BaFin - Navigation & Service

Springe direkt zu:

Symbolfoto © AdobeStock_595162372

Erscheinung:11.05.2023 | Thema Risikomanagement Wenn ein Algorithmus über den Kredit entscheidet

(BaFinJournal) Immer mehr Banken nutzen bei der Kreditvergabe Maschinelles Lernen und Künstliche Intelligenz, ohne dass ihre Kundinnen und Kunden es bemerken. Eine Untersuchung der BaFin zeigt, wo und wie die Institute algorithmenbasierte Entscheidungsverfahren einsetzen - und welche Risiken darin schlummern.

Ob Navigationsgerät, Dating-App oder Smartwatch: Algorithmen werden immer leistungsfähiger und sind inzwischen fester Bestandteil des Alltags vieler Menschen. Doch sie haben oft unerwünschte Nebenwirkungen. Eine detaillierte Untersuchung der BaFin (siehe Infokasten „Wie die BaFin vorgegangen ist“) veranschaulicht, wie Banken Algorithmen in der Kreditvergabe verwenden und welche Vorteile und Probleme damit verbunden sein können.

Algorithmen entscheiden im Hintergrund. Anhand unterschiedlicher Kriterien und Prozesse wird ermittelt, inwiefern Kundinnen und Kunden kreditwürdig sind. Obwohl dies eine sensible und auch riskante Entscheidung sein kann, wird diese zunehmend von Computern übernommen.

Kundinnen und Kunden werden nicht darüber informiert, ob ihre Bank Maschinelles Lernen einsetzt, um ihre Kreditanfragen zu bearbeiten. Das ist ein wesentlicher Unterschied beispielsweise zur vollautomatisierten Portfolioverwaltung, bei der sich Anlegerinnen und Anleger bewusst für ein solches, in der Regel auch kostengünstigeres Management ihrer Wertpapieranlagen entscheiden.

Auf einen Blick:Wie die BaFin vorgegangen ist

Verschiedene Geschäftsbereiche der BaFin befassen sich bereits seit einigen Jahren interdisziplinär mit Künstlicher Intelligenz, Big Data und Maschinellem Lernen. Im vergangenen Jahr haben sich BaFin-Expertinnen und –Experten aus der Bankenaufsicht, dem Verbraucherschutz und dem Bereich der finanztechnologischen Innovationen einen Überblick darüber verschafft, wie Banken in Deutschland Algorithmen im Kundengeschäft einsetzen.

Besonders aufschlussreich war die Analyse des Einsatzes von Algorithmen im Kreditkundengeschäft. Ergänzend zur Auswertung ihrer eigenen Daten zu weniger bedeutenden Instituten (less significant institutes, LSI) in Deutschland tauschten sich die Aufseherinnen und Aufseher der BaFin dazu mit Bankenverbänden, IT-Dienstleistern und Auskunfteien aus. Diese gewährten ihnen tiefe Einblicke in ihre Verfahren und erläuterten ihre Positionen zu den damit verbundenen technologischen und gesellschaftlichen Unwägbarkeiten. So entstand ein praxisnaher, empirisch gesättigter und problemorientierter Überblick, der als Grundlage für weitere Positionierung der Aufsicht dienen kann.

Automatisierte Verfahren im Privatkundengeschäft

Im nicht-risikorelevanten Privatkundengeschäft verwenden Institute im Kreditvergabeprozess sowohl teilautomatisierte als auch vollständig automatisierte Verfahren. Die Risikorelevanzschwelle bestimmen Institute dabei gemäß den Mindestanforderungen an das Risikomanagement (MaRisk). Abhängig ist dies meist von Größe und Geschäftsausrichtung des Instituts.

Einzelne Institute setzen vollautomatisierte Verfahren zum Beispiel im Ratenkreditgeschäft ein. Bankbeschäftigte sind meist nicht mehr eingebunden, es sei denn, es handelt sich um Neukundinnen und Neukunden. In diesem Fall dokumentieren sie beispielsweise die Ergebnisse des Bonitäts-Ratings, bestätigen die Kreditkonditionen und übernehmen sie in den Vertrag.

Im Baufinanzierungsgeschäft hat die BaFin keine vollautomatisierten Verfahren festgestellt. Dies war auch nicht zu erwarten, da solche Verfahren den derzeitigen hohen Anforderungen an die gutachterliche Sicherheitenbewertung im Immobilienbereich nicht entsprechen dürften. Daher stehen selbst Kreditentscheidungen über Baufinanzierungen, die Banken im Zuge von Online-Verfahren innerhalb weniger Minuten versenden, unter dem Vorbehalt der Überprüfung der Daten und des Sicherheitenwertes durch Bankbeschäftigte.

