Schlagwort: Künstliche Intelligenz

AI Act und ChatGPT

AI Act und ChatGPT – Regulierung der Nutzung von KI in Finanzinstituten

Die Dis­kus­si­on um den Nut­zen und die Risi­ken Künst­li­cher Intel­li­genz sowie deren Nut­zung im pri­va­ten oder beruf­li­chen Umfeld hat sich in den letz­ten Mona­ten deut­lich ver­stärkt. Ins­be­son­de­re durch den ein­fa­chen und aktu­ell noch kos­ten­frei­en Zugang zu ChatGPT als mäch­ti­gen Text­ge­ne­ra­tor wur­den etli­che Bei­spie­le einer Nut­zung ver­öf­fent­licht und über­aus inten­siv in Tages­zei­tun­gen oder im Früh­stücks­fern­se­hen popu­lär aus­ge­brei­tet. Ins­be­son­de­re nega­tiv bewer­te­te ChatGPT-Bei­spie­le wie etwa Chat­ver­läu­fe mit Auf­for­de­run­gen zu kri­mi­nel­len Hand­lun­gen oder auch Ergeb­nis­tex­te mit offen­sicht­lich nicht aktu­el­len Fak­ten haben die mög­li­chen Risi­ken in der Dis­kus­si­on an Wich­tig­keit gewin­nen las­sen. All­ge­mein war aber viel Ver­wir­rung und Unwis­sen erkennbar.

Par­al­lel dazu beschäf­tigt sich das Euro­päi­sche Par­la­ment schon seit län­ge­rem mit der Ent­wick­lung Künst­li­cher Intel­li­genz unter dem Pri­mat einer mensch­zen­trier­ten und Ethik-basier­ten Sicht­wei­se. Ein ers­ter Ent­wurf für den Arti­fi­ci­al Intel­li­gence Act (kurz AI Act) als Ergän­zung der bestehen­den Rege­lun­gen zur Daten­schutz­grund­ver­ord­nung wur­de vor­ge­legt und am 14.06.2023 ver­ab­schie­det; nun begin­nen die wei­te­ren Abstim­mun­gen u. a. mit der EU-Kom­mis­si­on. Ziel ist es, bran­chen­über­grei­fend Regu­la­ri­en zu schaf­fen, um die Nut­zung die­ser Tech­no­lo­gien trans­pa­rent und rechts­si­cher zu gestal­ten und die Risi­ken adäquat zu managen.

Somit ist das The­ma end­gül­tig auch in der Finanz­wirt­schaft ange­kom­men. Wur­den bis­her schon ers­te Anwen­dun­gen mit eher regel­ba­sier­ten AI-Tech­no­lo­gien wie z. B. Kre­dit­s­coring oder Geld­wä­sche­über­wa­chung ein­ge­setzt, so wer­den durch die anste­hen­den EU-Regu­la­ri­en neue Rah­men­be­din­gun­gen ent­ste­hen. Par­al­lel dazu wer­den Mit­ar­bei­ten­de selbst­stän­dig Nut­zungs­mög­lich­kei­ten eines ChatGPT erpro­ben und dann auch ggf. unab­ge­stimmt in Geschäfts­pro­zes­sen ein­set­zen. Sowohl auf den bald gel­ten­den Rah­men „von oben“ als auch die schon heu­te lau­fen­den Initia­ti­ven „von unten“ müs­sen die Finanz­in­sti­tu­te – wie ande­re Bran­chen auch – schnell Ant­wor­ten finden.

Wesent­li­che Inhal­te des Arti­fi­ci­al Intel­li­gence Act

Die über­ge­ord­ne­te Ziel­set­zung des EU-Par­la­ments berück­sich­tigt die Per­spek­ti­ven von Nut­zern und Anbie­tern glei­cher­ma­ßen. AI-Sys­te­me sol­len von Men­schen über­wach­bar sein und über­wacht wer­den, sol­len sicher und trans­pa­rent gestal­tet sein, mit erklär­ba­ren und nach­voll­zieh­ba­ren Ergeb­nis­sen ohne dis­kri­mi­nie­ren­de Inhal­te, und dazu noch umweltfreundlich.

