Zukünftiger Aufsichtsschwerpunkt? EBA veröffentlicht Final Report zu Big Data und Advanced Analytics

Am 13. Januar 2020 veröffentlichte die European Banking Authority (EBA) ihren Report zu Big Data und Advanced Analytics (EBA/REP/2020/01) („BD&AA“) im Finanzsektor. Rechtliche Grundlage ist Art. 9 Abs. 2 der Verordnung (EU) 1093/2010, nach der die EBA „neue (…) Finanztätigkeiten“ überwachen und „Leitlinien und Empfehlungen annehmen [kann], um die Sicherheit und Solidität der Märkte und die Angleichung im Bereich der Regulierungspraxis zu fördern.“ Bereits in ihrer Fintech-Roadmap vom 15. März 2018 hatte die EBA angekündigt, aktuelle Entwicklungen in der Finanztechnologie stärker ins Auge zu fassen und in einem ersten Schritt die für eine künftige Regulierung erforderliche Wissensbasis zu schaffen. Der Gemeinsame Ausschuss der Europäischen Aufsichtsbehörden (EBA, ESMA und EIOPA) hatte sich zuvor schon 2016 in einem Diskussionspapier (JC 2016 86) und 2018 in seinem darauffolgenden Final Report (JC/2018/04) mit BD&AA-Technologien befasst.

Kurzum: Die Aufsichtsbehörden haben das Thema für sich entdeckt.

Big Data und Advanced Analytics im Finanzsektor

Befasst man sich genauer mit Chancen und Risiken von BD&AA im Finanzbereich, verwundert das neue Interesse der Aufsichtsbehörden keinesfalls. Unter dem Titel „Big Data“ und „Advanced Analytics“ werden gemeinhin schlagwortartig Technologien zur schnellen Analyse großer Datenmengen zusammenfasst. Datenansammlungen, die vormals als zu groß oder zu unstrukturiert galten, um hieraus sinnvolle Entscheidungsempfehlungen abzuleiten, lassen sich nun in vielen Bereichen mittels komplexer Algorithmen in einem praxistauglichen Zeitraum auswerten.

Beispiele für die Verwendung derartiger Technologien gibt es viele, wobei sich das Ausmaß der Nutzung in den verschiedenen Bereichen mitunter noch stark unterscheidet. Verbreitet sind BD&AA-Technologien naheliegenderweise im Versicherungswesen zur laufend aktualisierten Risikobewertung. Im Finanzsektor greifen Unternehmen z.B. bei der automatisierten Anlagevermittlung und -beratung (sog. „Robo Advisory“) auf derartige Technologien zurück. Geradezu flächendeckend ist ihr Gebrauch inzwischen im Hochfrequenzhandel mit Wertpapieren.

Der Hochfrequenzhandel ist gleichzeitig ein eindrückliches Beispiel für einen besonders relevanten Teilbereich der „Advanced Analytics“, in dem in den letzten Jahren eine rasante Entwicklung stattgefunden hat: „Artificial Intelligence“ bzw. „Machine Learning“ („AI/ML“). Diese Technologien ermöglichen es dem System, autonom hochkomplexe Zusammenhänge aus relativ unstrukturierten Datensätzen zu „erlernen“. Eine wesentliche Herausforderung ist hierbei, dass auch der Algorithmus selbst komplexer wird – und schließlich sogar unverständlich werden kann (sog. „black box“).

Einzelne Empfehlungen oder Entscheidungen auf Grundlage des Algorithmus werden auf diese Weise für den Verwender immer schwerer rekonstruierbar. Das inhärente Risiko der Technologie liegt also in den Grenzen menschlicher Überwachung. Der Hochfrequenzhandel, in dem bereits heute ein Großteil der Akteure auf AI/ML-Technologien zurückgreifen, zeigt das deutlich: An- und Verkaufsentscheidungen sind hier schon aus zeitlichen Gründen von Menschen nicht mehr sinnvoll kontrollierbar. Fehlerhaft funktionierende künstliche Intelligenzen könnten auf diese Weise erhebliche Schäden verursachen, bevor manuell eingegriffen werden kann.

