BaFin

Thema Fintech Aufsicht und Regulierung in Zeiten von Big Data und künstlicher Intelligenz

Datum: 01.08.2018

Big Data und Künstliche Intelligenz (Artificial Intelligence) verändern die Finanzmärkte und werfen aufsichtliche und regulatorische Fragen auf, die es zu beantworten gilt.

Einleitung

Begriffe wie Big Data (BD) und Artificial Intelligence (AI) sind derzeit Gegenstand vielfältiger wissenschaftlicher und gesellschaftlicher Diskussionen. Big Data – also die großvolumige Entstehung und schnelle Erfassung einer Vielzahl von Daten aus unterschiedlichen Quellen – ist ein Schlüsselelement für die Anwendungen von Analyseverfahren der künstlichen Intelligenz. Neue technologische Entwicklungen ermöglichen weitreichende Fortschritte etwa bei der Erkennung und Verarbeitung von Sprache und Gesichtern, Texten und Bildern, aber auch bei Prozessautomatisierungen (Robotic Process Automation). Das Gleiche gilt für die Erzeugung von Sprache (Natural Language Generation). Die Produktivität künstlicher Intelligenz hängt stark von Umfang und Qualität verfügbarer Daten ab, mit denen Algorithmen trainiert und getestet werden. Aus diesem Grund ist es sinnvoll, beide Themen nicht getrennt voneinander zu betrachten und sie im Folgenden unter dem Kürzel „BDAI“ zusammenzufassen.

Dass BDAI auch im Wirtschaftsalltag immer relevanter wird, beruht auf drei Faktoren: auf dem bereits erwähnten technologischen Fortschritt, dem Wettbewerb auf den Märkten und dem sich ändernden Verbraucherverhalten. Der technologische Fortschritt setzt den Rahmen dafür, dass BDAI immer kostengünstiger wird und sich einfacher in der Praxis anwenden lässt. So hat die Rechenleistung der Computer exponentiell zugenommen, es steht immer mehr kostengünstiger Speicherplatz zur Verfügung, und die Hardwareleistungen steigen. Insgesamt senken diese Entwicklungen die Technologiekosten und somit auch die Barrieren für die Nutzung von BDAI.

Mit Blick auf die Wettbewerbssituation ist zu beobachten, dass viele Unternehmen vermehrt auf die Auswertung und Nutzung von Daten setzen, um ihre Geschäftsmodelle und -prozesse zu optimieren. Aus dieser Marktsituation heraus sind inzwischen zahlreiche datengetriebene Geschäftsmodelle1 entstanden. Zudem haben die bequeme Nutzung und die Schnelligkeit der neuen technologischen Möglichkeiten dafür gesorgt, dass sich viele Verbraucher digitalen Anwendungen zuwenden, und es ist davon auszugehen, dass sich diese Entwicklung fortsetzen wird. So entsteht ein sich selbstverstärkender Kreislauf aus Daten und Anwendungen: Die Möglichkeiten der Vernetzung von Menschen, Maschinen und Prozessen nehmen immer stärker zu.

BDAI-Technologien haben das Potenzial, auch die Finanzbranche tiefgreifend zu verändern. Die Möglichkeiten und Chancen sind enorm. In ihrem Bericht „Big Data trifft auf künstliche Intelligenz – Herausforderungen und Implikationen für Aufsicht und Regulierung von Finanzdienstleistungen“2 hat die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) analysiert, welche Veränderungen die verstärkte Anwendung von BDAI für den Finanzmarkt insgesamt, die Unternehmen, die Verbraucher, aber auch für die Aufsicht mit sich bringen könnte. Aufsicht und Regulierung müssen sich frühzeitig mit diesen Veränderungen beschäftigen – auch mit den Risiken, die BDAI-Anwendungen möglicherweise mit sich bringen. Im Folgenden werden die zentralen Herausforderungen von BDAI für die prudenzielle Regulierung und den Verbraucherschutz skizziert.

Prudenzielle Regulierung

Betrachtet man aus der Vogelperspektive, wie BDAI funktioniert und wirkt, wird schnell klar, warum BDAI-Anwendungen das Zeug haben, den Finanzmarkt grundlegend zu verändern. Finanzdienstleistungen hängen sehr stark von Informationen und deren Bewertungen ab. BDAI liefert die Möglichkeit, immer mehr und immer präzisere Informationen zu gewinnen. Aus diesen Informationen lassen sich dank BDAI neue Bewertungen erzeugen – etwa zu Asset-Preisen, zur Kreditwürdigkeit und zu einem Risikoprofil für die Krankenversicherung.3 Sind diese Bewertungen den klassischen Verfahren überlegen, haben Anbieter, die sie nutzen, einen Wettbewerbsvorteil: Wer zum Beispiel die Kreditwürdigkeit einer Person besser einschätzt als sein Konkurrent, kann einen risikoadäquateren Preis verlangen und sich langfristig gegen diesen Konkurrenten durchsetzen. Das Phänomen BDAI wird also einen gewissen Wettbewerbsdruck auslösen, und Unternehmen, die am Markt bleiben wollen, werden nicht umhinkönnen, das eigene Unternehmen für die Nutzung der neuen BDAI-Verfahren fit zu machen.4

Der Umstand, dass sich dank BDAI zum einen bislang nicht verfügbare Informationen gewinnen und zum anderen genauere Bewertungen vornehmen lassen, ermöglicht Anbietern, neue Produkte und Dienstleistungen anzubieten – und dies mit potenziell unlimitierter Reichweite. Zum Beispiel lassen sich Ereignisse, deren Eintrittswahrscheinlichkeit vorher nicht oder nur schwer vorhersagbar war, nun durch Predictive Analytics vorhersagen. Versicherer können daher – bei entsprechender Nachfrage – ein Produkt zu diesem Ereignis anbieten. Darüber hinaus sind es vor allem die durch BDAI gewinnbaren Informationen über die Kundschaft, die nun eine persönliche Ansprache und personalisierte Produkte ermöglichen. Diese scheinbar persönliche Interaktion via Computer oder Smartphone kennen die Nutzer bereits von vielen Online-Dienstleistern außerhalb der Finanzdienstleistungsbranche, und sie übertragen ihre Erwartungen an diese Dienste auf andere Bereiche, insbesondere auf Finanzdienstleistungen.

Aber auch innerhalb eines Finanzunternehmens gibt es viele Prozesse, in denen Daten entstehen und für Entscheidungen ausgewertet werden müssen. Im Zahlungsverkehr zum Beispiel werden riesige Datenmengen erzeugt und analysiert, um etwa auf Geldwäsche aufmerksam zu werden. Durch den Einsatz von BDAI lassen sich auch bisher unbekannte Muster und Zusammenhänge erkennen – und dies zu deutlich geringeren Kosten. Ein weiteres Beispiel für die Nutzung von BDAI ist die Schadenregulierung bei Versicherern. Immer mehr Entscheidungen lassen sich durch BDAI automatisiert unterstützen und vorbereiten. In der Vergangenheit war es bei der Automatisierung von Prozessen unabdingbar, dass Vorgehensweisen weitgehend vordefiniert waren. Der Algorithmus war nicht anpassungsfähig. Im Rahmen von BDAI werden nun aber vermehrt Algorithmen eingesetzt, die selbstlernend sind. Dies macht es möglich, dass immer komplexere Prozesse (teil)-automatisiert werden. Wettbewerbsdruck – diesmal auf der Kostenseite – könnte ein weiterer Katalysator für die Nutzung von BDAI sein.

Der Einsatz von BDAI kann also auch auf dem Finanzmarkt zu einem entscheidenden Wettbewerbsvorteil werden, und auch die Unternehmen, die unter der Aufsicht der BaFin stehen, werden diesen Vorteil nutzen, um vor allem ihre Effektivität und Effizienz zu steigern. Für die Finanzaufsicht stellt sich daher die Frage, ob und wie die Aufsicht und deren Grundlage, die Regulierung, angepasst werden müssen und an welchen bewährten Prinzipien sie festhalten sollte. Im Folgenden soll auf einige zentrale Aspekte eingegangen werden.

