– Herr Hufeld, was hat die BaFin veranlasst, mit Boston Consulting und dem Fraunhofer-Institut eine 200 Seiten starke Studie zu Big Data und Artificial Intelligence zu erstellen?Es ist in der Tat eine Premiere, dass die BaFin einen Bericht zu solch einem umfassenden Thema erarbeitet. Wir haben dies nicht getan, um irgendwelche finalen Dinge festzustellen. Dazu ist die Entwicklung zu schnelllebig. Wir wollen einfach einen substanziellen, hoffentlich fundierten Beitrag zu einer Debatte leisten, die sowohl zwischen Aufsicht und Industrie, sehr wohl aber auch international zwischen Aufsichtsbehörden geführt werden muss. Da wollen wir einen Pflock einschlagen. – Können Sie das Ergebnis der Untersuchung einmal kurz in zwei Sätzen zusammenfassen? Ich versuche es einmal. Das Phänomen Big Data und Artificial Intelligence, das man mit BDAI abkürzt, ist im Gesamtspektrum Digitalisierung mit der wesentliche Treiber für das Aufbrechen von Geschäftsmodellen und Wertschöpfungsketten sowie neue Produkte und Dienstleistungen in der Finanzindustrie. Der entscheidende Punkt ist, dass neue Kombinationen und neue Anbieter möglich werden. Das bringt die großen Tech-Konzerne, die vor allem Datenmanagement betreiben, in eine andere Wettbewerbssituation, weil sie in den Finanzdienstleistungssektor vorstoßen können. Das war der erste Satz. Der zweite: BDAI hat offensichtlich Implikationen nicht nur für die Industrie selbst, sondern auch für die Art, wie Finanzdienstleistungen reguliert und beaufsichtigt werden müssen. Und bevor Sie mich jetzt fragen, welche, sage ich Ihnen: Wir können vorerst nur intelligente Leitfragen formulieren und Hypothesen aufstellen. Es ist jedenfalls höchste Zeit, dass wir uns mit diesen Fragen beschäftigen und bald zu neuen Erkenntnissen kommen.- Welche Leitfragen stellen sich?Zum Beispiel können wir auf viele Phänomene, die sich da neu ergeben, die traditionellen Aufsichtskonzepte nicht unverändert anwenden, Outsourcing könnte dafür ein Beispiel sein. Dies ist ein Lernprozess, während sich zugleich in der Industrie die Dinge weiter verändern. Wir müssen Abschied nehmen von der Vorstellung, dass man ein großes Reformpaket auflegt und dann Jahre Ruhe hat. Es geht eher um eine Iteration zwischen dem, was sich da draußen stürmisch neu entwickelt, und der Frage, welche Konsequenzen wir daraus ziehen.- Welche Fragen drängen in der Sicht auf die Praxis am stärksten?Was machen wir etwa, wenn ein Big Tech wie Amazon Zugriff auf Bankdaten bekommt und im Rahmen bestimmter Kooperationsmodelle Finanzdienstleistungen anbietet, während die eigentliche Wertschöpfung im Monetarisieren der dabei gewonnenen Daten liegt, wenn also die Finanzdienstleistung nur Mittel zum Zweck ist und im Extremfall daher gar nicht mehr kostendeckend kalkuliert werden muss? Das ist nicht per se verboten und auch nicht illegitim. Aber es könnte sich herausstellen, dass ein wesentlicher Teil der Wertschöpfung dann außerhalb des traditionell regulierten Finanzdienstleistungssektors stattfindet. Müssen wir deshalb möglicherweise die Grenzen der Finanzregulierung überdenken? Ich vermute: Ja!