Der EU AI Act stellt neue Herausforderungen an Finanzdienstleister. Insbesondere die Inventarisierung und Kategorisierung von KI-Systemen sind entscheidend, um Compliance zu gewährleisten, vor Risiken zu schützen und die Effizienz interner Prozesse zu erhöhen.
Der EU AI Act bringt umfassende regulatorische Vorgaben für den Einsatz von Künstlicher Intelligenz in Europa mit sich. Besonders für Finanzdienstleister, die auf KI-gestützte Systeme angewiesen sind, ist es essenziell, diese Systeme gründlich zu inventarisieren und in die entsprechenden Risikoklassen einzuordnen. Eine sorgfältige Inventarisierung stellt sicher, dass alle relevanten KI-Systeme erfasst werden und erleichtert die nachfolgende Kategorisierung, die zur Einhaltung der gesetzlichen Vorgaben unerlässlich ist.
Die Risikobewertung von KI-Systemen nach dem EU AI Act erfordert nicht nur eine gründliche Bestandsaufnahme, sondern auch eine klare Kategorisierung der Systeme nach Risikoklassen. Diese Prozesse sind entscheidend, um potenzielle Risiken frühzeitig zu erkennen und zu minimieren. Finanzdienstleister, die diesen Anforderungen proaktiv nachkommen, können nicht nur regulatorische Compliance sicherstellen, sondern auch ihre internen Abläufe optimieren und ihre Stellung im Markt stärken.
Definition von KI-Systemen nach dem EU AI Act
Der Begriff „KI-System“ wird als ein maschinengestütztes System definiert, das für einen autonomen Betrieb ausgelegt ist und nach seiner Inbetriebnahme anpassungsfähig sein kann. Ein solches System muss in der Lage sein, Eingaben zu analysieren und daraus sowohl explizite als auch implizite Ziele abzuleiten, um entsprechende Ausgaben zu generieren. Diese Ausgaben können Vorhersagen, Inhalte, Empfehlungen oder Entscheidungen umfassen und müssen physische oder virtuelle Umgebungen beeinflussen können.
Inventarisierung von KI-Systemen nach dem EU AI Act
Im Schritt der Inventarisierung von KI-Systemen ist es für Finanzdienstleister erforderlich, die Anwendungsbereiche aller Systeme zu identifizieren und entsprechend zu inventarisieren, um einen Überblick darüber zu gewinnen, welche Systeme genutzt werden. Dies sollte geschehen, bevor die einzelnen Systeme einer Risikoklasse zugeteilt werden, da bereits innerhalb der Anwendungsbereiche unterschiedliche regulatorische Anforderungen bestehen.
Die Inventarisierung sollte immer vor der Kategorisierung stattfinden, um Ressourcen zu sparen und Risiken zu minimieren. Als regulatorische Parallele findet sich hierzu u.a. Art. 8 der Verordnung (EU) 2022/2554 (DORA). Demnach müssen IKT-Risiken verpflichtend identifiziert, inventarisiert und bewertet (klassifiziert) werden.
Einfluss der Inventarisierung für Finanzdienstleister
Finanzinstitute sollten umgehend damit beginnen, sich intensiv mit der Umsetzung der Anforderungen des EU AI Acts und anderer regulatorischer Verordnungen auseinanderzusetzen. Viele der bereits genutzten statistischen Modelle, wie z.B. die logistische Regression oder die Diskriminanzanalyse, könnten unter die neuen Regelungen fallen. Es ist entscheidend, dass Institute die verschiedenen Risikoklassen sorgfältig analysieren und entsprechende Maßnahmen ergreifen, um den neuen Regelungen zu entsprechen. Eine gründliche Vorbereitung ist notwendig, um den gesetzlichen Vorgaben fristgerecht nachzukommen und potenzielle Risiken zu minimieren.
Empfehlungen für eine erfolgreiche Inventarisierung
Für eine erfolgreiche Inventarisierung ist es entscheidend, wesentliche Details jedes KI-Systems zu dokumentieren und auszuwerten. Dabei sollte der Fokus auf den Namen des KI-Systems, seine Beschreibung, seinen Zweck, die jeweils verantwortlichen Teams, die Betriebsumgebung, etwaige Testläufe, Kontrollmechanismen sowie die verwendeten Datenquellen und Datenoutputs liegen.
Durch eine systematische Erfassung und Verwaltung können Risiken besser kontrolliert und die Einhaltung der verschiedenen regulatorischen Vorgaben, insbesondere des EU AI Acts, gewährleistet werden. Eine Inventarisierung verschafft Finanzinstituten eine transparente und organisierte Übersicht über ihre Anwendungssysteme, was das Verständnis erleichtert, wie und wo KI-Systeme eingesetzt werden.
Außerdem kann so sichergestellt werden, dass alle Systeme den gesetzlichen und ethischen Standards entsprechen. Risiken können frühzeitig identifiziert und geeignete Maßnahmen ergriffen werden, um diese zu mitigieren. Gleichzeitig wird dadurch ein ideales Fundament für die Risikoklassifizierung der einzelnen Systeme geschaffen.