Wer trägt Verantwortung, der Algorithmus oder der Mensch?

Bei der Aufsicht über ein Unternehmen – zum Beispiel eine Bank – zieht sich ein roter Faden durch die Anforderungen, die die Aufsicht stellt: Alle Entscheidungen, die in der Bank getroffen werden, müssen in eine ordnungsgemäße Geschäftsorganisation eingebettet sein. „Ein Institut muss über eine ordnungsgemäße Geschäftsorganisation verfügen, die die Einhaltung der vom Institut zu beachtenden gesetzlichen Bestimmungen und der betriebswirtschaftlichen Notwendigkeiten gewährleistet.“ So steht es in § 25a Kreditwesengesetz (KWG). Verantwortlich für die ordnungsgemäße Geschäftsorganisation sind nach § 25 a KWG die Geschäftsleiter. Diesen roten Faden, der sich vergleichbar auch durch die Versicherungsaufsicht zieht, wird die Aufsicht auch im Zuge der Ausbreitung von BDAI und der zunehmenden Algorithmisierung nicht durchtrennen: Der Mensch ist und bleibt verantwortlich.

Ist deswegen der Einsatz von Algorithmen verboten? Nein! Jeder einzelne Algorithmus muss aber, genau wie jeder einzelne Mitarbeiter eines Unternehmens, Teil der ordnungsgemäßen Geschäftsorganisation sein. Seine Entscheidungen müssen also innerhalb des Unternehmens und für Dritte nachvollziehbar und damit überprüfbar sein – vor allem dann, wenn sie zentrale und damit risikobehaftete Entscheidungen treffen bzw. diese zumindest vorbereiten. Weder Menschen noch Algorithmen sollten in einem Unternehmen unkontrolliert machen können, was sie wollen.

Entscheidungs- und Bewertungsprozesse können komplexer Natur sein. Sollte BDAI zum Einsatz kommen, kann dies aber nicht bedeuten, dass die Gründe für Entscheidungen im Nachhinein nicht mehr nachvollziehbar sind. Sind neuartige und höchst komplexe Algorithmen am Werk, führen Unternehmen oft sehr schnell das Argument der Blackbox an: Der innovative Algorithmus produziere sehr genaue Prognosen, warum und auf welcher Basis er diese tätige, sei aber nicht mehr nachvollziehbar und könne daher leider auch nicht mehr aufsichtlich geprüft werden. Diese Argumentation akzeptiert die Aufsicht nicht, und ein Vorstand wäre gut beraten, sie hausintern ebenfalls nicht zu akzeptieren, da sie auf eine potenziell dysfunktionale Geschäftsorganisation hinweist.

Wie wichtig bei der Nutzung von Algorithmen Erklärbarkeit und Transparenz sind, haben auch Wissenschaft und (angewandte) Forschung bestätigt und dafür Verfahren und Instrumente entwickelt. Auch für komplexe Analyseverfahren gibt es also mittlerweile Möglichkeiten, Erklärbarkeit herzustellen. Man muss also im Finanzsektor nicht auf komplexe Algorithmen und automatisierte Prozesse verzichten, man darf nur nicht vergessen, zugleich auch in deren Transparenz und Erklärbarkeit zu investieren. Als Anreiz sollte den Unternehmen der Umstand dienen, dass nur bei hinreichend transparenten Algorithmen Fehler im Analyseprozess frühzeitig erkannt und behoben werden können, was die Möglichkeiten der Anwendung von BDAI sogar erweitert.

Aufsichtliche Standards für selbstlernende Systeme

Muss die Aufsicht demnächst aufsichtliche Standards für selbstlernende Systeme definieren? Wird es bald MaAlgo und MaDaten geben – nach dem Vorbild der MaRisk, der Mindestanforderungen an das Risikomanagement der Banken? Eines vorweg: Es geht hier nicht in erster Linie um zusätzliche Regulierung. Nur weil ein Prozessschritt, für dessen Kontrolle die BaFin bisher kein aufsichtsrechtliches Mandat hatte, nun von einem Algorithmus ausgeführt wird und nicht mehr von einem Menschen, heißt das nicht, dass dieser Prozess nun zu regulieren und zu beaufsichtigen ist. Über die Frage, ob und inwieweit die Finanzregulierung zu modifizieren sei, ist an anderer Stelle zu diskutieren. An dieser Stelle geht es um Tatbestände, für deren Überprüfung die BaFin bereits jetzt ein aufsichtsrechtliches Mandat hat. Die entscheidende Frage lautet also: Wie muss sich die Herangehensweise von Aufsicht und Regulierung bei der Überprüfung dieser Tatbestände ändern, wenn hinter ihnen kein Mensch mehr steht; sondern ein Algorithmus?

Im vorangehenden Abschnitt wurde argumentiert, dass Erklärbarkeit und Nachvollziehbarkeit einer algorithmischen Lösung Grundvoraussetzungen für deren Einbettung in eine ordnungsgemäße Geschäftsorganisation seien. Ergebnisse und Prozesse müssen zudem hinreichend dokumentiert werden.

Angenommen, die Grundvoraussetzungen Erklärbarkeit, Transparenz und die Einbettung in eine ordnungsgemäße Geschäftsorganisation sind für den Einsatz eines Algorithmus gegeben. Welche Standards sollen dann gelten – sei es im Regelbetrieb, sei es in (Re-)Kalibrierungsphasen? Ab wann und wie stark die Aufsicht hier möglicherweise künftig eingreifen muss, sollte natürlich von der Risikorelevanz des jeweiligen Einsatzgebietes abhängen.

An dieser Stelle sollen einige Ideen dazu skizziert werden, wie Unternehmen selbstlernende Algorithmen klug und umsichtig einsetzen könnten: Beispielsweise könnten Unternehmen innovative Ansätze – vor deren Übernahme in den Kundenbetrieb – zunächst in einer geschützten Umgebung kalibrieren, erproben und validieren. In solch einer unternehmensinternen Testumgebung kann das Verhalten eines Algorithmus in verschiedenen Situationen beobachtet und nachvollzogen werden – und dies, ohne dass dadurch ein Schaden entstehen könnte. Bevor BDAI-Lösungen dann tatsächlich zum Einsatz gebracht werden, böte sich an, sie parallel zu bestehenden Systemen laufen zu lassen. Eventuelle Risiken können bei diesem Parallellauf isoliert, quantifiziert und behoben werden. Erst wenn das geschehen ist, sollte die Schleuse zum Live-Einsatz geöffnet werden. Und haben die Algorithmen diese Schleuse erfolgreich passiert, sind weitere Kontrolle und laufende Validierung unabdingbar. Dies insbesondere vor dem Hintergrund, dass selbstlernende Systeme sich stets weiterentwickeln, wenn neue Daten eingespeist werden.

Im Live-Einsatz greifen die Algorithmen häufig auf viele verschiedene Datenströme zu, die unter Umständen auch wieder von Algorithmen erzeugt worden sind. Auf diese Weise kann es zu Entscheidungskaskaden kommen, die sich selbst verstärken. Ein Blick in den Werkzeugkoffer des Kapitalmarkts könnte angesichts dessen nützlich sein: Technische Sicherungsmaßnahmen wie automatische Volatilitätsunterbrechungen sind dort gängige Praxis. Solche automatischen Unterbrecher könnten auch sinnvolle Absicherungsmaßnahmen für algorithmische Entscheidungsprozesse sein – vorausgesetzt, sie selbst sind sinnvoll kalibriert, da andernfalls Fehlentscheidungen und Probleme sogar noch zunehmen könnten.

