T-Systems-Claim-Logo
Suchen
Ein Geschäftsmann betreibt mobiles Online-Banking und Zahlungsverkehr.

AI in der Finanzbranche: Die Grenzen des Machbaren ausloten

Warum und wie die Bundesfinanzaufsicht (BaFin) jetzt die Nutzung von Big Data und KI in der Finanzbranche kontrollieren will.

Die Idee der Künstlichen Intelligenz (KI) ist nicht neu. Die Filmreihe Terminator hat erst im Jahr 1984 die Übernahme der menschlichen Welt durch Maschinen in einer Apokalypse thematisiert. Zwar ist die Welt noch nicht so weit, aber der Sieg des IBM-Computers Deep Blue über den amtierenden Schachweltmeister Garry Kasparov am 11. Mai 1997 stellte die Überlegenheit der maschinellen Intelligenz über die menschliche Intelligenz unter Beweis. 

Vereinfacht gesagt: Was hat der Computer in diesem phänomenalen Spiel gemacht? Er hat nachgedacht, die Züge des Gegners antizipiert und genau wie jeder andere menschliche Schachspieler gespielt, denn er lernte aus der riesigen Datenbank der Züge und Spiele früherer Großmeister.

Fast-Forward in die heutige Zeit: Der Anwendungsbereich der KI erweitert sich rasant und erstreckt sich über verschiedene Branchen, aber mit demselben Ansatz: aus Daten und Erfahrungen lernen und dann in unserem Namen Entscheidungen treffen.

Kurz: KI hilft Unternehmen, ihre Effizienz zu verbessern, neue Wachstumsstrategien entwickeln zu können, die Differenzierung zu fördern, Risiken zu entdecken und regulatorische Anforderungen zu bewältigen sowie die Kundenerfahrung zu optimieren.

Mit der zunehmenden Einführung von Technologien wie Cloud, IoT, 5G und Distributed Ledger kann KI einen Multiplikator-Effekt auslösen. Doch je selbstverständlicher Unternehmen auf KI setzen, desto unverzichtbarer ist es, die Nutzung von KI transparent zu halten und dabei ethische Grundsätze zu beachten. Guten Willen zu demonstrieren reicht für Unternehmen allein nicht mehr aus, um das Vertrauen ihrer Kunden zu gewinnen und finanzielle Einbußen oder ein schlechtes Image zu vermeiden. Stattdessen müssen sie ihren Umgang mit Daten streng kontrollieren.

In Europa und insbesondere in Deutschland hat Datenschutz eine herausragende Priorität. Um dem konkret im Finanzwesen Rechnung zu tragen, hat die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) in Bonn unlängst allgemeingültige Prinzipien für die Nutzung von Big Data und KI in Entscheidungsprozessen von Finanzunternehmen festgelegt. Diese Prinzipien decken den gesamten Lebenszyklus der Datenverarbeitung ab – von der Erstellung eines Algorithmus bis zu seiner Anwendung.

Grundsätze zur Erstellung und Anwendung von Algorithmen

Männliche Hand mit einem Stift über Investitionsgrafik.

Einbindung des Managements

Durch den zunehmenden Einsatz von Open Banking und Open Finance, die Einführung neuer Technologien und den Aufstieg von FinTech-Unternehmen steigt der Einsatz von BDAI in die Finanz-Prozesslandschaft exponentiell an. Für Unternehmen ist es entscheidend zu verstehen, dass intelligente und autarke Algorithmen ihnen zwar dabei helfen, bessere Entscheidungen zu treffen. Dass es aber weiterhin Menschen sind, die diese Entscheidungen verantworten. Damit wird es für Unternehmen hochriskant, das Einhalten von Vorschriften, ihre Kernverantwortung für den Umgang mit Daten und besonders den Kundendatenschutz aus den Augen zu verlieren.