Der Final Report der EBA und die bestehende Regulierung von BD&AA

Entsprechend der in ihrer „Roadmap“ beschriebenen Vorgehensweise erstellte die EBA zunächst noch keine Empfehlungen oder gar Leitlinien für den Umgang der nationalen Aufsichtsbehörden mit BD&AA. Vielmehr geht es der EBA in ihrem Report darum, das Wissen um den derzeitigen Gebrauch von BD&AA im Finanzsektor mit den nationalen Aufsichtsbehörden (und anderen Interessierten) zu teilen und regulatorisch sensible Bereiche abzustecken. Dennoch sollten betroffene Unternehmen diese Entwicklung aufmerksam verfolgen: Es bahnt sich ein neuer Aufsichtsschwerpunkt an!

Nach einer Analyse der derzeitigen Verwendung von BD&AA im Finanzsektor benennt der Report vier „Säulen“ von BD&AA, die Unternehmen bei der Entwicklung und Implementierung von BD&AA-Technologien zu beachten hätten:

• Datenmanagement: Wie werden welche Daten verarbeitet?
• Technische Infrastruktur: Welche Hard- und Software wird für die Datenerhebung, Speicherung und Auswertung genutzt?
• Organisation und Governance: Wer ist berechtigt, auf die Datenverarbeitung / den Algorithmus Einfluss zu nehmen? Ist das Personal entsprechend geschult?
• Methodik der Datenanalyse: Nach welchen Regeln werden Daten gesammelt und aufbereitet? Wie werden die Ergebnisse praktisch verwertet?

Als ein Hauptproblem bei der Verwendung von BD&AA – insbesondere in Verbindung mit AI/ML-Technologien – identifiziert die EBA die „Vertrauenswürdigkeit“ des Geschäftsbetriebs aus Perspektive von Vertragspartnern und des Marktes insgesamt. Um diese sicherzustellen, hätten BD&AA nutzende Unternehmen eine Reihe von Aspekten („elements of trust“) zu beachten, die sich zum Teil quer durch die benannten „Säulen“ der BD&AA-Implementierung ziehen. Hierzu gehören:

• Verständlichkeit: Lässt sich die Funktionsweise des Systems gegenüber Menschen (u.a. in den Aufsichtsbehörden) erklären?
• Überprüfbarkeit: Kann eine Empfehlung oder Entscheidung des Systems zurückverfolgt werden?
• Datenschutz: Werden die Erfordernisse des Datenschutzes in allen Säulen des BD&AA-Systems beachtet?
• Verbraucherschutz: Ist sichergestellt, dass Verbraucherschutzvorgaben für den Gebrauch von BD&AA umgesetzt werden?
• Sicherheit: Welche Sicherheitsmaßnahmen gegen externe Angriffe auf das System werden ergriffen?
• Diskriminierungsfreiheit: Wie wird (insbesondere im Umgang mit Verbrauchern) vermieden, dass Einzelne durch das System ungerechtfertigt benachteiligt werden?
• Ethische Grundsätze: Werden ethische Implikationen der BD&AA-Verwendung verstanden und werden diese Probleme zufriedenstellend adressiert? Hierzu hat sich bereits am 08.04.2019 die von der Kommission berufene „High-Level Expert Group on AI“ in ihren Ethics guidelines for trustworthy AI geäußert. Diese beinhalten die bereits genannten Punkte und lenken den Blick zusätzlich u.a. auf denkbare Folgen der Nutzung künstlicher Intelligenz für die Gesellschaft und die Umwelt.