Konkrete Kalibrierung der Anforderungen

In den vorherigen Absätzen wurde beispielhaft beschrieben, welche allgemeinen Grundvoraussetzungen bei der Nutzung von Algorithmen sinnvoll wären. In bestimmten Situationen könnte es jedoch erforderlich sein, darüber hinaus detailliertere, teils quantitative Anforderungen an die Ergebnisse von BDAI-Anwendungen zu stellen: Wird BDAI zum Beispiel in der Geldwäscheerkennung eingesetzt, so muss für die Aufsicht überprüfbar sein, ob der Algorithmus hinreichend effektiv ist, also begründete Verdachtsfälle herausfischt, und ob er hinreichend effizient ist, also fehlerarme Verdachtsfälle selektiert. Nur wenn eine Aufsicht auf dieser Grundlage klare Standards definiert hat, welche die Anforderungen an Effizienz und Effektivität beschreiben, kann sie in begründeten Fällen eingreifen und eine Nachjustierung der Modelle verlangen.

Integrität der Daten

So wie die Aufsicht die erwartete Ergebnisqualität klar definieren muss, brauchen Algorithmen ein Feedback zu ihrer Kalibrierung: Der Algorithmus muss wissen, welche Vorhersage richtig war und welche falsch. Hierfür müssen valide bzw. ergebnisrelevante Daten vorliegen. Wer MaAlgo fordert, Mindestanforderungen an Algorithmen, muss also konsequenterweise auch MaDaten (Mindestanforderungen an Daten) fordern. Dies ist allerdings mit Blick auf BDAI nicht trivial, zeichnet sich BDAI doch vor allem dadurch aus, dass aus nicht strukturierten Daten wichtige (und richtige) Erkenntnisse erzeugt werden sollen.

Daher muss durch die Unternehmen weiterhin sichergestellt sein, dass für Algorithmen nur valide und ergebnisrelevante Daten verwendet werden. Es wäre ein Mythos zu glauben, dass unternehmerische Entscheidungen nur deshalb objektiv bessere Ergebnisse erzielten, weil sie auf Algorithmen beruhen. Das Gegenteil könnte der Fall sein, denn die Produktion falscher Entscheidungen durch Algorithmen oder unangemessene Inputdaten lassen sich im Zweifel schwerer aufdecken als Fehler in traditionellen Entscheidungsprozessen.

Dieses Problem kann sich dadurch vervielfachen, dass die Reichweite algorithmusbasierter Entscheidungen – also die Zahl der Betroffenen – typischerweise signifikant höher ausfällt als in einer papierbasierten Welt. Fortlaufende Qualitätskontrollen, nicht nur der eingebetteten Algorithmen, sondern auch der verwendeten Daten, werden daher in Zukunft eine deutlich höhere Bedeutung haben als bisher. Aufsicht und Regulierung werden aus diesen Zusammenhängen verlässliche Aufsichtsstandards ableiten müssen.

Beständigkeit genehmigter Anwendungen

BDAI-Modelle zeichnen sich, wie oben beschrieben, unter anderem dadurch aus, dass sie große Datenmengen häufig in Echtzeit zur Vorhersage bzw. Entscheidungsfindung berücksichtigen. Insbesondere über die selbstlernenden Elemente können sich die Modelle beständig weiterentwickeln, indem sie zusätzlichen Dateninput und die darin enthaltenen Erkenntnisse berücksichtigen. Es findet also gewissermaßen fortlaufend eine Anpassung bzw. eine Verbesserung der Modelle und ihrer Kalibrierung statt. Die Aufsicht muss im Blick haben, dass sich auch Modelle weiterentwickeln können, die sie bereits abgenommen hat. Es stellen sich daher einige grundsätzliche Fragen: beispielsweise die, wie lange eine aufsichtliche Genehmigung Bestand haben kann und wann Modelländerungen im aufsichtlichen Sinne vorliegen. Vor allem aber stellt sich die Frage, wie viel dynamische Anpassung eines Modells gestattet werden kann, damit die Zulassung eines Modells überhaupt möglich ist. Die Aufsicht wird Antworten auf diese Fragen finden müssen – über konkrete Anwendungsfälle und im Dialog mit allen Beteiligten.

BDAI und systemische Risiken: Wen beaufsichtigen wir in Zukunft?

Vielversprechende Verfahren – wie etwa das Deep Learning – benötigen riesige Datenmengen („viel hilft viel“), um interessante Ergebnisse zu erzeugen, die wiederum die Grundlage für Produkt- und Prozessinnovationen bilden können. Der Nutzen von BDAI-Verfahren steigt weiter, wenn Unternehmen nicht bloß Informationen über die Präferenzen von Kunden sammeln, sondern auch deren Ausgabeverhalten kennen – zum Beispiel durch den Einblick in Girokonten oder andere Zahlungsverkehrskonten. Dann können ihre BDAI-Algorithmen mit deutlich valideren Daten gefüttert werden. Wer über die Nutzungsrechte an einer Fülle von Daten verfügt, am besten auch von Finanzdaten, hat somit immense Vorteile bei der Entwicklung neuer, vielversprechender BDAI-basierter Produkte und Dienstleistungen – auch und gerade außerhalb des Finanzsektors. Und durch die Nutzung dieser Produkte lassen sich wiederum neue Daten generieren.

Dieser sich selbstverstärkende Kreislauf wird durch das Geschäftsmodell „Bezahlen mit Daten“5, das einige Bigtechs praktizieren, zusätzlich befeuert. Es könnten sich natürliche Daten- und Auswertungs-Monopole bilden; man spricht in diesem Zusammenhang vom „The-winner-takes-it-all“-Charakter dieser Märkte. Das Bedienen immer neuer Märkte erlaubt es diesen Unternehmen, immer neue Daten aus unterschiedlichen Quellen zu verknüpfen. Durch BDAI-Anwendungen lassen sich somit Portfolio- und Konglomerateffekte6 erzielen und Verbund- und Skaleneffekte (economies of scope and scale) nutzen.

Aufgrund der weiten Verbreitung und der hohen Nutzerzahl könnten dominierende Daten- und Algorithmen-Anbieter, die mit eigenen – möglicherweise quersubventionierten – Finanzdienstleistungen in den Finanzmarkt treten, sehr schnell unmittelbar systemrelevant werden. Solche Anbieter könnten aber auch mittelbar eine relevante Stellung im Finanzsystem erlangen, nämlich dann, wenn sie einer Vielzahl von Finanzmarktakteuren Informationen zum Beispiel für eine genauere Risikokalkulation verkaufen. Vernetzung muss aber nicht zwangsläufig über den Verkauf von Informationen entstehen. Denkbar ist auch, dass Anbieter Finanzmarktakteuren Algorithmen und Infrastruktur(-dienstleistungen) zur Verfügung stellen (siehe auch Szenario „Pooling und Utilities“).

Greifen Akteure auf dem Finanzmarkt verstärkt auf Daten oder Algorithmen von nur wenigen großen Anbietern zurück, so kann dies auch makroprudenzielle Folgen haben. Zum einen würde sich eine sehr starke Abhängigkeit von diesen Anbietern ergeben: Was passiert zum Beispiel, wenn die Daten und Modelle fehlerhaft sind oder Infrastrukturen bei diesen Anbietern ausfallen? Zum anderen kann sich auf diese Weise unter Umständen eine prozyklische Wirkung entfalten, wenn eine große Masse an Finanzmarktakteuren aus bestimmten Ereignissen die gleichen Schlüsse und Handlungs- und Handelsstrategien ableitet, weil sie die gleichen Algorithmen verwendet. Eine Analogie zu der Rolle der Rating-Agenturen drängt sich auf.

Solche Risiken können durch Insourcing, Outsourcing oder sonstigen Bezug von BDAI-gestützten Dienstleistungen von Dritten entstehen. Gerade wenn diese Risiken nicht mehr innerhalb der Organisationsstruktur beaufsichtigter Unternehmen liegen, besteht die Gefahr, dass sie nicht mehr vollständig identifiziert und gesteuert werden können. Insgesamt muss man also die Frage stellen, ob die Definition der Systemrelevanz im aufsichtlichen Sinne und damit die Möglichkeit, mitigierende Maßnahmen einzuleiten, an die hier beschriebenen neuen Gegebenheiten angepasst werden muss.