Wei­ter­hin wird eine all­ge­mein­gül­ti­ge Defi­ni­ti­on von AI ange­strebt, die tech­no­lo­gie­neu­tral und damit zukunfts­fä­hig ist.

Zu beach­ten ist zunächst die risi­ko­ba­sier­te Klas­si­fi­zie­rung von AI-Nut­zun­gen, die glei­cher­ma­ßen für Nut­zer und Anbie­ter Gel­tung hat (Bei­spie­le nach jet­zi­gem Stand der Dis­kus­si­on im Par­la­ment). Je nach Klas­si­fi­zie­rung sind ent­spre­chen­de Auf­la­gen zum Ein­satz zu befolgen:

  • Ver­bo­te­ne AI-Nut­zun­g/in­ak­zep­ta­bles Risi­ko:
    - Ein­satz mani­pu­la­ti­ver Tech­ni­ken
    - Bio­me­tri­sche Fern­iden­ti­fi­zie­rungs­sys­te­me in „Echt­zeit“ in öffent­lich zugäng­li­chen Räu­men
    - Will­kür­li­ches Aus­le­sen bio­me­tri­scher Daten aus sozia­len Medi­en oder CCTV-Auf­nah­men zur Erstel­lung von Gesichtserkennungsdatenbanken
  • Regu­lier­te AI-Nut­zun­g/ho­hes Risi­ko:
    - Sys­te­me mit Mög­lich­keit der Beein­träch­ti­gung von Gesund­heit, per­sön­li­cher Sicher­heit, fun­da­men­ta­len Bür­ger­rech­ten oder der Umwelt
    - Beein­flus­sung von Wah­len in poli­ti­schen Kam­pa­gnen
    - Emp­feh­lungs­sys­te­me sozia­ler Netzwerke
  • Trans­pa­ren­te AI-Nut­zun­g/­nied­ri­ges Risi­ko:       
    Sys­te­me mit die­ser Klas­si­fi­zie­rung sind unter Beach­tung von Vor­ga­ben ein­setz­bar; dies umfasst im Wesent­li­chen Sys­te­me (wie etwa auch ChatGPT) mit einem zugrun­de lie­gen­den „Foun­da­ti­on Model“. So müs­sen die Ergeb­nis­se min­des­tens in der direk­ten Inter­ak­ti­on mit Nut­zern als von AI erzeugt kennt­lich gemacht sein und gesetz­kon­for­me Ergeb­nis­se erzeu­gen, also z. B. kei­ne ille­ga­len Inhal­te als Ver­let­zung von Rechts­nor­men oder Copy­rights. Die zum Trai­nie­ren der benut­zen Modell ver­wen­de­ten Daten sind eben­falls trans­pa­rent zu machen, wobei hier­bei die Umsetz­bar­keit Fra­gen auf­wirft. Ergän­zend hier­zu wären sol­che Sys­te­me vor Nut­zungs­frei­ga­be durch staat­li­che Stel­len zu testen.

Ins­ge­samt wird die Tech­no­lo­gie der Künst­li­chen Intel­li­genz und deren Anwen­dung in abseh­ba­rer Zeit deut­lich regle­men­tier­ter wer­den; die Zeit des frei­en und in Tei­len auch unaus­ge­go­re­nen „Wer­fens auf den Markt“ dürf­te dann zumin­dest in der EU vor­bei sein. Ver­stö­ße gegen die Ver­ord­nung kön­nen mit hohen Straf­zah­lun­gen sank­tio­niert werden.