Kategorisierung von KI-Systemen nach dem EU AI Act
Nach einer erfolgreichen Inventarisierung sollte eine umfassende Kategorisierung aller betroffenen KI-Systeme erfolgen. Finanzinstitute müssen ihre derzeit verwendeten Systeme dahingehend überprüfen, ob diese unter die genannte Definition eines „KI-Systems“ fallen. Die EU verfolgt mit dem EU AI Act einen risikobasierten Ansatz, was bedeutet, dass je höher das Risiko einer Anwendung eingeschätzt wird, desto strenger die entsprechenden Vorschriften sind. KI-Systeme müssen spezifische Anforderungen und Pflichten gemäß ihrer Risikoklasse erfüllen. Die Risikoklassen sind wie folgt aufgeteilt:
- Verbotene Systeme (i) (Art. 5 EU AI Act)
- Hochrisiko-KI-Systeme (ii) (Art. 6 EU AI Act)
- Systeme mit geringem Risiko (iii) (Art. 50 EU AI Act)
- Systeme mit minimalem Risiko (iv) (vgl. Art. 56 EU AI Act)
Zudem gibt es spezielle Anforderungen für KI-Modelle mit allgemeinem Verwendungszweck, zu denen auch generative KI-Anwendungen zählen. Eine solche Risikoklassifizierung sollte regelmäßig (mindestens jährlich) durchgeführt werden, um bei Bedarf rechtzeitig Anpassungen vornehmen zu können. Für die unterschiedlichen Risikoklassen gibt es gemäß dem EU AI Act verschiedene Anforderungen und Pflichten.
Empfehlungen für eine erfolgreiche Kategorisierung und weitere Handlungen
Nach der Erfassung und Identifizierung der potenziell betroffenen KI-Systeme sollten diese direkt in den Risikobewertungsprozess übergehen. In diesem Prozess sollten die Systeme nach Kriterien wie Sicherheit, Transparenz, Datenschutz, ethischen Aspekten und potenziellen gesellschaftlichen Auswirkungen überprüft werden.
Auf dieser Basis erfolgt anschließend die Einstufung in die Risikoklassen – geringes, mittleres oder hohes Risiko – entsprechend den Standards und Vorgaben des EU AI Acts. Je nach Einstufung in eine Risikoklasse sind spezifische Anforderungen und Pflichten zu erfüllen. Dazu gehören Anforderungen an Transparenz, Erklärbarkeit, Datenschutz, Sicherheit, Überwachung und Berichterstattung.
Darüber hinaus wird empfohlen, das System auf potenzielle Maßnahmen bei regulatorischen „Lücken“ abzustimmen. Dieser Prozess sollte hinreichend dokumentiert werden, um eine systematische Nachverfolgung und Berichterstattung zu gewährleisten.
Vorteile einer erfolgreichen Kategorisierung
Durch eine erfolgreiche Kategorisierung kann eine effiziente Risikobewertung erfolgen, insbesondere dann, wenn die betroffenen Systeme schnell identifiziert werden. Dies trägt zur Compliance-Sicherheit bei, da Finanzdienstleister damit gewährleisten, dass alle relevanten Anforderungen des EU AI Acts erfüllt und potenzielle Risiken frühzeitig erkannt werden. Je enger die Zusammenarbeit zwischen der Inventarisierung und der Kategorisierung ist, desto konsistenter kann die Bewertung erfolgen, wodurch die Effektivität und Effizienz der internen Prozesse weiter erhöht werden.
Fazit/Handlungsbedarf
Die erfolgreiche Umsetzung der Anforderungen des EU AI Acts bietet Finanzdienstleistern die Möglichkeit, ihre KI-Systeme effektiv und sicher einzusetzen. Eine gründliche Inventarisierung und Kategorisierung legen dabei den Grundstein für eine robuste Risikomanagementstrategie. Durch regelmäßige Überprüfung und Anpassung können Institute nicht nur die Compliance sicherstellen, sondern auch ihre Wettbewerbsfähigkeit steigern. Der EU AI Act eröffnet somit Chancen, Risiken besser zu kontrollieren und gleichzeitig Innovationen im Bereich Künstlicher Intelligenz verantwortungsvoll voranzutreiben.
Christophe Crnkovic ist Koautor des Beitrags. Er ist Partner im Bereich FSI Assurance und in der Beratung von Kreditinstituten hinsichtlich aufsichtsrechtlicher Meldeanforderungen und in Umsetzungprojekten der Rechnungslegung tätig. Er verfügt über langjährige Berufserfahrung in den Bereichen Rechnungslegung IFRS/HGB sowie aufsichtsrechtlicher Meldeanforderungen wie FinREP, MaRisk und AnaCredit.
Jan Strüter ist Koautor des Beitrags. Er ist Consultant im Bereich FSI Audit & Assurance bei Deloitte. Er verfügt über mehrjährige Erfahrung in der Beratung und Prüfung von Banken und Versicherungen. Seine Schwerpunkte liegen in der Prozessanalyse und -optimierung sowie Erlaubnisantragstellung und KI-Regulierung als auch in der Analyse und Umsetzung von Vorschriften des Banken- und Kapitalmarktrechts.
Mehr über das Partnerkonzept des Bank Blogs erfahren Sie hier.