Eng damit verbunden ist die Frage, wer oder was in einer BDAI-Welt welcher Art von (Finanz-)Aufsicht unterliegen muss. Müssen zum Beispiel zukünftig auch solche Anbieter unter Aufsicht gestellt werden, die strukturell Wissen und Informationen in den Finanzmarkt liefern, obwohl sie selbst keine Finanzdienstleistungen erbringen? Hier könnte man einen aus der Marktaufsicht bekannten Gedanken fruchtbar machen und Wohlverhaltenspflichten auch für solche Unternehmen etablieren und beaufsichtigen, die nicht der Institutsaufsicht der BaFin unterliegen.

Szenario: Pooling und Utilities

BDAI kann das Pooling von Daten, Technologie und Expertise sowie die Nutzung von Utilities fördern, denn der Erfolg von BDAI-Anwendungen steht und fällt mit zwei zentralen Voraussetzungen: Daten und Technologie (und der entsprechenden Auswertungsexpertise). Beide Voraussetzungen sind nicht immer gegeben. Verfügen einzelne Unternehmen beispielsweise nicht über eine ausreichende Datenmenge, um BDAI sinnvoll einsetzen zu können, kann es sich anbieten, dass sie ihre Datenpakete in pseudonymisierter und anonymisierter Form zusammenführen. Denkbar wäre zum Beispiel, dass in einem einzelnen Unternehmen zu wenige Datenpunkte für ein erforderliches Feedback der (selbstlernenden) Algorithmen vorliegen und/oder deren Kalibrierung schwierig ist. Wenn mehrere Unternehmen ihre Daten poolen, steigt die relevante Fallzahl eher auf die erforderliche kritische Masse. Die Daten stehen somit für datengetriebene Innovation in ausreichender Menge zur Verfügung.

Das Pooling – sowohl von Daten als auch von Technologie und Fachwissen – ist aber nur möglich, wenn die technischen, organisatorischen und juristischen Voraussetzungen erfüllt sind. Insbesondere beim Pooling von Daten ist zudem entscheidend, dass die Datensouveränität der einzelnen Unternehmen garantiert werden kann. Hierzu gibt es zum Beispiel die von Wirtschaft, Politik und Forschung 2014 gemeinschaftlich ins Leben gerufenen Initiative „Industrial Data Space“.

BDAI-Anwendungen könnten somit die Bedeutung von Utilities steigern, also von Vehikeln, in denen sich mehrere Unternehmen zusammenschließen, um bessere Auswertungen zu ermöglichen, Kostenvorteile zu erzielen und gleichgerichtete Interessen zu verfolgen. Vor allem in der Finanzbranche können zudem durch gemeinsame Nutzung von Expertise und gemeinsam entwickelte Lösungen aufsichtliche und regulatorische Anforderungen zielgerichteter erfüllt werden (zum Beispiel Regtech-Anwendungen, Geldwäscheprävention, Know-your-customer-Prozesse). BDAI kann diese Entwicklung antreiben. Ziel ist es, entscheidende Verbund- und Skaleneffekte zu realisieren.

Die Aufsicht muss sich die Frage stellen, wie bei zunehmendem Pooling und einer wachsenden Nutzung von Utilities neu auftretende Risiken angemessen zu erfassen und zu adressieren sind.

Verbraucherschutz

Das digitale Revival des Tante-Emma-Prinzips

Zunächst ist festzustellen, dass der Einsatz von BDAI durchaus Vorteile für Kunden und Verbraucher haben kann. Ein Blick zurück in die jüngere Vergangenheit zeigt dies: Bis in die 1980er Jahre hinein versorgten vor allem kleine Läden die Bevölkerung lokal mit Lebensmitteln und anderen Produkten des täglichen Bedarfs. Wer einen solchen Tante-Emma-Laden führte, genoss das Vertrauen seiner Kunden und hatte mitunter tiefe Einblicke in deren Privatleben. Kaufleute kannten also die Wünsche und Bedürfnisse ihrer Kunden, konnten ihnen individuelle Angebote unterbreiten und die Geschäfte schnell und unkompliziert abwickeln. Wollte Herr X zum Wochenende immer frischen Lachs kaufen, ein Produkt, das ansonsten aufgrund der geringen Nachfrage nicht im Angebot war, konnte der Kaufmann jeden Freitag eine bestimmte Menge Lachs in seine Produktpalette aufnehmen. Von solchen zugeschnittenen Angeboten profitierten beide Seiten. Die Kundenzufriedenheit war hoch, die Kundenbindung eng. Sie ging sogar so weit, dass der Kunde anschreiben lassen konnte, wenn er kein Geld dabei hatte. Diese Vorteile gingen mit dem Aufkommen der Supermärkte verloren. Der klassische Trade-off zwischen Informationsverbreitung und -tiefe galt. Internet und Digitalisierung erlauben es nun, dieses Paradigma aufzulösen.

Das Tante-Emma-Prinzip lässt sich heute im Grunde auf alle Lebensbereiche übertragen und skalieren. Voraussetzung: ein tiefes Verständnis von den Anforderungen und Bedürfnissen der einzelnen Kunden. BDAI liefert hierfür den Werkzeugkasten, ohne in persönliche Beziehungen zwischen Einzelpersonen eintreten zu müssen, jedoch mit der Möglichkeit, auf sehr persönliche Daten zuzugreifen. BDAI macht also, vereinfacht gesprochen, ein großflächiges Revival des Tante-Emma-Prinzips möglich – und zwar in allen Branchen. Die entscheidende Frage lautet, ob Anbieter und Kunden von diesem Revival gleichermaßen profitieren.

Ein weiterer Blick zurück in die Zeit der Tante-Emma-Läden: Was machte damals die Beziehung zwischen Kunden und Kaufmann aus? Es war stets der Kunde, der entschied, ob und was er dem Kaufmann von sich preisgab. Hinzukam: Die mitunter sehr privaten Informationen standen (im Idealfall) nur dem Kaufmann zur Verfügung, und der Kunde behielt die Kontrolle und den Überblick darüber, was der Kaufmann über ihn wusste. Die vertrauensvolle Beziehung zwischen Kunden und Händlern war mancherorts mit der Beziehung zum Arzt, Seelsorger oder Anwalt vergleichbar. Der Einzelhändler konnte sich auf diese Weise ein umfassendes Bild von der Persönlichkeit seines Kunden, seinen Lebensumständen und seinen Wünschen und Bedürfnissen machen. Verletzte er das Vertrauen seines Kunden, konnte dies für ihn erhebliche geschäftliche und vor allem auch persönliche und gesellschaftliche Konsequenzen haben. Die Machtverhältnisse zwischen Kunden und Kaufmann waren also in der analogen Welt gut austariert, und der Händler konnte sein Wissen fast ausschließlich für seine eigenen geschäftlichen Ziele nutzen. Für Dritte war sein Wissen wertlos, denn er konnte es nicht ohne weiteres verkaufen.

