Ein Gespräch mit Norbert Pieper, Sprecher für Versicherungsaufsicht bei der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) über das Prinzipienpapier für KI.
Herr Pieper, die bestehende Definition von Künstlicher Intelligenz reiche nicht aus, so heißt es da. Doch jeder weiß, dass eine Definition grundsätzlich schwierig ist. Wohin denkt die BaFin denn, wenn sie die Weiterentwicklung im Papier fordert?
Eine allgemein anerkannte Definition von Künstlicher Intelligenz (KI) gibt es ja zurzeit noch gar nicht. Die Herausforderung dabei ist nämlich, die die Abgrenzung von künstlicher Intelligenz zu klassischen Verfahren. Um das zugrundeliegende Themenfeld – nämlich den vermehrten Einsatz von informationstechnischen Systemen zur (teil-)automatisierten Bearbeitung von Entscheidungsprozessen – dennoch diskutieren und wo erforderlich auch regeln zu können, bleibt eine Definition jedoch unerlässlich. Insoweit hat die BaFin den Begriff KI schon 2018 in ihrer Studie „Big Data trifft auf künstliche Intelligenz“ als Kombination aus großen Datenmengen (Big Data), Rechenressourcen und maschinellem Lernen technisch definiert. Und dieses Verständnis von Künstlicher Intelligenz bildet die Basis der Definition des Finanzstabilitätsrats (Financial Stability Boards – FSB).
Inwiefern ist die BaFin denn eingebunden in die Vervollkommnung einer solchen Definition?
Die BaFin verfolgt und begleitet die nationalen und internationalen Entwicklungen in diesem Kontext eng – einmal aus der Allfinanzperspektive, aber auch bezogen auf die einzelnen Branchen. Sie veröffentlicht auch regelmäßig Hinweise auf die aufsichtliche Erwartungshaltung betreffend KI, so etwa das erwähnte Prinzipienpapier zu Big Data und KI vom 15. Juni 2021. Außerdem konsultiert die BaFin derzeit – gemeinsam mit der Deutschen Bundesbank – das Diskussionspapier „Maschinelles Lernen in Risikomodellen – Charakteristika und aufsichtliche Schwerpunkte“, was letztlich der Weiterentwicklung der Aufsichtspraxis dient.
Ist die Versicherungsbranche einbezogen?
Selbstverständlich kann sich auch die Versicherungsbranche an dieser Konsultation beteiligen. Darüber hinaus bleibt es allen von der BaFin beaufsichtigten Unternehmen unbenommen, beispielsweise im Rahmen einer Mitwirkung in entsprechenden Brancheninitiativen oder im Rahmen der laufenden Aufsicht den Austausch mit der BaFin zu suchen, auch zum Thema KI.
Wenn unternehmerische Entscheidungen auf algorithmischen Systemen beruhen, wer soll aus Sicht der BaFin die Verantwortung tragen?
Mit dieser Thematik hat sich die BaFin zuletzt in dem bereits erwähnten Prinzipienpapier auseinandergesetzt. Für materielle unternehmerische Entscheidungen und somit auch für unternehmensweite Strategien und Richtlinien ist stets der Vorstand selbst verantwortlich – auch dann, wenn die Entscheidungen auf Algorithmen fußen.
Erfordert das nicht aber spezielle Berichtsformate und ein entsprechendes Verständnis bei der Geschäftsleitung von Versicherern und Banken?
Richtig, neben einem adäquaten technischen Verständnis der Geschäftsleitung müssen die Berichtslinien und Berichtsformate so gestaltet sein, dass eine risikoadäquate und adressatengerechte Kommunikation gesichert ist – und zwar von der Ebene des Modellierens bis hin zur Geschäftsleitung. Neben dem genannten Prinzipienpapier hat die BaFin bereits Ende des Jahres 2017 die Entscheidungsmaßstäbe für die Bestellung von IT-Spezialisten zu Geschäftsleitern von Versicherungsunternehmen und Banken angepasst. Auf diese Weise hat sie im Spannungsfeld zwischen den Anforderungen an die grundlegende fachliche Eignung, die zur Wahrnehmung der Gesamtverantwortung aller Geschäftsleiter notwendig ist, und dem zunehmend erforderlichen Spezialwissen mehr Raum für die Bestellung von IT-Spezialisten zu Geschäftsleitern geschaffen (Fachartikel „IT-Kompetenz in der Geschäftsleitung“).
