Whitebox-Systeme: nachhaltige Nutzung künstlicher Intelligenz für Banken vor dem Hintergrund der DSGVO


Finanzunternehmen auf der ganzen Welt haben ein Interesse daran, bei einer Vielzahl von Aufgaben – darunter Ratingverfahren, Profilerstellung für Bestands- und potenzielle Kunden, Ermittlung der Qualität von Kreditanträgen, Planung von Marketingkampagnen und Personalisierung von Bankdienstleistungen – die Effizienz zu verbessern. Die besten Ergebnisse werden in diesen Bereichen nicht erzielt, indem man für die Verarbeitung von persönlichen Daten von Menschen ermittelte Muster nutzt, sondern durch Entscheidungs- und Vorhersageverfahren, die mithilfe von, in konventioneller Terminologie gesprochen, künstlicher Intelligenz (KI) ablaufen.

Auf den ersten Blick sind die traditionellen Verfahren des maschinellen Lernens der richtige Weg: Mit ihrer Hilfe lassen sich Vorhersagemodelle in Form mathematischer Funktionen erstellen, die präzise vorausschauende Entscheidungen über Kredite, Darlehen und andere oben erwähnte Punkte treffen können. Dazu verarbeiten sie anhand der jeweiligen Funktion die Kundendaten und liefern so ein positives oder negatives Ergebnis.

Das Problem? Diese Modelle werden als „Blackboxen“ bezeichnet, und zwar aus gutem Grund: Aufgrund der komplexen mathematischen Struktur des Modells lässt sich nicht erklären, warum eine bestimmte Entscheidung getroffen wurde. Ein großes Problem in einer Zeit, in der die Europäische Kommission ethische Richtlinien für vertrauenswürdige KI aufstellt und die wichtigste Verordnung für den Datenschutz seit 20 Jahren erlassen hat: Die Datenschutz-Grundverordnung (DSGVO), die im Mai 2018 in Kraft trat.

Vorgabe der DSGVO: Verständlichkeit der von künstlicher Intelligenz angewandten Logik für den Menschen

Das Problem für die rechtliche Nachhaltigkeit der hier behandelten technologischen Möglichkeiten ergibt sich daraus, dass die europäische Regulierungsbehörde einen entscheidenden und wesentlichen Aspekt der Datenverarbeitung regelt: Die von der künstlichen Intelligenz angewandte Logik muss für Menschen verständlich sein. Darum geht es in den Artikeln 22, 13, 14 und 15 der DSGVO.

Aus Artikel 22 ergibt sich[A1] , dass die Datenverarbeitung nicht rein automatisiert erfolgen darf, sondern in Verbindung mit dem Eingreifen einer Person[A2]  stattfinden muss, wenn dadurch eine Entscheidung über eine Person getroffen wird.

Damit diese Vorschrift nicht dazu führt, dass die automatisierte Datenverarbeitung gänzlich verhindert wird, muss das „Eingreifen einer Person“ in vollständiger Kenntnis der Verarbeitungslogik und der Möglichkeit von deren Änderung erfolgen. Sogenannte „Blackbox“-KI, deren Logik nicht vollständig verständlich ist, kommt naturgemäß nicht für eine rechtmäßige Verarbeitung nach Artikel 22 infrage.

Wie kann es Banken also gelingen, innovative Technologielösungen zu nutzen, um wettbewerbsfähig zu bleiben, und gleichzeitig vor dem Hintergrund der europäischen Verordnung Nr. 679 von 2016 (DSGVO) über personenbezogene Daten rechtlich nachhaltig bleiben? Und wie können wir als Berater Banken helfen, die richtige Wahl zu treffen?

„Whitebox“-Systeme: neue Verfahren und Technologien mit EKI

Die Antwort liegt in einer neuen Welle von KI-Techniken, die allgemein als erklärbare KI (EKI) bezeichnet werden. Durch EKI werden neue Verfahren und Technologien eingeführt, die selbsterklärende Vorhersagen anstatt undurchsichtiger mathematischer Funktionen liefern sollen. Erklärbare KI ist ebenso präzise wie Blackbox-Algorithmen, neben genauen Vorhersagen liefert sie aber auch so etwas wie einen „kognitiven Output“ – wir erfahren also, warum eine Vorhersage auf eine bestimmte Weise getroffen wurde.