All dies hat sich im Zuge der Digitalisierung und durch das Entstehen neuer Geschäftsmodelle (eCommerce, Plattformwirtschaft und virtuelle Netzwerke) grundlegend geändert. Auch ohne aufwändige Face-to-Face- Interaktion lassen sich heute die Bedürfnisse und Wünsche von Kunden tiefgehend automatisiert analysieren. Der Einsatz von BDAI macht persönliche Beziehungen für die Erkenntnisgewinnung überflüssig, nicht aber persönliche Daten. Der Verbraucher hat es nicht mit einem konkreten Gegenüber zu tun, das er kennt, dem er vertraut und das ihn genau analysiert. Auch ist ihm nicht bewusst, wofür seine Daten verwendet werden könnten und welchen Wert sie haben. Hinzukommt, dass er nur sehr schwer ausmachen kann, ob er möglicherweise aufgrund seiner Daten diskriminiert wird.7

Statt des persönlichen Kontakts ist es in der BDAI-Welt für die Gewinnung des oben beschriebenen Wissens nun vor allem erfolgsentscheidend, eine kritische Masse an Nutzern zu erreichen und Netzwerk- und Konglomerateffekte zu realisieren. Aus den dadurch massenhaft verfügbaren Nutzerdaten werden die erforderlichen Datenmengen als Input für die neuen Auswertungsmethoden (zum Beispiel Deep Learning) generiert. Die Erkenntnisse zu den Präferenzen der Kunden können zunächst die Unternehmen selbst zur zielgenauen Vermarktung von Produkten und zur persönlichen Ansprache einsetzen. Neu ist aber, dass diese Erkenntnisse nun auch für Dritte wertvoll sind, dass die Unternehmen sie also verkaufen können. Sehr persönliche Informationen können – auch Dritten gegenüber – monetarisiert werden. Der Kunde verliert dabei schnell den Überblick darüber, welches Unternehmen was über ihn weiß und wozu letztendlich die Daten genutzt werden, die er ursprünglich freigegeben hat. Vorbei ist also die Zeit der austarierten Machtverhältnisse: BDAI kann signifikante Macht- und Informationsasymmetrien zwischen Kunden und Unternehmen zur Folge haben.

In diesem Zusammenhang sind finanzwirtschaftliche Daten für Unternehmen besonders interessant, da sie den ökonomischen Kern einer Person offenlegen: Einkommen, Vermögen, Zahlungsverkehr/Ausgabeverhalten, Vertragsbeziehungen, Gesundheitsstatus usw. Auch der Besitzer des Tante-Emma-Ladens wäre an diesen detaillierten Informationen interessiert gewesen, konnte er doch nur ungenaue Schlüsse ziehen, etwa aus Kleidung und Beruf seines Kunden. Weil Finanzdaten besonders sensibel sind, gaben und geben Kunden sie aber nur sehr ungern und sparsam preis – und das auch nur ausgewählten Vertrauenspersonen. Zudem hätte der Krämer schwerlich die maximale Zahlungsbereitschaft seiner Kunden ausnutzen können. Er konnte schließlich nicht permanent seine Preisschilder anpassen, etwa wenn der zahlungskräftige und anspruchsvolle Kunde B den Laden betrat, während er den weniger zahlungskräftigen Kunden A noch bediente. Im Internet ist aber genau das schnell getan. Der Rohstoff Finanzdaten kann also für Unternehmen in der heutigen Zeit ein entscheidendes Mittel zur Gewinnmaximierung darstellen – möglicherweise auch zu Lasten des Kunden (siehe Szenario: „Maximale Abschöpfung der Zahlungsbereitschaft zur Gewinnmaximierung“).

Der Kunde muss aber aus Sicht des Verbraucherschutzes auch heute noch in der Lage sein, selbst darüber zu entscheiden, wem er seine Daten für welche Zwecke weitergibt. Gerade wenn es um Finanzdaten geht, ist Datensouveränität wichtig. Zudem gilt es darauf zu achten, dass die neuen Möglichkeiten der Erkenntnisgewinnung nicht gegen die Verbraucher eingesetzt werden. Zwischen erlaubter und legitimer Differenzierung und unerlaubter Diskriminierung verläuft ein schmaler Grat.8 Die gängigen Sammel- und Auswertungsaktivitäten, wie sie bei manchen Online-Diensten und anderen datengetrieben Geschäftsmodellen üblich sind, lassen sich sicherlich nicht 1:1 auf Finanzdaten übertragen.

Im Folgenden soll daher auf zwei zentrale Fragen in diesem Zusammenhang eingegangen werden:

  • Wie kann ein Kunde auch in der neuen BDAI-Welt die Kontrolle über seine Daten behalten? Mit anderen Worten: Wie lässt sich Datensouveränität unter den Bedingungen massenhafter und selbstlernender Datenauswertung gewährleisten?
  • Und wie kann auch unter BDAI-Bedingungen ein diskriminierungsfreier Zugang zu Finanzprodukten gewährleistet werden?

Datensouveränität unter den Bedingungen massenhafter und selbstlernender Datenauswertung

Wie also lässt sich Datensouveränität unter den Bedingungen massenhafter und selbstlernender Datenauswertung gewährleisten? Die wesentlichen Voraussetzungen für Datensouveränität sind eine angemessene und transparente Aufklärung über die Datennutzung und die potenziellen Konsequenzen, verlässliche Kontrollmöglichkeiten (auch im Nachhinein) und tatsächliche Wahlfreiheit.

Angemessene und transparente Aufklärung

Um souverän entscheiden zu können, muss ein Kunde zunächst verstehen, wofür er seine Daten freigeben soll und welche Nutzungsmöglichkeiten sich hieraus für das Unternehmen ergeben. Er muss also die möglichen Konsequenzen einer Datenfreigabe einschätzen können. Hierüber muss der Kunde angemessen und transparent aufgeklärt werden. Zu beachten ist hierbei, dass Kunden Datenschutzbestimmungen meist nicht lesen, wenn sie diese als unklar und schwer verständlich empfinden. Datenschutzbestimmungen müssen daher verständlich formuliert und der spezifischen Entscheidungssituation angepasst werden. Das Forschungszentrum Informatik (FZI) schlägt in seinem Bericht „Smart Data – Smart Privacy?“ beispielsweise vor, dem Verbraucher die Ergebnisse der Datenschutzfolgenabschätzung (gemäß. Art. 35 der europäischen Datenschutz-Grundverordnung - DSGVO) in vereinfachter Form als Entscheidungsgrundlage für eine Datenpreisgabe zur Verfügung zu stellen.9 Das FZI vertritt zudem die Meinung, ein einheitliches, einfach verständliches Skalensystem oder ein intuitives Ampelsystem, aus dem hervorgehe, mit welchen Risiken die Datennutzung verbunden ist, sei eine gute Möglichkeit, den Kunden aufzuklären. Der deutsche Sachverständigenrat für Verbraucherfragen schlägt eine Datenschutzerklärung als „One-Pager“ vor, um den Kunden schnell und einfach zu informieren.10

Solche vereinfachten Darstellungen scheinen auch aus Sicht eines Finanzaufsehers – zumindest als Ergänzung zu den bisherigen Datenschutzerklärungen – ein vielversprechender Weg zu sein, über den man intensiver nachdenken sollte (siehe auch Exkurs „Potenzielle Berührungspunkte der Finanzaufsicht mit Datenschutzfragen“).

Exkurs: Potenzielle Berührungspunkte der Finanzaufsicht mit Datenschutzfragen

Eine der Aufgaben der BaFin besteht darin, im Rahmen der ihr gesetzlich zugewiesenen Kompetenzen dafür zu sorgen, dass Marktteilnehmer und Verbraucher in die Funktionsfähigkeit, Stabilität und Integrität des Finanzmarktes vertrauen können. Geht es um Kundendaten, die mehr und mehr zum Wirtschaftsgut werden, wird der Kunde zugleich zum Datenlieferanten, und es muss dafür gesorgt werden, dass die Interessen aller Marktteilnehmer (auch der Verbraucher) gleichermaßen berücksichtigt werden. Dies zu überwachen, ist primär Aufgabe der Datenschutzbehörden. Es können sich allerdings Fallgestaltungen ergeben, in denen auch die Finanzaufsicht unmittelbar zum Handeln aufgefordert sein könnte:

  • Nach der Ende Mai 2018 in Kraft getretenen europäischen Datenschutz-Grundverordnung (DSGVO) können die von der BaFin beaufsichtigten Unternehmen bei Datenschutzverstößen mit hohen Geldstrafen belegt werden. Da diese Geldbußen im Extremfall auch die Solvenz eines Unternehmens beeinträchtigen können, sind Datenschutzverstöße insoweit auch für die Finanzaufsicht ein Thema.
  • Häufen sich Datenschutzverstöße in systematischer Form, könnte dies Zweifel an der Ordnungsgemäßheit des Geschäftsbetriebs wecken und einen Missstand darstellen, den die Finanzaufsicht gegebenenfalls beheben muss.
  • Sollte ein Unternehmen, das von der BaFin beaufsichtigt wird, im Umgang mit Kundendaten einschlägige Regularien systematisch und absichtsvoll missachten, könnte dies in bestimmten Fällen auch die Eignung der Geschäftsleitung in Frage stellen.

