Blogpost

Der EU AI Act: Was bedeutet die zukünftige Regulierung künstlicher Intelligenz für die Innovationskraft der Bankenbranche?

Künstliche Intelligenz verantwortungsvoll einzusetzen, ist (nicht nur) in der Branche Banking ein MUSS. Der EU AI Act gibt Regel und Leitplanken vor. Und stellt Finanzinstitute gleichzeitig vor die Herausforderung, die Balance zwischen verantwortungsvoller KI-Nutzung und der Förderung von Innovation zu finden. Viele Finanzinstitute blicken der neuen Regulatorik mit Skepsis entgegen. Doch ist sie wirklich ein Hemmnis für den Fortschritt?

275
6 Minuten Lesezeit
EU AI Act

In dieser Collection enthalten:

Collection öffnen

Kurz und knapp: Was ist der EU AI Act eigentlich?

Gehören Begriffe wie künstliche Intelligenz (KI) und Innovation zu Ihrem Arbeitsalltag? Dann haben Sie sicher schon davon gehört: Ab 2026 tritt der neu beschlossene EU AI Act in Kraft – die weltweit erste umfassende Regulierung speziell für den Einsatz von KI.

Angesichts der tiefgreifenden Auswirkungen von KI auf Wirtschaft und Gesellschaft hat die Europäische Union diesen Gesetzesrahmen entwickelt, um einen sicheren und ethischen Einsatz von KI-Systemen in Europa zu gewährleisten. Diese sollen zukünftig einer gründlichen Inventarisierung unterzogen sowie nach ihrem Risikopotenzial kategorisiert und entsprechenden regulatorischen Vorgaben unterworfen werden. Ziel dieser Maßnahmen ist es, Risiken, die durch KI entstehen können, frühzeitig zu erkennen und zu minimieren. Außerdem soll der Markteingriff für fairen Wettbewerb sorgen.

Die neue Regulierungsmaßnahme stellt vor allem für die europäischen Banken, für die KI-gestützte Systeme viel Potenzial bieten, besondere Herausforderungen dar. Die Frage, wie sie angesichts dieser Regulierungen mit den Wettbewerbern aus den USA und China mithalten können, steht ganz klar im Raum. Und ganz unberechtigt ist diese Sorge nicht: Erste Reaktionen zeigen bereits, dass Tech-Riesen wie Apple und Meta ihre KI-Modelle und -Funktionen in Europa vorerst zurückhalten.

Doch was steckt hinter den Unsicherheiten, die viele Finanzdienstleister derzeit bremsen und von weiteren Schritten und Investitionen in KI-Innovationen abhalten? Hier lohnt es sich, genauer hinzuschauen.

In diesem Artikel gehen wir der Frage nach, ob der EU AI Act die Innovationskraft der Bankenbranche bedroht oder vielmehr einen sicheren Rahmen für den verantwortungsvollen Einsatz von KI-Technologie schafft?

Um diese Fragen zu beantworten, beleuchten wir, welche Anwendungen künftig eingesetzt werden dürfen und welche Maßnahmen es zu beachten gilt.

KI-Regulierung und rechtliche Positionierung von Banken im Rahmen des EU AI Acts

Für die Beantwortung der Frage, ob der EU AI Act die Innovationskraft von Banken bedrohen wird oder nicht, ist es nicht unwesentlich zu wissen, dass sich Künstliche Intelligenz für Banken ähnlich wie andere Technologien, bereits vor Inkrafttreten des EU AI Acts in einem regulatorischen Rahmen bewegte. Technologien wie Cloud-Computing, Big Data und Automatisierung unterliegen ebenfalls regulatorischen Anforderungen, die darauf abzielen, Sicherheit, Datenschutz und Transparenz zu gewährleisten. KI ist somit kein Sonderfall, sondern eine von vielen Technologien, die sich kontinuierlich weiterentwickeln und gleichzeitig an rechtliche Vorgaben angepasst werden müssen. Die wichtigsten regulatorischen Vorgaben, denen KI-Systeme bereits ausgesetzt sind und nun Schnittstellen zum EU AI Act aufweisen sind:

Die GDPR (General Data Protection Regulation) bzw. DSGVO stellt sicher, dass beim Einsatz von beispielsweise KI der Schutz personenbezogener Daten gewahrt bleibt. Banken müssen bei der Entwicklung von KI-Systemen und -Prozessen Datenschutzanforderungen von Anfang an einplanen. Zudem ist die Zustimmung von Dritten erforderlich, wenn ihre Daten für KI-gestützte Entscheidungen genutzt werden sollen.