- Was ist zu tun? Zumindest müsste überlegt werden, ob gegebenenfalls bestimmte finanzregulatorische Anforderungen auch auf solche Marktteilnehmer ausgedehnt werden, die bisher nicht der Finanzregulierung unterliegen. Ein zweiter Punkt könnte sein, dass, falls sich die Big-Data-Logik durchsetzt und der Trend hin zur Platformication sich verstärkt, der Besitz von Datenmassen zunehmend belohnt wird, da man umso weitreichendere Analysen fahren kann, je mehr Daten man besitzt. Die Verfechter des Platformication-Trends sagen ja selbst, dass die großen Betreiber dieser Plattformen die Kundenschnittstelle besetzen werden. Wenn aber am Schluss ein paar Wächter der Schnittstelle zum Kunden das Spiel beherrschen, dann kann uns das als Finanzregulierer und -Aufseher nicht egal sein. Zumal die maßgeblichen Unternehmen aus den USA oder China stammen und nicht aus Europa oder Deutschland. In irgendeiner Form werden wir darauf reagieren müssen. Drittes Beispiel ist die Datensouveränität. Alle Umfragen zeigen, dass Menschen gegenwärtig Finanzinstitutionen noch ein hohes Vertrauen entgegenbringen, auch was die Übermittlung persönlicher Daten angeht. In der neuen Welt von Big Data und künstlicher Intelligenz könnte sich das ändern.- Daten, die Kunden etwa ihrer Sparkasse oder Volksbank zur Verfügung stellen, können von Dritten genutzt werden, weil die Institute im Zeitalter der Zahlungsdiensterichtlinie PSD2 ihre Schnittstellen öffnen müssen. Voraussetzung ist allerdings, dass die Kunden dem zustimmen. Selbstverständlich müssen die Kunden bei jeder Form der Datenweitergabe zustimmen. Aber wenn sich ein Kunde so verhält, wie es viele Menschen bei einem Software-Update tun, dann klickt er einfach auf “I agree”. Dann hat er formal zugestimmt, auch wenn er nicht den Hauch einer Ahnung hat, wozu. Das kann zu Enttäuschungen führen. – Was folgt daraus?Die Schlüsselfrage schlechthin, die nicht neu ist, aber neue Dimensionen erreichen wird, lautet: Wo ist die haarfeine Linie zwischen gewollter Differenzierung und unerwünschter oder vielleicht sogar rechtswidriger Diskriminierung, wenn Algorithmen entscheiden, ob ich etwa einen Kredit bekomme?- Wo ist sie?Differenzierung anhand unserer persönlichen Daten ist heute gang und gäbe, erwünscht und sogar aufsichtlich geboten. Wenn Sie eine Autoversicherung kaufen, soll der Versicherer nach geltendem Aufsichtsrecht dafür einen risikoadäquaten Preis verlangen. Nehmen wir einmal an, ein Anbieter, der BDAI und Predictive Analytics nutzt, sagt: Ein Mensch, der ein bestimmtes Aussehen hat, an einem bestimmten Ort wohnt, bestimmte Sachen macht und diese oder jene Krankheiten bekommt, hat ein überdurchschnittlich hohes Risiko. Das ist noch immer eine traditionelle Form der Risikobetrachtung und Differenzierung. Gehen wir noch einen Schritt weiter: Derselbe Mensch braucht unbedingt ein bestimmtes Bankprodukt. Dann könnte man ihm, weil sein Kaufverhalten dank BDAI besser prognostizierbar ist, zum Beispiel einen Zinssatz von 2 % anstelle von 1,5 % berechnen. – Und dann?Auch eine solche Preisdifferenzierung ist nicht per se verboten. Die Frage aber ist: Ab wann beginnt Diskriminierung, ab wann beginnt es also, gesellschaftlich problematisch zu werden, wenn durch wirklich subtile, selbstlernende maschinelle Systeme eine immer weitreichendere Differenzierung erfolgt, die die klassische Risikoadäquanz verlässt und ausschließlich oder primär der Gewinnmaximierung dient? Ich halte es für sehr wahrscheinlich, dass mit Big Data und Artificial Intelligence eine Differenzierung möglich wird, die man als Diskriminierung bezeichnen muss und die wir gesellschaftlich nicht mehr bereit sind zu akzeptieren.