Verlässliche Kontrollmöglichkeiten

Auch nachdem ein Nutzer seine Daten freigegeben hat, muss er die Kontrolle über seine Daten behalten können. Er muss also überblicken können, wem er welche Daten freigegeben hat, er muss sich über die Verwendung seiner Daten informieren können, und es muss möglich sein, dass er eine Datenfreigabe unkompliziert wieder zurückzunehmen kann. Das Recht auf Löschung der Daten, auf deren Vergessen, muss gewährleistet sein.

Eine Idee, wie sich der Kunde einen Überblick über die Verwendung seiner Daten verschaffen kann bzw. wie Unternehmen dies ermöglichen können, besteht darin, bei der Gestaltung von Datenbanken und Datenmanagementsystemen eine automatisierte Protokollierung zu implementieren. So könnte man beispielsweise jedem Datum eine Notiz anhängen. Diese Notiz gäbe an, für welche Auswertungen dieses Datum von wem benutzt werden darf. Möchte ein Algorithmus nun auf das Datum zugreifen, so geht dies nur, wenn die Notiz ihm einen Zugriff erlaubt. Darüber hinaus kann für jedes Datum mit einem entsprechenden Logfile automatisch darüber buchgeführt werden, wer (zum Beispiel welcher Algorithmus) wann und wozu auf das jeweilige Einzeldatum zugegriffen hat.

Dank solcher Lösungen, die im klassischen Datenmanagement in anderen Zusammenhängen üblich und erprobt sind, behält ein Unternehmen den Überblick über die Nutzung der Kundendaten und kann sowohl die Daten- als auch die Nutzungsprofile verwalten. Somit kann ein Unternehmen, das über ein derartiges Datenmanagementsystem verfügt, sehr schnell Auskunft darüber geben, wie, wann, für welchen Zweck und von wem Kundendaten verwendet wurden. Widerruft der Kunde seine Einwilligung in die Datennutzung, ist auch dies relativ schnell umsetzbar. Der deutsche Sachverständigenrat für Verbraucherfragen empfiehlt darüber hinaus, ein verbraucherzentriertes Datenportal einzurichten.11 Ein solches Portal könnte Verbrauchern mehr Kontrolle über die Nutzung ihrer individuellen Daten durch verschiedene Anbieter geben. Ziel ist es, dass der Verbraucher seine Daten zentral löschen und ändern und – darüber hinaus – seine Zugriffsrechte zentral verwalten kann.

Tatsächliche Wahlfreiheit

Über Aufklärung und Kontrolle hinaus ist für Datensouveränität entscheidend, dass man dem Kunden tatsächlich Wahlfreiheit gewährt, was die Nutzung seiner Daten angeht. Das Grundprinzip einer jeden souveränen Entscheidung ist eine gangbare Alternative: Wer keine echte Wahl hat, trifft keine Entscheidung und erst recht keine souveräne. Der Kunde darf also nicht de facto gezwungen werden, einer weitreichenden Nutzung seiner Daten zuzustimmen, er muss (mindestens) eine Alternative haben. Eine spannende Frage hierzu lautet, wie diese Alternativen konkret aussehen müssen, damit von einer souveränen Entscheidung gesprochen werden kann. Reicht es aus, wenn grundsätzlich am Markt auch Produkte verfügbar sind, für die der Kunde eine weniger weitreichende Freigabe seiner Daten erteilen muss? Oder muss jedes einzelne Unternehmen auch alternative Produkte anbieten? Wie müssten diese alternativen Produkte beschaffen sein? Sie hätten wahrscheinlich nicht dieselben Features wie die Produkte, für die der Kunde eine weiterreichende Freigabe erteilen muss. Dennoch sollten sie für den Kunden nicht gänzlich unattraktiv sein, denn dann bestünde keine echte Wahlfreiheit.

Es wäre darüber hinaus auch denkbar, dass Unternehmen Kunden die Möglichkeit geben, die Nutzung ausgewählter Daten für einen klar definierten Zweck und innerhalb eines begrenzten Zeitraums freizugeben. Viele BDAI-Anwendungen könnten zudem über ein Privacy-preserving Data Mining erfolgen, also auf der Grundlagen anonymisierter Daten. Friss-oder-stirb-Situationen, in denen der Kunde nur die Wahl hat zwischen einer sehr weitreichenden Datenfreigabe und dem Verzicht auf ein Produkt oder eine Dienstleistung, haben jedenfalls mit Wahlfreiheit nichts zu tun. Essenziell ist, dass sich der Kunde generell gegen eine Datennutzung entscheiden kann, wenn sie über das Maß hinausgeht, das für die Vertragserfüllung erforderlich ist.

Auch wenn Menschen zusätzlich Daten aus sozialen Medien, Apps und Portalen freigeben müssen, um noch zu vertretbaren Konditionen Zugang zu Finanzprodukten zu erhalten, kann von souveränen Entscheidungen nicht mehr die Rede sein. Denn Kunden, die dies nicht wünschen oder über diese Daten nicht verfügen (wie wenig digitalisierungsaffine Kunden), wären stark benachteiligt.

Diskriminierungsfreier Zugang zu Finanzprodukten unter BDAI-Bedingungen

Differenzierung anhand persönlicher Daten ist üblich und grundsätzlich sinnvoll. Will ein Kunde zum Beispiel eine Autoversicherung abschließen, ist der Versicherer nach geltendem Aufsichtsrecht ausdrücklich aufgefordert, dafür einen risikoadäquaten Preis zu verlangen. Die schwierige Frage lautet: Ab wann hören sinnvolle und gewünschte Risikoadäquanz und Differenzierung auf und ab wann beginnt Diskriminierung, die lediglich der Gewinnmaximierung dient (siehe auch Szenario: „Wohin kann Differenzierung führen?“)?

Szenario: Wohin kann Differenzierung führen?

Die neuen Prognosemöglichkeiten, die BDAI bietet, können mit der Zoom-in-Funktion hochauflösender Bildschirme verglichen werden: Wo früher nur ein grobes Bild zu sehen war, entstehen nun im Detail sehr scharfe Bilder, die fast beliebig vergrößert und analysiert werden können. Die mit BDAI einhergehenden Möglichkeiten der Differenzierung sind also nicht gänzlich neu, sie sind aber wesentlich besser und genauer als ältere Verfahren.

Ein Beispiel ist die Risikoprüfung bei der Krankenversicherung: BDAI könnte eine noch signifikant genauere Prognose der Gesundheitsrisiken eines Menschen erlauben. Allein die klassischen Informationskanäle wie etwa Arztberichte könnten durch BDAI besser ausgewertet werden. BDAI macht es aber auch möglich, die Erkenntnisse aus den Arztberichten mit Informationen aus den sozialen Medien zu kombinieren. Durch diese zusätzlichen Daten, die in vielen Fällen von den Kunden selbst bereitgestellt werden, wird eine immer präzisere Risikodifferenzierung möglich. Unabhängig davon besteht die Chance, dass BDAI die medizinischen Diagnose- und Prognosemöglichkeiten weiter verbessert – Stichwort „Predictive Analytics“. Wohin werden diese Entwicklungen führen?