Die DORA-Verordnung (Digital Operational Resilience Act) verlangt, dass Banken ihre IKT-Systeme, einschließlich KI-Anwendungen, umfassend testen, um ihre Widerstandsfähigkeit gegen Betriebsstörungen sicherzustellen und detaillierte Anforderungen erfüllen, um die Sicherheit der Systeme zu gewährleisten. Zudem gibt es strenge Meldepflichten, bei denen IT-Sicherheitsvorfälle an Aufsichtsbehörden gemeldet werden müssen. Ein robustes Risikomanagement für IKT ist erforderlich, um sicherzustellen, dass potenzielle Risiken durch den Einsatz von KI frühzeitig erkannt und gemildert werden.

Die MaRisk (Mindestanforderungen an das Risikomanagement) legt fest, wie Banken ihre Organisation, Steuerung und Überwachung von Risiken gestalten müssen, was auch für den Einsatz von KI gilt.

In den BAIT (Bankenaufsichtliche Anforderungen and die IT) formuliert die Aufsicht ihre Erwartungen an die IT und die Informationssicherheit von Banken und konkretisiert die MaRisk insbesondere in den Punkten Auslagerung von IT-Diensten in die Cloud, IT-Risikomanagement und Steuerung von IT-Dienstleistern.

Der bald in Kraft tretende EU AI Act überschneidet sich mit diesen bestehenden Regularien und erweitert das regulatorische Umfeld um Vorschriften für konkreten KI-Anwendungsfälle. Welche KI-Anwendungen von Banken künftig umgesetzt werden dürfen, ist vielen jedoch weiterhin nicht klar. Eine zentrale Frage lautet: „Welche rechtliche Verantwortung hat unser Unternehmen, wenn wir KI-Anwendungen Dritter nutzen oder an Kunden weitergeben?“

Nehmen wir an, Ihr Unternehmen nutzt und bietet eine KI-Anwendung eines Drittanbieters, wie z.B. ChatGPT von Microsoft/OpenAI, ohne eigene Anpassungen an Ihre Kunden an. Laut EU AI Act gelten Sie dabei sowohl als Nutzer als auch als Betreiber der KI. Wenn Sie jedoch das GPT-Sprachmodell von Microsoft/OpenAI nutzen, um eine eigene KI-Anwendung zu entwickeln – etwa einen digitalen Kundenberater, der von Ihren Kunden für Beratungsanliegen genutzt wird – und diese Anwendung selbst trainieren und anpassen, werden Sie nach dem EU AI Act zum Anbieter eines KI-Systems. Damit haften Sie rechtlich gegenüber Ihren Kunden.

Beispielhafte rechtliche Positionierung von Banken im Rahmen des EU AI Acts

Abbildung 1: Abbildung 2: Beispielhafte rechtliche Positionierung von Banken im Rahmen des EU AI Acts

Dieser Wechsel von der Rolle des Nutzers zum Anbieter zeigt, wie wichtig es ist, die rechtliche Position Ihres Unternehmens im Umgang mit KI genau zu kennen und zu verstehen, um unerwünschte Konsequenzen zu vermeiden.

Welche KI-Anwendungen sind erlaubt, welche nicht und welche Maßnahmen sind erforderlich?

