Der AI Act der Europäischen Union steht. Die Unterhändler haben sich auf einen Rechtsrahmen geeinigt, jetzt sind nur noch technische Details zu klären und das Europäische Parlament sowie die Länder der EU müssen noch offiziell zustimmen. Das gilt aber als reine Formsache.Dementsprechend können Banken bereits jetzt damit beginnen, an den richtigen Stellen für Transparenz zu sorgen.
Von Michael Baldauf, Industry Architect/Strategist Financial Service EMEA bei Pegasystems
Das Gesetz, mit dem die Europäische Union sicherstellen will, dass in ihren Mitgliedsstaaten eingesetzte KI-Systeme sicher, fair und transparent arbeiten, wird kommen – und auch Banken betreffen. So sieht der vereinbarte Rechtsrahmen strenge Auflagen für Systeme vor, die ein hohes Risiko für die Grundrechte von Menschen darstellen. Dazu gehören auch Systeme für Kreditscorings.
Das Gesetz ist begrüßenswert, weil es einen ersten Rahmen dafür schafft, welche KI wir wollen und welche nicht. Davon werden auch Banken profitieren, denn wenn verbindlich geklärt ist, was sie mit Künstlicher Intelligenz tun dürfen und was nicht, steigt das Sicherheitsgefühl ihrer Kunden, weil sie darauf vertrauen, dass ihre Bank beim Einsatz von KI ihre Rechte nicht verletzt. Der EU AI Act ist aber nur der Anfang.
Weitere Regelwerke auf europäischer Ebene werden folgen und einzelne Mitgliedstaaten werden Vorschriften auf nationaler Ebene einführen oder Gütesiegel mit besonderen Standards etablieren. So wird etwa in Deutschland bereits über eine Art KI-TÜV und ein Siegel „AI made in Germany“ nachgedacht. Auch Länder außerhalb der EU werden mit ähnlichen Gesetzeswerken nachziehen. Banken müssen sich damit auseinandersetzen, wenn sie dort Geschäfte machen.
Wie können sich Banken also am besten auf das kommende EU-Gesetz und weitere Regularien vorbereiten? Indem sie bereits jetzt damit beginnen, in den richtigen Bereichen für Transparenz zu sorgen. Transparenz ist für sie der mit Abstand wichtigste Aspekt des EU AI Act und wird es auch bei allen künftigen KI-Vorgaben sein. Sie wird aber nicht per se beim Einsatz von Künstlicher Intelligenz gefordert.
Eine Bank lässt von einer Process AI ihre Prozesse analysieren und sich Verbesserungsvorschläge machen? Sie lässt sich von generativer KI eine App erzeugen? Sie nutzt analytische KI, um aus einer Rechnung automatisch eine Überweisung zu generieren? In solchen Fällen ist es völlig unerheblich, wie genau die KI zu ihren Ergebnissen kommt. Wichtig ist nur, dass sie am Ende von Menschen geprüft und validiert werden.
Anders sieht es dagegen aus, wenn Banken prädiktive KI für automatisierte Entscheidungen einsetzen. Natürlich werden Banken auch künftig KI-gestützte Kredit-entscheidungen treffen dürfen – sie müssen aber jederzeit nachweisen können, wie diese Entscheidungen zustande gekommen sind, begründen können, warum ein Kredit genehmigt oder abgelehnt wurde, und aufzeigen können, dass sie dabei kein Profiling betrieben haben.
Eine solche Transparenz wird in allen Fällen erforderlich sein, in denen Banken KI für Geschäftsentscheidungen einsetzen und dabei Daten verarbeiten, die Regularien wie MaRisk, der DSGVO oder Verbraucherschutzgesetzen unterliegen.
Banken sollten daher zwei Dinge tun. Zum einen sollten sie in den fraglichen Bereichen die eingesetzten KI-Verfahren auf den Prüfstand stellen. Viele Machine-Learning- und Deep-Learning-Methoden sind per se intransparent und machen es von vornherein unmöglich, ihre Entscheidungen nachzuvollziehen. Solche Verfahren sollten Banken ausschließen.
Zum zweiten sollten sie auf Software-Tools setzen, die eine automatische Auditierbarkeit bieten, also es ihnen ermöglichen, auch noch lange Zeit später aufzuzeigen, wie eine Entscheidung zustande kam. Es gibt Lösungen auf dem Markt, die bis auf die Ebene einzelner Datenfelder nachweisen können, was wann wie mit welchem KI-Modell entschieden wurde. Dem Tag, an dem der Prüfer klingelt, können Banken dann gelassen entgegensehen.