Wird künftig eine dermaßen präzise Risikoprognose und -differenzierung möglich sein, dass wesentliche Kundengruppen aus den – korrekt bepreisten – Kollektiven faktisch ausgeschlossen werden, weil sie sich eine Versicherung ihrer (nun besser einschätzbaren) Risiken nicht mehr leisten können? Werden sich künftig nur noch Menschen mit „guten“ Risiken versichern können? Wer wird dann die Risiken der anderen tragen, die bislang Teil eines versicherungstechnischen Kollektivs sind? Die Gesellschaft, sprich: der Steuerzahler?

Es ist davon auszugehen, dass eine weitreichende BDAI-gestützte Risikoselektion zu gesellschaftlichen Debatten führen wird, die zwar nicht grundsätzlich neu sind – Stichwort „Versicherbarkeit von Terrorgefahren“, in der sich abzeichnenden Dimension aber eine andere Qualität erreichen werden. Möglicherweise wird auch in der Finanzwirtschaft künftig nicht alles sinnvoll oder akzeptabel sein, was technisch möglich ist.

Auch unter BDAI-Bedingungen muss es gelingen, eine angemessene Balance zwischen notwendiger Differenzierung und nicht gewünschter Diskriminierung zu finden und einen diskriminierungsfreien Zugang zu Finanzprodukten zu gewährleisten. BDAI ermöglicht, wie oben erwähnt, einen sehr tiefen Einblick in die Privatsphäre von Kunden, also etwa in ihre Präferenzen, ihre Wünsche und ihre Zahlungsfähigkeit und -bereitschaft. Diese Informationen können im Sinne des Kunden dazu genutzt werden, ihm Produkte und Dienstleistungen auf den Leib zu schneidern. Sie können aber auch bewusst gegen den Verbraucher verwendet werden oder ihm zumindest zum Nachteil geraten. Ein Anbieter, der sehr viel über eine Person weiß, kann diese Informationen ausnutzen, um beispielsweise deren Zahlungsbereitschaft auch in Abhängigkeit von spezifischen Lebenssituationen maximal abzuschöpfen (siehe auch Szenario „Maximale Abschöpfung der Zahlungsbereitschaft zur Gewinnmaximierung“). Er kann auch bewusst Kunden(-gruppen) ausschließen, indem er Preise festsetzt, die über deren Zahlungsfähigkeit und -bereitschaft hinausgehen. Neben dieser bewussten Diskriminierung einzelner Verbraucher(-gruppen) kann es aber auch zu einer unbewussten Diskriminierung kommen, weil der Algorithmus diskriminierende Entscheidungen trifft, ohne dass der Anwender ihn explizit entsprechend programmiert hätte.

Auf beide Arten der Diskriminierung und die Frage, wie sie sich vermeiden lassen, soll im Folgenden eingegangen werden.

Szenario: Maximale Abschöpfung der Zahlungsbereitschaft zur Gewinnmaximierung

Man stelle sich ein Online-Einkaufszentrum der Zukunft vor. In dem Moment, in dem der Kunde es betritt, wird ihm eine Fülle von Produkten und Dienstleistungen angeboten, die fast ausnahmslos zu seinem Geschmack, seiner Lebenssituation und seinen momentanen Bedürfnissen passen. Der Kunde ist begeistert. Er braucht nur noch auf „kaufen“ zu klicken. Der Preis passt, wenn er auch nahe an dem Preis liegt, den er gerade noch zu zahlen bereit ist. Da das Produkt oder die Dienstleistung speziell auf ihn zugeschnitten ist, sind direkte Preisvergleiche erschwert.

An diesem hypothetischen Szenario lässt sich verdeutlichen, worin für Unternehmen – neben der Ausweitung von Produktangeboten und Marktanteilen – ein weiterer Vorteil von BDAI-Anwendungen liegen kann: BDAI bietet bisher nicht dagewesene Möglichkeiten, die Konsumentenrente12 abzuschöpfen. Was für die Unternehmen ein Segen wäre, kann allerdings zum Fluch für die Nutzer und Verbraucher werden.

Vor allem die BDAI-gestützte Verknüpfung von Daten zu Bedürfnissen und Präferenzen mit finanzwirtschaftlichen Transaktions- und Verhaltensdaten kann sehr tiefe Einblicke in bislang verborgene Verbrauchercharakteristika ermöglichen – etwa in die (situative) Zahlungsbereitschaft und -fähigkeit. Dieses intime Wissen kann auch gegen Verbraucherinteressen eingesetzt werden. Es liegt im ökonomischen Interesse des Verbrauchers, dass Anbietern zumindest seine Zahlungsbereitschaft und, in Grenzen, seine Zahlungsfähigkeit verborgen bleiben.

Ansonsten besteht die Gefahr, dass Verbraucher beziehungsweise das Verbraucherkollektiv beim Einsatz von BDAI strukturell überteuerte Produkte kaufen. Unternehmen können mit Hilfe von BDAI tiefe Kenntnisse über die preislichen Schmerzgrenzen breiter Verbrauchergruppen gewinnen – entweder weil sie selber über diese Daten verfügen oder indem sie sie zukaufen. Es besteht die Gefahr, dass Unternehmen dieses Wissen zur Ertragssteigerung gezielt ausnutzen. Denn über diese extreme Preisdifferenzierung (Segment of One) können sie über höhere Preise deutlich höhere Gewinne realisieren, ohne Einbußen bei der abgesetzten Menge befürchten zu müssen.

Dabei geht es nicht um das Zahlen höherer Preise für bessere oder passendere Leistungen, also etwa um höhere Versicherungsprämien für die Absicherung höherer Risiken. Dies wäre eine auch aufsichtlich gewollte Differenzierung. Es geht um individuelle und situative Bepreisung (annähernd) gleicher Produkte. BDAI-Anwendungen können die kostengünstige Entwicklung (massen-)individueller Produkte und Dienstleistungen erleichtern: Anbieter können Standardprodukte – ohne tatsächliche Mehrleistung – mit individualisierten Bestandteilen versehen, womit sie es Verbrauchern schwerer machen, zu vergleichen oder auf andere Angebote bzw. Anbieter auszuweichen.

Klar ist: Preisdifferenzierung ist per se weder verboten noch grundsätzlich illegitim. Sie ist ein wesentlicher Bestandteil gesunden Wettbewerbs, auch in der Finanzwirtschaft. Ähnlich wie bei dem oben beschriebenen Phänomen der auf Basis von BDAI perfektionierten Risikoadäquanz wird eine im Wettbewerb eingesetzte, nach Kundensegmenten, Geographien oder Lebenssituationen differenzierende Preisstrategie allerdings fragwürdig, wenn sie dank BDAI extreme Asymmetrien erzeugt. Einfacher ausgedrückt: Wie groß darf die Waffenungleichheit zwischen dem allwissenden Produktanbieter und dem vollständig gläsernen und buchstäblich ausrechenbaren Kunden werden, bevor Gesellschaften beginnen sich zu wehren, und Gesetzgeber und, im Falle von Finanzdienstleistern, Regulierer einschreiten? Es wird notwendig sein, solche schwierigen Diskussionen zu führen und Abwägungen vorzunehmen. Finanzregulierung findet seit Jahrzehnten in solchen Zyklen statt. Die Industrie wäre gut beraten, sie zu antizipieren.

Bewusste Diskriminierung

Über die Verknüpfung von Informationen aus verschiedenen Quellen lässt sich mit Hilfe von BDAI also relativ präzise die Zahlungsbereitschaft und -fähigkeit für konkrete Produkte und Dienstleistungen offenlegen. Ein Spezifikum von BDAI-Anwendungen besteht zudem darin, dass auch Merkmale, die nicht direkt erhoben werden, offengelegt werden können. Vereinfacht formuliert, muss die zehnte Eigenschaft eines Kunden nicht mehr erhoben werden, wenn sie sich aus neun anderen Eigenschaften sehr sicher schließen lässt. Kommt es zu einer Diskriminierung, können Verbraucher diese dann nicht einmal mit den persönlichen Daten in Verbindung bringen, die sie freigegeben haben. Sie können gegen diese Diskriminierung also auch nicht vorgehen. Die Unternehmen müssen auf eine solche Diskriminierung verzichten und dies für Außenstehende wie zum Beispiel Aufsichtsbehörden überprüfbar machen. Entscheidungen auf der Grundlage von Algorithmen müssen erklärbar sein. Nur so kann eine Unternehmensstruktur und -kultur etabliert werden, die Diskriminierung wirksam verhindern kann.

