Einleitung

Am 16. Juli 2018 hat die BaFin ihren Bericht „Big Data trifft auf künstliche Intelligenz – Herausforderungen und Implikationen für Aufsicht und Regulierung von Finanzdienstleistungen“¹ (kurz: BDAI-Bericht²) öffentlich zur Konsultation³ gestellt. Im Fokus der Konsultation standen insbesondere die in Kapitel „Perspektive der Aufsicht“⁴ aufgeworfenen strategischen Leitfragen zur Fortentwicklung von Aufsicht und Regulierung in Zeiten der vermehrten Verwendung von Big Data und Artificial Intelligence.

Insgesamt erreichten die BaFin 31 inhaltliche Rückmeldungen. An der Konsultation haben sich Interessensverbände, aber auch einzelne Institute beteiligt. Auch von nationalen wie internationalen Behörden und der Wissenschaft sind Antworten eingegangen. Durch die Bank wurde in den Beiträgen begrüßt, dass die BaFin mit dem Bericht eine sehr offene und breite Diskussion angestoßen habe. Es wurde auch darauf hingewiesen, dass es wichtig sei, etwaige BDAI-bedingte Anpassung von Aufsicht und Regulierung international abzustimmen. Zudem wurde betont, dass auch in Zeiten von BDAI deutsche Finanzdienstleister nicht mit Bigtechs verglichen werden sollten – etwa im Umgang mit Kundendaten.

In diesem Artikel werden die Rückmeldungen zum BDAI-Bericht anlog zu dessen Aufbau in drei übergeordneten Themen zusammengefasst: Finanzstabilität und Marktaufsicht, Unternehmensaufsicht sowie Kollektiver Verbraucherschutz. Zu jedem dieser Themen und zu jedem Unterthema wird zunächst in einer Box die Position aus dem BDAI-Bericht in komprimierter Form wiedergegeben.⁵ Daran anschließend werden die bei der Konsultation eingegangen Rückmeldungen zusammenfassend und anonymisiert dargestellt.⁶

Aufgrund der Diversität der Konsultationsteilnehmer (Unternehmen, Verbände, Behörden, Wissenschaftler) ist es nicht möglich, repräsentative Mehrheiten bei den Antworten anzugeben, da man die Antworten dazu gewichten müsste (zum Beispiel ein einzelnes Unternehmen im Verhältnis zu einem Verband). Zur Vereinfachung wurde daher in diesem Artikel jede Antwort gleich gewichtet.

Dass nicht alle Details der Antworten in diesem Artikel behandelt werden, ist der Notwendigkeit einer verdichteten Darstellung geschuldet. Zu beachten ist auch, dass die BaFin die in diesem Artikel wiedergegebenen Aussagen noch nicht bewertet. Auch gibt dieser Artikel noch keine Antwort auf die Frage, welche der eingegangenen Anregungen in Aufsichtspraxis und Regulierung ihren Niederschlag finden sollten. Dies wird noch Zeit in Anspruch nehmen.

Eine erste Einordnung nimmt BaFin-Präsident Felix Hufeld im Interview zur Konsultation vor.

Finanzstabilität und Marktaufsicht

Konsultationsergebnisse zur Entstehung neuer Unternehmen und Geschäftsmodelle

Allgemeine Marktbeobachtung

Branchenübergreifend sei das Entstehen neuer Wertschöpfungsketten zu beobachten, heißt es in vielen Rückmeldungen. Dabei würden insbesondere solche Unternehmen auf den Markt drängen, die durch den Einsatz von BDAI die Datenverarbeitung auf ein neues Level heben könnten. Einzelne Konsultationsteilnehmer gehen davon aus, dass langfristig im Markt nur bestehen könne, wer die digitale Kundenschnittstelle besetze. Insgesamt sei der Trend zu beobachten, dass Anbieter von Suchmaschinen, sozialen Netzwerken oder Online-(Vergleichs-)Plattformen durch intelligente Nutzung von Daten in Bereiche vordrängen, die bisher spezialisierten und häufig auch regulierten Anbietern vorbehalten seien. Dazu zählten auch die Daten, die aufgrund der Zweiten Zahlungsdiensterichtlinie (Payment Services Directive 2 – PSD 2) gewonnen werden können.

Level-Playing Field – Finanzmarktregulierung

In der Mehrzahl der eingegangenen Konsultationsantworten wird die bestehende technologieneutrale und prinzipienbasierte Finanzmarktregulierung als grundsätzlich ausreichend angesehen – auch mit Blick auf Fragen der Finanzstabilität. Man sieht zudem das Risiko, dass bei zu schnellen regulatorischen Reaktionen auf neue Technologien die Technologieneutralität auf der Strecke bleiben könne und ein eher regelbasierter Ansatz verfolgt werde. Angeregt wird ein Abbau von regulatorischen Barrieren. Als Beispiel werden bestehende Papieranforderungen angeführt.

In den Antworten wird aber auch betont, dass die Anwendung bestehender Regulierung ausschließlich auf Institute und Versicherungsunternehmen zu Wettbewerbsverzerrungen führen könne. Insbesondere wird eine Diskrepanz zwischen der aufsichtlichen und regulatorischen Erfassung klassischer Geschäftsmodelle und der neuer Geschäftsmodelle gesehen, die auf der Analyse von Finanz- und alternativen Daten zu eigenen Zwecken oder für Dritte beruhen.⁸ Es wird vermutet, dass neue Marktteilnehmer künftig bewusst versuchten, Regulatorik zu vermeiden, um Innovationen vorantreiben zu können. In diesem Zusammenhang wird unter anderem eine Prüfung angeregt, inwieweit neue Vertriebskanäle, zum Beispiel zielgerichtete Marketing-Maßnahmen von Plattformanbietern, für eine Beraterhaftung heranzuziehen seien. Vereinzelt wird auch kritisiert, dass neue Player wie Fintechs nicht an der Finanzierung von Aufsichtsbehörden beteiligt seien und dies zu Wettbewerbsverzerrung führe.

Obwohl der erwartete zusätzliche Wettbewerb mit Fintechs und Bigtechs Profite etablierter Anbieter des Finanzmarktes kurzfristig schmälern könnte, werden die bisherigen Instrumente zur Beurteilung der Solvenzsituation beaufsichtigter Finanzdienstleister als ausreichend eingestuft. Es wird aber in einzelnen Rückmeldungen darauf hingewiesen, dass sich ein verstärkter Margendruck insbesondere dann entfalten könne, wenn Bigtechs mit kostenlosen und/oder quersubventionierten Finanzdienstleistungen auf den Finanzmarkt drängten.

Level-Playing Field – Wettbewerbspolitik und -aufsicht

Die Digitalisierung verschärfe, so ist in mehreren Rückmeldungen zu lesen, insgesamt die Gefahr von „The-Winner-takes-it-all“-Marktstrukturen. Solche könnten durch monopolistische Strukturen beim Datenzugang entstehen. Für Versicherungsunternehmen sei daher zum Beispiel der Zugang zu Fahrzeugdaten für das Angebot von Telematik-Tarifen wichtig. Eine effektive Wettbewerbspolitik bzw. -aufsicht sei gerade in Zeiten von BDAI mehr denn je eine Grundvoraussetzung für einen dauerhaft leistungsfähigen Finanzmarkt.

