Fachartikel

Welcher regulatorische Rahmen für KI bei Banken gilt

NEWS 03/2024

Zentraler Bestandteil der KI-Strategie von Geldhäusern muss die Berücksichtigung von geltendem Recht sein. Entscheider sollten – anders als oft angenommen – zur Wahrung der Compliance ihren Fokus nicht auf KI-Use-Cases, sondern auf einen anderen wichtigeren Aspekt legen.

Fabian Forthmann
Dr. Philippe Krahnhof
Tim Sebastian Körwers
2000
Künstliche Intelligenz
4 Minuten Lesezeit
Artikel Regulatorischer Rahmen für KI in Banken, NEWS 03/2024

Zentraler Bestandteil der KI-Strategie von Geldhäusern muss die Berücksichtigung von geltendem Recht sein. Entscheider sollten – anders als oft angenommen – zur Wahrung der Compliance ihren Fokus nicht auf KI-Use-Cases, sondern auf einen anderen wichtigeren Aspekt legen.

Die Entscheidung im C-Level ist gefällt worden. Künstliche Intelligenz soll die Bank der Zukunft formen, beginnend mit dringlichen Anwendungsfällen. Doch Unsicherheit holt die anfängliche Euphorie schnell ein. Dürfen Kundendaten verwendet werden, um spezialisierte KI-Modelle zu trainieren? Steht die avisierte KI-Anwendung im Einklang mit dem EU AI Act? Und wie ist die Zusammenarbeit mit Partnern und Hyperscalern einzuordnen?

Fragen wie diese bergen die Gefahr, wichtige KI-Initiativen im Keim zu ersticken, noch bevor der Innovationsprozess gestartet werden konnte. Dies bestätigt eine Umfrage der msg for banking ag.1 In ihr äußerten 48,5 Prozent der Befragten Bedenken, dass rechtliche Aspekte ein Hindernis für den Einsatz von GenAI darstellen. Daher sollten Compliance-Anforderungen für KI von Beginn an als fester Bestandteil der KI-Strategie mitgedacht werden.

Die gute Nachricht dabei: Die Verwendung künstlicher Intelligenz ist für zahlreiche Anwendungsfälle von Finanzinstituten unkritisch.

Dreiklang von Compliance-Vorschriften besitzt Relevanz

Um einen umfassenden Überblick über die KI-Compliance zu bekommen, müssen drei zentrale Bereiche beachtet werden. Sind diese in der KI-Strategie einer Bank integriert, kann künstliche Intelligenz bedenkenlos genutzt werden. Wichtig sind dabei die geltenden deutschen und europäischen Gesetze, die sich spezifisch auf künstliche Intelligenz als Technologie beziehen. Es ist aber auch von Bedeutung, grundlegende IT-Anforderungen zu berücksichtigen.

KI, Regulatorik, Schematische Darstellung des Dreiklangs der Regulatorikbereiche für künstliche Intelligenz

Abbildung 1: Schematische Darstellung des Dreiklangs der Regulatorikbereiche für künstliche Intelligenz

Die Basis für die Etablierung von KI-Fähigkeiten in einer Bank bildet ein Dreiklang regulatorischer Anforderung hinsichtlich IT-Sicherheit, Cloud und künstlicher Intelligenz selbst. Alle drei Bereiche benötigen eine intensive Prüfung und Berücksichtigung in der KI-Strategie eines Hauses.

  1. Anforderungen an IT-Dienstleister

Für KI-Applikationen sind zunächst dieselben grundlegenden Sicherheits- und Integrationsrichtlinien zu berücksichtigen wie für andere IT-Anwendungen. Die Genehmigungsprozesse innerhalb der Bank fordern in der Regel Zertifizierungen der ISO-Gruppe 2700x sowie Vorkehrungen für Auslagerungsmanagement und BSI-Grundschutz.

  1. Cloud-Anforderungen

Beim Einsatz von generativer KI, wie großen Sprachmodellen, ist es für Banken in der Regel sinnvoll, auf vortrainierte Modelle der führenden Cloud-Anbieter zurückzugreifen, die einfach über Schnittstellen integriert werden können. Die Cloud-Genehmigungsprozesse der Banken berücksichtigen in der Regel bereits Regularien wie BAIT, DORA und MaRisk, sodass auch für KI-Anwendungen ein standardisierter Ablauf gewährleistet ist.

  1. KI-spezifische Anforderungen

Lediglich auf Use-Case- und Datenebene bestehen regulatorische Abwägungen, die spezifisch für die künstliche Intelligenz getroffen werden müssen. Der EU AI Act2 regelt, welche Anwendungen künstlicher Intelligenz umgesetzt werden dürfen. Die DSGVO, wie mit sensiblen Daten umgegangen wird und welche Fairnesskriterien eigens trainierte KI-Modelle aufweisen sollten.

Zwei Bereiche bedürfen jedoch einer besonders intensiven Diskussion. Anders als oft angenommen sind das weniger die Auswirkungen des EU AI Acts. Denn die überwiegende Mehrzahl der KI-Anwendungsfälle für Finanzdienstleister werden als wenig oder nicht kritisch eingestuft und sind somit umsetzbar. Auch für das Auslagerungsmanagement und die IT-Sicherheit sind in Banken bereits sichere und standardisierte Prozesse festgelegt.

