Die US-Börsenaufsicht SEC und die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) identifizieren mittels Werkzeugen der künstlichen Intelligenz (KI) produzierte Marktmanipulationen als signifikante Risiken für den Kapitalmarkt. Zu erwarten sei etwa, dass Kriminelle vermehrt KI-generierte Falschmeldungen verbreiten werden, um gezielt von Kursschwankungen zu profitieren.

Neben kurzfristigen Auswirkungen auf Aktienkurse kann der KI-Missbrauch langfristig das Vertrauen in Finanzmärkte erschüttern. Das Kapitalmarktrecht muss Antworten auf diese neuartigen Risiken finden – und Geschäftsleiter sollten sich in jedem Fall jetzt schon vorbereiten.

Fälschungen und Fehlinformationen gab es schon immer, doch KI hebt das Manipulationsrisiko auf ein neuartiges Niveau. Das liegt an der (i) hohen technischen Qualität der Programme, die sich in immer kürzer werdenden Zeitabschnitten stetig verbessern und die die Detektion der Manipulation immer weiter erschwert, (ii) ihrer leichten Verfügbarkeit und (iii) den geringen Kosten, sowohl hinsichtlich der Nutzung der KI-Werkzeuge als auch in Bezug auf die Verbreitung der durch sie erstellten Produkte.

Exemplarisch sollen fünf Manipulationsszenarien, die hierdurch ausgelösten Herausforderungen und die Präventions- und Reaktionspflichten der Emittenten dargestellt werden.

Durch KI-generierte Falschmeldungen, die vermeintlich von einem Emittenten stammen sollen, können Aktienkurse gezielt manipuliert werden – man denke an eine gefälschte Ad-hoc-Mitteilung zu einer angeblich erhaltenen Interessenbekundung oder gar einem Übernahmeangebot. Die Inhalte können gezielt über soziale Netzwerke und Finanznachrichtendienste verbreitet und durch (gefälschte) Bild-, Video- oder Tonaufnahmen („Deepfakes“) unterstützt werden. Emittenten sollten auf Präventionsmaßnahmen setzen und dabei (i) KI-basierte Detektionssysteme und eigene Algorithmen zur Früherkennung verdächtiger Informationen entwickeln („Feuer durch Feuer“) und (ii) eng mit Plattformbetreibern zusammenarbeiten, um Falschmeldungen ohne große Verzögerung löschen zu lassen.

Rechtlich stellt sich die Frage, ob dem Emittenten bei ausbleibender oder verspäteter Reaktion ein Markmanipulationsvorwurf durch Unterlassen (Art. 12, 15 MAR) gemacht werden kann. Voraussetzung ist, dass den Emittenten eine Handlungspflicht trifft. Diese besteht jedenfalls dann, wenn die Kenntnis darüber, dass die im Markt verbreitete Information gefälscht ist, für den Emittenten wiederum eine Insiderinformation darstellt, die der Emittent veröffentlichen muss („Gegen-Ad-hoc-Mitteilung“), dies aber unterlässt oder verzögert.

Eine Handlungspflicht aufgrund von pflichtwidrigem Vorverhalten (sog. Ingerenz) wird in der Regel ausscheiden: Eine „allgemeine kommunikative Verkehrssicherungspflicht“ des Emittenten gibt es nicht.

Auch unternehmensinterne Kommunikation kann mit KI-Werkzeugen gefälscht werden. Manipulierte Informationen etwa über angebliche Compliance-Verstöße oder Insolvenzen bei Netzwerkpartnern könnten Emittenten dazu veranlassen, eine eigene Ad-hoc-Meldung zu veröffentlichen. Eine vorschnelle Reaktion auf die Falschmeldung kann die Glaubwürdigkeit der eigenen Kommunikation (nachhaltig) beeinträchtigen – andersherum kann eine verzögerte Reaktion auf eine Wahrmeldung für den Emittenten aufsichts- und strafrechtliche Konsequenzen auslösen.

Unternehmen sollten robuste Verifikationsprozesse und proprietäre Kommunikationskanäle implementieren. Ein Krisenmanagement-Team kann helfen, rasche, aber wohlüberlegte Kommunikationsstrategien zu entwickeln. Für die Prüfung, ob eine Insiderinformation vorliegt, wird die BaFin-Verwaltungspraxis perspektivisch mehr Zeit einräumen müssen. Mit dem zu erwartenden „Vertrauensverlust in Daten“ ist eine generelle Verlangsamung der Reaktionsgeschwindigkeit auf dem Kapitalmarkt zu erwarten (Verlust des „Speed of Trust“).