Offene Märkte könnten, insbesondere was den Datenzugang angeht, außerdem über eine daraus folgende stärkere Differenzierung der Marktteilnehmer zu einer Minderung systemischer Risiken führen. Außerdem sei ein ausreichender Wettbewerb auch für eine effektive Preisfindung wichtig.⁹ In diesem Zusammenhang wird vereinzelt darauf hingewiesen, dass die PSD 2 ein positives Beispiel für die Ermöglichung eines freien Datenzugangs darstelle. Es wird die Idee in den Raum gestellt, ähnlich wie in der PSD 2 Schnittstellen zu den Daten von Bigtechs zu ermöglichen.

Insgesamt wird ein verstärkter Austausch zwischen Wettbewerbsbehörden und der Finanzaufsicht befürwortet.

Level-Playing Field erhalten – Einordnung von Daten als Rechtsgut

In einer Stellungnahme wird gefragt, wie Daten jenseits des Datenschutzrechts als individuelles Rechtsgut/Schutzgut einzuordnen seien. Auf diese rechtspolitisch hochkomplexe Materie müsse eine überzeugende Antwort gefunden werden, um insbesondere primär datenbasierte Geschäftsmodelle adäquat adressieren zu können. Als zielführendend sieht man den Ansatz, Parallelen zum Immaterialgüterrecht herzustellen.

Systemrelevanz und Vernetzung in Zeiten von BDAI

Systemrelevanz neu definieren und adressieren: Ein geteiltes Meinungsbild

Was eine eventuelle Erweiterung des Begriffs der Systemrelevanz angeht, bietet sich in den Antworten ein geteiltes Bild: Auf der einen Seite wird darauf hingewiesen, dass es zum jetzigen Zeitpunkt, in dem sich viele Technologien noch im Entwicklungsstadium befänden, verfrüht, wenn nicht gar innovationshemmend wäre, neue Definitionen und Kriterien festzulegen. Insbesondere sei nicht klar, ob BDAI das Systemrisiko tatsächlich erhöhe oder ob durch die wachsende Zahl von Marktteilnehmern die Abhängigkeit von Banken und Versicherern nicht sogar abnehmen werde. In jedem Fall müsse empirisch klar belegbar sein, dass bestimmte Risiken in einer Weise auftreten könnten, dass sie die Existenz von Instituten tatsächlich gefährdeten.

Auf der anderen Seite halten viele Konsultationsteilnehmer eine Neudefinition der Systemrelevanz mit Blick auf BDAI für wichtig. Vereinzelt wird sie sogar als möglicher Grund für ein Basel-V-Rahmenwerk gesehen. Konzeptionell seien Kategorien wie Vernetzung und Komplexität zwar bereits unter der aktuellen Definition von Systemrelevanz abgedeckt. Da der Grad an Vernetzung und Komplexität aber im Rahmen der Digitalisierung zunähme, sollte ihnen eine stärkere Gewichtung zukommen. Eine internationale Diskussion im Basler Ausschuss für Bankenaufsicht über die Definition und Messung von Vernetzung wird als sinnvoll erachtet. Weiterhin wird gefordert, dass bei der Messung des Systemrisikos nicht nur auf klassische Finanzdienstleister, sondern auch auf aufsichtlich bisher nicht erfasste Fintechs und Bigtechs abzustellen sei. Insbesondere seien auch solche Geschäftsmodelle zu berücksichtigen, die auf einer Monetarisierung von Daten beruhen.

Adressierung bislang unregulierter Anbieter aufgrund ihrer Vernetzung mit dem Finanzmarkt

Bereits einzelne, bislang in vielen Fällen nicht regulierte Unternehmen könnten essenziell für das Funktionieren der Gesamtbranche sein, ist zu lesen. Beispielhaft genannt werden Cloud-Anbieter, Telekommunikationsanbieter, Automobilhersteller (Stichwort „Telematik-Tarife“; siehe oben), Algorithmen- bzw. Code-Anbieter, aber auch Anbieter von Daten oder Bewertungen wie Scorings und Ratings. Entsprechende Unternehmen könnten aufgrund ihres Wissens monopolartige Strukturen gegenüber Verbrauchern und anderen Marktteilnehmern aufbauen. Zudem wird das Problem gesehen, dass es zu prozyklischen Wirkungen kommen könne, wenn viele Finanzdienstleister zum Beispiel auf die Daten und Auswertungen eines zentralen Anbieters zurückgriffen.¹⁰

Eine mögliche Systemrelevanz von bisher nicht beaufsichtigten Unternehmen könne etwa durch eine Erweiterung des Begriffs der kritischen Infrastrukturen adressiert werden. Damit könnten für bisher unbeaufsichtigte Daten-, Plattform- und Algorithmenanbieter dieselben technischen Mindestanforderungen geltend gemacht werden wie für regulierte Banken. Außerdem wird gefordert, den Begriff der Systemrelevanz um funktionale und prozessuale Faktoren zu erweitern. So könnten sich Schlüsselunternehmen selbst einfacher identifizieren und Finanzdienstleister könnten dies berücksichtigen.

Ideen zur Anpassung des Outsourcing-Regimes bei fragmentierten Wertschöpfungsketten

Bei immer stärker fragmentierten Wertschöpfungsketten sei darüber hinaus das heutige Outsourcing-Regime, das als Anlaufstelle nur das Finanzinstitut kenne, ggf. nicht mehr ausreichend. Zudem sei zu berücksichtigen, dass Infrastruktur- und Datenanbieter in vielen Fällen auch direkte Wettbewerber auf dem Finanzmarkt seien. Und insbesondere bei Produkten, die über einen fragmentierten Wertschöpfungsprozess erstellt würden, böte sich eine Art digitale Signatur an. Bei dieser Signatur müsse jedes Unternehmen genannt sein, das am Wertschöpfungsprozess beteiligt sei. Insgesamt sei darüber nachzudenken, den aufsichtlichen Fokus vom einzelnen Unternehmen auf die Aufrechterhaltung von ganzen Wertschöpfungsketten zu verschieben. Zur Aufrechterhaltung von Wertschöpfungsketten könnte es eine Maßnahme sein, per Smart Contract für jede Leistung innerhalb einer Wertschöpfungskette eine Back-Up-Partei zu vereinbaren, die die Leistung beim Ausfall eines Unternehmens übernehme.

Eigenkapitalpuffer seien als mitigierende Maßnahme dagegen wenig geeignet, um Schocks, die außerhalb des Finanzsektors entstünden, wie zum Beispiel der Ausfall eines IT-Anbieters, zu absorbieren. Geeigneter seien Maßnahmen, die darauf abzielten, die Eintrittswahrscheinlichkeit zu minimieren. Genannt werden in diesem Zusammenhang technische Mindeststandards oder gezielte Szenarioanalysen sowie die im folgenden Absatz behandelten technischen Begrenzungen von Fehlentwicklungen. Darüber hinaus könnten Volumenbeschränkungen eine sinnvolle Maßnahme darstellen.

Technische Begrenzung von Fehlentwicklungen

Technische Sicherungsmaßnahmen zwar potenziell erforderlich, aber nur bei Gefahr immenser Schäden

Technische Maßnahmen zur Begrenzung von Kaskadeneffekten werden als potenziell erforderlich angesehen. Die Adressierung von Kaskadeneffekten gestaltete sich aber dann schwierig, wenn Teile des Marktes innerhalb der relevanten Kaskade nicht aufsichtlich bzw. regulatorisch erfasst seien. Die Gefahr von Herden- bzw. Kaskadeneffekten wird eher im Bankensektor und am Kapitalmarkt gesehen als im Versicherungssektor, wo zentrale Prozesse – wie Risiko- und Leistungsprüfungen – nur durch den Kunden selbst angestoßen würden. Grundsätzlich sei einmal zu prüfen, wo neue Entwicklungen wie etwa Echtzeitzahlungen in der Realwirtschaft tatsächlich gebraucht würden und das Risiko von Fehlentwicklungen rechtfertigten. Generell begrenze nämlich möglicherweise eine Entschleunigung mit vorgegebenen Mindestzeitfenstern und Rückabwickelbarkeit Fehlentwicklungen.

