Künstliche Intelligenz kommt im Bankwesen immer häufiger zum Einsatz. Bei der Analyse von E-Mails und Dokumenten, in Form von Chatbots in der Kundenkommunikation oder der Erkennung von Betrugsversuchen – die Anwendungsszenarien sind vielfältig und werden in den kommenden Jahren voraussichtlich noch umfangreicher.
Für die Europäische Union gibt es in diesem Bereich auf der Unternehmensebene einen klaren Bedarf, die Nutzung von KI zu regeln. Mit dem EU AI Act gibt es seit August 2024 einen einheitlichen europäischen Rahmen für den Einsatz von KI. Dem Gesetz liegt beispielsweise zugrunde, dass Grundrechte gewahrt werden müssen und KI-Anwendungen nicht missbraucht werden dürfen.
Erste Punkte des Gesetzes müssen seit 2. Februar 2025 umgesetzt werden, dazu gehört unter anderem, dass Mitarbeiter*innen in der Nutzung von Künstlicher Intelligenz geschult werden. So möchte der Gesetzgeber sicherstellen, dass Nutzer*innen die neuen rechtlichen Anforderungen verstehen und in der Praxis umsetzen können.
Was regelt der EU AI Act?
Der EU AI Act hat das Ziel, KI-Systeme in verschiedene Risikoklassen einzuteilen und klare Anforderungen an die Nutzung innerhalb der unterschiedlichen Klassen zu stellen. Dies wirkt sich im Banking auf Bereiche aus, wo KI beispielsweise für Kreditentscheidungen oder auch im Risikomanagement eingesetzt wird.
Welche KI-Systeme sind durch den EU AI Act betroffen?
KI-Anwendungen werden in vier Klassen unterteilt:
Unzulässige KI (z. B. Social Scoring), diese werden mit dem EU AI Act verboten.
Hochrisiko-KI(z. B. Kreditprüfungen, AML-Scoring), hier gelten strenge Anforderungen.
Begrenztes Risiko (z. B. Chatbots), Unternehmen sind dort zur Transparenz verpflichtet.
Minimales Risiko (z. B. Marketing-Tools), dabei sieht der Act keine Vorschriften vor.
Der EU AI Act wird stufenweise umgesetzt. Seit Februar 2025 sind verbotene KI-Praktiken im Fokus. Die Regelungen zu Hochrisiko-KI gelten dann ab August 2026. In diesem Zuge muss eine Klassifizierung sämtlicher KI-System erfolgen, da auch KI-Systeme mit begrenztem Risiko an Anforderungen aus dem EU AI Act gebunden sind.
Banken und deren Dienstleister müssen also prüfen, in welche Klasse die im Einsatz befindlichen KI-Systeme fallen und welche Anforderungen hierfür gelten.
Welche konkreten Anforderungen leiten sich für Hochrisiko-KI ab?
Banken, die Anwendungen aus der Hochrisiko-Klasse einsetzen, müssen sich mit den verschärften Vorschriften auseinandersetzen. Dabei ist die Bewertung der einzelnen Use Cases notwendig, um zu entscheiden, inwiefern es sich um eine Hochrisiko-Einstufung handelt.
Bei einfacheren Anwendungsfällen wie beispielsweise einer Fotoüberweisung kann KI auch mit dem EU AI Act problemlos eingesetzt werden.
Zu den wichtigsten Anforderungen zählen Transparenz und Erklärbarkeit, denn KI-Entscheidungen müssen stets nachvollziehbar sein. Zudem ist eine menschliche Kontrolle erforderlich, um sicherzustellen, dass KI-basierte Prozesse nicht unkontrolliert ablaufen.
Die verwendeten Daten müssen qualitativ hochwertig sein und dürfen keine diskriminierenden Muster enthalten. Gleichzeitig muss sichergestellt werden, dass die KI-Systeme robust und sicher gegen Manipulationen und Fehler sind.
Wie können Banken die Anforderungen umsetzen?
Um den vielfältigen Anforderungen gerecht zu werden, sollten Banken zunächst eine Bestandsaufnahme ihrer KI-Systeme durchführen und diese den entsprechenden Risikokategorien zuordnen. Zudem sollten interne Compliance-Prozesse angepasst werden, um den neuen regulatorischen Rahmenbedingungen zu entsprechen. Besondere Aufmerksamkeit sollte auf Bias- und Fairness-Kontrollen gelegt werden. So können Banken sicherstellen, dass KI-Modelle keine diskriminierenden Entscheidungen treffen.
Arbeitshilfen für die GFG
Für die Genossenschaftliche FinanzGruppe werden umfangreiche Arbeitshilfen zur Umsetzung der Anforderungen des AI Acts vom Bundesverband für Volksbanken und Raiffeisen bereitgestellt. Weitere Infos finden sich im BVR-Extranet: Rahmenbedingungen
Regelmäßiges Monitoring und Updates der eingesetzten KI-Modelle tragen dazu bei, die Einhaltung der Vorschriften langfristig sicherzustellen und rechtliche Risiken zu minimieren.
Fazit: Schnell handeln, langfristig planen
Der EU AI Act bringt umfassende Änderungen für Banken mit sich. Die Institute sollten sich sukzessive mit den Anforderungen befassen und diese Schritte für Schritt in den Bankenalltag integrieren. Dabei ist es gleichzeitig wichtig, sich auch auf weitere Anforderungen vorzubereiten und die Umsetzungen als langfristige Zukunftsaufgabe zu verstehen.