Firmenkundengeschäft: Nicht ohne menschliche Beteiligung

Firmenkredite gelten ab einem bestimmten Schwellenwert als risikorelevantes Geschäft. Dann ist ein zweites Votum vorgeschrieben, Bankmitarbeitende müssen zwingend beteiligt werden. Sie müssen ihre Risikoeinschätzung dokumentieren. Dafür können sie verschiedene automatisierte und algorithmenbasierte Bewertungsverfahren nutzen.

In der Praxis holen Kundenberaterinnen und -berater Unternehmensinformationen ein und erstellen in einigen der von der BaFin betrachteten Fällen auch das Antrags-Scoring. Bei Gewerbekrediten beschränken sie sich oftmals darauf, die qualitativen Angaben zu erfassen, während Kreditanalystinnen und -analysten der Marktfolge mittels standardisierter Bilanzanalysen und Kapitaldienstfähigkeitsrechnungen die quantitativen Ratingangaben zusammenstellen.

Die manuell eingegebenen oder automatisiert erfassten Daten verarbeiten die Kreditinstitute dann in algorithmenbasierten Verfahren im Rahmen des Firmenkundenratings. Einzelne Banken überspielen die zugrundeliegenden Jahresabschlüsse und gegebenenfalls auch Daten aus der Finanz- und Ertragsplanung vollautomatisch in das jeweilige Ratingsystem. Solche Verfahren sind zulässig, soweit sie die Anforderungen an automatisierte Verfahren erfüllen, wie sie in der siebten MaRisk-Novelle im Hinblick auf Erklärbarkeit, Transparenz und Zuverlässigkeit der verwendeten Daten gestellt werden.

Banken entwickeln eigene Verfahren

Größere Kreditinstitute entwickeln die in den Kreditvergabeprozessen eingesetzten algorithmenbasierten Rating-, Scoring- oder Entscheidungsverfahren teilweise eigenständig. Die meisten Institute bzw. deren Verbände beteiligen jedoch externe Dienstleister an der Entwicklung. Diese setzen zunehmend auf Methoden des Maschinellen Lernens und der Künstlichen Intelligenz.

Die im Kreditvergabeprozess eingesetzten automatisierten Entscheidungsverfahren beruhen derzeit in der Regel auf bewährten Verfahren des Maschinellen Lernens, wie etwa der logistischen Regression. Teilweise können solche Systeme ohne explizite Regeln auskommen. Oder das System ermittelt diese Regel selbständig, indem es nach einer vorgegebenen mathematisch-statistischen Methode Muster in den Datensätzen, den sogenannten Trainingsdatensätzen, identifiziert oder Zusammenhänge (Korrelationen) erkennt.

Diese nutzt das System dann, um neue Datensätze zu analysieren und zu bewerten. Im Fall der Kreditvergabe bestehen die Trainingsdatensätze aus erhobenen Daten von vergangenen Kreditanfragen und den getroffenen Entscheidungen bzw. deren Erfolg. Die so erzeugten Systeme lassen sich mit neuen Trainingsdatensätzen immer wieder nachjustieren (Rekalibrierung).

Maschinelles Lernen braucht ausgewogene Trainingsdaten

Die Prognosegüte des Algorithmus hängt entscheidend von Umfang und Ausgewogenheit der Trainingsdatensätze ab. Sind die Trainingsdaten in gewissen Hinsichten nicht ausgewogen, sind sie beispielsweise nicht repräsentativ in Hinblick auf die avisierte Anwendergruppe, können Verzerrungen entstehen, die zur Benachteiligung oder Bevorzugung bestimmter Personengruppen führen. Hinzu kommt: Was als ausgewogene Trainingsdaten anzusehen ist, ist im Vorhinein nicht klar.

Die verschiedenen Verfahren des Maschinellen Lernens unterscheiden sich unter anderem dadurch, wie gut sie Komplexität abbilden und mit nicht-strukturierten Daten umgehen können. Die bei der Kreditprüfung oftmals eingesetzte logistische Regression erfasst lineare Zusammenhänge. Ihre Berechnungen lassen sich verhältnismäßig einfach nachvollziehen. Es lässt sich erklären, wie eine Entscheidung zustande kommt und wie stark ein Merkmal in einer Entscheidung berücksichtigt wird. Damit sind Transparenz und Kontrolle dieses Verfahren prinzipiell möglich.