Technische Sicherungsmaßnahmen seien zum Beispiel dann überlegenswert, wenn bei der Nutzung von BDAI der Grad der algorithmischen Differenzierung zu gering sei. Auch könnten Schnittstellen von Cybernetzwerken ausfindig gemacht werden, um die Gefahr immenser Schäden zu reduzieren. In diesem Zusammenhang könne über den Aufbau redundanter Notfallsysteme nachgedacht werden. Eine Diversifizierung von Datenanbietern wird als weitere (nichttechnische) Maßnahme genannt. Nur in massiven Gefahrensituationen erscheine ein Eingriff in Datenströme gerechtfertigt. Keinesfalls sollten aber zum Beispiel Instrumente wie Volatilitätsunterbrechungen, trotz ggf. genauerer Kalibrierung, von selbstlernenden Algorithmen ausgelöst werden, da in diesem Fall der Zeitpunkt der Unterbrechung für die Marktteilnehmer nicht mehr vorhersagbar wäre.

Technologie auf Seiten der Aufsicht: Transparenz und Kontrolle über neue Strukturzusammenhänge behalten

Verantwortung beim Menschen, nicht beim Computer – auch bei der Aufsicht

In den Konsultationsantworten wird sehr klar die Erwartungshaltung geäußert, dass auch bei der Aufsicht die letztendliche Verantwortung beim Menschen zu verbleiben habe und nicht auf den Computer übertragen werden könne. Der vermehrte Einsatz von Technologie auf Seiten der Aufsicht wird dennoch in den meisten Antworten als zwingend erforderlich eingeschätzt. Zur Erkennung von Systemrelevanz könnte sich die Aufsicht auch verstärkt externer Daten bedienen und diese mittels Methoden wie Netzwerkanalysen berücksichtigen. Interessante externe Daten seien zum Beispiel Konsumausgaben und Sparverhalten von Haushalten, aber auch Open-Source Daten, welche wiederrum auch für die Betrugserkennung von Interesse sein könnten.

Echtzeitdatenzugriff – API-Einsatz bei der Aufsicht

Analysen, die auf einmalig bzw. monatlich oder quartalsweise erhobenen Daten beruhten, verlören aufgrund der steigenden Marktdynamik zunehmend an Relevanz. Die Aufsicht solle sich daher darum bemühen, über Application Programming Interfaces (APIs) einen Zugriff in Echtzeit auf spezifische Unternehmensdaten zu erhalten und damit fortlaufende Analysen – zum Beispiel Geldflussanalysen – durchführen, auch zur Früherkennung neuer Risiken und Geschäftsmodelle. Die Einrichtung von APIs wird auch für den reibungslosen Datenaustausch zwischen verschiedenen (Aufsichts-)Behörden als sinnvoll erachtet. Über das Zusammenspiel von APIs und BDAI lasse sich seitens der Aufsicht auch ein effektiveres Outsourcing-Controlling einrichten. Zudem könnten so auch die Beziehungen der beteiligten Unternehmen in aufsichtlichen Analysen automatisch Berücksichtigung finden.

Unternehmensaufsicht

BDAI-Governance

Bestehende Konzepte weitgehend ausreichend – Auslegungen aber erwünscht

In einer Mehrzahl der Antworten wird der bestehende Aufsichtsrahmen auch bei vermehrtem BDAI-Einsatz grundsätzlich als ausreichend eingestuft. BDAI-Anwendungen bedeuteten nicht zwangsläufig ein höheres Risiko und könnten analog zu bestehenden Prozessänderungen betrachten werden. Somit könnten sie auch in die bestehende Geschäftsorganisation und die entsprechende Regulierung eingebettet werden.¹¹ Die aktuellen Anforderungen ermöglichten zudem, dass die Aufsicht die Prozesse risikoorientiert und strichprobenartig prüfe. Auch bezüglich der Geschäftsleitung seien strenge Anforderungen bereits gesetzlich verankert. Darüber hinaus wird betont, dass der Einsatz von BDAI regelmäßig unter die Outsourcing-Bestimmungen falle, die Verantwortung und Haftung für künstliche Intelligenz jedoch nicht ausgelagert werden könne. Sollte es zunehmend Auslagerungen an Regtechs geben, entstehe das Risiko, dass Risikokultur und Wissen innerhalb der beaufsichtigten Unternehmen geschwächt würden.

Es bestehe aber auch zum Teil Klärungsbedarf, wie bestehende Regeln in Bezug auf BDAI anzuwenden seien. Es böte sich an, dass die Aufsicht Vorschriften in Auslegungen spezifiziere. Ungeachtet der Komplexität der zugrundeliegenden Prozesse dürften aber in keinem Fall aufsichtliche Anforderungen aufgeweicht werden.

Ideen zur Erweiterung bestehender Governance-Konzepte

Konträr zu der oben genannten Meinung gibt es aber auch einige Rückmeldungen, die es explizit für geboten halten, die bestehende Regulierung und Aufsichtspraxis mittelfristig zu überarbeiten. So könne zum Beispiel bei Algorithmen über das Erfordernis der Implementierung und gegenseitigen Kontrolle verschiedener Teilsysteme nachgedacht werden. Dies würde bei lernenden Systemen im Regelfall die Nutzung unterschiedlicher Lernverfahren und möglichst auch unterschiedlicher Trainingsdaten bedeuten. Als hilfreich könne sich auch ein „Outlier-Mining“ erweisen, um potenziell fehlerhafte Entscheidungen aufzuspüren. Zudem stelle sich die Frage, ob die Validierung von BDAI-Algorithmen von der derzeitigen Regulierung (hinreichend) abgedeckt sei.

An einzelnen Stellen seien zudem aufgrund des vermehrten BDAI-Einsatzes Veränderungen der bestehenden Geschäftsorganisationen zu beobachten. So sei es wichtig, die Fehlerkultur im Unternehmen an das fortwährende Lernen und die damit verbundene laufende Veränderung von Algorithmen und Modellen anzupassen. Zudem entwickle sich die bislang rein administrative Aufgabe des Data Quality Managements (DQM) zu einer analytischen und konzeptionellen Aufgabe weiter und habe künftig eine Schlüsselrolle im Unternehmen. Vorgeschlagen wird außerdem die Schaffung von Algorithmus-Beauftragten, analog zu Datenschutz-Beauftragten, und die Einrichtung einer Datenethikkommission in den Unternehmen. Insgesamt müsse man dabei aber aufpassen, dass es nicht zu einer unklaren Zuordnung von Verantwortung komme.

