KI-Compliance für Vermögensverwalter: Sechs essenzielle Schritte
Einführung in die Nutzung von KI in der Vermögensverwaltung
Künstliche Intelligenz (KI) hat in der Vermögensverwaltung erheblichen Einfluss gewonnen. In diesem Bereich finden sich verschiedene Anwendungen, darunter Chatbots, Programme zur Generierung von Texten und Bildern, intelligente Analytik-Tools und spezialisierte Compliance-Lösungen. Diese Technologien werden eingesetzt, um große Datenmengen zu verarbeiten, Muster zu identifizieren und Markttrends zu analysieren. Oftmals handelt es sich dabei um Upgrades bestehender Cloudlösungen, wie beispielsweise in der Marktdatenanalyse oder im Risikomanagement, die durch KI-Funktionalitäten ergänzt werden. In anderen Fällen werden neue Tools erworben und in die bestehenden Systeme integriert, insbesondere zur Automatisierung operativer Abläufe. Zudem entwickeln einige Unternehmen eigene KI-Lösungen, wie Robo-Advisor, die zur automatisierten Vermögensverwaltung dienen.
Ein zentraler Aspekt ist, dass all diese Anwendungen unter den rechtlichen Rahmen des „AI-Act“ fallen, der am 1. August 2024 in Kraft tritt. Das Hauptziel dieser europäischen KI-Verordnung ist die Schaffung eines einheitlichen Rechtsrahmens, der das Vertrauen in KI-Technologien fördern und gleichzeitig potenzielle Risiken für die Nutzer und Endkunden adressieren soll. Dies betrifft nicht nur die Entwicklung komplexer KI-Modelle, sondern auch deren alltägliche Nutzung in Unternehmen und Behörden.
Definition von KI-Systemen und ihre Anwendungen
Der Anwendungsbereich der KI-Verordnung wird eröffnet, wenn ein KI-System in einem Unternehmen zum Einsatz kommt. Ein KI-System ist definiert als Software, die in der Lage ist, autonom zu agieren und Anpassungsfähigkeit zu zeigen, indem es aus eingehenden Daten spezifische Ausgaben wie Vorhersagen, Inhalte, Empfehlungen oder Entscheidungen ableitet. Diese Definition umfasst eine Vielzahl an Anwendungen, von komplexen Systemen wie Large Language Models (LLMs) bis hin zu gut etablierten Programmen, darunter Übersetzungssoftware, Sprachassistenten und Chatbots.
Beispiele für KI-Anwendungen:
- Chatbots: Diese automatisierten Systeme bearbeiten Standardanfragen und helfen bei der Terminvereinbarung.
- Automatisierte Portfoliosteuerung: Tools scannen Märkte selbständig und generieren Handelssignale.
- Dokumentenprüfung und Compliance-Tools: Diese Anwendungen lesen, verarbeiten und bewerten Dokumente wie Beraterprotokolle oder Vertragsklauseln mithilfe von KI.
- Robo Portfolio Manager: Diese Systeme übernehmen die automatisierte Vermögensverwaltung, indem sie Marktdaten ständig auswerten und mit Anlegerprofilen abgleichen.
Kategorisierung von KI-Risiken
Die KI-Verordnung unterscheidet verschiedene Risikogruppen für KI-Systeme. Zunächst gibt es die Kategorie der verbotenen Praktiken, die gänzlich untersagt sind. Dazu zählen Systeme, die als besonders risikobehaftet gelten, wie „Social Scoring“ und biometrische Identifizierungssysteme, die in Echtzeit arbeiten und täuschende Manipulationen einsetzen.
1. Verbotene Praktiken
Diese Systeme bergen unannehmbare Risiken und dürfen innerhalb der EU nicht verwendet werden. Die Verordnung sieht hier klare Grenzen vor, um potenziell schädliche Anwendungen auszublenden.
