BaFin veröffentlicht Studie zu Big-Data und künstlicher Intelligenz

Am 15.06.2018 hat die BaFin eine Studie mit dem Titel „Big Data trifft auf künstliche Intelligenz – Herausforderungen und Implikationen für Aufsicht und Regulierung von Finanzdienstleistungen“ veröffentlicht.

Die Studie schließt an eine Reihe von Veröffentlichungen zu den Themen Big Data, Advanced Analytics und Artificial Intelligence (auf Deutsch Künstliche Intelligenz) in der Finanzdienstleistungsbranche an, die in jüngerer Zeit von führenden Institutionen aus den Bereichen Regulatorik und Aufsicht vorgelegt wurden:

InstitutionTitel des BerichtsVeröffentlichung
Joint Committee of the European Supervisory AuthoritiesFinal Report on Big DataMärz 2018
Financial Stability BoardArtificial intelligence and machine learning in financial services. Market developments and financial stability implicationsNovember 2017
Basel Committee on Banking SupervisionSound Practices: Implications of fintech developments for banks and bank supervisors (Konsultationspapier)August 2017
European Banking AuthorityDiscussion Paper on the EBA’s approach to financial technology (FinTech) August 2017
Financial Stability BoardFinancial Stability Implications from FinTech. Supervisory and Regulatory Issues that Merit Authorities’ AttentionJuni 2017
Tabelle 1. Aufsichtlich-regulatorische Berichte zu Big Data und Artificial Intelligence

Die Gesellschaft und Wirtschaft erfahren derzeit einen tiefgreifenden Wandel. Die Welt ist immer stärker miteinander vernetzt, die global verfügbare Datenmenge steigt exponentiell an. Die Möglichkeiten diese Daten auszuwerten werden durch bessere Hardware und marktreife Auswertungs- und Verarbeitungstechnologien immer größer.

Diese Technologien werden unter den Schlagworten „Big Data“ und „Artificial Intelligence“ zusammengefasst. Insbesondere Methoden des „maschinellen Lernens“ (ML) sind durch diese Entwicklung stärker in den Fokus gerückt. Big Data stellt ein Schlüsselelement für Artificial Intelligence (AI) dar. Die produktive Nutzung von AI hängt wiederum stark von Umfang und Qualität verfügbarer Daten ab, mit denen Algorithmen mit ML trainiert und getestet werden. In der Studie werden daher beide Themen gemeinsam als Big Data und Artificial Intelligence (BDAI) betrachtet und besprochen.

Die Studie verfolgt einen ganzheitlichen Ansatz und befasst sich mit den potenziell tiefgreifenden Auswirkungen von BDAI-Technologie auf die Finanzdienstleistungsbranche. Es werden anhand von Marktbetrachtungen und Anwendungsbeispielen denkbare Entwicklungen aus der Sicht von Banken, Versicherungsunternehmen und des Kapitalmarktes, aber auch Auswirkungen auf Verbraucher skizziert. Neben den Auswirkungen werden die technologischen und strategischen Voraussetzungen für die Anwendung von BDAI-Technologie erläutert. Des Weiteren werden die Methodiken des maschinellen Lernens einer breiten Leserschaft veranschaulicht.

Anhand der skizierten Auswirkungen werden aufsichtlich-regulatorische Implikationen abgeleitet. Diese werden anhand von drei Schwerpunkten (Finanzstabilität und Marktaufsicht, Unternehmensaufsicht und kollektiver Verbraucherschutz) näher erklärt. Aus den Implikationen leitet die BaFin Leitfragen ab, deren Antwort in naher Zukunft gemeinsam auf nationaler wie internationaler Ebene diskutiert werden sollen. Auf der Homepage der BaFin wird daher auch schon angekündigt, dass der Bericht und die darin gestellten Leitfragen demnächst zur Konsultation gestellt werden.