Algorithmen können diskriminieren

Algorithmenbasierte Entscheidungssysteme bieten aus Perspektive der Banken viele Vorteile. Sie automatisieren und beschleunigen viele Prozesse; und sie sparen Personal. Im Idealfall treffen die Systeme Entscheidungen nach einheitlichen Standards und sind somit objektiv. Kundinnen und Kunden können jederzeit einen Kreditantrag stellen und erhalten nach wenigen Minuten eine Zusage oder Ablehnung. Bei Kleinkrediten kann das Geld per InstantPayment quasi sofort zur Verfügung gestellt werden.

Gleichzeitig weisen Expertinnen und Experten immer wieder auf gesellschaftliche Risiken von automatisierten Entscheidungssystemen hin. Sie warnen davor, dass Algorithmen bereits bestehende Diskriminierungen aufgreifen, verstärken und ausweiten können. Menschliche Vorurteile, Missverständnisse und Voreingenommenheit würden in diese Softwaresysteme einfließen, die in immer höheren Maße unseren Alltag bestimmen.1 Hierauf hatte die BaFin schon vor einigen Jahren hingewiesen.

Vor diesem Hintergrund hat die BaFin auch die konkreten Merkmale der Kundinnen und Kunden, deren Anträge von den automatisierten Systemen ausgewertet werden, untersucht. Dabei traten nur einzelne Fälle zutage, in denen Ratingverfahren eine Diskriminierung, zum Beispiel nach dem Geschlecht, enthielten. Die Verfahren sind inzwischen überarbeitet worden.

Nach Erkenntnissen der BaFin arbeitet die Kreditwirtschaft seit einigen Jahren daran, eine Diskriminierung von Antragsstellenden durch ihre algorithmischen Verfahren auszuschließen. Beispielsweise verwenden Banken kritische Merkmale wie Wohnort und Herkunft explizit nicht mehr als Parameter für Risikoklassifizierungsverfahren. Dies gilt auch für die von den Kreditinstituten eingeholten Schufa-Scores.

Nicht auszuschließen sind allerdings Korrelationen zwischen finanziellen Parametern wie Nettoeinkommen oder Vermögen und personenbezogenen Merkmalen wie Geschlecht, Wohnort oder Herkunft. Mit Blick auf derartige Zusammenhänge ist jedoch hervorzuheben, dass die Berücksichtigung der wirtschaftlichen Verhältnisse der Kreditnehmenden aufsichtlich vorgeschrieben ist.

Zusätzlich zu einer möglichen Diskriminierung sind Verbraucherschutzorganisationen gerade in diesen Zeiten besorgt, dass sich Verbraucherinnen und Verbraucher durch den Einsatz von automatisierten Systemen vermehrt überschulden könnten oder dass ihnen trotz guter Bonität ein Kredit versagt wird. Außerdem fordern sie eine bessere Aufklärung über den Einsatz von automatisierten Entscheidungssystemen sowie die Einrichtung von Stellen, die getroffene Entscheidungen erläutern und sich um Beschwerden kümmern. Aus datenschutzrechtlicher Perspektive ist zudem der Umgang mit und die Speicherung, Sicherung und Weitergabe von personenbezogenen Daten im Auge zu behalten – insbesondere in Hinblick auf externe Dienstleister.

Aufsichtliche Anforderungen sind technologieneutral

Mit der MaRisk-Novelle müssen Banken künftig auch verbraucherschutzrechtliche Aspekte noch stärker beachten. Daher sollten Risikoklassifizierungsverfahren künftig bankaufsichtlich noch stärker daraufhin überprüft werden, ob sie Parameter einsetzen, die unzulässig diskriminieren. Allerdings verstößt nicht jede Form von Benachteiligung gegen Gesetze. Vielmehr ist zu differenzieren, welches Kriterium beispielsweise bei der Kreditvergabe als sachgemäß gelten kann.

Ob algorithmenbasierte Verfahren im Kreditgeschäft aufsichtsrechtlich zulässig sind, hängt nicht vom Automatisierungsgrad oder der benutzten Technologie ab. Entscheidend ist die Risikorelevanz der Kredite sowie die Vereinbarkeit dieser Verfahren mit den Mindestanforderungen an Prognosegüte, Datenqualität, Erklärbarkeit und Transparenz. Diese Anforderungen werden mit der MaRisk-Novelle künftig in einem gesonderten Modul AT 4.3.5 MaRisk gebündelt sein. Sie sind bewusst technologieneutral formuliert. Außerdem muss aufsichtsrechtlich die menschliche Beteiligung an den Entscheidungsprozessen für die Modellentwicklung und -validierung immer erkennbar bleiben und dokumentiert sein.

