Im Juni 2023 hat das Europäische Parlament beschlossen, dem Gesetzesentwurf zum AI-Act zuzustimmen, was von einem großen Medienecho und kontroversen Diskussionen begleitet wurde. Damit hat der umstrittene AI-Act als weltweit erste umfassende Gesetzesinitiative zum Thema KI gut zwei Jahre nach den ersten Entwürfen der EU-Kom-ission eine weitere Hürde im europäischen Gesetzgebungsprozess genommen.

Der Schwerpunkt des AI-Acts liegt auf dem Verbraucherschutz. Spezifische Anforderungen an Bankgeschäfte machen nur einen kleinen Teil aus.
In diesem Beitrag werden wesentliche Inhalte des Entwurfs skizziert und mögliche (regulatorische) Auswirkungen auf die Finanzindustrie beleuchtet. Die Auswirkungsanalyse konzentriert sich auf drei Kernfragen:

•    Welche Bankprozesse sind theoretisch vom AI-Act betroffen?
•    Wie übersetzt sich die Betroffenheit in die Bankpraxis?
•    Was ist zu tun, wenn ein System in den Geltungsbereich fällt?

Struktur und Inhalt
Der AI-Act gliedert sich in 89 einleitende Absätze mit Erwägungsgründen zum nachfolgenden Inhalt, bestehend aus 12 Titeln, 85 Artikeln und 9 Anhängen. Insgesamt ergibt sich ein Umfang von ca. 120 Seiten, wenn der 20-seitige Finanzbogen zu den Rechtsakten nicht berücksichtigt wird.
Für die Zwecke dieses Artikels ist Titel III hervorzuheben, der sich unter anderem mit den Klassifizierungen von, den Anforderungen an Hochrisiko-KI-Systeme sowie den aus den Anforderungen resultierenden Pflichten für Anbieter und Betreiber befasst. Von besonderer Relevanz ist auch Anhang III, der die gesellschaftlichen Bereiche auflistet, in denen der Betrieb eines KI-Systems als Hochrisiko-KI-System definiert wird.

Zentrale Bedeutung des risikobasierten Ansatzes
Entscheidend für die regulatorische Behandlung des KI-Systems ist dessen Klassifizierung gemäß den Vorgaben des AI-Acts. KI-Systeme werden hierin in die folgenden drei wesentlichen Gruppen unterteilt:

•    Verbotene Praktiken (Titel II, Art. 5),
•    Hochrisiko (Titel III, Anhang III),
•    alle weiteren KI-Systeme werden als KI-System adressiert. (bspw. Titel IX, bedingt auch Titel IV).

Das Spektrum reicht von einem Verbot in Gruppe 1 über eine Erlaubnis mit Auflagen für sog. Hochrisikosysteme bis hin zu letztlich freiwilligen Transparenzvorschriften für Systeme, die nicht in den Gruppen 1 und 2 genannt sind.
In Anhang III werden zwölf Bereiche genannt (u. a. Bildung, Behörden, Social-Scoring, Strafverfolgung), die auch die Kreditwürdigkeit beinhalten, auf die der Fokus dieses Artikels gelegt wird. Im Speziellen fällt gemäß Anhang III, Abs. 5b die „Kreditwürdigkeitsprüfung und Kreditpunktebewertung“ unter die Definition der Hochrisikosysteme.

Welche Risikomanagement Prozesse aus regulatorischer Sicht betroffen sind
In diesem Kapitel werden die Auswirkungen des AI-Act auf die Bankprozesse erörtert. Maßgebliche Regelungen zur Betroffenheit von Risikomanagementprozessen finden sich in Anhang III, Abs. 5b: „KI-Systeme, die bestimmungsgemäß für die Kreditwürdigkeitsprüfung und Kreditpunktebewertung natürlicher Personen verwendet werden sollen, mit Ausnahme von KI-Systemen, die zur Aufdeckung von Finanzbetrug verwendet werden”.
Betroffen sind folglich Prozesse aus dem Kreditrisikomanagement, die mit der Kreditentscheidung und Konditionenfindung für Kredite an natürliche Personen in Verbindung stehen. Firmenkundenportfolien sowie Gebietskörperschaften sind von den Bestimmungen nicht betroffen.

(…)

Den vollständigen Artikel aus der Ausgabe „die bank“ 10.2023 können Sie bei Genios kaufen.

Autoren
Sandra Schmolz, Managerin im Bereich Risiko und Regulatorik bei RFC Professionals, Oestrich-Winkel.
Sebastian Kalmbach ist als Manager im Bereich quantitatives Risikomanagement im gleichen Unternehmen tätig.