KI-Gesetz der EU – Das sollten Banken jetzt tun

Das Gesetz der Europäischen Union zu Künstlicher Intelligenz kommt – und wird nur den Auftakt für weitere KI-Regularien bilden. Banken können bereits jetzt damit beginnen, an den richtigen Stellen für Transparenz zu sorgen. [...]

Michael Baldauf, Industry Architect/Strategist Financial Service EMEA bei Pegasystems (Quelle: Pegasystems)

Der AI Act der Europäischen Union steht. Die Unterhändler haben sich auf einen Rechtsrahmen geeinigt, jetzt sind nur noch technische Details zu klären und das Europäische Parlament sowie die Länder der EU müssen noch offiziell zustimmen. Das gilt aber als reine Formsache.

Das Gesetz, mit dem die Europäische Union sicherstellen will, dass in ihren Mitgliedsstaaten eingesetzte KI-Systeme sicher, fair und transparent arbeiten, wird kommen – und auch Banken betreffen. So sieht der vereinbarte Rechtsrahmen strenge Auflagen für Systeme vor, die ein hohes Risiko für die Grundrechte von Menschen darstellen. Dazu gehören auch Systeme für Kreditscorings.

Das Gesetz ist begrüßenswert, weil es einen ersten Rahmen dafür schafft, welche KI wir wollen und welche nicht. Davon werden auch Banken profitieren, denn wenn verbindlich geklärt ist, was sie mit Künstlicher Intelligenz tun dürfen und was nicht, steigt das Sicherheitsgefühl ihrer Kunden, weil sie darauf vertrauen, dass ihre Bank beim Einsatz von KI ihre Rechte nicht verletzt.

Der EU AI Act ist aber nur der Anfang. Weitere Regelwerke auf europäischer Ebene werden folgen und einzelne Mitgliedstaaten werden Vorschriften auf nationaler Ebene einführen oder Gütesiegel mit besonderen Standards etablieren. So wird etwa in Deutschland bereits über eine Art KI-TÜV und ein Siegel „AI made in Germany“ nachgedacht. Auch Länder außerhalb der EU werden mit ähnlichen Gesetzeswerken nachziehen. Banken müssen sich damit auseinandersetzen, wenn sie dort Geschäfte machen. 

Wie können sich Banken also am besten auf das kommende EU-Gesetz und weitere Regularien vorbereiten? Indem sie bereits jetzt damit beginnen, in den richtigen Bereichen für Transparenz zu sorgen.

Transparenz ist für sie der mit Abstand wichtigste Aspekt des EU AI Act und wird es auch bei allen künftigen KI-Vorgaben sein. Sie wird aber nicht per se beim Einsatz von Künstlicher Intelligenz gefordert. Eine Bank lässt von einer Process AI ihre Prozesse analysieren und sich Verbesserungsvorschläge machen? Sie lässt sich von generativer KI eine App erzeugen? Sie nutzt analytische KI, um aus einer Rechnung automatisch eine Überweisung zu generieren?

In solchen Fällen ist es völlig unerheblich, wie genau die KI zu ihren Ergebnissen kommt. Wichtig ist nur, dass sie am Ende von Menschen geprüft und validiert werden.

Anders sieht es dagegen aus, wenn Banken prädiktive KI für automatisierte Entscheidungen einsetzen. Natürlich werden Banken auch künftig KI-gestützte Kreditentscheidungen treffen dürfen – sie müssen aber jederzeit nachweisen können, wie diese Entscheidungen zustande gekommen sind, begründen können, warum ein Kredit genehmigt oder abgelehnt wurde, und aufzeigen können, dass sie dabei kein Profiling betrieben haben.

Eine solche Transparenz wird in allen Fällen erforderlich sein, in denen Banken KI für Geschäftsentscheidungen einsetzen und dabei Daten verarbeiten, die Regularien wie MaRisk, der DSGVO oder Verbraucherschutzgesetzen unterliegen.  

Banken sollten daher zwei Dinge tun.

Zum einen sollten sie in den fraglichen Bereichen die eingesetzten KI-Verfahren auf den Prüfstand stellen. Viele Machine-Learning- und Deep-Learning-Methoden sind per se intransparent und machen es von vornherein unmöglich, ihre Entscheidungen nachzuvollziehen. Solche Verfahren sollten Banken ausschließen.

Zum zweiten sollten sie auf Software-Tools setzen, die eine automatische Auditierbarkeit bieten, also es ihnen ermöglichen, auch noch lange Zeit später aufzuzeigen, wie eine Entscheidung zustande kam. Es gibt Lösungen auf dem Markt, die bis auf die Ebene einzelner Datenfelder nachweisen können, was wann wie mit welchem KI-Modell entschieden wurde.

Dem Tag, an dem der Prüfer klingelt, können Banken dann gelassen entgegensehen.

*Michael Baldauf ist Industry Architect/Strategist Financial Service EMEA bei Pegasystems


Mehr Artikel

News

Public Key Infrastructure: Best Practices für einen erfolgreichen Zertifikats-Widerruf

Um die Sicherheit ihrer Public Key Infrastructure (PKI) aufrecht zu erhalten, müssen PKI-Teams, sobald bei einer Zertifizierungsstelle eine Sicherheitslücke entdeckt worden ist, sämtliche betroffenen Zertifikate widerrufen. Ein wichtiger Vorgang, der zwar nicht regelmäßig, aber doch so häufig auftritt, dass es sich lohnt, PKI-Teams einige Best Practices für einen effektiven und effizienten Zertifikatswiderruf an die Hand zu geben. […]

News

UBIT Security-Talk: Cyberkriminalität wächst unaufhaltsam

Jedes Unternehmen, das IT-Systeme nutzt, ist potenziell gefährdet Opfer von Cyberkriminalität zu werden, denn die Bedrohung und die Anzahl der Hackerangriffe in Österreich nimmt stetig zu. Die Experts Group IT-Security der Wirtschaftskammer Salzburg lädt am 11. November 2024 zum „UBIT Security-Talk Cyber Defense“ ein, um Unternehmen in Salzburg zu unterstützen, sich besser gegen diese Bedrohungen zu wappnen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*