Gefälschte Meldungen über Aktientransaktionen von Führungspersonen („Directors’ Dealings“) haben das Potenzial erheblicher (falscher) Signalwirkung. Die bisherige Praxis, wonach Emittenten die ihnen zugeleiteten Directors’-Dealings-Meldungen ohne tiefergehende Prüfung veröffentlichen (müssen), wird bei Zunahme KI-generierter Falschmeldungen nicht aufrechtzuerhalten sein. Vielmehr wird Emittenten künftig eine (i) Verifikationspflicht und die betroffene Führungskraft eine (ii) Reaktionspflicht treffen; der (iii) Einsatz proprietäre Kommunikationssysteme ist auch hier anzuraten. Der erhöhte Prüfungsaufwand des Emittenten wird gegebenenfalls eine Anpassung der gesetzlichen Veröffentlichungsfrist von zwei Geschäftstagen notwendig machen.

Aktionäre müssen Emittenten das Über- oder Unterschreiten bestimmter Beteiligungsschwellen mitteilen; diese Mitteilungen müssen Emittenten veröffentlichen. Der Einstieg oder Ausstieg von wesentlichen Aktionären, bekannten aktivistischen Fonds, Private-Equity-Fonds oder von Strategen schafft Erwartungen auf dem Kapitalmarkt (siehe z.B. die Aktienkurssprünge bei Einstieg des Aktivisten Elliott bei SAP und Fresenius). Die Beteiligungsmeldungen lassen sich ebenso mit KI-Werkzeugen fälschen und parallel über soziale Netzwerke verbreiten. Mögliche Lösungsansätze sind wiederum eine (i) Verifikationspflicht des Emittenten, flankiert durch eine (ii) Reaktionspflicht des vermeintlich Meldenden. Auch hier wird an der starren gesetzlichen Veröffentlichungsfrist ggf. nicht festgehalten werden können.

Erkennt der Emittent – nicht aber die Öffentlichkeit – dass eine ihn betreffende, im Markt verbreitete Information gefälscht ist (zum Beispiel durch Fälschung einer reputablen Analyseadresse) ist die Frage zu beantworten, ob der Emittent zur Reaktion verpflichtet ist. Anerkannt ist, dass „Gerüchte“ präzise Informationen und damit – bei Kursbeeinflussungspotenzial – veröffentlichungspflichtige Insiderinformationen sein können.

Das setzt nach deutlich überwiegender Meinung unter anderem voraus, dass das Gerücht einen „wahren Tatsachenkern“ enthält – „unwahre Tatsachen“ können damit nicht Anknüpfungspunkt einer Insiderinformation sein und unzutreffende bzw. nachweisbar falsche Umstände auch nicht als (kommentierungsbedürftiges) Gerücht eingestuft werden.

Allerdings lässt sich diese – an sich zutreffende – Einschränkung der maßgeblichen EuGH-Entscheidung (ECLI:EU:C:2022:190) nicht entnehmen. Bei KI-generierten Falschmeldungen wird es gerade auf diese „Wahr/Unwahr-Unterscheidung“ ankommen: Die KI-generierten Fake News haben gerade keinen wahren Tatsachenkern (zuweilen mögen wahre Tatsachenelemente genutzt werden, die aber nicht den „Kern“ ausmachen). Unabhängig von einer rechtlichen Pflicht wird der Emittent aus Gründen der Unternehmensreputation regelmäßig ein Interesse daran haben, gewichtige Falschmeldungen zu korrigieren.

Falschmeldungen werden künftig durch KI-Einsatz gezielter gesetzt und in Form „organischer Netzwerk-Kommunikation“ verbreitet werden – das „Ende der (erkennbaren) Wahrheit“ ist da. Die Vertrauenswürdigkeit von Netzwerkpartnern und eine „Sicherheitspartnerschaft“ mit diesen als Elemente des Corporate Resilience Managements wird daher einen erheblichen Bedeutungszuwachs erfahren. Geschäftsleiter werden zudem neue Präventions- und Reaktionsmaßnahmen auf KI-Manipulationen als Teil des Risikomanagementsystems implementieren müssen. Zugleich wird sich jedoch auch die Frage stellen, inwieweit die Verantwortung für die Marktintegrität (allein) bei den Unternehmen zu lokalisieren ist – und welche Verantwortung sollten die Intermediäre, Börsen und Marktregulierer treffen.

Das geltende Kapitalmarktrecht und die Verwaltungspraxis sehen die Informationsversorgung des Marktes primär als Aufgabe des Emittenten. Daran festzuhalten ist nicht plausibel, wenn Märkte zunehmend erheblich durch KI-Fehlinformationen belastet werden. Das Kapitalmarktrecht und die BaFin-Verwaltungspraxis müssen in jedem Fall Lösungen für die KI-Marktmanipulation entwickeln, ohne die betroffenen Emittenten bürokratisch zu überfordern.