finma-1-768x384

FINMA: Aufsichtsmitteilung 08/2024 zu KI-Governance und -Risikomanagement

FINMA: Aufsichtsmitteilung 08/2024 zu KI-Governance und -Risikomanagement

Derzeit gibt es in der Schweiz keine speziellen Rechtsvorschriften für künstliche Intelligenz (KI). Angesichts der zunehmenden Einführung und Nutzung von KI-Tools in verschiedenen Sektoren – insbesondere im Finanzbereich – müssen die mit solchen Systemen verbundenen Risiken jedoch zwangsläufig gründlich geprüft werden.

Zu diesem Zweck hat die Eidgenössische Finanzmarktaufsicht (FINMA) vor kurzem eine Reihe von Erkenntnissen und Beobachtungen veröffentlicht[i], die einen risikobasierten Ansatz verfolgen, der sich auf operative, datenbezogene, IT- und Cyber-Risiken sowie rechtliche und reputationsbezogene Aspekte bezieht. Die beaufsichtigten Unternehmen müssten daher die mit ihren KI-Anwendungen verbundenen Risiken identifizieren, bewerten, überwachen, verwalten und kontrollieren, sei es als Eigenentwicklung oder ausgelagert, und sicherstellen, dass diese Risiken in ihren jeweiligen Governance-Modellen abgestimmt und berücksichtigt werden.

Die FINMA hebt vor allem operationelle Risiken wie mangelnde Robustheit, Korrektheit, Voreingenommenheit und Erklärbarkeit, Risiken im Zusammenhang mit Drittanbietern sowie Herausforderungen bei der Zuweisung von Verantwortlichkeiten als die dringlichsten Probleme hervor.

Sobald die Risiken identifiziert sind, muss die ‘Wesentlichkeit’ der betreffenden Risiken bestimmt werden. Mit anderen Worten, es ist zu definieren, ob eine bestimmte KI-Anwendung in Fällen, in denen sie „…zur Einhaltung von Aufsichtsrecht oder zur Ausübung kritischer Funktionen eingesetzt wird oder wenn Kunden oder Mitarbeiter von ihren Ergebnissen stark betroffen sind“, einen höheren Schwellenwert aufweisen darf.

Unter dem Gesichtspunkt der datenbezogenen Risiken ist es offensichtlich, dass falsche, inkonsistente, unvollständige, nicht repräsentative oder veraltete Daten die Glaubwürdigkeit und Wirksamkeit einer KI-Anwendung untergraben würden. Daher müssten bestimmte Massnahmen ergriffen werden, um die Integrität der Eingabedaten zu gewährleisten und die Verfügbarkeit von und den Zugang zu Daten sicherzustellen. Andererseits verweist die FINMA auf regelmässige Kontrollen, um Datenabweichungen zu erkennen, und auf Validierungsmethoden, um die kontinuierliche Qualität der Ausgangsdaten zu gewährleisten.

Schliesslich wird darauf hingewiesen, dass die Erklärbarkeit der Ergebnisse für eine wirksame Bewertung einer KI-Anwendung von entscheidender Bedeutung ist, wobei die Triebkräfte einer bestimmten Anwendung und ihr Verhalten unter verschiedenen Umständen und Bedingungen auch für Nichtfachleute wie Kunden, Anleger, Aufsichtsbehörden usw. verständlich sein müssen. Bei Anwendungen mit höherer „Wesentlichkeit“ müssten die Ergebnisse einer unabhängigen Prüfung, die sich eine fundierte und unvoreingenommene Meinung über die Zuverlässigkeit der betreffenden Anwendung bildet, ebenfalls in der Entwicklungsphase dieser Anwendung berücksichtigt werden.


[i] Siehe hier https://www.finma.ch/de/news/2024/12/20241218-mm-finma-am-08-24/.

Wir freuen uns auf Ihre Kontaktaufnahme

Obergrundstrasse 70
CH-6003 Luzern

Bahnhofplatz
CH-6300 Zug

Kontakt

Obergrundstrasse 70
CH-6003 Luzern

Bahnhofplatz
CH-6300 Zug