ESMA und DSB zur Handhabung von KI in der Praxis
Noch bevor die EU-Verordnung über künstliche Intelligenz im Amtsblatt der EU veröffentlicht wurde, geben die Europäische Wertpapier- und Marktaufsichtsbehörde ESMA und die österreichische Datenschutzbehörde DSB Anleitungen zur Handhabung von KI in der Praxis heraus.
ESMA erinnert an MiFID II
Die ESMA erwartet, dass Firmen beim Einsatz von KI in Zusammenhang mit dem Erbringen von Wertpapierdienstleistungen die einschlägigen Anforderungen der MiFID II einhalten, insbesondere organisatorische Aspekte, Wohlverhaltensregeln und die aufsichtsrechtliche Verpflichtung, im besten Interesse des Kunden zu handeln.
Denn obwohl KI-Technologien laut ESMA potenzielle Vorteile für Firmen und Kunden bieten, bergen sie auch Risiken, wie zum Beispiel Probleme mit der Datenqualität, undurchsichtige Entscheidungsfindung, übermäßiges Vertrauen von Unternehmen und Kunden in die KI sowie Datenschutz- und Sicherheitsbedenken hinsichtlich Erhebung, Speicherung und Verarbeitung großer Datenmengen.
Zu den potenziellen Verwendungszwecken von KI durch Wertpapierfirmen zählen laut ESMA Kundenbetreuung, Betrugserkennung, Risikomanagement, Compliance und Unterstützung der Firmen bei der Anlageberatung und Portfolioverwaltung.
DSB erinnert an DSGVO
Die Datenschutzbehörde weist darauf hin, dass die Pflichten von Anbietern und Betreibern von KI-Systemen deren Rolle als Verantwortliche oder Auftragsverarbeiter nach der DSGVO unberührt lassen. Die DSGVO gilt also auch nach Inkrafttreten KI-Verordnung. Das bedeutet unter anderem, dass das Verarbeiten von personenbezogenen Daten im Rahmen eines KI-Systems nur dann zulässig ist, wenn es dafür eine gültige Rechtsgrundlage gibt und zur Verarbeitung „sensibler“ Daten explizit eingewilligt wird.
Gänzliche automatisierte Entscheidungsfindungen einschließlich Profiling, wie etwa automatische Vergabe eines Online-Kredits oder ein Online-Einstellungsverfahren ohne jegliches menschliche Eingreifen, sind auch beim Einsatz von KI-Systemen nicht erlaubt.
Abschließend weist die DSB darauf hin, dass sie, sollte sie im Rahmen eines Verfahrens zur Ansicht gelangen, dass das betreffende KI-System nicht im Einklang mit der DSGVO steht, Geldbußen verhängen kann.