... Der Begriff “Künstliche Intelligenz” beschäftigt gegenwärtig die Medien, ohne dass eine einheitliche Vorstellung von der Tragweite dieses Begriffes besteht. Eine gesetzliche Definition fehlt. Die nachfolgende Definition zeigt die neue Entwicklungsstufe der Informatik, die nach Reglementierung im Umgang mit Künstlicher Intelligenz verlangt: 

“Künstliche Intelligenz (KI), auch artifizielle Intelligenz (AI), englisch artificial intelligence, ist ein Teilgebiet der Informatik, es umfasst alle Anstrengungen, deren Ziel es ist, Maschinen intelligent zu machen. Dabei wird Intelligenz verstanden als die Eigenschaft, die ein Wesen befähigt, angemessen und vorausschauend in seiner Umgebung zu agieren; dazu gehört die Fähigkeit, Sinneseindrücke wahrzunehmen und darauf zu reagieren, Informationen aufzunehmen, zu verarbeiten und als Wissen zu speichern, Sprache zu verstehen und zu erzeugen, Probleme zu lösen und Ziele zu erreichen.” 

 Wikipedia, Die freie Enzyklopädie “Künstliche Intelligenz” 

IBM setzt sich mit der Genese einer Definition von künstlicher Intelligenz auseinander, die an dieser Stelle lediglich auszugsweise wiedergegeben wird: 

“Menschlicher Ansatz: 

• Systeme, die wie Menschen denken 
• Systeme, die wie Menschen handeln.” 

Was ist Künstliche Intelligenz (KI)? | IBM 

Hier sollen sogar Elemente wie Gefühle und Emotionen berücksichtigt werden (?). Im Ergebnis geht es um Fähigkeit von Maschinen, sich ohne menschliches Zutun fortzuentwickeln. Der Rahmen wird vom Entwickler, seinen lauteren oder auch unlauteren Zielen und auch seinen Fähigkeiten und Begabungen vorgegeben. Eine Gewähr, in welche Richtungen sich Künstliche Intelligenz entwickelt, gibt es erst einmal nicht. Häufig wird in Veröffentlichungen ausgeführt, dass der Schutz personenbezogener Daten durch die DSGVO, die seit dem 25.05.2018 in der Europäischen Union gilt, auch im Rahmen einer Datenverarbeitung mittels Künstlicher Intelligenz gewährleistet werden würde. 

Dieser Ansatz kann nicht beruhigen und erst recht nicht überzeugen, auch dann nicht, wenn auf die bereits kodifizierte, strenge Zweckbindung der Datenverarbeitung durch die DSGVO hingewiesen wird. Die DSGVO genügt weder dem Schutzbedürfnis des Betroffenen, d.h. der betroffenen natürlichen Person, noch des Unternehmens, das personenbezogene Daten mittels Künstlicher Intelligence, sei es bewusst oder vielleicht auch unbewusst, verarbeitet. Denkbar ist auch, dass sich das Unternehmen mit Künstlicher Intelligenz ein trojanisches Pferd einkauft, das sich gegen das Unternehmen richtet.

Es mangelt an einem Regelwerk, das gewährleistet, dass sich die Hard- und Software nicht verselbstständigt und sich erst hieraus eine rechtswidrige Datenverarbeitung ergibt, bzw. ergeben kann. Eine zweckwidrige Datenverarbeitung durch Künstliche Intelligenz mag nicht mehr DSGVO-konform erfolgt sein, doch das Kind ist bereits in den Brunnen gefallen. Der Ansatz zur Vermeidung von Risiken muss vorverlagert werden und an den Funktionen der Software selbst festmachen. Eine vorverlagerte Maßnahme könnte eine Zertifizierung sein, die nur erteilt wird, wenn der Künstlichen Intelligenz unverrückbare Grenzen gesetzt sind.   

Bis es zu derartigen Zertifizierungsroutinen kommt, muss der Mensch noch viel lernen. Die Fachabteilungen von Unternehmen und selbstverständlich auch von Kreditinstituten sind aufgefordert, entsprechende Überwachungs- und Prüfroutinen einzuführen und unternehmensinterne Regelwerke/ Compliancebestimmungen auf ein ausreichendes Schutzniveau zu überprüfen und gegebenenfalls anzupassen. Das gilt jedenfalls dann, wenn der Einsatz einer selbstlernenden Software bekannt ist. Der aktuelle Entwicklungsstand der Künstlichen Intelligenz zeigt, dass nicht mehr zugewartet werden kann und dringender Handlungsbedarf besteht.

München, den 17.08.2023

RA Jens Christoph Hammersen

Persönliche Eindrücke und Ausblick:

Das Symposium der Deutschen Bundesbank 2023 war eine sehr gelungene Veranstaltung mit Tiefgang. Herzlichen Dank an alle Referenten und Mitwirkenden. Begeleitet wurde das Symposium durch die professionellen Moderatoren Corinna Egerer und Philipp Otto, die mit viel Souveränität und Professionalität durch das Symposium geführt haben.

