Das müssen Fintechs und Banken beim Umgang mit ChatGPT beachten

Für Datenschützer und Unternehmen der Finanzbranche ist ChatGPT noch eine Blackbox. Wie können Banken und Fintechs trotzdem von den Vorteilen der Künstlichen Intelligenz profitieren und gleichzeitig ihren Datenschutzverpflichtungen gerecht werden? Ein Fachbeitrag von Datenschutzexperte.de-Gründer Alexander Ingelheim.

Schon bevor italienische Datenschützer ChatGPT im März 2023 in die Zwangspause geschickt hatten, berichtete Bloomberg über Hausverbote für den Chatbot an der Wall Street. Ende 2022 hat der US-Anbieter OpenAI seine Künstliche Intelligenz für Interessierte weltweit zugänglich gemacht. Seitdem gilt sie als Game-Changer für verschiedene Branchen, unter anderem für den Finanzsektor.

ChatGPT könnte das Erstellen von Aktienportfolios oder Analystenpräsentationen vereinfachen, Kreditentscheidungen beschleunigen und die automatisierte Betrugserkennung, das Risikomanagement und die Portfoliooptimierung vereinfachen. Laut Financial Times hat beispielsweise ein von ChatGPT zusammengestellter Fonds in Großbritannien innerhalb von nur zwei Monaten mehr an Wert gewonnen als die zehn populärsten Fonds des Landes.

Doch trotz der Potenziale haben zahlreiche Finanzinstitute wie Commerzbank, Citigroup, Deutsche Bank und Goldman Sachs die unternehmensinterne Nutzung von ChatGPT und ähnlichen KI-Tools im Februar 2023 gestoppt.

Warum kehren Banken dem Chatbot den Rücken?

Konkrete Gründe wollten die Sprecher der verschiedenen Banken nicht nennen. Experten vermuten, dass die allgemeinen Sicherheitsbedenken die Vorteile der KI aktuell noch überwiegen. Zudem beschränken viele Banken ohnehin den Einsatz von Drittanbietersoftware. Denn die Vorgaben für die Implementierung von neuen IT-Systemen in der hoch regulierten Kreditwirtschaft sind streng und die Strafen bei Verstößen hoch.

Laut dem Bundesverband deutscher Banken bestehen zudem erhebliche Haftungs- und Reputationsrisiken für Banken, die generative KI ohne menschliche Kontrollinstanz in der Kundenkommunikation einsetzen. Trifft ChatGPT im Kontakt mit Kunden sachlich falsche oder ethisch angreifbare Aussagen, leidet darunter außerdem die Kundenzufriedenheit.

Eine weitere Herausforderung, die nicht nur Banken betrifft, ist der Datenschutz. Beim Einsatz von ChatGPT im Kundenservice oder in Analytics- und Due-Diligence-Prozessen besteht die Gefahr, dass personenbezogene Daten in falsche Hände geraten und missbraucht werden könnten. Denn ChatGPT basiert auf dem Prinzip des Machine Learnings: Der Chatbot wertet unzählige im Internet existierende Daten aus, um die eigenen Fähigkeiten zu trainieren.

Datenschutz bei ChatGPT: Status quo

Für Datenschützer ist die Verarbeitung von Daten in ChatGPT problematisch, weil verbindliche KI-Regeln fehlen und eine datenschutzrechtliche Prüfung des Chatbots auf Grundlage der Datenschutzgrundverordnung (DSGVO) derzeit kaum möglich ist. Denn für eine solche Überprüfung sind weitreichende Informationen notwendig.

Ausgelöst durch das Italienverbot von ChatGPT haben die deutschen Datenschützer deshalb OpenAI aufgefordert, offene Fragen zu klären. Sie erwarten unter anderem Aussagen über die Quellen der Daten, die ChatGPT verarbeitet, Algorithmen, auf denen die automatisierte Datenverarbeitung basiert, und die mögliche Weitergabe der Daten an Dritte mit kommerziellen Interessen.

Die größten Datenschutzbedenken beim ChatGPT-Einsatz im Unternehmen

Laut DSGVO gelten strenge Voraussetzungen für die Verarbeitung von personenbezogenen Daten. So ist die Verarbeitung der Daten von Bankkunden in ChatGPT nur erlaubt, wenn dies für die Erfüllung der vertraglichen Pflichten der Bank notwendig ist und die Schutzinteressen betroffener Kunden nicht verletzt werden.

Ansonsten ist eine Einwilligung zur Verarbeitung der Daten notwendig, die jedoch Transparenz über die Datenverarbeitung und ihre Auswirkungen voraussetzt. Da der Algorithmus hinter ChatGPT selbst für die Entwickler nicht zu 100 Prozent transparent ist, gilt der Chatbot als Blackbox.