Risiko- und Auslagerungsmanagement

Um Schäden vorzubeugen, sind für Unternehmen systemisches Risiko- und Auslagerungsmanagement unerlässlich, um ein transparentes Berichtswesen und wirksame Überwachungsmaßnahmen sicherzustellen. Mit Hilfe von AI können sie sich auf eine ganze Reihe von Szenarien vorbereiten, die gegebenenfalls sehr schnell zu unerwünschten Konsequenzen führen könnten: fehlerhaft arbeitende oder ausfallende KI-Systeme, Bedrohungen durch Hacker, Datenverfälschung oder die missbräuchliche Verwendung von Daten. Die Nutzung von Wearables ist nur ein Beispiel dafür. Zur Ermittlung von Zuschlägen oder Rabatten, die Kunden bei Policen oder Krediten angeboten werden können, sind Smartwatches und Telematik-Geräte für Finanzinstitute nicht nur eine relevante Quelle für neue Daten, sondern auch neuer Risiken.

Eliminierung potenzieller Rechtsverstöße

So sollten Unternehmen bei der Beschaffung und Verwendung von Daten für ihre KI sicherstellen, dass alle Merkmale ausgeschlossen sind, die zu irgendeiner Form von Diskriminierung führen könnten, insbesondere bei der Berechnung von Risiken und Preisen. Ein solches Risiko kann auch entstehen, wenn diese Merkmale durch eine Annäherung ersetzt werden. Die Folgen könnten rechtlicher, finanzieller und rufschädigender Natur sein. Unternehmen sollten daher (statistische) Überprüfungsverfahren einführen, um Diskriminierung auszuschließen. Ein Beispiel: Das finnische Kreditinstitut Svea Ekonomi AB weigerte sich, einem männlichen Antragsteller einen Kredit zu gewähren. Grundlage der Entscheidung: Ersatzvariable wie Geschlecht, Muttersprache, Alter und Wohnort. Das Ergebnis: eine direkte oder indirekte statistische Diskriminierung.

Nachdem das finnische Finanzinstitut Svea Ekonomi AB den Kreditantrag des Kunden abgelehnt hatte, zog dieser vor Gericht. Sein Vorwurf: Die Bank habe sich bei der Beurteilung seiner Kreditwürdigkeit auf kontextbezogene Statistiken von Personengruppen mit bestimmten Merkmalen (Geschlecht, Alter, Sprache, Wohnort) gestützt. Das Institut argumentierte, dass sein Kreditausfallrisiko statistisch mit diesen Merkmalen korreliert habe – und dass die nach dieser Berechnungsmethode ermittelte Punktzahl des Kunden seine Kreditablehnung rechtfertige. Das finnische Antidiskriminierungs- und Gleichbehandlungsgericht definierte das Vorgehen als verbotene Diskriminierung, untersagte Svea Ekonomi, Personen auf der Grundlage des von ihr verwendeten statistischen Modells künftig Kredite zu verweigern und verhängte eine Geldstrafe von 100.000 Euro. 

Grundsätze für die Entwicklungsphase

Sicherheit Datenschutzinformationen sperren.

Datenstrategie und Governance

Eine gute Datenstrategie hilft Unternehmen, viele hochwertige Daten zu generieren und damit gute Ergebnisse für ihre KI-Anwendungen sicherzustellen. Dabei sollten die Strategie in einem Data-Governance-System umgesetzt und die Verantwortlichkeiten klar definiert sein. Bei der Menge an Daten, die aus immer mehr und immer unterschiedlicheren Quellen, Kanälen und Geräten stammen, empfiehlt es sich, den Zeitwert der Daten zu berücksichtigen und zu prüfen, inwieweit ältere Datenfeeds für einen bestimmten Anwendungsfall überhaupt noch relevant sind.