Reden wir doch mal über Risiken - welche Rolle spielt das Verursacherprinzip bei algorithmischen Entscheidungsprozessen?
Bei der Etablierung eines adäquaten Risikomanagements ist es sinnvoll, die Risiken eines algorithmischen Entscheidungsprozesses zu berücksichtigen: Risikomitigierende Maßnahmen und Prozesse sollten nach dem Verursacherprinzip genau da ansetzen, wo ein Risiko seinen Ursprung hat. Und es sollten die Wahrscheinlichkeit und das potenzielle Ausmaß von Schäden durch fehlerhafte algorithmenbasierte Entscheidungen klar analysiert werden; schließlich sollten diese Analyse dokumentiert werden. Und außerdem sollte ein übergreifendes Rahmenwerk im Unternehmen etabliert werden, das eine Aufstellung aller algorithmenbasierten Entscheidungsprozesse und deren wechselseitige Abhängigkeit berücksichtigt (z.B. „Model Risk Management Framework“). Letztlich ist die Geschäftsleitung verantwortlich für die Erarbeitung geeigneter Leitlinien beziehungsweise Richtlinien, die dann im Rahmen der üblichen aufsichtlichen Prozesse überprüft werden.
Wo sieht die Aufsicht KI-Hersteller in der Pflicht?
Hersteller von KI-Anwendungen unterliegen grundsätzlich nicht der Aufsicht durch die BaFin – es sei denn, die betreffenden Unternehmen betreiben auch erlaubnispflichtige Geschäfte. Die beaufsichtigten Unternehmen sind weiterhin erster Adressat aufsichtlicher Erwartungshaltungen und Anforderungen. Dies gilt auch im Falle einer Ausgliederung (vgl. § 32 VAG).
Es gibt Unternehmen, deren Geschäftsmodell besonders datengetrieben ist; Versicherer gehören dazu. Haben solche Unternehmen Ihrer Ansicht nach Nachholbedarf bei Datenstrategie und Data-Governance?
Grundsätzlich verfolgen Versicherungen ein datengetriebenes Geschäftsmodell. Man sollte daher annehmen, dass Versicherer den Umgang mit Daten und die Datenverarbeitung beherrschen. Eine Branchenabfrage zum Thema Cyber-Sicherheit aus dem Jahr 2017 hat jedoch gezeigt, dass es bei einigen Unternehmen teilweise noch Nachholbedarf gab (Link zum Fachartikel „Cybersicherheit: BaFin-Abfrage bei deutschen Versicherern“). Um ihre Erwartungshaltung klar zu kommunizieren, hat die BaFin in ihrem Rundschreiben 10/2018 versicherungsaufsichtliche Anforderungen an die IT (VAIT) veröffentlicht. Hier finden sich ausführliche Hinweise dazu, was die BaFin von den Versicherungsunternehmen bezogen auf Datensicherheit und -verarbeitung verlangt.
Kann man sagen, dass der strategische und rechtmäßige Umgang mit Daten eine Kernherausforderung bleibt?
Natürlich, denn um in einem zunehmend digitalisierten Marktumfeld zu bestehen, ist das von größter Bedeutung. Das Vertrauen der Kunden in die Unternehmen, als auch die Fähigkeit der Versicherer, neue Geschäftsbereiche zu erschließen und sich auf die Herausforderungen eines neuen Marktumfelds einzustellen, werden von einer soliden Datenstrategie und -governance bestimmt, auch unter aufsichtlicher Betrachtung.
Vielen Dank, Herr Pieper!