Big Data und künstliche Intelligenz (artificial intelligence), gerne gemeinsam auch als BDAI bezeichnet, sind derzeit ein Thema, das im Finanzmarkt viel Beachtung bekommt. Nicht zuletzt, weil es prominent auf der Agenda der BaFin steht, die – wie wir gerade in unserem letzten Beitrag berichtet haben – derzeit eine Marktumfrage zu diesem Thema gestartet hat.
Big Data steht für sehr große und komplexe Datenmengen, die aus einer Vielzahl von Quellen gewonnen werden können, und mit Hilfe manueller und herkömmlicher Methoden der Datenverarbeitung schwer zu analysieren sind. Analyseverfahren, die auf künstlicher Intelligenz basieren, können solche Massendaten sinnvoll auswerten und Zusammenhänge und Verbindungen aufzeigen, die bestehende Geschäftsmodelle erweitern oder ergänzen können. Selbstlernende Systeme können Prozesse optimieren und automatisiert Entscheidungen treffen. Ein Beispiel für eine Einsatzmöglichkeit von BDAI ist etwa die maschinelle Optimierung von Geldwäscheprüfungen.
Sobald künstliche Intelligenz in Form von Algorithmen ins Spiel kommt, stellt sich stets die Frage: geht etwas schief, wer ist verantwortlich? Der Programmierer des Algorithmus, das Institut, das den Algorithmus nutzt, um neue Geschäftsfelder zu generieren, oder gar niemand? Hier ist – wie bisher etwa beim Algotrading oder bei RoboAdvice, wo diese Diskussion auch geführt wurde – die klare Aussage der BaFin, dass das anbietende Institut verantwortlich ist für die Prozesse, die dort intern genutzt und extern gegenüber Kunden angeboten werden.
In der ersten Ausgabe der BaFin Perspektiven zur Digitalisierung wirft BaFin-Präsident Hufeld die Frage auf, ob wir künftig Mindestanforderungen an Algorithmen benötigen und konsequenterweise dann auch Mindestanforderungen an Daten, die im Rahmen von BDAI verwendet werden. Die internen Prozesse der Institute müssen auch beim Einsatz von BDAI kontrollierbar und nachvollziehbar sein. Insbesondere muss klar sein, welche Daten wofür und wie verwendet werden. Solange das gewährleistet ist, reichen die Vorgaben der MaRisk vielleicht aus. Dass das Thema künstliche Intelligenz und selbstlernende Systeme nicht trivial ist und AI-Forscher selbst äußerst skeptisch sind, ob die Methoden und Techniken des machine learning derzeit schon hinreichend verstanden sind (siehe etwa hier), zeigt, dass BDAI derzeit ein Trend ist, der noch in der Entwicklung steckt. So wird sich auch der Regulierungsansatz dazu mitentwickeln.
Neben Mindestanforderungen für Algorithmen, Daten und das Risikomanagement sind weitere Aufsichtsthemen im Zusammenhang mit BDAI etwa Auslagerung, Datensicherheit und IT-Sicherheit. BDAI-basierte Analysen können von Instituten von hierauf spezialisierten Unternehmen im Rahmen einer Auslagerungsvereinbarung eingekauft werden. Hierfür haben wir bereits einen regulatorischen Rahmen, der derzeit europaweit vereinheitlicht werden soll (siehe dazu diesen Blogbeitrag). Der Umgang mit Kundendaten ist aus Sicht des Verbraucherschutzes durch die DSGVO inzwischen strikt geregelt. Die IT-Sicherheit ist ebenfalls bereits ein Thema, das bei der BaFin im Fokus ist. Gerade vor wenigen Tagen veröffentlichte die BaFin eine Ankündigung, dass künftig in Abstimmung mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) Betreiber kritischer IT-Infrastrukturen auch unter die Aufsicht der BaFin fallen sollen, selbst wenn sie keine Finanzdienstleistungen anbieten. Entsprechend sollen die Bankaufsichtlichen Anforderungen an die IT (BAIT) ergänzt werden. Hier zeigt sich ein weiterer Trend, der auch auf die Nutzung von Massendaten durch selbstlernende Algorithmen überspringen kann, wenn sich externe Anbieter entwickeln, auf deren Analyse der Finanzmarkt vertraut und daraus neue Geschäftsmodelle generiert.
Auslöser neuer Regulierung sind häufig neue Themen, auf die die bestehenden Vorgaben nicht passen, weil sie zu restriktiv oder zu lax und unzureichend sind. In der BDAI-Debatte wird abzuwarten bleiben, wo die Reise hingeht. Es würde nicht verwundern, wenn hierfür eigene Regulierung geschaffen wird – entweder auf gesetzlicher Ebene oder durch die Verwaltungspraxis der Aufsichtsbehörden. Wünschenswert wäre jedenfalls ein einheitlicher europäischer Aufsichtsansatz und kein regulatorischer Flickenteppich, wie wir ihn für FinTech und Blockchain-Regulierung derzeit sehen.