Nachvollziehbarkeit und Erklärbarkeit von Algorithmen und Entscheidungen

Zwei Ebenen der Erklärbarkeit: Das Modell und die Einzelfallentscheidung

Einleitend wird in den Antworten darauf hingewiesen, dass es bei Erklärbarkeit und Nachvollziehbarkeit zwei Ebenen gebe, an denen man ansetzen könne: Zum einen das generelle Modell, das zur Entscheidungsfindung herangezogen werde, und zum anderen die (Einzelfall-)Entscheidung selbst. Die Erklärbarkeit eines auf maschinellem Lernen basierenden Modells hänge notwendigerweise von der Komplexität der eingesetzten Verfahren und der verwendeten Daten ab. Aufsichtliche Eingriffe oder Regulierungsanpassungen sollten aber nicht ausschließlich in der Komplexität eines Modells bzw. in der Verwendung von BDAI begründet sein. Sie sollten vielmehr immer den jeweiligen Einsatzbereich und die damit erwartete Risikosituation berücksichtigen.

Nachvollziehbarkeit sei insbesondere im Kundenkontakt und damit im Einzelfall wichtig, da Kunden häufig forderten, eine Entscheidung zu begründen. Nur die Begründung versetze Betroffene in die Lage, unzutreffende Daten und darauf basierende Entscheidungen zu korrigieren. Im Sinne eines „Audit-Trails“ müssten einzelne Entscheidungsschritte stets nachvollziehbar sein. Zumindest sollte eine Nachvollziehbarkeit von Entscheidungen immer soweit durchgesetzt werden, dass sie für forensische Zwecke möglich wäre.

Wie sich Erklärbarkeit und Nachvollziehbarkeit herstellen ließen

Erklärbarkeit und Kontrollierbarkeit von Algorithmen und Modellen sowie nachvollziehbare Prozesse lägen im Eigeninteresse der Unternehmen, heißt es in einigen Antworten. Zu nennen seien hier auch die zahlreichen existierenden (Selbst-)regulierungsmaßnahmen, wie die Product Oversight and Governance Requirements (POG) und das interne Kontrollsystem (IKS). In der Praxis verankere man im Modellfindungs- und Kalibrierungsprozess immer wieder Backtestings und in der folgenden Anwendung Warn- und Alarmsignale, die letztendlich in eine manuelle bzw. menschliche Intervention mündeten. Dass die Möglichkeit (manueller) Korrektur und generell von Revidierbarkeit bestehen müsse, wird in vielen Antworten hervorgehoben. Zudem müssten auch Abschalte-Prozesse für auslaufende oder fehlerhafte BDAI-Anwendungen vorhanden sein.

Zur Herstellung von Nachvollziehbarkeit böte sich zunächst an, bestehende Modelle und solche, die auf BDAI beruhten, parallel auszuführen. Auf diese Weise lasse sich nachvollziehen, welche Einflussfaktoren es gebe. Weiterhin seien komplexe Modelle auch durch einfache Modelle approximierbar. So ließen sich zum Beispiel Approximationen bilden und so Einzelfallentscheidungen lokal durch ein einfaches Modell erklären. Wichtig sei in diesem Zusammenhang die Definition einer Mindestgüte für die Approximation.

Gegenmeinung: Erklärbarkeit und Nachvollziehbarkeit als unangemessene Einschränkung

In einer Reihe von Antworten wird allerdings gegensätzlich argumentiert: Es sei schwer bzw. aufgrund der Natur der BDAI-Verfahren unmöglich, den Entscheidungsweg eines Algorithmus detailliert nachzuvollziehen. Insbesondere bei sehr komplexen Verfahren wie Deep-Learning sei Erklärbarkeit nur sehr schwer darstellbar. Entsprechend bedeute die Forderung nach der Erklärbarkeit von Algorithmen eine unangemessene Einschränkung. Aufgrund der Komplexität der Modelle solle die Validierung der Ergebnisse im aufsichtlichen Fokus stehen. Allerdings sei fraglich, inwiefern etwa der Einsatz von Test-Szenarien zur Überprüfung institutseigener Algorithmen sinnvoll sei. Denn beim Einsatz von Test-Szenarien sei zu beachten, dass das Einbeziehen von vordefinierten Szenarien das Risiko der Überanpassung (Overfitting) auf eben diese Szenarien berge.

Insbesondere sei die Anforderung, jeden Musterkunden – also die Einzelfallentscheidung – nachzurechnen, realitätsfern. Entgegen der im BDAI-Bericht geäußerten Feststellung sei Erklärbarkeit schon allein aufgrund der komplexen Daten eingeschränkt. Wichtig und technisch möglich sei hingegen, einen Nachweis über die Prognosegüte und die Stabilität der verwendeten Modelle zu erbringen. Ein aufsichtlicher Abnahmeprozesses für BDAI-Anwendungen wird in diesem Zusammenhang abgelehnt, da dadurch die Innovation der Unternehmen stark beeinträchtigt würde. Außerdem wird hierin eine unangemessene Benachteiligung von Finanzunternehmen im Vergleich zu anderen (unregulierten) Unternehmen wie zum Beispiel den Bigtechs gesehen.

Ideen zur aufsichtlichen Überprüfung von BDAI-Modellen

Außerdem stelle sich die Frage, wie sich BDAI-Modelle aufsichtlich überprüfen ließen. Sofern BDAI im signifikanten Umfang in geschäftskritischen Prozessbereichen Anwendungen finde, seien hierzu möglicherweise erweiterte Anforderungen erforderlich, zum Beispiel mit Blick auf Code-Review-Verfahren, Simulations- und Penetrations-Tests und die Begutachtung von Musterprofilen. Die Anforderungen zur Dokumentation und Erklärbarkeit und Nachvollziehbarkeit für BDAI-Anwendungen sollten zum Beispiel über Best-Practice Leitlinien konkretisiert werden. Eine effektive Aufsicht müsse außerdem über die Betrachtung von Dokumentation und Einzelfällen hinausgehen.

Aufseher müssten komplexe Verfahren wie Deep Learning verstehen und die Anwendungen der Unternehmen im Rahmen eines risikosensitiven Ansatzes selbst testen. Erweitert werden sollten Anforderungen aber nur in Abhängigkeit davon, wie kritisch die jeweiligen Prozesse seien, auch im Hinblick auf den Verbraucher. Für die Finanzaufsicht ergebe sich aus der Verwendung algorithmenbasierter Entscheidungssysteme zudem die Chance, aber auch die Verpflichtung, algorithmenbasierte Entscheidungsprozesse und damit weite Teile der Geschäftspraxis auf Konsistenz mit den aufsichtsrechtlichen Vorgaben und der zivilen Rechtssprechung zu prüfen.

Genehmigungspflichtige interne Modelle

BDAI findet noch keine Anwendung bei genehmigungspflichtigen Modellen

Zunächst einmal ergibt sich aus den Antworten, dass BDAI-Ansätze bei genehmigungspflichtigen internen Modellen bisher noch keine Anwendung finden. Da die Stabilität interner Modelle sehr wichtig sei, seien BDAI-Modelle zudem eher bei Support-Anwendungen zu erwarten. Es wird im Übrigen bezweifelt, dass BDAI-Modelle, bei denen aufgrund veränderter Daten automatisiert anzeigepflichtige Modellanpassungen vorgenommen werden, genehmigungsfähig wären.

Gegensätzliche Meinungen zu bestehender Regulierung

Zur Anwendbarkeit von BDAI in genehmigungspflichtigen Modellen gibt es gegenläufige Auffassungen, insbesondere mit Blick auf den Modelländerungsprozess.