Unbewusste Diskriminierung

Selbst wenn das Unternehmen bzw. der Softwarenentwickler keine bösen Absichten hatte, kann es sein, dass sich ein Algorithmus diskriminierend verhält beziehungsweise diskriminierende Entscheidungen trifft. Der Algorithmus lernt aus Daten. Suggerieren diese Daten ihm ein diskriminierendes Weltbild oder legen sie zur Erreichung der optimalen Lösung, also der Gewinnmaximierung, diskriminierende Entscheidungen nahe, so kann es passieren, dass Personen(-gruppen) unbewusst diskriminiert werden. Für die Lösung dieses Problems gibt es technische Ansätze, zum Beispiel Verfahren der nichtdiskriminierenden Datenanalyse und -auswertung. Bei diesen Verfahren muss die anspruchsvolle Hürde genommen werden, den ethischen/rechtlichen Begriff der Diskriminierung in eine mathematische Definition zu überführen, damit die Diskriminierung algorithmisch überprüft und verhindert werden kann. Zurzeit gibt es viele Ansätze und Forschungsprojekte zu diesem Thema, ein von der Wissenschaft allgemein akzeptierter Standard existiert aber bislang nicht. Letztendlich müssen aber die Unternehmen sicherstellen, dass Algorithmen so konzipiert werden, dass rechtliche Rahmenbedingungen berücksichtigt werden. Sie müssen mit hinreichenden Kontroll- und Transparenzmechanismen vermeiden, dass fehlerhafte oder unzulässige Schlussfolgerungen aus ihren Modellen gezogen werden.

Zusammenfassung

BDAI hat das Potenzial, die Finanzmärkte tiefgreifend zu verändern. Die neuen Verfahren können zu einem entscheidenden Wettbewerbsvorteil werden. Unternehmen werden daher kaum daran vorbeikommen, eine Strategie für den Umgang mit BDAI zu entwickeln: Sicher werden viele in BDAI-Readiness investieren, also sich und ihre Systeme BDAI-fit machen. Vielleicht wird es aber auch Unternehmen geben, die ihre Nische darin finden, Produkte und Dienstleistungen mit dem Label „garantiert BDAI-frei“ anzubieten.

Auch Aufsicht und Regulierung haben noch keine fertigen Antworten auf alle Fragen, die das Phänomen BDAI stellt. Genau aus diesem Grund hat die BaFin im Juni 2018 ihren Bericht zu BDAI veröffentlicht. Auf dieser Basis will sie einen offenen Dialog führen – mit der Industrie, mit der internationalen regulatorischen Gemeinschaft, mit der Wissenschaft und mit der Presse (siehe Infokasten „Konsultation“).

Konsultation

Der Bericht „Big Data trifft auf künstliche Intelligenz – Herausforderungen und Implikationen für Aufsicht und Regulierung von Finanzdienstleistungen“ soll die Grundlage für einen intensiven Austausch über den Themenkomplex Big Data und künstliche Intelligenz schaffen Die BaFin hat daher unter anderem Unternehmen und Verbände, andere nationale und internationale Aufsichtsbehörden, Vertreter der Wissenschaft und Journalisten, aber auch Verbraucher zu einer Konsultation ihres Berichts eingeladen. Nähere Informationen finden sich auf www.bafin.de. Die eingereichten Stellungnahmen werden nicht einzeln veröffentlicht. Die BaFin beabsichtigt aber, eine anonymisierte und aggregierte Auswertung im Internet zu veröffentlichen.

Auch die nächste Ausgabe der BaFinPerspektiven wird sich mit der Auswertung befassen. Stellungnahme können Sie bis zum 30. September 2018 unter Nennung Ihres Namens, Ihrer Institution sowie Ihrer Adresse an Konsultation.BDAI@bafin.de senden.

Fußnoten:

  1. 1 Datengetriebene Geschäftsmodelle, die BDAI zur Wertschöpfung nutzen, haben einige Technologieunternehmen zu den am höchsten bewerteten Unternehmen der Welt aufsteigen lassen.
  2. 2 BaFin, Big Data trifft auf künstliche Intelligenz – Herausforderungen und Implikationen für Aufsicht und Regulierung von Finanzdienstleistungen, abgerufen am 10.07.2018. Die Studie wurde unter Mitwirkung von PD – Berater der öffentlichen Hand GmbH, der Boston Consulting Group GmbH und Fraunhofer – Institut für Intelligente Analyse- und Informationssysteme erstellt. Der Artikel „Aufsicht und Regulierung in Zeiten von Big Data und künstlicher Intelligenz“ basiert in Teilen auf diesem Bericht.
  3. 3 Vgl. hierzu auch Abschnitt "Diskriminierungsfreier Zugang zu Finanzprodukten unter BDAI-Bedingungen".
  4. 4 Vgl. hierzu aber auch Abschnitt "Zusammenfassung".
  5. 5 Bei diesem Modell werden Nutzern unter dem Motto „you can not compete with free“ vermeintlich kostenlos Dienstleistungen angeboten. Tatsächlich bezahlt der Nutzer die Dienstleistungen, indem er das Nutzungsrecht an seinen Daten vergibt. Problematisch ist dabei vor allem, dass vielen Nutzern der Wert ihrer Daten und somit der Preis, den sie zahlen, nicht hinlänglich bekannt ist.
  6. 6 Auszug aus dem Hauptgutachten XX (2012/2013) der Monopolkommission, Kapitel I – Aktuelle Probleme der Wettbewerbspolitik, Seite 63, http://www.monopolkommission.de/images/PDF/HG/HG20/1_Kap_1_A_HG20.pdf, abgerufen am 15.06.2018.
  7. 7 Vgl. hierzu Abschnitt "Diskriminierungsfreier Zugang zu Finanzmärkten unter BDAI-Bedingungen".
  8. 8 Vgl. hierzu auch Abschnitt "Diskriminierungsfreier Zugang zu Finanzmärkten unter BDAI-Bedingungen".
  9. 9 FZI Forschungszentrum Informatik, Smart Data – Smart Privacy? Impulse für eine interdisziplinär rechtlich-technische Evaluation, Seite 13 f., https://www.digitale-technologien.de/DT/Redaktion/DE/Downloads/Publikation/SmartData_Thesenpapier_smart_Privacy.pdf?__blob=publicationFile&v=7, abgerufen am 11.06.2018. Die Erstellung des Thesenpapiers wurde vom Bundesministerium für Wirtschaft und Energie aufgrund eines Beschlusses des deutschen Bundestages gefördert.
  10. 10 Sachverständigenrat für Verbraucherfragen, Digitale Souveränität – Gutachten des Sachverständigenrats für Verbraucherfragen, http://www.svr-verbraucherfragen.de/wp-content/uploads/Gutachten_Digitale_Souver%C3%A4nit%C3%A4t_.pdf, abgerufen am 11.06.2018.
  11. 11 Sachverständigenrat für Verbraucherfragen, a.a.O. (Fn. 10).
  12. 12 Unter Konsumentenrente versteht man die Differenz zwischen dem Preis, den ein Verbraucher für ein Produkt oder eine Dienstleistung maximal zu zahlen bereit ist, und dem Preis, den er tatsächlich am Markt zahlen muss.

Zusatzinformationen

Fanden Sie den Beitrag hilfreich?

Wir freuen uns über Ihr Feedback