KI in Banken zwischen Innovation und Regulierung. Interview mit Merve Taner, Erste Bank

Business Circle: Sehr geehrte Frau Taner, eingangs etwas Persönliches: Sie sind Legal Counsel AI & Product Advisory, Erste Bank, möchten Sie uns kurz skizzieren, wie Sie Ihr Weg dorthin geführt hat?

Merve Taner: Ich habe ursprünglich den sehr klassischen Weg eingeschlagen, das heißt in diversen Rechtsanwaltskanzleien gearbeitet und die Ausbildung zur Rechtsanwältin abgeschlossen. Nach meiner Eintragung hatte ich allerdings das Gefühl, dass ich noch nicht wirklich angekommen bin und hab mich erstmals außerhalb der Rechtsanwaltsbranche begonnen umzusehen. Bei der Erste war dann eine Stelle im Product Advisory Team der Rechtsabteilung ausgeschrieben. Ich hätte die Produkte aus zahlungsverkehrsrechtlicher Sicht prüfen sollen. Dann kam der erste Prototyp eines KI-Produkts und ich hab die Challenge angenommen ein eigenes Fallprüfungsschema zu erarbeiten und dieses rechtlich zu prüfen. Ab dem Zeitpunkt sind alle KI-Use-Cases nach und nach bei mir eingetrudelt. In der Zwischenzeit bin ich für die rechtliche Prüfung aller KI-Use-Cases verantwortlich und das erfüllt mich mit unglaublich viel Freude.

BC: Seit zwei bis drei Jahren ging es mit der KI-Nutzung so richtig los. Was hat sich im Umgang von Banken mit KI in dieser Zeit rechtlich am stärksten verändert

Taner: Es ist die KI-VO in Kraft getreten, das hat dem Thema und der Tätigkeit im KI-Recht natürlich auch nochmal aus regulatorischer Sicht ein gewisses Gewicht verliehen. Als ich meine Use-Cases noch ganz am Anfang geprüft habe, war die KI-VO noch in einer Entwurfsversion und wurde mindestens zwei Mal noch abgeändert. Die KI-HaftungsRL wurde wieder zurückgezogen. Das heißt man muss stetig am Ball bleiben, wenn es um die technischen Neuheiten geht, aber auch die Veränderungen in der Gesetzeslandschaft.

BC: Der EU AI Act bringt erstmals ein horizontales Regelwerk für KI. Was bedeutet das konkret für große Organisationen wie Banken: mehr Klarheit oder noch mehr Governance-Aufwand?

Taner: Es wäre gelogen, wenn man sagen würde, dass eine neue aufsichtsrechtliche Regelung nicht mehr „Governance-Aufwand“ bedeutet. Gleichzeitig sehe ich es als Chance ein solides Fundament aufzubauen: eine sichere KI-Infrastruktur, geprüfte KI-Modelle, geschützte Datenbanken – Punkte die man ohnehin beachten sollte, aber hier kann eine neue Regulierung zusätzlich motivieren. Außerdem sind wir im beaufsichtigten Bereich an Regulierungen gewohnt und wissen diese umzusetzen. Ich bin der Stakeholder für Legal im KI-Governance-Prozess und die interdisziplinäre Zusammenarbeit mit anderen Stakeholdern aus den verschiedensten Expertisen (Architektur, Cybersicherheit, Datenschutz, Compliance) ist unglaublich ertragreich und mE unerlässlich. Man lernt voneinander, versteht die Zusammenhänge und ist auch letztlich auf die gegenseitige Expertise angewiesen. Unser mittlerweile aufgrund der KI-VO etablierter Governance-Prozess bietet einen Rahmen für einen transparenten Austausch und Dokumentation, sodass die Prüfungen der einzelnen Stakeholder viel effizienter ablaufen.

BC: Im Sinne der Rechtslage: KI  noch „nutzen“ oder bereits „entwickeln“ – das bringt sehr unterschiedliche Pflichten mit sich. Wo verläuft aus rechtlicher Sicht die entscheidende Grenze, und warum ist diese Unterscheidung so haftungsrelevant?