Dem einen Lager zufolge sind BDAI-Anwendungen grundsätzlich für den Einsatz in aufsichtlich abzunehmenden Modellen geeignet. Ihr Einsatz berge eine erhebliche Chance, Risiken besser zu modellieren. Es sei nicht zu erwarten, dass man die Definition einer Modellanpassung ändern bzw. zusätzliche Regulierung schaffen müsse. Dies insbesondere deswegen, weil die Anzeigepflicht einer Modellanpassung eher vom Einfluss auf die risikogewichteten Aktiva als von der eingesetzten (BDAI)-Technologie abhängig sei. Auch eine Erweiterung bestehender (Mindest-)Anforderungen an die Erklärbarkeit der Modelle und Daten wird in diesen Antworten für nicht erforderlich gehalten. Eine erneute Einschätzung könne jedoch erforderlich sein, falls der Einfluss von BDAI-Methoden auf die in diesem Zusammenhang relevanten Kenngrößen wesentlich werde. Unter Umständen könne es dann erforderlich sein, die Technischen Regulierungsstandards zu erweitern.

Das andere Lager schlägt vor, die Abnahmepraxis anzupassen. So solle Unternehmen die Möglichkeit gegeben werden, eingesetzte Modelle flexibler anzupassen, ohne zuvor langwierige Abnahmeprozesse für Modelländerungen durchlaufen zu müssen. Die Aufsicht solle schnellere „Validierungsfeedbackloops“ ermöglichen. Wünschenswert sei darüber hinaus, Modelländerungen durch die Neuschätzung von Parametern nicht als Modelländerung zu betrachten, wenn ein modellinhärentes Verfahren die Notwendigkeit der Neuschätzung bestimme. Vereinzelt wird auch die Meinung vertreten, dass eine Veränderung der Parameter bereits heute zumindest im Versicherungssektor keine Modelländerung darstelle. Darüber hinaus wird vorgeschlagen, für die Überwachung von BDAI-Modellen ein automatisiertes regelmäßiges, stark standardisiertes Monitoring auf BDAI-Basis zu etablieren und über entsprechende Berichte die Kommunikation mit der Aufsicht zu erleichtern. Außerdem könne der vermehrte Einsatz von Validierungsinstrumenten wie Stabilitätsanalyse, Sensitivitätsanalyse und Backtesting hilfreich sein.

Schlussendlich wird jedoch auch darauf hingewiesen, dass bei flächendeckendem BDAI-Einsatz zu prüfen wäre, ob dieser durch eine deutliche Verminderung der risikogewichteten Aktiva zu einer (unerwünschten) Kapitalerleichterung oder zu einer Umgehung aufsichtlicher Anforderungen führe.

Abwehr von Finanzkriminalität und Verhaltensverstößen

Regulatorik gibt bereits Standards vor – Erweiterungen könnten aber angebracht sein

Die überwiegende Mehrheit der Antwortenden hält es für unangemessen und unverhältnismäßig, den Einsatz von BDAI zur Betrugsabwehr und Geldwäscheverhinderung zu erzwingen. In vielen Antworten wird allerdings befürwortet, allgemeine bzw. Mindeststandards einzuführen, auch über BDAI-Anwendungen hinaus. Solche Standards könnten die Prozesse zur Identifikation von Finanzkriminalität und Verhaltensverstößen effektiver machen bzw. die Identifikation und Vermeidung von Geldwäsche verbessern. Da sich BDAI schnell und individuell weiterentwickle, sollten diese Standards prinzipienbasiert ausgestaltet werden. Zum Beispiel solle die Dokumentation insbesondere bei Sanktions- und Eingriffsmaßnahmen im Einzelnen nachvollziehbar sein, damit sie einer menschlichen Überprüfung standhalten kann. Auch eine aufsichtliche Prüfung der Geldwäscheeffektivität wird vorgeschlagen, zum Beispiel mithilfe von normierten, mindestens jährlich anzupassenden Prüfdatensätzen – analog zum Penetration Testing.

In anderen Antworten wird dagegen darauf verwiesen, dass die bisherige prinzipienbasierte Regulatorik bereits Standards setze und insbesondere mit der Umsetzung der fünften EU-Geldwäsche-Richtlinie ein ausreichender Rahmen vorhanden sei. Zudem seien spezielle BDAI-Standards nicht zwingend erforderlich, da sich diese direkt aus wissenschaftlichen Standards der Machine-Learning-Community ableiten ließen.

Feedbackloops zur Modell-Kalibrierung unerlässlich

Wie effektiv BDAI-Modelle in der Geldwäscheprävention eingesetzt werden könnten, hänge stark davon ab, ob sie mit verlässlichen Daten kalibriert würden. Für die Modell-Kalibrierung und –Verbesserung sei es daher wichtig, Rückmeldungen zu den Modellvorhersagen im Einzelfall zu erhalten. Aktuelle Feedbacks der Zentralstelle für Finanztransaktionsuntersuchungen (FIU) oder der Strafverfolgungsbehörden seien folglich wünschenswert. Auch sei in diesem Zusammenhang über die Kompatibilität der Datensysteme nachzudenken, was den Datenstandard und die technische Umsetzung ggf. über eine API angehe. Denn nur so sei ein Datenaustausch zwischen Unternehmen und Ermittlungsbehörden ohne Konvertierung möglich.

Vorteile von Pooling-Lösungen, insbesondere für weniger versierte Unternehmen

Darüber hinaus wird ein institutsübergreifendes Datenpooling vorgeschlagen; etwa um kleinere Institute, also solche mit geringerer Datenbasis, zu unterstützen. Dabei könnte auch über ein Pooling von Know-how bzw. der Verwendung gemeinsamer Metriken nachgedacht werden. In der Teilnahme an einem vernetzten Informationspool, in dem geldwäscherelevante Informationen gespeichert und abgerufen werden könnten, sieht man den Vorteil, dass – auch ohne BDAI – ein ganzheitlicher Blick auf das Kundenrisiko ermöglicht würde. Entsprechend wird vereinzelt der Wunsch geäußert, dass Aufsicht bzw. Gesetzgeber solche Know-Your-Costumer-Plattformen (KYC-Plattformen) wohlwollend begleiteten.

Es wird vorgeschlagen, dass die Aufsicht Unternehmen, deren Geldwäscheerkennung mit Blick auf BDAI weniger weit entwickelt sei, unterstützen solle. Die Unternehmen müssten aber auch bereit sein, mehr in neue Technologien zu investieren. Die Aufsicht solle den Unternehmen klarmachen, was sie von ihnen erwarte.

Mehrdimensionale Herangehensweise bei der Geldwäschebekämpfung

Einige Teilnehmer sprechen sich bei der Geldwäschebekämpfung für eine mehrdimensionale Herangehensweise aus, also zum Beispiel für eine Kombination von BDAI-Analysen mit Peergroup-Vergleichen, öffentlichen Daten und KYC-Scores. Darüber hinaus wird vereinzelt der Wunsch geäußert, die bei der Geldwäscheerkennung gewonnen Erkenntnisse auch für andere Zwecke – etwa für das Kreditrisikorating – nutzbar zu machen.

Demgegenüber wird darauf verwiesen, dass bei der Anwendung von BDAI insbesondere das Willkürverbot beachtet werden müsse. Durch BDAI dürften Merkmale nicht willkürlich verknüpft werden, weil sonst Personen fälschlicherweise strafrechtlich verfolgt würden. Auch eine direkte oder indirekte Diskriminierung, wie sie Art. 3 Abs. 3 Grundgesetz (GG) beschrieben sind, sollte unterbleiben.