Mögliche Fallstricke können hingegen die verwendeten Daten und Anforderungen hinsichtlich der Nutzung von KI-Modellen aus der Cloud sein. Sie müssen im Vorhinein in der KI-Strategie adressiert werden. In der Strategie werden dann die Prämissen dafür geschaffen, KI produktiv zu nutzen, ohne im Projekt durch fehlende Guidance ausgebremst zu werden.

Datenschutz bildet entscheidendes Kriterium für KI-Einsatz

Auf die Frage, wie kritisch die Nutzung von Kundendaten durch KI einzuordnen ist, lässt sich auf den ersten Blick nur eine wenig zufriedenstellende Antwort geben: „Es kommt darauf an.“ Und zwar im Kern auf zwei Facetten.

RegulatorRahmen_KI_Abb2

zum Vergrößern bitte anklicken

Um sicherzustellen, welche Daten im eigenständigen Training von KI-Modellen genutzt werden dürfen, sollte in der KI-Strategie klar festgelegt werden, wie eine effiziente Abstimmung mit dem Datenschutzbeauftragten erfolgt.

Grundlegende KI-Anwendungen basieren oft auf großen Sprachmodellen, die nicht weiter trainiert werden und daher nur geringe Datenschutzanforderungen stellen. Für diese Anwendungen ist es besonders wichtig, die regulatorischen Anforderungen an Cloud-Lösungen zu beachten.

Künstliche Intelligenz und Cloud gehen Hand in Hand

Große Sprachmodelle treiben unzählige Anwendungen künstlicher Intelligenz von Banken. Beginnend beim Chatbot zum Verständnis geltender Regulatorik in der Revision über Realtime-Validierung im Wertpapiergeschäft bis hin zum intelligenten Assistenten, der für Kundenberater Termine vor- und nachbereitet.

Der Vorteil großer Hyperscaler-Sprachmodelle liegt insbesondere in der schnellen Anbindung und der flexiblen Abrechnung nach Nutzungsvolumen. KI-Anwendungen können damit schnell zur Marktreife gebracht werden. Und es werden keine Daten zum Training der Modelle verwendet, was die regulatorische Komplexität verringert.

Umso wichtiger ist die Verzahnung der KI-Strategie mit der Cloud-Strategie einer Bank. Denn in diesem Fall ist der KI-Service eines Cloud-Providers wie jede andere Cloud-Anwendung zu handhaben. Bankmanagerinnen und -manager sollten großen Wert darauf legen, die Genehmigungsprozess für Cloud-Anwendungen auch im Kontext von KI unkompliziert zu gestalten und Transparenz über notwendige Genehmigungsprozesse herzustellen.

Das regulatorische Umfeld ist weniger kritisch als oft angenommen

Regulatorische Klarheit ist, gepaart mit einem weit- sichtigen Blick auf das Geschäftsmodell einer Bank, die wohl wichtigste Prämisse, um die Zukunftstechnologie künstliche Intelligenz sinnvoll zu etablieren.

Für Entscheider ist positiv zu konstatieren, dass die regulatorischen Hürden zum Einsatz von KI deutlich geringer sind als oft angenommen. Denn viele regulatorische Anforderungen werden bereits durch vorhandene IT- und Cloud-Abläufe abgedeckt.

Quellen
Share: LinkedIn Xing X Facebook

Related Collections

Künstliche Intelligenz

Künstliche Intelligenz (KI)

Entdecken Sie die Zukunft des Bankings: KI-Technologien revolutionieren die Branche. Von personalisierten Empfehlungen bis hin zur Betrugserkennung – erfahren Sie, wie künstliche Intelligenz Finanzdienstleistungen sicherer, effizienter und kundenorientierter gestaltet. Tauchen Sie ein in die Welt der Innovation und erleben Sie Banking wie nie zuvor.
Fabian Forthmann

Fabian Forthmann

ist als Senior Consultant im Bereich Artificial Intelligence bei der msg for banking tätig. Er berät Banken und Finanzdienstleister hinsichtlich der Entwicklung und Einführung von datengetriebenen Modellen in ihrem technischen und regulatorischen Umfeld. Neben der Erschließung vielversprechender Anwendungsfälle von künstlicher Intelligenz bewegt ihn insbesondere die nachhaltige Nutzung von künstlicher Intelligenz als Werkzeug zur Lösung handfester Problemstellungen.

linkedin
Schreiben Sie einen Kommentar

Sie müssen sich anmelden, um einen Kommentar zu schreiben.

Verwandte Beiträge

Entdecken Sie noch mehr interessante Beiträge zu diesem Thema.

Fachartikel
7 Minuten Lesezeit

KI-Technologie in Banken – aber welche, wie, wo und mit wem?

Fachartikel
4 Minuten Lesezeit

Relevantes Detail im EU AI Act: KI-Kompetenz ist ab sofort Pflicht

Audio
3 Minuten Lesezeit

banKIng³ – Folge 3: Der KI-Realitätscheck – Zwischen Regelbruch und Neuanfang