- Sie sprechen jetzt über die ethische Dimension.Ich glaube, das Ganze hat eine ethisch-ökonomische Dimension. Denn wenn Sie einmal solche maschinengestützten Auswertungsmöglichkeiten weiterdenken, dann werden Sie irgendwann auch in der Finanzregulierung landen. Denken Sie an das legendäre EuGH-Urteil zu Unisex-Tarifen in der Versicherung. Das Differenzierungsmerkmal des Geschlechts galt damit plötzlich als anrüchig und wurde verboten. Jetzt können Sie sagen, dies sei eine ethische Frage. Mir geht es aber um etwas anderes: Ein Vorgehen, das Aktuare seit Jahrzehnten oder sogar seit Jahrhunderten für zwingend geboten gehalten hatten, wurde mit diesem Urteil beendet. Das ist nur ein Vorgeschmack auf die Differenzierungen, die BDAI möglich machen wird. Ich glaube, man wird das Ethische vom Ökonomischen nicht trennen können. Diese Dimension wird uns in den nächsten Jahren sehr stark beschäftigen. Und es ist dabei sehr schwer, die Welt in Gut und Böse einzuteilen oder einfache Antworten zu finden.- Fühlt sich die BaFin besonders herausgefordert, da sie auch das Mandat des Verbraucherschutzes hat?Ja, selbstverständlich. Aber lassen Sie das Verbraucherschutzmandat mal außen vor: Wenn eine Bank, auch ohne dieses Mandat, systematisch gegen die Bestimmungen des Datenschutzes verstoßen würde, dann wäre dies möglicherweise auch nach traditionellen prudenziellen Maßstäben ein Missstand, gegen den wir einschreiten könnten.- Wenn es um Datenmengen geht, haben die großen Datenstaubsauger natürlich Vorteile gegenüber dem breiten Wettbewerb. Glauben Sie, dass die natürlichen Monopole aus der Technologiebranche die klassischen Anbieter aus dem Bank- und Versicherungswesen sowie dem Assetmanagement überrollen werden?Ich glaube, dass es für die klassischen Anbieter schwierig wird. BDAI wird einen viel radikaleren Zwang zur Fokussierung, also zur Spezialisierung nach sich ziehen, als wir es bisher erlebt haben. In einem Bankensystem wie dem unsrigen, das zu guten Teilen aus mittleren und kleinen Universalbanken besteht, werden Institute von der Bildfläche verschwinden oder sich in spezielle Nischen zurückziehen. Es wird Institute geben, die die Kundenschnittstelle weiter besetzen können – entweder, weil sie groß oder vernetzt genug sind oder weil sie in ihrer Nische eine ganz fantastische lokale Klientel für bestimmte Angebote haben. Aber einige werden nur noch als Produktspezialist, White-Label-Partner oder Abwicklungsspezialist überleben.- Wird das Finanzsystem durch BDAI verletzlicher?Das ist die entscheidende Frage. Ich glaube, das wäre dann der Fall, wenn es uns nicht gelänge, den regulatorischen Rahmen in den nächsten Jahren angemessen weiterzuentwickeln.- Sie sind im Wettlauf mit der Innovation.Ja, so kann man das nennen.- Braucht die BaFin oder brauchen Aufseher deshalb neue Kompetenzen?Es ist eindeutig, dass wir andere Kompetenzprofile brauchen. Eine der Schlüsselaussagen unseres Berichts lautet: Banken können eine Menge automatisieren und auslagern, nicht aber ihre Verantwortung. Wenn trotzdem immer mehr Teilaktivitäten des Bankgeschäfts maschinengestützt laufen, werden wir mit Sicherheit in Zukunft auch mehr Leute brauchen, die nicht nur Paragrafen, sondern auch Programmier-Codes lesen können.- Wie sieht es mit neuen Zuständigkeiten aus?Die bräuchten wir dann möglicherweise auch.- Glauben Sie, es wäre notwendig, die großen Tech-Unternehmen zu beaufsichtigen?Ich vermute, in der einen oder anderen Form wird es solche Ausdehnungen geben müssen. Vielleicht können wir dabei aber etwas fruchtbar machen, was wir schon kennen, nämlich den Unterschied zwischen Instituts- und Verhaltensaufsicht. Warum lesen wir immer wieder einmal, dass sich die BaFin mit Volkswagen oder Daimler beschäftigt? Natürlich nicht, weil wir Volkswagen oder Daimler als Unternehmen beaufsichtigen, sondern weil wir die Einhaltung bestimmter Wohlverhaltensregeln überwachen, die der Integrität des Kapitalmarktes dienen. Ich kann mir vorstellen, dass sich solche Mechanismen auch auf Big-Data-Anbieter oder andere erstrecken werden, ohne dass wir zum Unternehmensaufseher von Google oder Amazon würden.