Umgang mit Informationssicherheitsrisiken

Prinzipienbasierte Regulierung für Informationssicherheitsrisiken auch auf BDAI anwendbar

Angemerkt wird, dass Informationssicherheitsrisiken beim Einsatz von BDAI-Techniken zunehmen könnten – und zwar insbesondere durch die zunehmende Vernetzung und die daraus resultierenden vermehrten Angriffspunkte. Dem Grunde nach handele es sich hierbei aber um ähnliche Sicherheitsaspekte, wie sie auch bei anderen Softwarelösungen zu beachten seien. Es wird daher kein (weitgehender) regulatorischer Anpassungsbedarf gesehen. Zahlreiche Regularien, wie die Bankaufsichtlichen Anforderungen an die IT (BAIT) und die Versicherungsaufsichtlichen Anforderungen an die IT (VAIT), aber auch die MaRisk oder bestimmte ISO-Standards fänden bereits heute beim Einsatz von BDAI Berücksichtigung. Vereinzelt wird dennoch gefordert, einzelne Regularien wie etwa die BAIT hinsichtlich BDAI weiter zu konkretisieren. Sollten künftig weitere Ergänzungen erforderlich sein, so sollten diese möglichst prinzipienbasiert ausgestaltet sein und nur bei Bedarf mit regelbasierten Vorgaben ergänzt werden. Insgesamt sei es aber riskant, Standards festzuschreiben, da sich die Informationstechnologie sehr schnell weiterentwickle.

Die Möglichkeit, BDAI zur Bewältigung bzw. Erkennung von Cyberattacken zu nutzen, wird in den Antworten insgesamt bestätigt.

Verschlüsselung ist kein Allheilmittel

Um die Auswirkungen von Schäden bei Sicherheitsvorfällen zu minimieren, sollten Daten prinzipiell möglichst umfassend anonymisiert oder pseudonymisiert werden. Allerdings wird deutlich hervorgehoben, dass die Vorstellung, BDAI-bedingte Datenschutzrisiken könnten durch kryptographische Verfahren abschließend gelöst werden, unrealistisch sei. Verschlüsselungsverfahren könnten auch Schein-Sicherheit suggerieren. Aus technischer Sicht sei nicht zu erwarten, dass maschinelles Lernen auf verschlüsselten Daten außerhalb spezieller Anwendungen erfolgreich nutzbar sein werde. In einer einzelnen Rückmeldung wird vorgeschlagen, den Datenhandel im Sinne einer Monetarisierung von Daten generell zu untersagen, um so neben dem Datenschutz auch die Informationssicherheitsrisiken zu minimieren.

Kollektiver Verbraucherschutz

Ausnutzung der Zahlungsbereitschaft und -fähigkeit der einzelnen Kunden

Abgrenzung von risikoadäquater Preisdifferenzierung und Ausnutzung der individuellen Zahlungsbereitschaft

Abzugrenzen von einer Preissetzung in Abhängigkeit der individuellen Zahlungsbereitschaft seien im Finanzsektor die generell erforderlichen Preisdifferenzierungen aufgrund der individuell entstehenden Risikokosten.

Diese Art der Preisdifferenzierung, so ist in den Antworten zu lesen, müsse auch künftig zur risikoadäquaten Bepreisung möglich sein. Es wird auch darauf hingewiesen, dass zum Beispiel der situative Versicherungsschutz regelmäßig auf einen (Mehr-)Jahresbeitrag hochgerechnet werde und teurer sei als langfristiger Versicherungsschutz, da er häufig auf einen Zeitraum mit erhöhten Risiken ausgerichtet werde.

Wettbewerb und langfristige Geschäftsbeziehungen sprechen gegen eine Abschöpfung der Konsumentenrente am Finanzmarkt

Die Möglichkeit, durch den Einsatz von BDAI die Konsumentenrente besser abschöpfen zu können, wird in der Mehrzahl der Antworten verneint. Als Gegenargument wird insbesondere ein intensiver (Preis-)Wettbewerb um den Kunden angeführt. Bei der Vermeidung einer einseitigen Preisgestaltung käme damit vor allem einer effektiven Wettbewerbspolitik bzw. -aufsicht eine Schlüsselrolle zu: Grundvoraussetzung für die Abschöpfung der Konsumentenrente sei ein Marktversagen – also etwa die Bildung von Mono- und Oligopolen bzw. Preisabsprachen und wettbewerbsbeschränkende Absprachen.

Für den Bankensektor fänden darüber hinaus Regelungen wie die Preisangabenverordnung Anwendung. Vermeintlich willkürliche bzw. rein personenabhängige Preisgestaltungen in der Breite des Kundengeschäfts seien daher schwer vorstellbar. Zudem seien für Finanzdienstleister Fairness gegenüber den Kunden und deren Vertrauen von existenzieller Bedeutung für die Kundenbeziehung. Eine faire Preisgestaltung liege daher im eigenen Interesse und sei häufig bereits im Code of Conduct der Unternehmen angelegt. In anderen Antworten hingegen wird die Position vertreten, dass Verbraucher eine eventuelle Ausnutzung ihrer Zahlungsbereitschaft und -fähigkeit selbst verantworteten, wenn sie ihre Daten freigäben. Der These einer breiten Nutzung der Finanz- und Verhaltensdaten außerhalb des Kerngeschäfts wird zudem entgegengehalten, dass eine solche derzeit nicht zu beobachten sei.

BDAI könnte Transparenz für Produktalternativen erhöhen

Gegen die Abschöpfung der Konsumentenrente spreche auch die verbesserte Möglichkeit, als Kunde über BDAI einen Überblick über verfügbarer Produktalternativen und Preise zu erlangen. Eine von BDAI befeuerte hohe Marktdynamik könne sogar sinkende Preise zur Folge haben. Auch könnten insbesondere Kunden mit geringer Zahlungsbereitschaft durch BDAI-Anwendungen neue Konsummöglichkeiten eröffnet werden.

Verstärkte Marktkonzentration könnte künftig neue Gefahren entstehen lassen

Dagegen wird in einigen Antworten darauf hingewiesen, dass eine teilweise Abschöpfung der Konsumentenrente bereits heute möglich sei, da es nur wenige Online-Plattformen gebe. Wenn Methoden der datenbasierten Preisdifferenzierung breitere Anwendung fänden, könne dies die Informationsasymmetrie zwischen Verbrauchern und Unternehmen verstärken – zu Ungunsten der Verbraucher. Sollten hierbei neue Gefahren entstehen, wäre über die Initiierung von aufsichtlichen oder regulatorischen Maßnahmen nachzudenken. Zudem sollten einheitliche Anforderungen an die Pflicht zur Angabe von Daten gestellt werden, die zur Preisbestimmung herangezogen würden. Ebenso sollten sachgerechte Regelungen für die Nutzung von Daten getroffen werden, die im Internet of Things anfallen.

Verstärkte Verbraucheraufklärung ist nötig

In einigen Antworten wird explizit betont, dass es wichtig und notwendig sei, Verbraucher aufzuklären und auszubilden. Verbraucher müssten nämlich in der Lage sein, aufgeklärtere Entscheidungen zu treffen, was ihre persönlichen Daten und Finanzprodukte angehe. Eine wichtige Rolle spielten dabei unter anderem Verbraucherschutzorganisationen, welche die Kunden über Veränderungen im Marktangebot und mögliche Fallstricke in der Produktauswahl aufklären sollten. Außerdem sei es förderlich, die Datenhoheit der Kunden zu stärken.

