenzen ? usw. Diese Fragen müssen adressiert und formalisiert werden und dann vom Vorstand oder dem lokal zuständigen Organ genehmigt werden.

Die Unternehmensführung

Um die Strategie umzusetzen, müssen Rollen und Verantwortlichkeiten zugewiesen werden, insbesondere für die IT-Abteilung, die Abteilung für IT-Sicherheit oder die Rechtsabteilung. Nicht zu vergessen sind alle Verteidigungslinien (L1, L2 und L3), die jeweils eine bestimmte Rolle zu spielen haben. Wenn die erste Verteidigungslinie das KI-Modell gemäß der festgelegten Strategie umsetzen muss, wird die zweite Verteidigungslinie die Einhaltung der Regeln durch die erste Linie überwachen müssen und schließlich wird die dritte Linie sie auditieren müssen. Daher sollten die verschiedenen zuständigen Akteure bereits bei der Initiierung eines KI-Projekts einbezogen und die erforderlichen internen Validierungen eingeholt werden (z. B. vom Management, von einem Projektausschuss, von Fachausschüssen usw.). Die Dauerhaftigkeit dieser Rollen ist entscheidend für eine solide Governance und kann insbesondere durch die Ausarbeitung einer internen Politik in diesem Bereich erreicht werden.

Risiken und Kontrollen

Der Einsatz von KI birgt spezifische Risiken, z. B. in Bezug auf den Schutz personenbezogener Daten, geistiges Eigentum, Sicherheit oder den Umgang mit Drittparteien. Es ist von entscheidender Bedeutung, bestehende Prozesse zu nutzen, um diese Risiken zu identifizieren. Auf diese Weise kann jede Organisation ihren Risikoappetit einschätzen und geeignete Maßnahmen zur Risikominimierung ergreifen. Insbesondere kann man an die Risiken denken, die mit dem Ort der Speicherung oder Verarbeitung personenbezogener Daten, der Wiederverwendung von Daten als Futter für die KI oder auch mit den Risiken von Datenlecks verbunden sind.

Die Ausbildung

Die Mitarbeiter müssen sensibilisiert und geschult werden. Eine solche Schulung muss sich an die Zielgruppe anpassen, z. B. von einer allgemeinen Sensibilisierung bis hin zu speziellen Schulungen für Experten. Das Kompetenzniveau für den Umgang mit einer KI sollte so weit wie möglich dauerhaft sein und zumindest teilweise intern erworben werden.

Die Implementierung einer KI in einer Bankengruppe bringt eine Reihe von Herausforderungen mit sich, von denen ich hier nur drei nennen möchte. Erstens müssen sich die Experten, das Management und die zuständigen Gremien auf eine Definition von KI einigen. Selbst wenn heute eine Definition durch die OECD und die EU-Verordnung zur KI vorliegt, sind Diskussionen darüber, was wirklich „intelligent“ ist und was nicht, unter Experten unvermeidlich. Zweitens muss die Geschwindigkeit, mit der sich diese Technologie entwickelt und von der Gesellschaft und damit von Mitarbeitern oder Kunden angenommen wird, verfolgt werden. Man muss reaktionsfähig sein, um wettbewerbsfähig zu bleiben. Schließlich muss über die Transparenz hinsichtlich der KI-Strategie und der Prozessoptimierung nachgedacht werden, um aus dem „ Task Force “-Modus herauszukommen. Mit anderen Worten : Es muss darüber nachgedacht werden, die Implementierung von KI zu „industrialisieren“.