Aus­wir­kun­gen des AI Act auf Finanzinstitute

Zunächst ist der Ein­satz von AI der höchs­ten Risi­koklas­si­fi­zie­rung nicht erlaubt. Dies ist streng zu kon­trol­lie­ren. Aller­dings erschei­nen die Bei­spie­le mit inak­zep­ta­blem Risi­ko von vor­ne­her­ein kei­ne wesent­li­che Rele­vanz für Finanz­in­sti­tu­te zu haben.

Fokus soll­te auf den Rege­lun­gen zu den AI-Sys­te­men mit hohem Risi­ko lie­gen, denn hier kön­nen aktu­el­le oder auch abseh­bar künf­ti­ge Anwen­dungs­ge­bie­te in Finanz­in­sti­tu­ten lie­gen. Bei­spie­le hier­für kön­nen das schon erwähn­te Kre­dit­s­coring mit einer noch stär­ke­ren Beach­tung nicht­dis­kri­mi­nie­ren­der trans­pa­ren­ter Ent­schei­dun­gen sein, aber auch die Bewer­tung der Leis­tun­gen von Mit­ar­bei­ten­den anhand von Kenn­zah­len oder die Ana­ly­se von Bewer­bun­gen poten­zi­el­ler Mitarbeitender.

Die abseh­ba­ren Aus­wir­kun­gen bestehen (neben mög­li­chen Stra­fen bei Ver­stö­ßen) ins­be­son­de­re in den not­wen­di­gen tech­ni­schen und orga­ni­sa­to­ri­schen Vor­keh­run­gen, die in Gän­ze noch nicht voll­stän­dig erkenn­bar sind. Es dürf­te aber zu erwar­ten sein, dass die EU-Regu­la­ri­en in bran­chen­spe­zi­fi­schen Vor­ga­ben wie etwa der BAIT oder in all­ge­mei­ner Form in die DSGVO ein­flie­ßen wer­den, und dies eher frü­her als spä­ter. Wir wer­den dies zu einem spä­te­ren Zeit­punkt vertiefen.

Bei Sys­te­men, die auf einem Foun­da­ti­on Model basie­ren, dürf­te die wesent­li­che Her­aus­for­de­rung dar­an lie­gen, die Trans­pa­renz zum Pre­trai­nings­in­halt zu erlan­gen, die­se zu bewer­ten und auch dem Nut­zer in ver­ständ­li­cher Form bereit­zu­stel­len. Bei­spiel­haft hier­für ist die Daten­la­ge des Pre­trai­nings für ChatGPT, das dem Ver­neh­men nach aktu­ell in Tei­len zwi­schen 5 und 18 Mona­ten Ver­zö­ge­rung auf­weist und ent­spre­chend alte Fak­ten verwendet.

Ein­satz­mög­lich­kei­ten der trans­pa­ren­ten AI-Nut­zung am Bei­spiel ChatGPT

Dem schon ange­spro­che­nen „Druck von unten“ durch die Mit­ar­bei­ten­den der Finanz­in­sti­tu­te an ihre Arbeit­ge­ben­den ist kon­struk­tiv zu begeg­nen. Aus unse­rer Sicht könn­ten sich für das pro­mi­nen­te Bei­spiel ChatGPT Ein­satz­mög­lich­kei­ten als simp­le Arbeits­er­leich­te­rung anbie­ten. Beispiele:

  • Input zur Struk­tu­rie­rung von Fra­ge­stel­lun­gen, z. B. Glie­de­run­gen für Kon­zep­te oder als Mindmaps
  • All­ge­mei­ne Text­blö­cke zu einem Stich­wort erzeugen
  • Ein­fa­che Pro­gram­mie­rung in der IT, d. h. klei­ne­re Pro­gramm­tei­le oder Makros/Skripte in der ent­spre­chen­den „Spra­che“
  • Erzeu­gung von struk­tu­rier­ten Test­da­ten (z. B. Kun­den mit Ver­trags­da­ten und Adres­sen) für den Auf­bau von Test­da­ten­ban­ken oder Schnittstellentests
  • Vor­han­de­ne Tex­te ana­ly­sie­ren und zusam­men­fas­sen lassen
  • Qua­li­tät von Anfor­de­run­gen prü­fen lassen