In diesem Blog möchten wir auf die aufsichtlich-regulatorischen Implikationen von Big Data und künstlicher Intelligenz eingehen. Sie geben ein Ausblick darauf, welche Schwerpunkte die Regulatorik aufgrund der Digitalisierung setzt.

Pro Schwerpunkt werden unterschiedliche aufsichtlich-regulatorische Themen untersucht:

Schwerpunkt Aufsichtlich-regulatorische Themen
Finanzstabilität und Marktaufsicht Entstehung neuer Geschäftsmodelle und Unternehmen
Vernetzung von Märkten und Marktteilnehmer
Technische Begrenzung von Fehlentwicklungen
Systemrelevanz neu definieren und adressieren
Unternehmensaufsicht BDAI-Governance
Abwehr von Finanzkriminalität und Verhaltensverstößen
Genehmigungspflichtige interne bzw. aufsichtlich abgenommene Modelle
Umgang mit Informationssicherheitsrisiken
kollektiver Verbraucherschutz Gefahr der Ausnutzung von Informations- und Machtasymmetrien
Souveränität der Verbraucher
Tabelle 2. Aufsichtlich-regulatorische Implikationen im Überblick

Finanzstabilität und Marktaufsicht

1. Entstehung neuer Geschäftsmodelle und Unternehmen

Durch BDAI wird der Markteintritt von neuen Anbietern befördert. Die Geschäftsmodelle dieser neuen Anbieter sind unter Umständen noch nicht adäquat regulatorisch erfasst. Diese Fälle sind zu identifizieren und das Spektrum der zu beaufsichtigenden Unternehmen ist zu erweitern.

Daraus leitet die Aufsicht die folgenden Leitfragen ab:

  • Welche Geschäftsmodelle sind derzeit zu beobachten bzw. in naher Zukunft zu erwarten, die von der jetzigen Regulatorik nicht hinreichend erfasst werden?
  • Welche Analyse-Methoden, z.B. aus der Marktforschung, könnten helfen, entsprechende Geschäftsmodelle frühzeitig zu adressieren?
  • Sollten der zunehmende Wettbewerbs- und Margendruck noch stärker als bisher bei der Beurteilung der mittel- und langfristigen Solvenz bestehender Marktteilnehmer berücksichtigt werden?

2. Vernetzung von Märkten und Marktteilnehmer

Durch die zunehmende Vernetzung der Marktteilnehmer steigt die Komplexität des Marktes stark an. Durch mittelbare (Nutzung gleicher Modelle, Daten und Plattformen) und unmittelbarer (neue Vertrags- und Handelsbeziehungen) Vernetzung können neue Risiken an den Schnittstellen zwischen den Marktteilnehmern entstehen. Innerhalb der Organisationen besteht die Gefahr, dass diese Risiken nur unzureichend identifiziert und gesteuert werden. Die Aufsicht muss Sorge tragen, diese neuen Strukturen zu erkennen und die Risiken aufsichtlich zu mitigieren. Sie stellt folgende Leitfragen:

  • Wie können die Struktur des dynamischen Marktes und die daraus resultierenden Risiken dauerhaft transparent gemacht werden?
  • Könnten beispielsweise langfristig Methoden aus der Graphenanalyse oder topologische Verfahren in der aufsichtlichen Erkennung von Marktstrukturen zum Einsatz kommen?
  • Könnten derart gewonnene Erkenntnisse bei der Kalibrierung makroprudenzieller Puffer Anwendung finden, etwa indem Vernetzungsgrade direkt berücksichtigt werden, wie es bei der Bestimmung von systemrelevanten Finanzinstituten praktiziert wird?
  • Wie können Risiken identifiziert werden, die nicht innerhalb der Organisationsstruktur beaufsichtigter Marktteilnehmer liegen und die sowohl die Marktteilnehmer selbst als auch die Aufsicht nur unvollkommen identifizieren und steuern können (Beispiel: Risiken, die sich durch die Abhängigkeit von externen Ratings ergeben)?