Einhaltung der Datenschutzbestimmungen

Die geltenden Datenschutzbestimmungen einzuhalten ist alternativlos. Verordnungen wie die DSGVO (und andere lokale Verordnungen) verlangen von Unternehmen, sich Datenschutzrichtlinien zu setzen und diese leicht zugänglich machen. Die betroffenen Personen sollten durch die Pflicht zur Transparenz darüber informiert werden, wie und zu welchem Zweck ihre Daten verwendet werden. Das allein ist – angesichts der schieren Datenmassen, die in der heutigen Zeit gesammelt und verarbeitet werden – für Unternehmen Verantwortung und Herausforderung zugleich. Verstöße gegen diese Gesetze können hohe Strafen nach sich ziehen, wie das Beispiel der Caixabank zeigt. Anfang des Jahres wurde das spanische Finanzinstitut wegen Verstößen gegen die DSGVO bei der Verwendung von Personaldaten von Kunden und der Verletzung der Transparenzanforderungen zu einer Geldstrafe von 6 Millionen Euro verurteilt.

Klare Dokumentation

Große Bedeutung kommt dabei immer auch einer ausreichenden Dokumentation zu. Sie ist erforderlich, um die Überprüfung der Algorithmen und zugrundeliegenden Modelle sicherzustellen – durch das Unternehmen selbst sowie durch autorisierte Auditoren und Aufsichtsbehörden. Dies umfasst die Modellauswahl, die Modellkalibrierung und -schulung sowie die Modellvalidierung.

Geeignete Validierungsverfahren

Zugleich sollte die KI-Anwendung einen strengen Validierungsprozess durchlaufen, bevor sie in der Produktion eingesetzt wird.  Zur regelmäßigen Überprüfung nach dem Einsatz gehört auch, Faktoren zu ermitteln, die gegebenenfalls zu einer Ad-hoc-Validierung der Algorithmen und damit möglicherweise zu ihrer Neukalibrierung oder zur Auswahl eines alternativen, völlig neuen Algorithmus führen. Zu diesen Faktoren gehören eine systematische Änderung der Eingabedaten, externe (makroökonomische) Schocks, Änderungen der rechtlichen Anforderungen, unter denen ein Algorithmus betrieben wird oder Rückmeldungen aus der Ausgabephase wie das Überschreiten eines Schwellenwerts.

Sicherstellung genauer und reproduzierbarer Ergebnisse

Die KI-Anwendungen sollten sicherstellen, dass die Ergebnisse präzise sind und sich zu einem späteren Zeitpunkt reproduzieren lassen. Dies hilft sowohl intern, um die ursprünglichen Ergebnisse zu überprüfen, als auch extern unter dem Gesichtspunkt der Einhaltung von Vorschriften wie etwa bei Audits oder Rechtsstreitigkeiten.

Verwendung relevanter Daten zur Kalibrierung und Validierung

KI-Algorithmen lernen aus den ihnen zur Verfügung stehenden Daten, anhand derer sie Entscheidungen treffen. Auswahl und Dokumentation dieser Daten entscheiden darüber, inwieweit sie für einen Anwendungsfall relevant sind, hinreichende Aussagekraft haben und nicht zu einer Verzerrung der Modellierung führen. Je nach Umfang und Risiko der Entscheidung, wofür ein Algorithmus verwendet wird, sollten verschiedene Maßnahmen ergriffen werden, um sicherzustellen, dass die Kalibrierung und Validierung nachvollzogen und überprüft werden kann.

Verzerrungen vorbeugen

Dass die BaFin der Kategorie der Voreingenommenheit so große Beachtung schenkt, hat einen guten Grund. Denn in gewisser Weise sind Algorithmen – und in der Folge KI – mitunter nicht völlig frei von Vorurteilen – ob gegenüber einem Objekt, einer Person oder einer Position. So könnte das Betrugspräventionssystem einer Bank die Legitimität für die Transaktion eines Kunden allein von dessen Anschrift abhängig machen. Nobelviertel oder sozialer Brennpunkt? Das Eine ist – etwa mit Blick auf den Verdacht von Geldwäsche – so wenig aussagekräftig wie das Andere. Daher ist es wichtig, Voreingenommenheit dort zu erkennen, wo sie auftreten kann, ihre Ursache zu berücksichtigen und diese Risiken entweder zu beseitigen oder zu kontrollieren.
 