2. Hochrisiko-KI-Systeme
Im Gegensatz dazu sind Hochrisiko-KI-Systeme nicht per se verboten, unterliegen jedoch strengen Auflagen. Die europäische Regulierung stuft Software, die signifikante Risiken für Gesundheit, Sicherheit oder Grundrechte der Bürger der EU mit sich bringt, als Hochrisiko ein. Zu diesen Bereichen zählen unter anderem kritische Infrastrukturen, der Arbeitsmarkt sowie der Zugang zu grundlegenden Dienstleistungen. In der Finanzbranche fallen insbesondere Kreditwürdigkeitsprüfungen in den Hochrisiko-Bereich, während andere Finanzdienstleistungen oft nicht als hochriskant klassifiziert werden.
3. Geringes oder kein Risiko
Wenn ein KI-Tool nicht unter die verbotenen Praktiken oder Hochrisiko-Systeme fällt, kann es mit reduzierten regulatorischen Anforderungen eingesetzt werden. Hierbei müssen allerdings stets die Nutzer geschult werden, damit sie über die erforderlichen Kenntnisse im Umgang mit KI verfügen. Zudem werden Transparenzpflichten wirksam, besonders in der Interaktion zwischen KI-Systemen und externen Nutzern.
Betreiber vs. Anbieter von KI-Systemen
Ein zentraler Aspekt der KI-Verordnung ist die Unterscheidung zwischen Betreibern und Anbietern von KI-Lösungen. Vermögensverwalter sind typischerweise Lizenznehmer, wenn sie fremdentwickelte KI-Tools verwenden, wodurch sie als Betreiber klassifiziert werden. Wenn sie jedoch eigene Lösungen entwickeln, gelten sie als Anbieter. Diese Unterscheidung ist von Bedeutung, da sie unterschiedliche regulatorische Anforderungen nach sich zieht: Betreiber haben weniger Verpflichtungen als Anbieter, die zusätzliche Dokumentation und Registrierung bei den zuständigen Behörden erfordern.
In Deutschland sind die relevanten Aufsichtsbehörden die Bundesnetzagentur oder die BaFin, je nach Anwendungsgebiet der eingesetzten KI-Software. Vermögensverwalter sollten daher 노력end zu verstehen, welche Rolle sie einnehmen, um unnötige regulatorische Risiken zu vermeiden. Das klare Abgrenzen der Rolle ist entscheidend, da bereits mithilfe von Anpassungen oder anderen Formen der Mitentwicklung einer Lösung die Einstufung als Anbieter erzielt werden kann.
Regulatorische Verpflichtungen gemäß der KI-Verordnung
Der Verpflichtungskatalog für Unternehmen muss im Einzelnen festgelegt werden. Allgemeine Grundsätze sind jedoch klar definiert:
- Schulung der Mitarbeiter und externen Dienstleister im Umgang mit KI-Systemen ist verpflichtend.
- Die Interaktion mit externen Nutzern muss transparent kommuniziert werden.
- Anbieter müssen umfassende Dokumentationspflichten erfüllen und sich registrieren lassen.
- Bei Hochrisiko-KI-Systemen ist eine Grundrechts-Folgenabschätzung erforderlich, gefolgt von der Implementierung eines Compliance-Systems.
- Zusätzlich müssen Risikomanagement- und Qualitätsmanagementsysteme für Anbieter von Hochrisiko-KI installiert werden.
Fazit: Was Unternehmen beachten sollten
Die Vorgaben der KI-Verordnung werden schrittweise aktiviert. Die Schulungspflicht und das Verbot unzulässiger Praktiken sind bereits ab dem 2. Februar 2025 zu beachten, während die meisten weiteren Verpflichtungen für Hochrisiko-KI-Systeme erst ab dem 2. August 2026 wirksam werden. Unternehmen sollten bereits heute prüfen, ob sie Hochrisiko-KI-Systeme verwenden oder planen, diese in Zukunft zu implementieren. Eine rechtzeitige Vorbereitung ist entscheidend, um die erforderlichen Prozesse zu etablieren und die Compliance sicherzustellen.
Empfohlen wird, alle eingesetzten KI-Systeme zu inventarisieren, Risiken zu klassifizieren und die jeweilige Rolle als Betreiber oder Anbieter zu definieren. Die Einrichtung einer entsprechenden Compliance-Struktur sowie Prozesse für die Implementierung und das Monitoring neuer oder angepasster KI-Systeme sollten ebenfalls priorisiert werden.