Was bedeutet es für die Finanzstabilität, wenn Künstliche Intelligenz und Algorithmen Banken steuern? Felix Hufeld, Präsident der deutschen Finanzaufsicht, fordert den Zugriff auf die großen IT-Konzerne.

Die Digitalisierung ist nicht nur eine Herausforderung für Banken, sondern auch für deren Aufsichtsbehörden. Fragen wie diese drängen sich auf: Wie kontrolliert die Finanzaufsicht die Sicherheit von Kundendaten, wenn etwa die Commerzbank wie geplant Kundendaten nicht mehr auf heimischen Rechnern, sondern bei amerikanischen Cloud-Anbietern speichern und verarbeiten will? Beaufsichtigt die Bafin auch Vermittlungsplattformen? Und wie reagiert die Aufsicht, wenn der amerikanische Online-Händler Amazon Verbrauchern Kredite anbietet und der Bezahldienst Paypal Einzelhändlern? „Das sind alles Themen für die Aufsicht, die uns gerade zu einer Art Tiefenbohrung veranlasst haben“, sagt Felix Hufeld, der Präsident der deutschen Finanzaufsicht Bafin.

Ohne Phänomene wie Kryptowährungen oder Fintechs kleinreden zu wollen, stellt Hufeld im Gespräch anfangs klar: „Unter der großen Überschrift digitale Transformation sind Big Data und Künstliche Intelligenz die wesentlichsten Treiber für Innovation und Veränderung.“ Damit meint Hufeld: Datenmengen, die technisch bis vor wenigen Jahren kaum auswertbar waren, können heute zunehmend mit Hilfe von Algorithmen und damit Künstlicher Intelligenz (KI) zielgerichtet analysiert und durch selbstlernende Systeme etwa für die Kundenansprache oder für das Aufspüren von Geldwäsche verwendet werden. Die Bafin müsse deshalb besser verstehen: „Was passiert da in den Märkten? Und natürlich müssen wir ein besseres Verständnis dafür entwickeln, welche Implikationen der aktuelle technologische Wandel für die Finanzbranche hat“, meint Hufeld.

Dafür hat die Bafin mit ungewohnter externer Hilfe – den technischen Wissenschaftlern vom Fraunhofer Institut und den Unternehmensstrategieberatern der Boston Consulting Group – die Analyse „Big Data trifft auf Künstliche Intelligenz“ erstellt, von Hufeld „Tiefenbohrung“ genannt. „Wir wollen uns damit aktiv einbringen in einen Dialog mit der Finanzindustrie einerseits und mit anderen internationalen Aufsichtsbehörden anderseits, ohne schon Finales sagen zu können oder zu wollen.“ Das klingt vorsichtig. Hatte Hufeld nicht erst Mitte Oktober angekündigt, es werde ähnlich wie für das Risikomanagement („MA Risk“) aufsichtsrechtliche Mindestanforderungen an automatisierte, selbstlernende Analyse- und Entscheidungsprozesse geben und dafür schon den Begriff „MA Algo“ geprägt? „Das könnte ein Baustein sein, auf den man sich irgendwann einigen wird. Aber Stand heute ist MA Algo eine symbolhafte Zuspitzung für nur einen Teilausschnitt der Thematik“, sagt er nun.

Die Finanzindustrie handelt schon jetzt

Viele Big-Data-Anwendungen hätten gewiss mit Algorithmen zu tun. „Die Frage ist jedoch: Werden wir als Aufsicht künftig einzelne Algorithmen beaufsichtigen oder doch eher Ergebnisse oder Prozesse, in denen Algorithmen eine Teilrolle spielen?“ Und wird es nicht erst richtig knifflig, wenn diese Algorithmen dank KI selbstlernend sind und sich ständig verändern? Hufeld gibt zu, noch keine fertige Antwort zu haben. Klar ist nur: Das bisherige Prozedere, dass die Bafin etwa alle internen Risikomessmodelle prüft und abnimmt und die Banken und Versicherer für jede Änderung einen neuen Modellantrag stellen und eine neue Zertifizierung durchlaufen müssen, wird kaum funktionieren. „Wie geht man als Aufsicht mit einem KI-basierten Prozess um, der sich quasi pausenlos ändert? Derartige Vorfragen sind zu klären, bevor wir MA Algo formulieren können“, sagt Hufeld.

Finanzinstitute handeln aber schon jetzt. Wie reagiert die Bafin, wenn etwa die Commerzbank Kundendaten in die Cloud verlagern will? Für Hufeld ist das noch ganz klassische Aufsichtspraxis: „Wir beurteilen regelmäßig Auslagerungsvorgänge. Wir wollen und müssen daran festhalten, dass die Letztverantwortung bei der Geschäftsleitung des outsourcenden Unternehmens verbleibt. Und wir möchten auch die Möglichkeit haben, im Zweifel bei dem Serviceunternehmen, das das Ourtsoucing liefert, einmal vorbeizuschauen“, sagt er salopp. „Also aufsichtsrechtliche Zugangs- und Prüfrechte, um herauszufinden, ob mit Millionen Kundendaten ordnungsgemäß umgegangen wird.“

Aber ist das realistisch, da es doch kaum deutsche Cloud-Anbieter gibt? Wie verschafft sich die Bafin Zugang, wenn deutsche Bankkunden in Datenwolken auf der anderen Seite des Atlantiks schweben? „Indem wir darauf bestehen, dass diese Zugangsrechte in den Outsourcing-Verträgen verankert werden. Denn wir beaufsichtigen bekanntlich ja nicht Google oder Amazon Web Services oder ähnliche, sondern deutsche Banken und Versicherer“, sagt Hufeld. Die Bafin muss also durch den Umweg über das direkt zu beaufsichtigende Finanzinstitut sicherstellen, dass ihre Vorgaben eingehalten werden.