Von rein ethischen Erwägungen einmal abgesehen, dürfen die von der EBA genannten „elements of trust“ durchaus als Fingerzeig auf künftige Aufsichtsschwerpunkte verstanden werden. Denn bereits heute sind zahlreiche der genannten Punkte nicht nur als vertrauensbildende Maßnahmen sinnvoll, sondern für regulierte Unternehmen des Finanzsektors verpflichtend und – im Grundsatz – auch kontrollierbar.

Um nur einige Beispiele zu nennen:

• Aufsichtsrecht:
  1. Kreditinstitute (§ 25a Abs. 1 S. 1, S. 3 Nr. 3 KWG), Kapitalverwaltungsgesellschaften (§ 28 Abs. 1 KAGB), Wertpapierdienstleistungsunternehmen (§ 80 Abs. 1 S. 1 WpHG) und Zahlungsinstitute (§ 27 Abs. 1 S. 1, S. 2 Nr. 1 ZAG) müssen alle über eine ordnungsgemäße Geschäftsorganisation verfügen, die auch angemessene interne Kontrollmechanismen zur Erfüllung rechtlicher Verpflichtungen umfasst. Die Vorgabe ist jeweils bewusst weit formuliert und umfasst grundsätzlich auch die allgemeine rechtliche Compliance eingesetzter BD&AA-Technologien. Über solche „Generalklauseln“ wäre daher eine umfangreiche aufsichtliche Kontrolle der BD&AA-Nutzung durch die BaFin bereits heute möglich.
  2. Zahlungsinstitute, E-Geld-Institute und Kreditinstitute haben „Risikominderungsmaßnahmen und Kontrollmechanismen zur Beherrschung der operationellen und sicherheitsrelevanten Risiken im Zusammenhang mit den von [ihnen] erbrachten Zahlungsdiensten einzurichten, aufrechtzuerhalten und anzuwenden“ (§ 53 Abs. 1 ZAG). Insoweit hierzu, beispielsweise bei der Aufdeckung von Betrugsfällen im Kreditkartengeschäft, BD&AA-Systeme eingesetzt werden, kann die Aufsicht beispielsweise eine Erläuterung der Systeme in prüfbarer Form verlangen.
  3. Wertpapierdienstleistungsunternehmen, die i.S.d. § 80 Abs. 2 WpHG auf Grundlage eines Algorithmus automatisiert mit Finanzinstrumenten (Aktien, Schuldverschreibungen, Optionsscheine, Derivate etc.) handeln, haben sicherzustellen, dass ihr System über „angemessene Handelsschwellen und Handelsobergrenzen“ verfügt, „Störungen auf dem Markt“ vermieden werden und „nicht für einen Zweck verwendet werden [kann], der gegen die europäischen und nationalen Vorschriften gegen den Marktmissbrauch“ verstößt. Nutzer derartiger, häufig unter Einsatz von AI/ML-Technologien erstellter Algorithmen müssen die Erfüllung dieser Anforderungen sicherstellen und ggf. gegenüber der Aufsicht überprüfbar nachweisen können.
  4. Wertpapierdienstleistungsunternehmen haben zudem grundsätzlich die in §§ 63 ff. WpHG geregelten Verhaltens- und Informationspflichten zu erfüllen. Die Anbieter von „Robo Advisors“, deren Algorithmen unter Rückgriff auf BD&AA –Technologien entwickelt wurden (und sich ggf. selbständig fortentwickeln), haben sich daher beispielsweise damit zu befassen, wie sie die Orientierung der Anlageempfehlungen an den Kundenbedürfnissen sicherstellen und überprüfbar nachweisen können (§ 63 Abs. 5 WpHG). Zudem müssen die Anlageempfehlungen auch in diesen Fällen für den Kunden verständlich erläutert werden (§ 64 Abs. 4 WpHG). Hier stellt sich die Frage, ob und ggf. inwieweit hierbei auf die Funktionsweise des „Robo Advisors“ einzugehen ist.
• Datenschutzrecht:
  1. Personenbezogene Daten dürfen nach Art. 5 Abs. 1 lit. b VO (EU) 2016/679 (DSGVO) nur für „festgelegte, eindeutige und legitime Zwecke erhoben“ und nur „in einer für die betroffene Person nachvollziehbaren Weise“ (Art. 5 Abs. 1 lit. a DSGVO) verarbeitet werden. Je nach Auslegung dieses allgemeinen datenschutzrechtlichen Transparenzgebots kann eine Umsetzung für Marktteilnehmer, deren Systeme auf einer komplexen Verwertung personenbezogener Daten durch künstliche Intelligenzen beruhen, mit besonderen Schwierigkeiten verbunden sein.
  2. Die „automatisierte Entscheidungsfindung“ als solche (z.B. in Form einer automatisierten Wertpapieranlage) ist datenschutzrechtlich in Art. 15 Abs. 1 lit. h DSGVO einer besonderen Regelung unterworfen. Der von der Datenverarbeitung Betroffene hat danach Anspruch auf „aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung“. Wiederum stellen sich folgenreiche Auslegungsfragen: Inwieweit ist hierzu auch auf die Funktionsweise des Algorithmus einzugehen? Wann gilt eine Erklärung hierzu als für den Betroffenen „aussagekräftig“?
  3. Eine erhebliche Einschränkung des Gebrauchs von BD&AA kann Art. 22 Abs. 1 DSGVO bedeuten. Die von der Verarbeitung ihrer personenbezogenen Daten betroffene Person hat danach „das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung (…) beruhenden Entscheidung unterworfen zu werden, die ihr gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise beeinträchtigt.“ Das Datenschutzrecht setzt hier dem Gebrauch automatisierter Systeme insgesamt Grenzen, soweit personenbezogene Daten verarbeitet werden. Verwender solcher Systeme haben Vorkehrungen zu treffen, um Betroffenen eine Durchsetzung dieses Anspruchs zu ermöglichen.
• Verbraucherschutzrecht:
  1. Vor der Vergabe von Immobiliar-Verbraucherdarlehen hat der Kreditgeber nach § 505b Abs. 2 BGB alle „Faktoren angemessen zu berücksichtigen, die für die Einschätzung [der Kreditwürdigkeit] relevant sind“. Damit der Verbraucher etwaige Fehler bei der Bewertung nachweisen und ggf. eine Ermäßigung des Zinssatzes nach § 505d Abs. 1 BGB durchsetzen kann, verpflichtet § 505b Abs. 4 den Darlehensgeber dazu, „Verfahren und Angaben, auf die sich die Kreditwürdigkeitsprüfung stützt, festzulegen, zu dokumentieren und die Dokumentation aufzubewahren“. Bewertet der Darlehensgeber die bonitätsrelevanten Faktoren anhand eines komplexen, mittels BD&AA gewonnenen (und sich womöglich autonom fortschreibenden) Algorithmus, stellt sich somit die Frage, inwieweit in der Dokumentation hierauf einzugehen ist, ob ein etwaiger Auskunftsanspruch des Kreditnehmers also beispielsweise auch die Plausibilisierung des genutzten Algorithmus umfasst.
  2. Eine Kontrollinstanz für den Gebrauch von BD&AA kann schließlich das AGG sein. So verbietet etwa § 19 Abs. 1 Nr. 2 AGG „eine Benachteiligung aus Gründen der Rasse oder wegen der ethnischen Herkunft, wegen des Geschlechts, der Religion, einer Behinderung, des Alters oder der sexuellen Identität“ beim Abschluss privatrechtlicher Versicherungsverträge. Kann ein Kunde hier im Einzelfall Indizien für einen Verstoß vorlegen, fällt es nach § 22 AGG der Versicherung zu, den Beweis für eine gesetzeskonforme Versicherungspraxis zu erbringen. Fraglich ist, welche Anforderungen an diesen Gegenbeweis zu stellen sind, wenn die Entscheidung auf Grundlage eines komplexen und sich laufend fortentwickelnden Algorithmus beruht.