3. Technische Begrenzung von Fehlentwicklungen

Die eben angesprochene Vernetzung erhöht die Gefahr von Kaskadeneffekten, Störungen könnten sich rasch und unkontrolliert ausbreiten. Technische Sicherheitsmaßnahmen aus dem Handel sind auf andere Bereiche zu übertragen. Folgende Leitfragen sind zu diskutieren:

  • Wären technische Maßnahmen zur Begrenzung von Kaskadeneffekten im BDAI-Kontext auch außerhalb von Handelsplätzen nötig und sinnvoll anwendbar?
  • Wie könnten existierende Schutzmaßnahmen wie zum Beispiel Volatilitätsunterbrechungen, Speed Bumps und Circuit Breaker optimiert oder gezielt fortentwickelt werden bzw. innovative Schutzmaßnahmen gefördert werden, beispielsweise durch Experimente in Testumgebungen?

4. Systemrelevanz neu definieren und adressieren

Durch BDAI können neue systemrelevante Anbieter entstehen. Datengetriebene Geschäftsmodelle können aufgrund von Skalierbarkeit und Reichweite zügig an Systemrelevanz gewinnen. Systemrelevanz kann auch entstehen, wenn zentrale Daten- und Plattformanbieter den Markteilnehmern identische oder sehr ähnliche Grundlagen für Prozesse oder Algorithmen zur Verfügung stellen. Klassische Methoden zur Bestimmung von Systemrelevanz müssten somit überdacht und erweitert werden. Des Weiteren stellt sich die Frage, ob bei erkannter Systemrelevanz die klassischen risikomitigierenden Maßnahmen auch bei den neuen systemrelevanten Unternehmen und Strukturen greifen. Daraus ergeben sich die Leitfragen:

  • Muss der Begriff der Systemrelevanz angesichts sich ändernder Marktstrukturen weiterentwickelt werden, und, wenn ja, wie kann dies geschehen?
  • Könnten die bereits erwähnten Methoden zur Strukturaufklärung, zum Beispiel aus der Topologie, zum Einsatz kommen?
  • Müssen bekannte Risikomitigationsmaßnahmen für den Umgang mit potenziellen neuen systemrelevanten Unternehmen und Strukturen angepasst werden?

Unternehmensaufsicht

1. BDAI-Governance

Hier nennt die BaFin vier wesentliche Punkte und stellt auch hier Leitfragen für die kommende Diskussion auf.

  • Trotz erweiterter Möglichkeiten Prozesse weiter zu automatisieren (vom Chatbot bis zur Liquiditätssteuerung), darf es nicht passieren, dass die Verantwortung für BDAI gestützte Prozesse auf Maschinen übertragen wird. Es ist daher unabdingbar bei der Ausgestaltung von automatisierten Prozessen auf die Einbettung in eine wirksame, angemessene und ordnungsgemäße Geschäftsorganisation zu achten. Die Verantwortung für automatisierte Prozesse verbleibt bei der Geschäftsleitung, auf eine ausreichende Dokumentation ist zu achten.
  • Black Boxes bei Modellen sind unzulässig! Es liegt in der Verantwortung des beaufsichtigten Unternehmens, die Erklärbarkeit/Nachvollziehbarkeit von BDAI-basierten Entscheidungen zu gewährleisten.
  • Bestehende Governancekonzepte, wie das 4-Augen Prinzip, sind weiterzuentwickeln und auf automatisierte Prozesse zu übertragen. In der Luftfahrt werden zur Geschwindigkeitsmessung z.B. mehrere unabhängige Systeme verwendet – das Back-up wäre dann wieder ein Algorithmus.
  • Neben der Prüfung von Dokumentationsanforderungen, kann es in Zukunft auch notwendig werden, Ergebniskontrollen durchzuführen. Ein Beispiel hierfür wäre die Auswertung der Ergebnisse, die ein Algorithmus in einem von der Aufsicht vorgegebenen Test-Szenario produziert.
  • Erfordert der vermehrte Einsatz von BDAI eine Erweiterung bestehender Aufsichtspraktiken und entsprechender gesetzlicher Anforderungen an eine ordnungsgemäße Geschäftsorganisation?
  • Sind zusätzliche technische Schutzmaßnahmen wie sie beispielsweise in der Luftfahrt genutzt werden, erforderlich und geeignet, besonders risikobehaftete BDAI-Anwendungen im Rahmen der ordnungsgemäßen Geschäftsorganisation angemessen zu steuern?
  • Für welche BDAI-Anwendung würde eine solche besondere Behandlung in Frage kommen? Sind beispielsweise ein Chatbot und ein Modell zur Liquiditätssteuerung unterschiedlich zu behandeln?
  • Ist es erforderlich, für BDAI-getriebene Anwendungen die bestehenden Anforderungen an die Überprüfung von Prozessen über die bisherigen Dokumentationspflichten hinaus zu erweitern?
  • Ergibt es zum Beispiel Sinn, bei der Prüfung komplexer Prozesse neben einer Dokumentation auch verstärkt tatsächliche Ergebnisse zu begutachten?
  • Wie kann ein Mindeststandard für die Erklärbarkeit/Nachvollziehbarkeit von verwendeten Algorithmen – gegebenenfalls gestaffelt nach ihrem jeweiligen Einsatzgebiet – etabliert werden?
  • Ist es erforderlich, mit Blick auf eine vermehrte BDAI-Nutzung zusätzliche Eignungsanforderungen an die Leitungsebene zu stellen?

