die bank 10 // 2023

DIGITALISIERUNG Was ist

DIGITALISIERUNG Was ist bankseitig zu erfüllen, um Hochrisikosysteme zu betreiben? Titel III, Kap. 2 – Anforderungen an Hochrisikosysteme Die in Art. 9 genannten Anforderungen an das Risikomanagement (Abs. 1 bis 8) sowie an die technische Dokumentation (Art. 11) werden von Kreditinstituten, die unter die Richtlinie 2013/36/EU (CRD) fallen, in der Regel bereits regulatorisch (durch CRD Art. 74) abgedeckt. Art. 10 enthält Anforderungen an die Data Governance, insbesondere die Trennung von Trainings-, Validierungs- und Testdatensätzen. Art. 15 befasst sich mit Robustheit, Genauigkeit und Sicherheit. Auch bei den Artikeln 10 und 15 dürften bestehende Bankprozesse, die bereits umfangreiche Data-Governance-Anforderungen erfüllen müssen, kaum Änderungsbedarf aufweisen. Art. 12 zu den Aufzeichnungspflichten und Art. 13 zur Transparenz gegenüber den Anwendern haben Potenzial für bürokratischen Aufwand mit überschaubarem Mehrwert. Art. 14 beschreibt unter anderem die Anforderungen an die Sachkunde der Anwender und betont in Abs. 5, dass die Ergebnisse des KI-Systems (als alleinige Entscheidungsgrundlage) nur dann übernommen werden dürfen, wenn dies von zwei natürlichen Personen bestätigt wurde. Abs. 5 hat erhebliches Potenzial, den Nutzen von KI-Systemen zu begrenzen. Der Ausgestaltung dieses Absatzes sollte im weiteren Gesetzgebungsverfahren erhöhte Aufmerksamkeit geschenkt werden. Titel III, Kap. 3 – Pflichten von Anbietern und Betreibern und anderen Beteiligten Art. 16 beschreibt Anbieterpflichten und verweist überwiegend auf Anforderungen anderer Passagen des AI-Acts, bspw. auf Kap. 2, Art. 17, der Anforderungen zum Qualitätsmanagement enthält. Er gilt für Kreditinstitute als erfüllt, wenn diese Art. 74 CRD einhalten. Art. 18 sowie 19 entfallen. Art. 20 schreibt eine sechsmonatige Aufbewahrungspflicht der erstellten, automatischen Protokolle vor. Für Kreditinstitute fällt dies unter Art. 74 CRD. Art. 21 umfasst Pflichten im Falle der Nichtkonformität. Art. 22 beinhaltet Informationspflichten für sicherheitsrelevante Systeme. Art. 28 sollte besondere Beachtung gewidmet werden, da hier Bedingungen genannt sind, unter denen „Betreiber“ als „Anbieter“ gem. des AI-Acts zu verstehen sind, was weitere Pflichten mit sich bringt. Die Bedingungen, ein eigenes Markenzeichen zu setzen (A) und wesentliche Änderungen vorzunehmen (B), werden hierbei nicht durch eine Vertriebsabsicht konkretisiert, was theoretisch in einem sehr weiten Bereich „Betreiber“ zu „Anbietern“ macht, ohne dass diese am Markt aktiv wären. Der neu hinzugefügte Art. 28b beschreibt zudem umfangreiche Pflichten eines Anbieters eines sog. „Basismodells“, die gegenüber Anbieterpflichten gem. Art. 16 abzugrenzen sind. Art. 29 beschreibt die Pflichten beim Betrieb von Hochrisiko-KI- Systemen. Der neu eingefügte Abs. 1a betont die menschliche Aufsichtspflicht. Neben den Anbietern unterliegen nach Abs. 4 auch die Betreiber Melde- und Überwachungspflichten. Letztere gelten für Institute, die unter Art. 74 CRD fallen, als erfüllt. Der neu eingefügte Abs. 6a birgt erhebliche Sprengkraft, weshalb dessen Entwicklung besonders beobachtet werden sollte. So müssen natürliche Personen informiert werden, wenn Entscheidungen von einer AI getroffen werden, bzw. die Entscheidungsfindung von einer AI unterstützt wird. Die weit gefasste Formulierung schränkt im Gegensatz zu Art. 68c nicht ein, bspw. „auf Anfrage“ oder „mit rechtlicher/ökonomischer Auswirkung“. Es muss zudem auch ein Hinweis auf Art. 68c erfolgen, der der natürlichen Person ein Erläuterungsrecht der individuellen Entscheidungsfindung einräumt. Nach dem Wortlaut könnte jede KI-gestützte Verarbeitung, die z. B. in ein Bestandsrating mündet, zu Informationspflichten gegenüber den Kunden führen. Diese Informationspflichten bergen wiederum das Risiko, im Bereich der Antidiskriminierung klageanfällig zu werden. Art. 68c schränkt das Auskunftsrecht auf Fälle mit „Rechtsfolgen“ oder „er- 80 10 | 2023

DIGITALISIERUNG heblichen Beeinträchtigungen“ ein, was bei einer Kreditentscheidung aber immer der Fall sein dürfte. Es gilt daher, rechtssichere Branchenstandards für die Offenlegung nach Art. 68c zu entwickeln. Schließlich sieht Art. 29a die Pflicht zu einer Folgenabschätzung nach verschiedenen Gesichtspunkten vor, die mit geringem Aufwand verbunden sein sollte. Wie sind AI-Systeme in der Finanzbranche aktuell reguliert? Neben den zuvor dargelegten Anforderungen im AI-Act müssen auch weitere regulatorische Vorgaben zu den vom AI-Act betroffenen Prozesse (v. a. Kreditrisiko, Kreditentscheidung und Scoring) betrachtet und berücksichtigt werden. Die wichtigsten weiteren Vorgaben in Verbindung mit den Kreditprozessen (v.a. zur Kreditvergabe und -überwachung) sind: Z Artikel 74 CRD – Abschnitt II (Regelungen, Verfahren und Mechanismen der Institute) Unterabschnitt 1 (Allgemeine Grundsätze zur internen Unternehmensführung und Kontrolle sowie Sanierungsund Abwicklungsplänen), Z EBA GL/2020/06 (Leitlinie für die Kreditvergabe und Überwachung) – Kapitel 4 (Interne Governance für Kreditvergabe & -überwachung), Kapitel 5 (Verfahren zur Kreditvergabe) und Kapitel 8 (Überwachungssystem), Z BTO 1 MaRisk – Kreditgeschäft mit BTO 1.1 (Funktionstrennung und Votierung), BTO 1.2 (Anforderungen an die Prozesse im Kreditgeschäft), BTO 1.2.1 (Kreditgewährung), BTO 1.2.2 (Kreditweiterbearbeitung), BTO 1.2.3 (Kreditbearbeitungskontrolle), BTO 1.3 (Anforderungen an Verfahren zur Früherkennung von Risiken und Behandlung von Forbearance) und BTO 1.4 (Risikoklassifizierungsverfahren), Z Richtlinie über Verbraucherkreditverträge (2008/48/EC) und Verbraucherkreditrichtlinie mit Vorgaben und Regelungen zu Verbraucherkrediten. 10 | 2023 81