- Wäre das aber nicht eine Zuständigkeit, die man besser bei der EZB-Bankenaufsicht aufhängen müsste anstatt bei der BaFin?Das kommt darauf an. Verhaltensaufsicht ist derzeit eine nationale Aufgabe. Und sollte es einmal so weit kommen, dass diese Big Techs tatsächlich zum Kern des Bankengeschäfts vordringen, dann könnten wir uns wie bisher Größenunterscheidungen bedienen und sagen, alles ab einer Größe X ist mutmaßlich so grenzüberschreitend, dass das sinnvollerweise auf ein EZB-Niveau gezogen wird. Das ist derzeit aber eine nachgelagerte Frage.- Kann und muss die BaFin Artificial Intelligence nutzen?Es ist vollkommen klar, dass auch wir Gegenstand von Digitalisierung und – in Teilbereichen – auch von BDAI sind. Unsere Digitalisierungsstrategie ruht auf drei Säulen: Bei der ersten geht es darum, wie Aufsicht und Regulierung auf die strategischen Veränderungen im Finanzsektor reagieren müssen. Bei der zweiten geht es um Cyberrisiken, IT-Aufsicht und -Sicherheit und bei der dritten um die Frage, wie sich die BaFin angesichts der fortschreitenden Digitalisierung weiterentwickeln muss – intern und an den Schnittstellen zum Markt. Unsere eigene Digitalisierung treiben wir voran. Wir planen auch organisatorisch einige Veränderungen. Es ist völlig klar, dass auch wir in verschiedenen Bereichen nach vorne kommen wollen und müssen. – Worum geht es da? Da geht es zum einen um Prozessoptimierung, also etwa darum, dass man etwa Workflow-gestützt Daten einfach schneller auswerten kann. Schon heute nutzen wir zahlreiche digitalisierte Verfahren, um Daten zu gewinnen und zu analysieren. Anders könnten wir die Informationsflut gar nicht mehr bewältigen. Wir würden tot umfallen. Wir werden unsere analytischen Fähigkeiten weiter verbessern müssen, indem wir mit neuen Instrumenten arbeiten. Wie gesagt: Einige davon haben wir schon an Bord. Viele weitere werden wir in den nächsten Jahren erarbeiten und entwickeln. – Der Begriff Kulturwandel ist ja eigentlich verbrannt, aber müssen Sie für dieses Vorhaben auch etwas am Selbstverständnis der BaFin drehen? Diese gilt ja als Beamtenladen, der vor nicht allzu langer Zeit noch darauf bestanden hat, dass Anträge grundsätzlich in Papierform abzugeben sind.Sie werden nicht ganz überrascht sein, dass wir den Ausdruck Beamtenladen eher als Kompliment betrachten und weniger als Schimpfwort. Tatsächlich geht es aber bei uns gar nicht so klischeehaft zu. Aber es gibt zweifellos Themen, die als Antreiber für Wandel funktionieren. Ein Beispiel dafür ist der Brexit, ein zweites die Digitalisierung. Da muss man seine Reaktionszeiten weiter beschleunigen, andernfalls kann man weder den Brexit noch die Digitalisierung – Stichwort “Fintech” -vernünftig bewältigen. Wir nutzen solche Anforderungen, die die Welt immer wieder an uns heranträgt, bewusst, um den Wandel auch BaFin-intern voranzutreiben. Lange Rede kurzer Sinn: Ja, wir brauchen einen Kulturwandel, auch wenn dieser Begriff verbrannt ist. Aber der Wandel der BaFin von einer eher reaktiv-juristisch geprägten Behörde hin zu einer stärker vorausschauend und sehr viel schneller iterativ agierenden Behörde ist bereits in vollem Gange.—-Das Interview führten Bernd Neubacher und Bernd Wittkowski.