2. Abwehr von Finanzkriminalität und Verhaltensverstößen

Durch BDAI kann die Erkennung von Anomalien und Mustern verbessert werden. Insbesondere die Geldwäsche wird dadurch noch weiter erschwert. Dadurch kann es zu Ausweichprozessen kommen. Täter weichen auf Institute aus, deren Prozesse auf dem Gebiet der BDAI noch nicht so weit fortgeschritten sind. Es ist zu beobachten, ob es zu solchen Reaktionen tatsächlich kommt.

Des Weiteren ist über die Einführung von Mindeststandards in Bezug auf Erklärbarkeit/ Nachvollziehbarkeit und Effektivität der Modelle nachzudenken. Die Ergebnisse der Algorithmen müssen derart nachvollziehbar sein, dass Strafverfolgungsbehörden sie verwenden können.

  • Wie kann verhindert werden, dass unerwünschte oder kriminelle Aktivitäten auf Unternehmen verlagert werden, deren Geldwäscheerkennung mit Blick auf BDAI weniger weit entwickelt ist?
  • Welche Anforderungen an die Erklärbarkeit und Dokumentation müssen Algorithmen erfüllen, damit ihre Ergebnisse für hoheitliche Sanktions- und Eingriffsmaßnahmen im Rahmen der Gefahrenabwehr und der Strafverfolgung valide genutzt werden können?
  • Müssen für die Nutzung von BDAI-Techniken insbesondere in der Geldwäscheerkennung allgemeine Standards für die Effektivität der angewendeten Verfahren festgelegt werden?

3. Genehmigungspflichtige interne bzw. aufsichtlich abgenommene Modelle

Durch den verstärkten Einsatz von BDAI kann bei beaufsichtigten Unternehmen der Wunsch aufkommen, BDAI auch in Modellen einzusetzen, die von der Aufsicht genehmigt werden müssen (beispielsweise der Internal Rating Based Approach). Bislang ist die Anwendung von BDAI in solchen Modellen nicht erlaubt. Die Voraussetzungen für die BDAI-Nutzung in solchen Modellen ist daher von der Aufsicht zu definieren.