Es zeigt sich also, dass zahlreiche der im EBA Report aufgeführten „elements of trust“ tatsächlich schon heute in der einen oder anderen Form rechtlich kontrollierbar sind. Verständlichkeit, Überprüfbarkeit und Sicherheit des genutzten BD&AA-Systems ließen sich bereits auf Grundlage der aufsichtsrechtlichen „Generalklauseln“ als Bestandteile der „ordnungsgemäßen Geschäftsorganisation“ oder als Maßnahme „zur Beherrschung der operationellen und sicherheitsrelevanten Risiken“ (§ 53 Abs. 1 ZAG) überprüfen. Gleich mehrere Anknüpfungspunkte bestehen zur Sicherstellung datenschutzrechtlicher Vorgaben. Die Diskriminierungsfreiheit des eingesetzten Systems ließe sich unter Umständen auf Grundlage des AGG gerichtlich überprüfen. Und selbst die genannten „ethischen Grundsätze“, die beispielsweise auf Umweltaspekte verweisen, werden in absehbarer Zeit aufsichtlich teilweise kontrollierbar: Sobald die im Merkblatt der BaFin vom 20.12.2019 zum Umgang mit Nachhaltigkeitsrisiken beschriebenen Punkte (siehe dazu unseren Blog-Beitrag) für beaufsichtigte Institute verpflichtend werden, sind diese auch in etwaigen BD&AA-Systemen umzusetzen (z.B. bei der Wertermittlung von Sicherheiten).

Ausblick

Trotz hinreichender Anknüpfungspunkte für eine rechtliche Kontrolle mangelt es in vielen Bereichen derzeit aber noch an einer Durchsetzung.

Grund hierfür ist zum einen sicher die Komplexität der Materie. Offensichtlich wird dies im aufsichtlichen Bereich: Um den konkreten Gebrauch von BD&AA sinnvoll überwachen zu können, muss er zunächst vollumfänglich verstanden werden. Ein tiefgehendes Verständnis der zu prüfenden Technik aber wäre für die Aufsicht ersichtlich mit einem enormen Ressourcenaufwand verbunden. Umgekehrt bestände die Gefahr einer strukturellen Unterlegenheit der Aufsicht, wenn man sich ausschließlich auf eine Plausibilisierung der Systeme durch die beaufsichtigten Unternehmen selbst verließe. Die kommende Entwicklung wird daher auch von der Suche nach einem gangbaren Mittelweg für die Aufsichtsbehörden geprägt sein.

Zum anderen wäre eine allzu aufwendige aufsichtsrechtliche Kontrolle von BD&AA-Systemen momentan noch ein klarer Standortnachteil insbesondere für die FinTech-Szene im jeweiligen Staat. Einige der vielversprechendsten europäischen FinTechs konzentrieren sich auf BD&AA-Lösungen – und sind oftmals noch klein und flexibel genug, um zumindest vorpreschenden finanzaufsichtsrechtlichen Reglementierungen notfalls durch eine Sitzverlegung entkommen zu können.

Der Bedarf für eine europäische Regelung ist also unverkennbar. Angesichts der bereits bestehenden Vorgaben wird es sich dabei vermutlich nicht um eine Verordnung oder Richtlinie handeln, die sich explizit mit BD&AA befasst. Zu erwarten sind mittelfristig eher Leitlinien der EBA, die den Umgang der nationalen Aufsichtsbehörden mit den bereits bestehenden Reglementierungen von BD&AA vereinheitlichen und für ein „level playing field“ in der europäischen FinTech-Branche sorgen. Wann solche Leitlinien kommen werden, lässt sich derzeit nicht redlich vorhersagen. Wie so oft kann ein einzelner Fall, der die Risiken der neuen Technologie plakativ aufzeigt, die regulatorische Entwicklung aber stark beschleunigen.

Verwender sollten sich daher bestenfalls schon heute damit befassen, ob sie den an sie gerichteten regulatorischen Vorgaben gerecht werden.