die bank 10 // 2023

DIGITALISIERUNG Im

DIGITALISIERUNG Im Zusammenhang mit der Kreditvergabe und -überwachung müssen neben den aufgeführten regulatorischen Vorgaben beim Einsatz von Machine-Learning-Verfahren (ML-Verfahren) gemäß dem EBA- Bericht potenziell auch die Anforderungen des AI-Acts beachtet werden. Dem EBA-Bericht zufolge werden ML-Verfahren insbesondere zur Entwicklung von PD-Modellen, aber auch weiterer Parameter des IRB-Ansatzes eingesetzt. Anwendungsfälle, die in diesem engen Kontext potenziell unter den AI-Act fallen, sind gem. EBA-Bericht die Auswahl von Risikotreibern oder die Cluster-Bildung für die Schätzung von PD- und LGD-Werten. Weitere, aus Sicht des Datenmanagements und Datenschutzes relevante regulatorische Vorgaben sind Art. 5 (1) (c) (Grundsätze für die Verarbeitung personenbezogener Daten) und Art. 9 (Verarbeitung besonderer Kategorien personenbezogener Daten) der Datenschutzgrundverordnung (DSG-VO). Des Weiteren findet sich in ISO/EC 38505- 1:20175 (Data Governance) eine Definition von Machine Learning. Auch beim Einsatz von ML-Verfahren in Kreditrisikomodellen müssen Verbraucher- und Datenschutzaspekte berücksichtigt werden. Die Einhaltung der Vorgaben der Datenschutzgrundverordnung muss trotz des hohen Bedarfs an Daten beim Einsatz von ML-Verfahren sichergestellt und überwacht werden. Die im Rahmen der ML-Verfahren für IRB-Modelle genutzten Daten sind über angemessene Kontrollsysteme im Hinblick auf die Einhaltung der Datenschutzvorschriften zu überprüfen. Daneben beschäftigen sich auch die weiteren einschlägigen Standardsetter bereits intensiv mit dem Thema KI. Die Abb. ÿ 4 liefert eine kompakte Übersicht über die aktuellen Initiativen und Veröffentlichungen auf internationaler, europäischer und nationaler Ebene. Der Überblick zeigt, dass die ersten Initiativen und Regelungen zur Regulierung des Einsatzes künstlicher Intelligenz bereits im Jahr 2018 gestartet und in der Folge immer weiterentwickelt wurden. Unter den bisherigen Veröffentlichungen sind einige Studien sowie Prinzipienpapiere zum Umgang mit KI. Zusätzlich zu den genannten Veröffentlichungen wurde im März 2023 von der britischen Regierung ein Whitepaper mit dem Titel „Policy paper: AI regulation: a pro-innovation approach“ zur nationalen KI-Strategie veröffentlicht. 82 10 | 2023

DIGITALISIERUNG FAZIT UND AUSBLICK KI und damit verbundene Veränderungsprozesse haben das Potenzial, im Bankgeschäft und folglich in der damit verbundenen Regulatorik, dauerhaft im Fokus zu sein. Der im vorliegenden Artikel vorgestellte AI-Act sollte als Startpunkt aus regulatorischer Sicht bewertet werden. Hinsichtlich der theoretischen Betroffenheit von Bankprozessen lässt sich zusammenfassend sagen, dass lediglich die Teile des Kreditentscheidungs- und Bewertungsprozesses betroffen sind, die produktiv eingesetzt sind und bei natürlichen Personen Anwendung finden. Ob und inwieweit ein Finanzinstitut in der Praxis vom AI-Act betroffen ist, hängt insbesondere vom individuellen Geschäftsmodell und auch von der eigenen Prozessreife ab. Die im Artikel vorgestellte Matrix oder ähnliche Bewertungsansätze können wichtige strategische Implikationen liefern. Bei näherer Betrachtung eines „typischen“ Kreditentscheidungs- und Bewertungsprozesses, erscheint es zum aktuellen Zeitpunkt weder sinnvoll noch regulatorisch (unabhängig vom AI-Act) möglich, diese Prozesse, gänzlich in einem autonomen AI-System umzusetzen. Vielversprechend sind hingegen Insellösungen, die sich auf entweder ein spezielles Produkt (bspw. Sofortkredit unter einem gewissen Betrag), eine spezielle Kundengruppe (bspw. Dispoerhöhung Bestandskunden), oder eine spezielle Funktion (bspw. Frühwarnsysteme, Betrugsprävention) fokussieren. Betrugsprävention ist ein vielversprechender Anwendungsfall für AI, ist jedoch im aktuellen Stand explizit nicht vom AI-Act betroffen. Neben den oben genannten Insellösungen sind Einsatzgebiete von KI wie „Co-Piloting“ als Unterstützung bspw. bei der Programmierung oder bei Routineaufgaben (bspw. Zusammenfassungen, Übersetzungen, ...) von der Regelung nicht oder nur indirekt betroffen. Fallen Prozesse und Anwendungen unter den AI-Act, ist ein Teil der Anforderungen potenziell bereits durch die bestehende Bankenregulierung abgedeckt. Zu den noch nicht abgedeckten Anforderungen gehören die potenziell obligatorische menschliche Aufsicht, die Protokollierung sowie die Transparenzpflichten gegenüber den Kunden. Aus Bankensicht empfiehlt es sich, die Anforderungen und Regulierungsabsichten des AI-Acts zu verstehen, um möglichst frühzeitig die richtige Strategie für den Umgang mit dem AI-Act zu entwickeln. Diese sollte auch weitere Regulierungsinitiativen berücksichtigen. Es ist davon auszugehen, dass sowohl auf nationaler als auch auf internationaler Ebene umfangreiche regulatorische Initiativen mit dem Fokus auf Risikomanagement im Zusammenhang mit KI entstehen werden. Dies zeigt auch die jüngste Initiative in England, die in einem umfassenden WhitePaper beschrieben wird. Das aktuelle Arbeitsprogramm der EBA sieht über die bereits skizzierten regulatorischen Aspekte hinaus eine Anreicherung der bestehenden Risikoanalyse und Abbildung von Anwendungsfällen von AI im Finanzwesen, einschließlich der Klärung der aufsichtlichen Erwartungen an bestimmte Anwendungsfälle vor. Autor:innen Sandra Schmolz, Managerin im Bereich Risiko und Regulatorik bei RFC Professionals, Oestrich-Winkel. Sebastian Kalmbach ist als Manager im Bereich quantitatives Risikomanagement im gleichen Unternehmen tätig. 10 | 2023 83