Eine verbindliche Aussage darüber, wie Daten verarbeitet und Betroffenenrechte geschützt werden, können Finanzinstitute entsprechend nicht leisten. Ebenso sind Banken oder Fintechs nicht in der Lage, verarbeitete Daten auf Anfrage zu löschen. Denn über Daten, die im Algorithmus von ChatGPT landen, haben die Nutzer keine Verfügungsgewalt.

Problematisch ist außerdem der Fakt, dass in ChatGPT verarbeitete Daten an Server in die USA und damit in ein Drittland außerhalb der EU übertragen werden. Wie heikel Datentransfers in die USA sind, zeigen zwei aktuelle Beispiele: Im Mai 2023 hat die EU ein Rekordbußgeld von 1,2 Milliarden Euro gegen Meta verhängt, weil der Facebook-Mutterkonzern mit der Übertragung von Daten in die USA gegen die DSGVO verstoßen hatte. Und im Juni löste die Europäische Zentralbank (EZB) eine datenschutzrechtliche Diskussion aus: Sie kündigte an, für ihre IT-Modernisierung auf Cloud-Services von US-Anbietern wie Amazon zu setzen, deren Datenschutzniveau umstritten ist.

Zwar besteht seit Juli 2023 wieder ein Datenschutzabkommen zwischen der EU und den USA, das die Übermittlung personenbezogener Daten an zertifizierte Unternehmen in den USA vereinfachen soll. Allerdings fürchten Datenschützer, dass dieses neue Data Privacy Framework nicht lange Bestand haben könnte. Wird das Abkommen gekippt, müssten Banken wieder strenge Anforderungen für den Schutz ihrer Daten einhalten und diese vorab prüfen, um sich vor Strafen zu schützen. Auch das wäre vor dem Hintergrund der Blackbox-Problematik aktuell eine schwierige Aufgabe.

Wie geht die Finanzbranche mit KI um?

Finanzunternehmen in Deutschland haben zwei Möglichkeiten, wenn sie nicht auf KI verzichten und trotzdem DSGVO-konform arbeiten wollen: Sie können auf die ausstehende KI-Richtlinie des europäischen Gesetzgebers und das Ergebnis der ChatGPT-Prüfung durch deutsche Datenschützer warten.

Wer schneller durchstarten will, um nicht den Anschluss zu verlieren, macht es wie einige Vorreiter in Deutschland und entwickelt entweder eigene KI-Tools oder kooperiert mit KI-Startups. Verschiedene Fintechs aus Deutschland arbeiten bereits an leistungsstarken Tools, die Finanzinstitute für Aufgaben wie die Risikobewertung oder die Analyse von Wertpapieren einsetzen können.

Datenschutzrechtlich hat das für Anwender den Vorteil, dass personenbezogene Daten in der Regel auf Servern in Deutschland gespeichert und nicht in Drittländer gesendet werden. Außerdem sind eigenentwickelte Systeme oder KI-Tools von Startups in der Regel für spezifische Anwendungsfälle entwickelt und transparenter als der Platzhirsch ChatGPT.

Finanzunternehmen sind deshalb einfacher in der Lage, die Prozesse innerhalb einer eigenentwickelten KI nachzuvollziehen. Sie können folglich ihren Kunden transparent erklären, warum der Einsatz eines solchen Systems sinnvoll ist und was mit ihren Daten passiert. Damit reduzieren Finanzunternehmen ihre Risiken und können die DSGVO-Vorgaben einfacher einhalten.

KI und DSGVO: So geht es weiter

Für Unternehmen, die sich Klarheit und Rechtssicherheit erhoffen, bleibt die von der EU geplante KI-Richtlinie abzuwarten. Eine Veröffentlichung ist noch in diesem Jahr geplant. Der sogenannte AI-Act wird sich auch mit dem Einsatz und dem Risikomanagement sogenannter Hoch-Risiko-KI-Anwendungen wie ChatGPT beschäftigen.

Bis dahin bleiben die Risiken von Tools wie ChatGPT für Finanzunternehmen schwer abzuschätzen. Fintechs und Banken sind deshalb gut beraten, die weiteren Entwicklungen in Sachen ChatGPT, KI-Richtlinie und KI-Datenschutz zu verfolgen. Datenschutzrechtlich ist es außerdem sinnvoll, auf deutsche KI-Anbieter zu setzen, die Tools speziell für den Bankensektor entwickeln und DSGVO-konform arbeiten.