B-04-49 FINMA-Mitteilung 08/2024

Die europäische KI-Verordnung (KI-VO), die insbesondere als Gesetzgebung zur Regelung der Sicherheit von KI-Systemen (KIS) konzipiert ist, legt Anforderungen fest, die jedes KIS mit hohem Risiko vor seiner Markteinführung oder Inbetriebnahme in der Europäischen Union erfüllen muss, und zwar während seines gesamten Lebenszyklus. Im Banken- und Finanzbereich betrachtet die KI-VO KIS für credit scoring als Systeme mit hohem Risiko. Die Anforderungen sind in den Art. 8 bis 15 KI-VO festgelegt und betreffen insbesondere das Risikomanagementsystem (Art. 9 KI-VO), die Datenverwaltung[...]

Das Credit Scoring Unternehmen muss der betroffenen Person das Verfahren und die konkret angewandten Grundsätze zur Erstellung ihres Bonitätsprofils erläutern. Darüber hinaus steht das Geschäftsgeheimnis des Unternehmens der Weitergabe von Informationen an die Behörde oder das Gericht nicht entgegen, die eine Interessenabwägung vornehmen muss (Urteil des EuGH vom 27. Februar 2025 in der Rechtssache C-203/22). Ein Mobilfunkanbieter verweigert einem österreichischen Staatsangehörigen (CK) den Abschluss eines Mobilfunkvertrags, der eine monatliche Zahlung von 10,- EUR beinhaltet hätte. Diese Ablehnung wird mit einer[...]

In Anlehnung an die EU-Datenschutz-Grundverordnung (DSGVO) sieht die EU-Verordnung über künstliche Intelligenz (KI-VO) einen breiten territorialen Anwendungsbereich vor, der nicht nur Unternehmen umfasst, die innerhalb der EU eingegliedert sind, sondern auch einige, die in Drittländern wie der Schweiz ansässig sind. Schweizer Finanzintermediäre können daher von der KI-VO betroffen sein, deren extraterritoriale Dimension in diesem Kommentar dargestellt wird. A. Kriterien für die Festlegung des territorialen Geltungsbereichs des KI-VO Wir behandeln hier die beiden alternativen Kriterien, die bestimmen, ob ein Nicht-EU-Anbieter (provider)[...]

Banken und Finanzinstitute integrieren zunehmend künstliche Intelligenz (KI) in ihre Dienstleistungen und internen Prozesse (vgl. not. Jotterand, cdbf.ch/1377). Diese Nutzung kann insbesondere operative, rechtliche und Reputationsrisiken mit sich bringen (vgl. not. Levis, cdbf.ch/1380). Auch eine zunehmende Abhängigkeit von Drittanbietern, insbesondere bei KI-Modellen und Cloud-Diensten, ist die Folge. Hinzu kommt die Schwierigkeit, klare Verantwortlichkeiten für Fehler des Systems oder des KI-Modells zuzuweisen. Der Einsatz von KI durch Banken und Finanzinstitute stellt eine grosse Herausforderung für die Aufsicht dar. Zu diesem Zweck[...]