  • Welche veränderten Anforderungen an den Modellentwicklungs-, -überwachungs-, und -abnahmeprozess würden sich durch den Einsatz von BDAI ergeben, insbesondere im Hinblick auf zunehmend dynamische Veränderungen von Daten und Algorithmen?
  • Bei welchen generellen Anpassungen liegt eine Modelländerung im aufsichtlichen Sinne vor, die von den beaufsichtigten Unternehmen anzuzeigen und die unter Umständen zu genehmigen wäre?
  • Sind bestehende gesetzliche (Mindest-)Anforderungen an die Erklärbarkeit der Modelle und Daten mit Blick auf die Anwendung von BDAI zu erweitern?
  • Sind alle BDAI-Methoden in gleicher Weise geeignet, und wie kann dies festgestellt werden?
  • Könnte z.B. durch den vermehrten Einsatz von Daten die algorithmische Komplexität von Modellen reduziert und dennoch die Erklärbarkeit verbessert werden?

4. Umgang mit Informationssicherheitsrisiken

Die Studie betrachtet diesen Punkt aus zwei Sichtweisen. Zum einen kann BDAI Informationssicherheitsrisiken erhöhen, zum anderen kann BDAI Informationssicherheitsrisiken auch verringern. Daraus ergeben sich folgende Leitfrage.

  • Welche konkreten Standards sind – auch im Hinblick auf algorithmenspezifische Risiken – sachgerecht und angemessen, um Informationssicherheitsrisiken zu mitigieren?
  • Sind bestehende aufsichtliche prinzipienbasierte Anforderungen oder regelbasierte Kontrollmaßnahmen an BDAI-spezifische Sachverhalte anzupassen?
  • Welche konkreten BDAI- bzw. Verschlüsselungsverfahren könnten für die Abwehr von Informationssicherheitsrisiken geeignet sein?

Verbraucherschutz

1. Gefahr der Ausnutzung von Informations- und Machtasymmetrien

Durch BDAI wissen Unternehmen immer mehr von Ihren Kunden. Dadurch entstehen diverse Gefahren für Verbraucher:

  • Zu Informationsasymmetrien kann es beispielsweise kommen, wenn Verbrauchern der Gegenwert der von ihnen zur Verfügung zu stellenden Daten („Bezahlen mit Daten“) nicht bekannt ist und sie daher den faktischen Preis für ein Produkt oder eine Dienstleistung nicht kennen.
  • Die Verknüpfung von finanzwirtschaftlichen Transaktions- und Verhaltensdaten mit den über Online-Dienstleitungen vorliegenden Daten zu Präferenzen, Bedürfnissen und Wünschen ermöglicht Anbietern, eine umfassende Sicht auf die Zahlungsbereitschaft und fähigkeit einzelner Kunden zu generieren. Es besteht die Gefahr, dass dieses Wissen einseitig zu Lasten des Verbrauchers ausgenutzt wird.
  • BDAI kann dazu führen, dass noch stärker nach Risikoaspekten selektiert wird und somit der Zugang zu bestimmten Finanzdienstleistung für viele Verbraucher weiter erschwert wird.
  • Diskriminierung muss vermieden werden. Auf Merkmale im Algorithmus, die aus rechtlichen Gründen nicht zur Differenzierung genutzt werden dürfen, ist zu verzichten.

Verbraucher sind daher stärker dafür zu sensibilisieren, wie ihre Daten genutzt werden können und welche Bedeutung und welchen Wert sie haben.