Prinzipien zur Anwendungsphase

Einbeziehung des „Menschen“ in die künstliche Intelligenz

Bei der Nutzung von KI sollten Unternehmen pragmatisch vorgehen und Menschen in die Entscheidungsfindung einbeziehen, insbesondere bei kritischen Anwendungsfällen. Obwohl sich die BDAI ständig weiterentwickelt, gibt es noch einige Funktionen, die Algorithmen ohne die Anwendung menschlicher kognitiver Fähigkeiten nicht leisten können. Deshalb ist es sinnvoll, Zeiträume zu definieren, in denen Menschen eingreifen und eine Entscheidung korrigieren können.

Genehmigungs- und Feedbackprozesse

Wann immer KI-gestützte Entscheidungen getroffen werden, sollte der Genehmigungsprozess im Vorfeld klar und risikoorientiert definiert werden.

Kontinuierliche Auswertung

Zum Beispiel in Form abgestufter Regeln für die jeweiligen Ergebnisse, zu denen der Genehmigungsprozess führt. So reduzieren Unternehmen das Risiko von Fehlentscheidungen in einem algorithmisch geprägten Entscheidungsprozess mindern und durch einen kontinuierlichen Feedback-Mechanismus die Qualität der Ergebnisse langfristig verbessern.

Festlegung von Notfallmaßnahmen

Organisationen sollten Maßnahmen festlegen, die helfen, den Geschäftsbetrieb aufrecht zu erhalten, wenn Probleme bei den Algorithmus-basierten Entscheidungsprozessen auftreten. Nur so kann durch fortlaufende Bewertungen, Validierungen und Anpassungen sichergestellt werden, dass der implementierte Algorithmus weiterhin lösungsorientiert arbeitet, ohne dass sich Abweichungen einschleichen. Kontinuität ist an der Stelle auch wichtig, um unvorhersehbare interne oder externe Risiken zu bearbeiten, die beim Programmieren des Algorithmus nicht berücksichtigt wurden.

Einbeziehung internationaler Regulierungsprinzipien

Zugleich haben die Standards anderer europäischer Behörden wie dem ESMA Financial Innovation Standing Committee oder der International Association of Insurance Supervisors (IAIS) – mit denen die BaFin im Hinblick auf ihre Aufsichtsgrundsätze eng zusammenarbeitet – indirekt Auswirkungen auf die deutsche Finanzbranche.

Dass aber auch damit das letzte Kapitel der Bedeutung aufsichtsrechtlicher Prinzipien für BDAI in der Finanzwelt noch gar nicht geschrieben ist, macht Felix Hufeld, ehemaliger Präsident der BaFin, deutlich: „Die grundsätzliche Frage bleibt doch, wo die Grenzen der Datenerhebung und Auswertung bei BDAI liegen sollen. Ab wann rechtfertigt eine marginale Verbesserung der Risikoeinschätzung die Erhebung zusätzlicher Daten? Bei welchen Daten können wir sagen, dass sie wirklich einen nachhaltigen und wesentlichen Nutzen haben und zugleich ein ausgewogenes Verhältnis zwischen dem erforderlichen Erkenntnisgewinn und anderen Zielen wie der Datensparsamkeit besteht?“

Hufelds Schlussfolgerung: „Ich denke, wir müssen mit allen Beteiligten einen breiten Dialog führen, aber wir müssen uns auch als Gesellschaft fragen, wo wir in der schönen neuen Datenwelt die roten Linien ziehen möchten.”

Wir freuen uns auf Ihr Projekt!

Gern stellen wir Ihnen den passenden Experten zur Seite und beantworten Ihre Fragen rund um Planung, Implementierung und Wartung Ihrer Digitalisierungsvorhaben. Sprechen Sie uns an!

Das könnte Sie auch interessieren:

Über den Autor

Chitwan Bhardwaj ist Branchen Marketing Experte bei T-Systems, spezialisiert auf Finanzdienstleistungen. Er verfügt über 14 Jahre Erfahrung in den Bereichen Domain- und Strategieberatung, Pre-Sales und Marketing.

Besuchen Sie t-systems.com außerhalb von Germany? Besuchen Sie die lokale Website für weiterführende Informationen und Angebote für Ihr Land.