Begriffserklärungen

  • Instant Payment (Echtzeit-Überweisung): Überweisungen, die den Überweisungsbetrag innerhalb von zehn Sekunden nach Eingang des Auftrags dem Zahlungsempfänger zur Verfügung stellen. In der EU wird dies durch das SEPA Instant Credit Transfer scheme seit 2017 ermöglicht.
  • Machine Learning oder Maschinelles Lernen (ML): Teilgebiet der Künstlichen Intelligenz. Es basiert auf angewandter Statistik und mathematischer Optimierung. Es existieren verschiedene Definitionen von ML. In ihrer Studie „Big Data trifft auf künstliche Intelligenz“ definiert die BaFin maschinelles Lernen, sehr allgemein formuliert, als eine Idee, Computern durch geeignete Algorithmen die Fähigkeit zu verleihen, aus Daten und Erfahrungen zu lernen. Im Vergleich zu regelbasierten Verfahren erfolgt das Lernen, ohne dass der Programmierer bzw. die Programmiererin vorgibt, welche Ergebnisse aus bestimmten Datenkonstellationen wie abzuleiten sind. Computer können damit ein Modell ihrer Welt aufbauen und die ihnen zugedachten Aufgaben besser lösen.
  • Lineare oder logistische Regression: Eine klassische Methode aus der Statistik, die sich in der Praxis viele Jahrzehnte bewährt hat und inzwischen beim ML angewendet wird. Die durch die Regression erzeugten Koeffizienten (Einflussgrößen) der Modelle können leicht analysiert und interpretiert werden. Das macht das Modell transparent und zu einem wirkungsvollen Werkzeug der Datenanalyse. Allerdings sind Regressionen auf lineare Modelle beschränkt und können daher komplexere Zusammenhänge in der Regel nicht angemessen abbilden.2
  • MaRisk: Die Mindestanforderungen an das Risikomanagement (MaRisk) stellen den Banken auf Basis von § 25a Kreditwesengesetz (KWG) einen ganzheitlichen und gemeinsam mit der Praxis entwickelten prinzipienorientierten Rahmen zur Verfügung, der den Instituten jedoch zugleich noch Spielräume für eine individuelle Umsetzung einräumt.
  • Schufa-Score: Die Schufa Holding AG ist eine Auskunftei, an der Sparkassen und Genossenschaftsbanken mehrheitlich beteiligt sind. Der Schufa-Score gibt Auskunft über die Wahrscheinlichkeit, ob eine Person oder ein Unternehmen ihren Zahlungsverpflichtungen nachkommt. Dafür wertet die Schufa große Datenmengen aus, die sie teilweise direkt von den Partnerbanken erhält. Dabei spielen verschiedene Merkmale eine Rolle, etwa ob die Kundin oder der Kunde frühere Kredite zurückgezahlt hat oder wie viele Konten, Kredite und Kreditkarten dieser besitzt. Der Schufa-Score wird von sehr vielen Banken in Deutschland bei der Kreditvergabe berücksichtigt, aber auch Mobilfunkunternehmen greifen auf ihn zurück. Verbraucherinnen und Verbraucher können ihren persönlichen Schufa-Score einmal im Jahr kostenlos anfordern (sog. Datenkopie nach Art. 15 DSGVO) und auf etwaige Fehler im Datenbestand überprüfen.

Fußnoten:

  1. 1 O’Neil, Angriff der Algorithmen, 3. Aufl. 2021, Seite 11.
  2. 2 Gesellschaft für Informatik, Technische und rechtliche Betrachtungen algorithmischer Entscheidungsverfahren, 2018, Seite 32 f.

Verfasst von

Dr. Torsten Kelp
Referatsleiter BA 54

Dr. Martina Schneider
Referat BA 54

Hinweis

Der Beitrag gibt den Sachstand zum Zeitpunkt der Veröffentlichung im BaFinJournal wieder und wird nicht nachträglich aktualisiert. Bitte beachten Sie die Allgemeinen Nutzungsbedingungen.

Zusatzinformationen

BaFinJournal

Fanden Sie den Beitrag hilfreich?

Wir freuen uns über Ihr Feedback

Es hilft uns, die Webseite kontinuierlich zu verbessern und aktuell zu halten. Bei Fragen, für deren Beantwortung wir Sie kontaktieren sollen, nutzen Sie bitte unser Kontaktformular. Hinweise auf tatsächliche oder mögliche Verstöße gegen aufsichtsrechtliche Vorschriften richten Sie bitte an unsere Hinweisgeberstelle.

Wir freuen uns über Ihr Feedback