Die fol­gen­den Bei­spie­le wur­den von ChatGPT selbst vor­ge­schla­gen auf die Fra­ge hin, wel­che Ein­satz­mög­lich­kei­ten des Tools bei Ban­ken bestehen:

  • Ana­ly­se von Kun­den­feed­back und ‑bewer­tun­gen, um Trends und Mus­ter zu erken­nen und Ver­bes­se­rungs­vor­schlä­ge abzuleiten.
  • Auto­ma­ti­sier­te Erstel­lung von Berich­ten und Ana­ly­sen, um Finanz­da­ten zu inter­pre­tie­ren und Manage­men­tent­schei­dun­gen zu erleichtern.
  • Über­set­zung von Finanz­do­ku­men­ten und ‑berich­ten in ver­schie­de­ne Spra­chen, um die Kom­mu­ni­ka­ti­on mit inter­na­tio­na­len Kun­den zu erleichtern.
  • Auto­ma­ti­sier­te Erstel­lung von Finanz­pro­gno­sen und Risi­ko­be­wer­tun­gen zur Unter­stüt­zung des Risi­ko­ma­nage­ments und der finan­zi­el­len Planung.

Wesent­li­ches Pro­blem der syn­tak­tisch-seman­tisch her­ge­lei­te­ten Ergeb­nis­se mit ChatGPT ist und bleibt aber, dass kei­ne Ver­bin­dung mit Fak­ten statt­fin­det. Nur wenn das Trai­nings­ma­te­ri­al stets aktu­ell und per­ma­nent als sach­lich kor­rekt geprüft wäre, dann wären die erzeug­ten Ergeb­nis­se auch inhalt­lich verlässlich.

Folg­lich wären aktu­ell kei­ne guten Ein­satz­ge­bie­te z. B. die Erzeu­gung batch­ge­trie­be­ner Mas­sen­tex­te oder fall­ab­schlie­ßen­de Callcenter-Robots.

Fokus bleibt mit ChatGPT die Erleich­te­rung in der Out­pu­ter­zeu­gung. Es fin­det kein Ersatz von Kom­pe­tenz, Erfah­rung und Sorg­falt statt. Jedes Ergeb­nis einer Abfra­ge muss mit Sinn und Ver­stand geprüft, ggf. ite­ra­tiv ver­bes­sert und ggf. durch den Nut­zer mit wei­te­ren aktu­el­len Fak­ten ange­rei­chert werden.

Hin­wei­se in der Ver­wen­dung zu ChatGPT

Wenn nun die Nut­zung eines ChatGPT auch im dienst­li­chen Umfeld eines Finanz­in­sti­tuts ermög­licht wer­den soll, dann wären den Nut­zern – auch zur Ver­mei­dung von Arbeits­zeit­ver­schwen­dung – am bes­ten geeig­ne­te Hin­wei­se oder sogar Schu­lun­gen anzu­bie­ten. Da die Han­tie­rung ein inter­ak­ti­ves Nach­ha­ken ermög­licht und somit die Nut­zung von ChatGPT den Cha­rak­ter einer Unter­hal­tung hat, ist ein gutes Ver­ständ­nis sowohl über die Limi­tie­run­gen als auch über eine effi­zi­en­te Unter­hal­tungs­füh­rung erforderlich.

