Die Einsatzfelder für KI im Finanzsektor sind vielfältig. KI kann z.B. im Rahmen von Kreditprüfungen oder in der Geldwäscherei- und Betrugsbekämpfung helfen, Ausfallrisiken oder ungewöhnliche Transaktionen zu erkennen. In der Vermögensverwaltung geht es um die Entwicklung personalisierter Portfolios oder die automatisierte Ausführung von Anlageentscheiden; in der Versicherungsbranche um die Entwicklung personalisierter Prämienmodelle und Betrugsbekämpfung. In all diesen Bereichen können KI-Anwendungen in grossen Datenbeständen («Big Data») Verhaltensmuster oder typische Verläufe erkennen und gestützt darauf Entscheidungen vorbereiten oder treffen.
Qualität der Daten und Algorithmen entscheidend
Den grossen Chancen stehen jedoch auch Risiken gegenüber. Vielerorts besteht die Sorge, dass KI-Anwendungen, vor allem wenn sie auf selbstlernenden Algorithmen (Machine Learning) beruhen, eine ungewollte Eigendynamik entfalten und sich zu einer veritablen «Black Box» entwickeln könnten, die unbesehen inakzeptable Entscheidungen trifft. Diese Risiken hängen mit der Funktionsweise der Algorithmen, vor allem aber auch mit den verwendeten Datensätzen zusammen. Einerseits müssen diese Daten rechtmässig, d.h. insbesondere unter Einhaltung von Datenschutzvorschriften, bearbeitet werden. Vor allem aber stellt sich die Frage, ob sich die Daten inhaltlich für die angestrebten Analysen eignen, indem sie den relevanten Sachverhalt korrekt und repräsentativ abbilden. Zentral ist dabei, dass Anwendungen, die auf selbstlernenden Algorithmen aufbauen, nicht nur während der Trainings- und Kalibrierungsphase auf adäquate Datensätze angewiesen sind, sondern sich im Livebetrieb laufend weiterentwickeln. Fehler, die in den verwendeten Daten enthalten sind, können lange unentdeckt bleiben und z.B. dazu führen, dass einer Vielzahl von Personen Kredite zu Unrecht verweigert werden. In einem solchen Fall drohen substanzielle Haftungs- und Reputationsrisiken.
Diskussion über Regulierung KI-spezifischer Risiken angelaufen
Im Finanzsektor stellt sich zusätzlich die Frage nach den regulatorischen Vorgaben. Dabei gilt der Grundsatz, dass sich die Art der Regulierung nach der Natur der Geschäftsaktivität und den damit verbundenen Risiken zu richten hat («same business, same risks, same rules»). So hängt die Regulierung von Robo-Advisern, d.h. von Applikationen, die aufgrund definierter Risikoprofile oder anderer Vorgaben Anlagevorschläge entwickeln, wesentlich davon ab, ob solche Plattformen bloss Empfehlungen generieren und die Anlageentscheide dem Benutzer überlassen oder sie im Gegenteil selbst Entscheidungen treffen und ausführen. Gegenwärtig findet eine breite Diskussion darüber statt, ob KI-spezifische Risiken darüber hinaus einer zusätzlichen Regulierung bedürfen. Die Europäische Kommission hat sich im Frühjahr 2021 für eine sektorübergreifende Regulierung in Form eines Artificial Intelligence Act ausgesprochen. Die Schweiz setzt bisher hingegen vor allem auf die Konkretisierung der bestehenden Regeln, wie sie sich für den Finanzsektor insbesondere aus dem Bankengesetz, dem Finanzinstitutsgesetz («FINIG») und dem Finanzdienstleistungsgesetz («FIDLEG») ergeben.
Umfassende Dokumentations- und Zertifizierungsprozesse nötig
Vieles ist also noch im Fluss. Grundsätzlich geht es jedoch darum, risikobasierte Ansätze für KI-Anwendungen zu entwickeln und diese durch Dokumentations- und Transparenzgrundsätze umzusetzen. Welche Risiken eine konkrete Anwendung mit sich bringt, hängt in erster Linie von ihrem Einsatzzweck und dem damit verbundenen Versprechen an die Nutzer ab. Gestützt darauf sind adäquate Governance- und Dokumentationsprinzipien zu entwickeln, die darauf gerichtet sein müssen, dass eine konkrete Anwendung auf der Grundlage geeigneter Datensätze verlässliche und nachvollziehbare Ergebnisse generiert. Augenmerk ist dabei nicht nur der Modellentwicklung und den verwendeten Trainingsdaten, sondern auch der Validierungsphase und den Freigabe- und Feedbackprozessen zu schenken (1). Aufgrund der wachsenden Bedeutung von Audits und Zertifizierungsprozessen ist dabei auch zu berücksichtigen, inwiefern die Dokumentation mit Dritten geteilt werden kann, ohne zum Abfluss sensitiven Know-hows zu führen.
Kunde und Partner müssen Mitwirkungspflichten und Verantwortlichkeiten klären
Abgesehen von Dokumentation und Governance müssen sich Softwareentwickler aber vor allem auch fragen, wofür sie gegenüber ihren Kunden konkret einstehen können und wollen, und dies vertraglich entsprechend abbilden. Wie in anderen IT-Projekten ist damit der Vertragsgestaltung, insbesondere dem Leistungsbeschrieb, den Mitwirkungspflichten und Verantwortlichkeiten der Anwender sowie den Haftungsbeschränkungen, besonderes Augenmerk zu schenken, damit der Einsatz von KI-Anwendungen für den Finanzsektor auch für die beteiligten IT-Unternehmen zu einer Erfolgsstory wird.
(1) Es gibt mittlerweile verschiedene Ansätze und Empfehlungen von Seiten der Aufsichtsbehörden zur Umsetzung dieser allgemeinen Vorgaben, vgl. z.B. das Prinzipienpapier der deutschen Bundesanstalt für Finanzdienstleistungsaufsicht vom 15. Juni 2021. Auch globale Standardsetzer, etwa das Financial Stability Boards («FSB»), das Basel Committee on Banking Supervision («BCBS») oder die International Association of Insurance Supervisors («IAIS») beschäftigen sich mit dem Thema.
* Anne-Catherine Hahn ist Rechtsanwältin LL.M. und Partnerin der auf Technologie, Recht und Compliance spezialisierten Schweizer Boutique-Kanzlei IPrime Legal mit Sitz in Zürich. Die promovierte Juristin schreibt als unabhängige Gastautorin für den Inventx-Blog.