Ebenfalls herzlichen Dank an Hr. Dr. Joachim Nagel, Präsident der Deutschen Bundesbank, und Frau Prof. Dr. Claudia Buch, Vizepräsidentin der Deutschen Bundesbank, die infolge eines kollidierenden Termins bei der Bundesregierung an ihrer persönlichen Präsens verhindert waren; gleichviel haben sie es ermöglicht, das Symposium, sei es durch im Vorfeld aufgezeichneter Videoaufnahme, sei es durch eine Zuschaltung über Videokonferenz, zu begleiten. Die Beiträge waren sehr wertvoll. Wir im Auditorium wären natürlich für eine persönliche Präsens sehr dankbar gewesen.

Nachfolgend ein persönlicher Eindruck, der lediglich über einen kleinen Ausschnitt des Symposiums berichtet und dabei auf die zu erwartende aufsichtliche Praxis aus Sicht eines Kreditinstituts eingeht. Die sehr wertvollen weiteren Beiträge, die hier nicht genannt sind, sollen dabei nicht in den Hintergrund gedrängt werden.

Im Ergebnis ist eins klar: EZB, Bundesbank und BaFin werden durch die Energiewende, die Zinswende und die bevorstehende Transition gefordert. Besondere Herausforderungen mit verschiedenen Ungewissheiten werden  durch die Transition der Energiewende begründet. Diese Anforderungen verlangen solide Staatsfinanzen und robuste Finanzinstitute. Hierzu bedarf es einer zuverlässigen Datenlage; die bestehende Datenlage reicht in Teilen hierzu nicht aus.

Die Sichtweise der Kreditinstitute wurde u.a. im Rahmen einer Podiumsdiskussion sehr praxisnah von Frau Ines Dietze, Vorstandsvorsitzende der Sparkasse Göttingen und von Frau Marija Kolak, Präsidentin des Bundesverband der Deutschen Volks- und Raiffeisenbanken (BvR), dargestellt, die u.a. auf die bereits bestehenden hohen regulatorischen Anforderungen verwiesen.

Die Bafin hat für im kommenden Jahr Strukturänderungen mit bevorstehender Einführung des „Risikotoleranz-Rahmenwerk“ (auch „Risk tolerance framwork, (RiToF)“) angekündigt, die eine „risikoorientierte Aufsicht über die Kreditinstitute“ fördern sollen. Hiernach sollen die Kreditinstitute in vier Kategorien abhängig von Bedeutung und Risiko eingeteilt werden. Kategorie vier werden Kreditinstitute mit geringer Risikotoleranz und demzufolge hoher Aufsichtsintensität zugeordnet. Die Anzahl der Institute, die den Kategorien eins und zwei zuzuordnen sind, soll erhöht werden, verbunden mit einer Reduktion der Aufsichtstätigkeit der Institute in diesen Kategorien. Im Ergebnis beabsichtigt die BaFin weniger Ressourcen für Institute der Kategorie eins und zwei zu verwenden und mehr Ressourcen für Institute der Kategorien drei und vier. Zur Meidung eines Vorfalls vergleichbar der Insolvenz der Silicon Valley Bank wird die BaFin von ihren Informationsrechten und ihrem aufsichtlichen Instrumentarium im Bedarfsfall Gebrauch machen und hierbei einzelfallabhängig „keine falsche Nachsicht walten“ lassen. Dabei ist davon auszugehen, dass bereits 2023 eine stärkere risikoorientierte Planung aufsichtlicher Aktivitäten als in den Vorjahren erfolgt. Ab 2024 wird es zu einer deutlichen Verstärkung aufsichtlicher Aktivitäten kommen. Die BaFin hat darauf hingewiesen, dass Risikomanagement und -Governance „prioritäre Aufgaben“ für Bankmanagement und Aufsicht sind; hierbei handele es sich keineswegs um eine Aufgabe aus dem Bereich Compliance.

Ausblick von HAMMERSENs:

Bereits im gegenwärtigen Jahr 2023 und vermehrt in den Folgejahren ist von weiter steigenden Anforderungen an das Risikomanagement eines Kreditinstituts, insbesondere an Reportingpflichten auszugehen. Hier wird es u.a. um die Risikotragfähigkeit eines Kreditinstituts gehen, aber weitreichender auch um die Frage, ob das Institut den Mindestanforderungen an das Risikomanagement genügt. Bereits gegenwärtig sind die Anforderungen, die Kreditinstitute an ihre Dienstleister im Rahmen einer Auslagerung stellen müssen, hoch und von vielen Dienstleistern nicht zu erfüllen. Es wird zukünftig noch mehr auf eine Einzelfallbewertung bei Auslagerungssachverhalten ankommen. Ein Best-Practice-Ansatz bleibt abzuwarten. Mehr denn je wird Gewicht die Fähigkeit der Geschäftspartner erlangen, sich intensiv auszutauschen, um einvernehmlich geeignete Regelungen zu finden, die bestimmen, was aufsichtlich geleistet werden muss. Wir gehen davon aus, dass die Anforderungen an Auslagerungsverträge nochmals deutlich steigen werden.

Wir von HAMMERSENs sind auf Fragen der Auslagerung von Dienstleistungen, gleichviel ob auf Seiten des Kreditinstituts oder des Dienstleisters, spezialisiert.

München, den 06.07.2023

RA Jens Christoph Hammersen