Ein Beispiel: Ihr Unternehmen hat entschieden, einen KI-basierten Kundenberater zu entwickeln. Wie oben erwähnt, werden Sie damit zum Anbieter einer KI-Anwendung. Daher ist es entscheidend, dass Sie evaluieren, welche Maßnahmen notwendig sind, um den Anforderungen des EU AI Acts gerecht zu werden, außerdem, welche Konsequenzen bei Verstößen drohen.

Der EU AI Act klassifiziert KI-Anwendungen in vier Risikokategorien:

  • Inakzeptable Risiken
  • Hochrisikoanwendungen
  • Anwendungen mit begrenzten Risiken
  • Anwendungen mit minimalen Risiken

Entsprechend der Risikokategorie ergeben sich regulatorische Maßnahmen und Konsequenzen bei Verstößen, die in der folgenden Abbildung aufgeführt sind:

KI-Anwendungen, Klassifizierung nach EU AI Act

Abbildung 2: Klassifizierung von KI-Anwendungen

Diese Kategorisierung kann Ihrem Unternehmen bei der Einordnung Ihrer KI-Anwendung helfen.

Bis auf das Kreditscoring, das eine Gefährdung für Individuen darstellen kann und damit in die Kategorie „Hochrisikoanwendung“ fällt, zählen die meisten KI-Anwendungen, die Relevanz für Banken haben können, zu den Kategorien „Anwendungen mit begrenzten Risiken“ und „Anwendungen mit minimalen Risiken“.

Der von Ihrem Unternehmen geplante KI-basierte Kundenberater fällt als Chatbot für den Kundensupport beispielsweise in die Kategorie „Anwendung mit begrenzten Risiken“ und kann demnach unter Berücksichtigungen von Transparenzanforderungen umgesetzt werden. Dies gilt ebenfalls für Anwendungen, die zur Erkennung von Deepfakes eingesetzt werden oder für Dokumentenmanagementsystemen.

Andere KI-Anwendungen, wie Spamfilter, Textkorrektur-Tools oder Automatisierungslösungen zur internen Prozessoptimierung, werden in die Kategorie „Anwendungen mit minimalen Risiken“ eingestuft. Hier können Transparenzmaßnahmen freiwillig umgesetzt werden.

Jetzt downloaden!

Regulatorische KI-Leitplanken für Banken

Fazit: Die realen Auswirkungen des EU AI Acts auf Banken

Der EU AI Act wird zweifellos die Prozesse und Methoden in der Finanzbranche beeinflussen, da Investitionen in die notwendige Infrastruktur und Expertise unumgänglich sein werden. Ein vollständiger Verzicht auf den Einsatz von KI-Anwendungen ist jedoch nicht zu erwarten.

Banken werden künftig mehr Transparenz schaffen müssen, indem sie offenlegen, wo und wie KI eingesetzt wird. Die meisten Anwendungen sind jedoch als unkritisch einzustufen, was den regulatorischen Aufwand für Banken verringert. Dennoch bleibt eine kontinuierliche Überprüfung, insbesondere bei Anwendungen von Drittanbietern, unerlässlich.

Alles in allem bietet der EU AI Act künftig klare Leitlinien für den Einsatz von KI-Anwendungen, ohne jedoch als Showstopper für Banken zu wirken. Der Innovationskraft der Bankenbranche steht damit nichts im Weg – im Gegenteil: Durch den EU AI Act kann sie in einem sicheren Rahmen weiter vorangetrieben werden.

Fabian Forthmann

Fabian Forthmann

ist als Senior Consultant im Bereich digitale Transformation durch künstliche Intellingenz bei der msg for banking tätig. Er berät Banken und Finanzdienstleister hinsichtlich der Entwicklung und Einführung von datengetriebenen Modellen in ihrem technischen und regulatorischen Umfeld. Neben der Erschließung vielversprechender Anwendungsfälle von künstlicher Intelligenz bewegt ihn insbesondere die nachhaltige Nutzung von künstlicher Intelligenz als Werkzeug zur Lösung handfester Problemstellungen.

Schreiben Sie einen Kommentar

Sie müssen sich anmelden, um einen Kommentar zu schreiben.