  • Wie sollte aufsichtlich und regulatorisch darauf reagiert werden, dass Unternehmen durch die Nutzung von BDAI die Konsumentenrente maximal abschöpfen könnten?
  • Wie könnten Verbraucher stärker für die Bedeutung und Werthaltigkeit ihrer Finanzdaten sensibilisiert werden?
  • Wie kann durch einen ganzheitlichen aufsichtlichen und regulatorischen Ansatz gewährleistet werden, dass neben den Vorteilen einer besseren Risikoeinschätzung durch BDAI der Zugang zu erschwinglichen Finanzprodukten auch für die Kundengruppen hinreichend erhalten bleibt, die der Algorithmus aussortiert?
  • Wie kann aufsichtlich sichergestellt werden, dass künftig auch die Kunden Zugang zu Finanzdienstleistungen haben, die nicht in der Lage oder bereit sind, ihre Daten über das gesetzlich erforderliche Maß hinaus freizugeben?
  • Welche Kontroll- und Transparenzmechanismen könnten Finanzdienstleistern helfen, die Diskriminierung von Verbrauchergruppen zu verhindern?
  • Wie könnten bereits existierende Methoden zur Vermeidung von Diskriminierung auf (teil-)automatisierte Prozesse übertragen werden?
  • Welche technischen Maßnahmen sollten Finanzdienstleister ergreifen, um eine Diskriminierung zu vermeiden, z.B. eine Diskriminierung auf Basis eines unerlaubten Differenzierungsfaktors?
  • Wie kann verhindert werden, dass BDAI-Algorithmen Merkmale, die dem Finanzdienstleister nicht bekannt sind oder die er per Gesetz nicht abfragen darf, ungewollt über die Approximation eines Merkmals zu einer Diskriminierung genutzt werden?

2. Souveränität der Verbraucher

Die Souveränität der Verbraucher muss sichergestellt werden. Es darf nicht der Eindruck entstehen, dass Daten vom Verbraucher freigegeben werden müssen, damit Dienstleistungen weiterhin in Anspruch genommen werden können. Es muss Wahlfreiheit gewährleistet sein, durch Bereitstellung von datensparsamen Produkten.Die technischen Möglichkeiten von BDAI mit Hilfe von anonymisierten Daten müssen ausgenutzt werden.

Das Vertrauen in die Finanzmärkte muss aufrechterhalten werden. Auch in Zeiten verstärkter BDAI-Nutzung muss der Verbraucher, dass Gefühl haben auf dem Finanzmarkt fair und korrekt behandelt zu werden. Die Gewährleistung von Privatsphäre und informationeller Selbstbestimmung sind wesentliche Voraussetzungen für nachhaltiges Vertrauen. Werden Kundendaten missbraucht, kann dadurch das Vertrauen in einzelne Unternehmen geschädigt werden. Dieser Vertrauensverlust kann auch auf ganze Marktsegmente übergreifen. Der Datenschutz obliegt zwar den Datenschutzbehörden, zukünftige Missstände können aber auch Implikationen für die Finanzaufsicht haben. Die Kooperation von Finanzaufsichts- und Datenschutzbehörden könnte also zunehmend an Bedeutung gewinnen.

  • Wie können technische Datenschutzmaßnahmen wie z.B. Privacy-preserving-Data-Mining am besten dazu beitragen, das Verbrauchervertrauen zu stärken und zugleich das BDAI-Potential zu nutzen?
  • Sollten Aufsicht und Regulierung sicherstellen, dass datensparsame/konventionelle Finanzdienstleistungen als Alternativen angeboten werden? Wie wäre Datensparsamkeit/Konventionalität in diesem Kontext zu definieren und um welche Finanzdienstleistungen sollte es dabei gehen?

Fazit: Die BaFin hat mit dieser Studie eine umfassende Analyse über die Nutzung von BDAI und deren Implikationen auf die Finanzwelt und dessen Aufsicht durchgeführt. Sie gibt einen Ausblick auf die Themen, die die Aufsicht und die zu beaufsichtigten Unternehmen in Zukunft weiter beschäftigen. Wir werden die Diskussionen weiter eng begleiten und über Neuerungen zeitnah informieren. Die Experten von RFC Professionals begleiten seit vielen Jahren die aufsichtsrechtlichen Entwicklungen und unterstützen ihre Kunden bei der Umsetzung. Ein Schwerpunkt liegt dabei auf der digitalen Transformation .


Sollten Sie Unterstützung bei der Bewältigung künftiger Aufgaben benötigen, sprechen Sie uns gerne an.

Alexander Wolf

Ihr Ansprechpartner:

Torsten Lindlahr

Mail

Dringlichkeit

Umsetzungsaufwand

Auswirkungen