Differenzierung und mögliche Diskriminierung

Gefahr indirekter Diskriminierung nimmt zu – Nachweis von Diskriminierungsfreiheit erforderlich

Die Gefahr indirekter Diskriminierung (wie einleitend beschrieben) könne bei der Verwendung von BDAI zunehmen, heißt es in einigen Antworten. Anbieter sollten daher einen Nachweis über die diskriminierungsfreie Funktion ihrer Systeme und die Relevanz der verwendeten Variablen führen. Es wird befürwortet, Algorithmen einer regelmäßigen Prüfung zu unterziehen – unternehmensintern und durch Dritte. In einer Antwort wird sogar ein staatliches Kontrollsystem für alle BDAI-Algorithmen auch außerhalb der Finanzbranche gefordert. Zudem müsse man einer möglichen Diskriminierung bereits bei der Modellentwicklung begegnen, zum Beispiel durch Verwendung von Methoden wie Bias-Correction. Insgesamt sei die Durchsetzung von Diskriminierungsverboten im Kontext von BDAI aber eine technisch anspruchsvolle Aufgabe, für die es noch keine insgesamt befriedigende Lösung gebe. Derzeit sei eine nachträgliche, stichprobenhafte Kontrolle von Einzelfallentscheidungen den einzig gangbaren Weg.

Im Versicherungssektor sind viele Antidiskriminierungsregeln etabliert

Im Versicherungssektor seien bereits – neben allgemeinen Vorgaben wie dem Allgemeinen Gleichbehandlungsgesetz und dem Gendiagnostikgesetz – eine Reihe sektorspezifischer Vorschriften zu beachten. Genannt wird hier insbesondere der Gleichbehandlungsgrundsatz für Lebensversicherungen (§ 138 Absatz 2 Versicherungsaufsichtsgesetz (VAG)) und Versicherungsvertragsgesetz (VvaG) (§ 177 Absatz 1 VAG). Außerdem verfüge die Aufsicht in der Missstandsaufsicht über umfangreiche Instrumente, die als ausreichend angesehen werden. Darüberhinausgehende Mikroregulierung oder Mikrosteuerung von Produktgestaltung und Bepreisungsmodellen wirkten innovationshemmend. Im Übrigen sei unzulässige Diskriminierung im Versicherungssektor leichter zu vermeiden als in anderen Branchen, da, bis auf das Merkmal Geschlecht, jedes Merkmal nur ein differenzierender Faktor sei, solange dieser risikorelevant sei.

Definition von Diskriminierung bzw. Diskriminierungsfreiheit

Diskriminierungsfreiheit bezogen auf ein Merkmal mit nur zwei Ausprägungen (zum Beispiel Raucher / Nichtraucher) liege dann vor, wenn beide Gruppen die gleiche Erfolgswahrscheinlichkeit für den Abschluss eines Vertrages (zu gleichen Konditionen) hätten. Anders ausgedrückt müssten also zwei Verbraucher mit den gleichen risikorelevanten Eigenschaften den gleichen Preis zahlen. Insgesamt sei es für nicht erhobene Merkmale unmöglich zu garantieren, dass das Ergebnis einer Modellentscheidung unabhängig von diesem Merkmal sei. Wenn das Merkmal allerdings bekannt sei, könne die Modellentscheidung weitestgehend zur Vermeidung von Diskriminierung bereinigt werden. Um eine unzulässige Diskriminierung auszuschließen, ist nach Meinung einiger Konsultationsteilnehmer ein Datensatz erforderlich, der genau das auszuschließende Merkmal enthält.

Weitergehender gesellschaftlicher Diskurs erscheint notwendig

Um gewollte Differenzierung und nicht zu akzeptierende Diskriminierung voneinander abzugrenzen, brauche man künftig einen gesellschaftlichen Diskurs. Auf diese Weise könne man die Akzeptanz der neuen Technologien fördern. Dabei sei aber zu berücksichtigen, dass die durch BDAI ermöglichte weitere Differenzierung Phänomenen wie Moral Hazard und adverser Selektion entgegenwirken könne. Würden diese Möglichkeiten nicht genutzt, könne es zu unfairen Verteilungen bzw. Bedingungen kommen, wenn es sich um risikorelevante Informationen handele. Mit Blick auf Differenzierung wird darauf verwiesen, dass sehr stark segmentierende Tarife in der Vergangenheit wenig erfolgreich gewesen seien. Einige sahen den Grundgedanken des Versicherungsschutzes durch verfeinerte Segmentierung gefährdet.

4.3. Zugang zu Finanzprodukten

In diesem Themenblock lag der Schwerpunkt der Konsultationsteilnehmer auf Versicherungsprodukten. Viele Argumente lassen sich aber generell auf Finanzdienstleistungen ausweiten.

Daten sind zur Risikobeurteilung essenziell

In einem Großteil der Antworten wird darauf hingewiesen, dass die Daten-Bereitstellung zur Risikoprüfung im Finanzsektor (zum Beispiel Kreditwürdigkeitsprüfung) unerlässlich sei. So sei das Grundprinzip einer privaten Versicherung, dass sich Prämien am versicherten Risiko orientierten. Denn die private Versicherung basiere – anders als die Sozialversicherung – darauf, dass sich das Versichertenkollektiv lediglich das Zufallsrisiko aufteile. Vom individuellen Risiko hänge daher ab, ob und zu welchen Konditionen ein Kunde (privaten) Versicherungsschutz – bzw., allgemein gesprochen, eine Finanzdienstleistung – erhalten könne.¹³ Es wird betont, dass Kunden, die weniger risikorelevante Daten bzw. Informationen offenlegten, über ein anderes Risikoprofil verfügten. Dementsprechend müssten sich die Konditionen von Tarifen in Abhängigkeit der Verfügbarkeit relevanter Daten unterscheiden.

Festlegung risikorelevanter Daten entscheidend

Es wird vorgeschlagen, dass der Gesetzgeber, die Aufsicht oder die Branche (über Selbstverpflichtungen) verbindlich definieren solle, welche Daten zur sachgerechten Differenzierung tatsächlich erforderlich seien. Staatliche Stellen könnten dann auch sicherstellen, dass Verbrauchern, die in eine Datenverarbeitung über das erforderliche Maß hinaus nicht einwilligen, nicht der Zugang zu Finanzdienstleistungen verwehrt werde. Es sei jedoch unklar, in welche Risikoklasse solche datensparsamen Verbraucher einzuordnen wären, ob es also im Sinne einer Diskriminierungsfreiheit ausreichend sei, wenn diese Kunden nicht gänzlich von einer entsprechenden Dienstleistung ausgeschlossen würden, aber dennoch Dienstleistungen zu ggf. schlechteren Konditionen erhielten. Zu berücksichtigen sei auch, dass die Möglichkeit, durch die Freigabe zusätzlicher Daten den Preis für ein Finanzprodukt zu senken, unter Umständen das Recht auf informationelle Selbstbestimmung untergrabe.