Im Einklang mit der Verordnung kann die Entscheidung also auf automatisierte Weise getroffen werden, die angewandten Algorithmen sind für den Menschen jedoch verständlich. Mit anderen Worten müssen, in KI-Terminologie, Entscheidungen durch Systeme getroffen werden, die deren Verständnis ermöglichen, und dürfen nicht auf „Blackbox“-Systemen beruhen.

Kein Bezug der DSGVO-Vorschriften zu den Ergebnissen des Entscheidungsprozesses

Nach den DSGVO-Vorschriften (Artikel 13) ist der Verantwortliche verpflichtet, der betroffenen Person die für die Verarbeitung maßgeblichen Informationen zur Verfügung zu stellen. Dies bezieht sich jedoch nicht auf den Entscheidungsprozess oder die Offenlegung von Teilen des Quellcodes. Vielmehr bezieht sich diese Maßgabe auf die vom System für die Entscheidung herangezogenen Variablen und Gewichtungen. Damit ergeben sich folgende Anforderungen:

  1. Die Logik muss vollständig verständlich sein, denn nur wenn dem Verantwortlichen oder einem außenstehenden Dritten die Logik vollständig bekannt ist, lässt sich beurteilen, ob die wirksam kommunizierte Information maßgeblich ist oder nicht;
  2. es muss möglich sein, einem Durchschnittsmenschen diese Informationen auf verständliche Weise zu kommunizieren, da die Verordnung in Kraft gesetzt wurde, damit alle betroffenen Personen und nicht nur Technikexperten aus diesem Bereich umfassend informiert werden.

Im Wesentlichen gibt es zwei Möglichkeiten, dieses zentrale Problem zu lösen:

Entweder durch Nutzung von Datenverarbeitungssystemen, die auf von Menschen ermittelten Mustern beruhen und daher vollständig verständlich sind. Systeme dieser Art sind jedoch nicht wettbewerbsfähig, wenn eine große Menge hochkomplexer Daten vorliegt. Oder durch Nutzung sogenannter „Whitebox“-Systeme, z. B. auf „Logic Learning Machines“ (LLM) basierende Plattformen. Diese Systeme stellen nicht nur eine effiziente und rechtlich nachhaltige technologische Option für „Blackbox“-Alternativen dar, sondern können unter bestimmten Bedingungen als technologisch-rechtliche Voraussetzungen für die nachhaltige Nutzung „intransparenter“ Entscheidungssoftware dienen, die der Verantwortliche bereits angeschafft hat.

Fallstudie

In der Regel wird der Kreditantrag eines Kunden an eine Bank durch Analyse zahlreicher Informationen anhand von Risikoindikatoren, z. B. einer speziell zugewiesenen Risikoklasse, beurteilt. Die meisten Ratingsysteme basieren auf statistischen, hoch komplexen Algorithmen, wodurch sie Kunden sehr schwer zu erklären sind. Diese Algorithmen werden als „intransparent“ bezeichnet.

Gemeinsam mit einer großen italienischen Bankengruppe haben wir „Whitebox“-Algorithmen angewandt (LLM – Logic Learning Machine von RULEX), um zu erklären, wie das Rating für ein Kreditrisiko zugewiesen wird. Für 600.000 Positionen haben wir so die erforderlichen Daten erhalten, um ohne Algorithmus für alle Positionen das Rating und die Ratingklasse zu berechnen. Die Ziele dabei:

  • Erstellung eines „Whitebox“-Modells mit einer Reihe verständlicher Regeln, mit denen sich die Zuweisung von „Ratingklassen“ anschaulich erklären lässt
  • Bereitstellung von umfassenden Antworten auf die Fragen der Kunden zu ihrer Einteilung in Risikoklassen

Wir haben also eine Möglichkeit für ein „Reverse-Engineering“ vorhandener Statistikalgorithmen untersucht und so einen „intransparenten“ Algorithmus transparent gemacht.

Stellt ein Kunde dem Verantwortlichen in einer Bank etwa die Frage „Wieso lehnen Sie es ab, meinen letztes Jahr eingeräumten Kredit zu verlängern?“, kann die Antwort bei „intransparenten“ Algorithmen sehr kompliziert ausfallen. Mit einer „Whitebox“-Logik fällt die Antwort wesentlich einfacher und im Einklang mit der DSGVO aus – weil wir in der Lage sind, die Entscheidung anhand einer Reihe leicht verständlicher Regeln zu erklären.