Zu ver­mit­teln­de Inhal­te hier­zu könn­ten sein:

  • Je spe­zi­fi­scher die Anga­ben im Prompt (also der Ein­ga­be des Nut­zers) zum Kon­text, zur Art des Ziel­re­sul­tats und zu Län­ge, For­mat oder Stil sind, des­to bes­ser sind die Ergebnisse.
  • Es kön­nen ver­schie­de­ne Ergeb­nis­for­ma­te ange­ge­ben wer­den, so dass das Ergeb­nis direkt in ande­re Tools (z. B. per Copy/Paste) über­nom­men wer­den kann.
  • Die ein­zel­nen Tei­le einer Unter­hal­tung bestehen aus soge­nann­ten Tokens. Ein Token kann bei­spiels­wei­se ein Wort, ein Satz­zei­chen oder eine Sequenz von Buch­sta­ben der vor­her­ge­sag­ten Ant­wort sein. Je nach Aus­bau­stu­fe besteht eine Län­gen­be­gren­zung zwi­schen 4.000 und 8.000 Token, was den Umfang der Unter­hal­tungs­in­hal­te limitiert.
  • Es ist eine Über­set­zungs­funk­ti­on inte­griert. Je nach fach­li­chem Inhalt kann es ziel­füh­rend sein, die Anfra­ge auf Eng­lisch (als Haupt­spra­che des erfolg­ten Pre­trai­nings von ChatGPT) zu stel­len und erst nach­träg­lich die Über­set­zung in Deutsch zu verlangen.
  • Die Her­lei­tung von Tex­ten kann Top-Down erfol­gen, also von der the­ma­ti­schen Glie­de­rung hin zu einer immer wei­ter aus­ge­feil­te­ren Detail­be­ar­bei­tung eines Unter­the­mas, ggf. in einem sepa­ra­ten Chatverlauf.

Was bei allen Infor­ma­tio­nen gilt, die im Inter­net ein­ge­ge­ben wer­den, gilt natür­lich auch für ChatGPT. Die Daten der Ein­ga­be in den Prompts wer­den gespei­chert und ggf. auch genutzt, um die Wis­sens­ba­sis zu erwei­tern. Es ist also nicht erlaubt, ver­trau­li­che Infor­ma­tio­nen des Finanz­in­sti­tuts in den Prompts zu ver­wen­den. Da dies tech­nisch nicht über­wacht wer­den kann, ist hier­für eine orga­ni­sa­to­ri­sche Lösung erforderlich.

Das Sys­tem bie­tet auch ein „Opt-Out“ der Spei­che­rung an, das aber durch den Nut­zer in sei­nem Account unter Settings/Data Controls/Chat histo­ry & trai­ning aus­zu­wäh­len ist.

Exper­ti­se ban­kon Manage­ment Consulting

Die Exper­ti­se der ban­kon-Bera­ter aus mehr als fünf­zehn Jah­ren Erfah­rung mit Pro­jek­ten im Kon­text IT-Manage­ment (ITIL), Pro­vi­der­ma­nage­ment, IT-Ser­vices sichert pra­xis­er­prob­tes Wis­sen. Umfang­rei­che Kennt­nis von Orga­ni­sa­ti­ons- und Pro­vi­der­struk­tu­ren, Pro­zes­sen und IT-Sys­te­men deut­scher Ban­ken und Spar­kas­sen sowie der aktu­el­len tech­no­lo­gi­schen Ent­wick­lun­gen gewähr­leis­ten den erfor­der­li­chen fach­li­chen und tech­ni­schen Hintergrund.

Erfah­run­gen aus der Vor­be­rei­tung, Beglei­tung und Nach­be­rei­tung von Prü­fun­gen der Ban­ken­auf­sicht ergän­zen die­se Pra­xis­er­fah­rung um regu­la­to­ri­sche Kompetenz.

Nut­zen Sie unse­re umfang­rei­chen Erfah­run­gen und spre­chen Sie mit uns:

ban­kon Manage­ment Con­sul­ting GmbH & Co. KG
Max-Planck-Str. 8
85609 Aschheim/München
Tel.: (089) 99 90 97 90
Fax: (089) 99 90 97 99
Web: https://​www​.ban​kon​.de
E‑Mail: research@bankon.de


Die Bil­der in die­sem Arti­kel wur­den mit der AI-Soft­ware Picsart erstellt.