Taner: In der KI-VO werden mehrere Rollen definiert, darunter der Anbieter, eine natürliche oder juristische Person, Behörde, Einrichtung oder sonstige Stelle, die ein KI-System oder ein KI-Modell mit allgemeinem Verwendungszweck entwickelt oder entwickeln lässt und es unter ihrem eigenen Namen oder ihrer Handelsmarke in Verkehr bringt oder das KI-System unter ihrem eigenen Namen oder ihrer Handelsmarke in Betrieb nimmt, sei es entgeltlich oder unentgeltlich. Wir haben also eine relativ weite Definition eines Anbieters: bereits die Inbetriebnahme kann verstärkte Pflichten nach der KI-VO bedeuten, wenn die Person das KI-System entwickelt hat oder entwickeln lässt. Der klassiche „Nutzer“ ist wohl eher der Betreiber, daher eine natürliche oder juristische Person, Behörde, Einrichtung oder sonstige Stelle, die ein KI-System in eigener Verantwortung  im kommerziellen Zusammenhang verwendet. Der persönliche „Gebrauch“ ist dabei vom Betreiberbegriff ausgenommen. Die Rollenzuteilung bestimmt in erster Linie nur welche regulatorischen Verpflichtungen einzuhalten sind und nicht die haftungsrechtlichen Auswirkungen. In der KI-VO finden sich bis auf kleine Ausnahmen keine Bestimmungen zum Haftungsrecht, diese ergeben sich aus dem geltenden österreichischen Zivilrecht. Die KI-VO ist schließlich ein Produktsicherheitsgesetz. Im vertraglichen Bereich sind daher die vertraglichen Verpflichtungen/Vereinbarungen für den Haftungsmaßstab relevant – hier könnten bspw gewisse Bestimmungen der KI-VO vertraglich bedungen worden sein. Im deliktischen Bereich wird zu prüfen sein, ob die jeweilige Bestimmung der KI-VO gegen die verstoßen wurde eine Schutznorm darstellt. Sobald die neue Produkthaftungs-RL umgesetzt wird, gibt es zudem ein Gefährdungshaftungsregime, das auf jegliche Software anwendbar ist.

Haftungsfragen beim KI-Einsatz im Rechtsbereich

BC: Eine Frage lautet: Wer haftet, wenn KI falsche oder rechtswidrige Ergebnisse liefert? Wie wird diese Verantwortung derzeit in Organisationen verteilt, wo sehen Sie gefährliche Grauzonen und was wäre hier die Aufgabe eines (neu bestellten) KI-Managers?

Taner: Wie immer gilt: es kommt darauf an. Das lässt sich schwer pauschal festhalten, da wir ja unterschiedliche Akteure bei der Entwicklung und dem Einsatz eines KI-Systems haben. Man muss sich im Einzelfall die Akteure/Verantwortlichen entlang der KI-Verantwortlichkeitskette, deren Rollen und Beiträge ansehen. Gab es vertragliche Vereinbarungen, gab es Nutzungsbedingungen, gab es Haftungsausschlüsse und waren diese Haftungsausschlüsse zulässig? Bei einem Sachverständigen wird dann nochmal zusätzlich ein verschärfter Sorgfaltsmaßstab angelegt. All diese Punkte müssen mitberücksichtigt werden bei der Frage wer haftet, wenn KI falsche oder rechtswidrige Ergebnisse liefert. Meine Kollegin Alexandra Ciarnau und ich haben uns in der zweiten Ausgabe der ailex , die im März erscheinen wird, zum Titel mit genau diesem Thema in einem gemeinsamen Beitrag beschäftigt und freuen uns über jeden der hineinliest.

BC: Abschließend, Sie kennen Business Circle schon aus eigener Erfahrung. Was gefällt Ihnen besonders an unseren Konferenzen?

Taner: Mir gefällt die Atmosphäre bei Veranstaltungen des Business Circle unglaublich gut. Es ist eine lockere, angenehme Stimmung mit sehr interessierten Teilnehmern aus den unterschiedlichsten Backgrounds. Das macht jeden „Lehrgang zum KI-Manager“ individuell aufs Neue. Wir versuchen auf die Individuen einzugehen und dadurch entstehen sehr spannende Diskurse.

BC: Sehr geehrte Frau Taner, wir danken Ihnen für dieses Gespräch und freuen uns auf Ihren Input beim Lehrgang.

‍