Wettbewerb regelt den Zugang zu Finanzprodukten auch für datensparsame Kunden

Der Wettbewerb regle den Zugang zu Finanzprodukten auch für datensparsame Kunden, ist zu lesen. Es sei zunehmend zu beobachten, dass Anbieter einen datensparsamen und bequemen Vertragsabschluss als Leistungsmerkmal herausstellten. In welchem Umfang und in welcher Form Kunden bei Abschluss eines Vertrages Daten bereitstellen müssten, sei somit bereits heute ein Wettbewerbsfaktor. Andererseits wird auch darauf hingewiesen, dass generell ein Spannungsverhältnis zwischen den Vorgaben zur Datensparsamkeit und den Anforderungen der BDAI-Systeme an eine hinreichend große Datenbasis bestehe. Es sei keine Lösung, Unternehmen zu verpflichten, Produkte anzubieten, die nicht mehr dem Marktstandard entsprächen und auf veralteten Technologien beruhten. Diese Produkte wären für Kunden nicht von Interesse, gesetzliche Eingriffe entsprechend obsolet.

Gegenmeinung: Vorschlag zur Ausweitung von Basisprodukten

Um den Ausschluss von Kunden zu verhindern, die sich datensparsam bzw. nichtdigital verhalten, werden auf der anderen Seite gesetzliche Regelungen gefordert, die Anbieter verpflichten, auch analoge Verträge anzubieten. Eindeutig zu definieren, wann ein Vertrag analog bzw. konventionell sei, erscheine jedoch sehr komplex. Der Gesetzgeber könne – analog zur Einführung eines Anspruchs auf Einrichtung eines Basiskontos – eine Basisversorgung garantieren, etwa für die Kranken- und Pflegeversicherung, Privathaftpflichtversicherung, Berufsunfähigkeitsversicherung und Kfz-Haftpflichtversicherung. Dies insbesondere vor dem Hintergrund, dass die zunehmende Differenzierung dazu führen könne, dass bestimmte Kundengruppen nicht mehr oder nur noch zu sehr hohen Preisen versicherbar seien. Dies wäre insbesondere für Kunden problematisch, die das Risiko nicht selbst beeinflussen könnten. Auch könne die Aufsicht ein Zertifikat für datensparsame Finanzdienstleistungen aufsetzen, welches, sofern als Gütesiegel akzeptiert, die Risiken eines Ausschlusses von datensparsamen Kunden minimieren könne. Demgegenüber wird aber auch davor gewarnt, dass eine spezielle gesetzliche Verpflichtung zu datensparsamen bzw. konventionellen Finanzprodukten suggerieren könne, dass bei anderen (Finanz)produkten das Prinzip der Datensparsamkeit nicht gelte.

Souveränität der Verbraucher

Datensouveränität wird als entscheidendes Thema angesehen

In der Mehrzahl der Antworten wird klar herausgestellt, dass die Datensouveränität der Verbraucher ein sehr relevantes Thema sei – nicht nur mit Blick auf den Finanzmarkt, sondern auch branchenübergreifend. Es sei sicherzustellen, dass Verbraucher über den Zweck der Datenverwendung in verständlicher Weise informiert würden und eine bewusste und sensibilisierte Entscheidung über ihre Datenweitergabe treffen könnten. Wirkliche Wahlfreiheit sei hierfür eine essenzielle Voraussetzung. Problematisch bzw. kontraproduktiv seien hingegen zum Beispiel sozialer und finanzieller Druck, Lock-in- und Netzwerkeffekte. Bei eventuellen regulatorischen Maßnahmen seien diese Faktoren und allgemein eine eingeschränkte Informationsaufnahme- und -verarbeitungskapazität der Verbraucher zu berücksichtigen. In diesem Zusammenhang wird ein Mindestmaß an Datenschutz vorgeschlagen, das auch dann greife, wenn eine Einwilligung vorliege. Sofern aber alle Anforderungen erfüllt seien, solle der Gestaltungsspielraum der Finanzdienstleister nicht weiter eingeschränkt werden.

Finanzaufsicht nicht primär zuständig – Dialog mit anderen Behörden aber nötig

In denselben Antworten wird aber auch betont, dass eine Stärkung der Datensouveränität der Verbraucher nicht in der Zuständigkeit der Finanzaufsicht gesehen werde. Diese solle sich in diesem Punkt auf die Missbrauchsaufsicht konzentrieren bzw. beschränken. Gefragt seien andere Behörden bzw. die Gesellschaft als Ganzes. So wird beispielsweise vorgeschlagen, über digitale Bildung, Verbraucheraufklärung sowie Schul- und Erwachsenenbildung auch über den Wert und Gegenwert beim „Bezahlen mit persönlichen Daten“ aufzuklären. In diesem Zusammenhang wird allerdings auch ein intensiverer Dialog von Finanz- und Datenschutzaufsichtsbehörden für nötig erachtet.¹⁴

Ideen zur Stärkung bzw. Gewährleistung von Datensouveränität

Datensouveränität könne grundsätzlich durch eine Einhaltung von gesetzlichen Rahmenwerken wie der DSGVO und eine transparente Informationspolitik gegenüber dem Verbraucher gewährleistet werden. Um Verbrauchern einen besseren Überblick über die von ihnen freigegeben Daten zu gewähren, wird zum Beispiel die Einrichtung eines Datenschutzcockpits vorgeschlagen. Generell sei zu gewährleisten, dass eine Verwendung von personenbezogenen Daten nur über klar definierte und dokumentierte Prozesse erfolgen sollte. Auch solle Verbrauchern ein Ansprechpartner genannt werden, unabhängig davon, wo in der Wirkungskette der Schaden oder ein Problem entstanden sei. Verbraucher bräuchten auch in fragmentierten Wertschöpfungsketten eine lückenlose Haftungshandhabe.

Zudem wird auf die Möglichkeit hingewiesen, dass Industriestandards der Finanzbranche zu De-facto-Minimalanforderung an die Verwendung persönlicher Daten werden könnten, wenn diese vom Kunden akzeptiert bzw. wahrgenommen würden. Der Kunde könne sich so zuverlässige Partner für die Erbringung von Finanzdienstleistungen selber auswählen. Zum Beispiel hätten sich die Versicherer erst kürzlich in Zusammenarbeit mit den Datenschutzbehörden in einem veröffentlichten Code of Conduct zur Datensparsamkeit verpflichtet. Abschließend wurde die Vermutung geäußert, dass es künftig Dienstleister geben werde, die sich auf die Durchsetzung der informationellen Selbstbestimmung spezialisierten. Solche Anbieter könnten mit Hilfe von BDAI-Methoden ausfindig machen, wo personenbezogene Daten eines Nutzers gespeichert seien. Sofern der Nutzer dies wünsche, könnte der Dienstleister anschließend beantragen, solche Daten zu löschen.

Technische Datenschutzmöglichkeiten

Die Verwendung von Verfahren wie Privacy-Preserving-Data-Mining und eine möglichst umfangreiche Pseudonymisierung bzw. Anonymisierung können, so die generelle Ansicht, das Vertrauen stärken. Die Forderung, Privacy-Preserving-Data-Mining als unbedingt einzuhaltende Grundanforderung zu etablieren, wird aber als problematisch angesehen, da dies oft eine erhebliche Einschränkung bei der Entwicklung von Algorithmen bedeute.¹⁵ Was das Privacy-Preserving-Data-Mining angeht, wird darauf hingewiesen, dass dieses in der Praxis auf eine vertrauenswürdige dritte Partei („Trusted Third Party“) angewiesen sei. Hier könnten Finanzinstitute eine wichtige Rolle einnehmen. Unter Umständen seien aber aufgrund des potentiell hohen Haftungsrisikos auch staatliche Stellen gefordert, die Rolle einer vertrauenswürdigen dritten Partei zu übernehmen.