„Es droht die Gefahr, dass der Schwanz mit dem Hund wedelt“

„Das tun wir, aber es erfordert zweifellos eine gewisse Beharrlichkeit unsererseits“, sagt Hufeld. Benötigt die Aufsicht nicht direkte Zugriffsrechte auf Unternehmen, die keine klassischen Banken und Versicherer sind, aber sich zunehmend im Finanzgeschäft breit machen, weil Banken an sie Teile des Geschäfts auslagern oder weil sie sich Stücke vom Finanzgeschäft erobern? „Im Moment kann die Bafin gut für Finanzstabilität sorgen, indem sie die von ihr kontrollierten Finanzunternehmen drängt, alle Anforderungen in die Outsourcing-Verträge hineinzuschreiben. Aber je mehr Finanzgeschäft Unternehmen abwandert, die nicht direkt reguliert sind, desto mehr droht die Gefahr, dass der Schwanz mit dem Hund wackelt.“

Wie lässt sich das Problem lösen? „Wir kümmern uns heute schon in der Kapitalmarktaufsicht um Nicht-Finanzunternehmen und prüfen, ob sie Wohlverhaltenspflichten wie etwa die Ad-Hoc-Publizität erfüllen“, zieht er eine überraschende Parallele. Denkt Hufeld an eine sogenannte Verhaltensaufsicht? Er nickt: „Wir werden es wahrscheinlich erleben, dass immer mehr Wertschöpfungsketten aufbrechen. Bank- und Versicherungsgeschäft wird zunehmend von Akteuren übernommen, die nicht unserer unmittelbaren Aufsicht unterliegen. Sollte man dann nicht bestimmte Verhaltenspflichten vorschreiben, um eine gesunde und stabile Gesamtwertschöpfung sicherzustellen?“ Hufeld will das als Idee verstanden wissen, die er „einfach mal so in den Raum stellen möchte“. Aber natürlich zielt er damit auch auf einen Kompetenzzuwachs seiner dem Bundesfinanzministerium unterstellten Behörde. Hufeld, betont: „Ich will lediglich deutlich machen: Wir haben mit den Wohlverhaltenspflichten schon einen Werkzeugkasten, mit dem wir auch bunter werdende Wertschöpfungsketten erfassen können.“

Unternehmen suchen sich lasche Kontrolleuren

Die Bafin wird also auch künftig nicht Google oder Amazon als Unternehmen beaufsichtigen? „Nein, das wäre absurd und grober Unfug – jedenfalls solange sie keine erlaubnispflichtigen Finanzdienstleistungen anbieten“, sagt Hufeld. Aber schon die Vorstellung, dass Unternehmen mit etwas Finanzgeschäft unter die Fuchtel der Bafin fallen könnten, dürfte bei den Betroffenen zu Unbehagen führen. Gleichzeitig fordern die regulierten Banken genau diese Wettbewerbsgleichheit ein. Schließlich verschwimmen die Grenzen. Amazon erlaubt seinen Kunden, Geld auf Konten „stehen zu lassen“. Der Bezahldienst Paypal gibt Online-Händlern Kredite.

Beide amerikanische Unternehmen haben dafür eine Lizenz in Luxemburg, die sie europaweit nutzen dürfen. Hier müssten also keine Zuständigkeiten der Finanzaufsicht erweitert werden, sondern sie müsste angemessen angewandt werden. Hufelds Luxemburger Bankaufseherkollegen gelten im europäischen Maßstab als eher lasch. Lassen sich europäische Aufseher gegenseitig ausspielen? „Aufsichts-Arbitrage lässt sich nie ganz ausschließen“, sagt Hufeld knapp.

Und wie sieht es mit dem Trend zur Plattform-Ökonomie aus? Der Bundesverband privater Banken etwa verlangt: Die Bafin soll ähnlich wie beim Outsourcing nicht nur die einzelnen Anbieter, sondern auch die Vermittlungsplattform und deren Betreiber beaufsichtigen, also „das ganze Ökosystem“. Besonders herausfordernd ist das, wenn die Plattform ihren Sitz außerhalb Deutschlands hat. „Nach heutigem Stand muss nur das einzelne Finanzinstitut auf der Plattform den ordnungsgemäßen Betrieb und unsere Anforderungen sicherstellen“, erklärt Hufeld.

Aber wäre es nicht angebracht, bestimmte Wohlverhaltenspflichten auf Plattformbetreiber auszudehnen? „Ja“, sagt Hufeld und erklärt: „Derzeit können wir „nur“ auf das Finanzinstitut zugreifen, das unserer Aufsicht unterliegt. Die Plattform selbst beaufsichtigen wir nicht. Kurzfristig sehe ich darin kein Problem. Mittel- bis langfristig müssen wir das aber nachjustieren.“ Diese politische Debatte müsse geführt werden, denn: „Ich halte es für wahrscheinlich, dass sich immer mehr Wirtschaftshandeln auf Plattformen abspielen wird. Dann reicht meiner Meinung nach die aufsichtsrechtliche Kontrolle über den Umweg des einzelnen Instituts nicht mehr aus“, sagt Hufeld.