Business Circle: Sehr geehrter Dr. Škorjanc, Sie habilitieren sich am Institut für Innovation und Digitalisierung im Recht der Universität Wien, mit welchen Forschungsprojekten oder -initiativen im Bereich Thema KI und Recht im Finanzsektor beschäftigen Sie sich derzeit besonders?
Žiga Škorjanc: Zunächst einmal vielen Dank für die Einladung nach Rust und dieses Interview.
Mein aktueller Forschungsschwerpunkt liegt auf der Implementierung der europäischen KI-Verordnung („KI-VO“) im Finanzsektor. Besonders relevant finde ich dabei die Fragen rund um den Einsatz von fremd entwickelten KI-Systemen („off-the-shelf” Produkte) sowie die Transparenzanforderungen bei Systemen, die mit Endkunden interagieren, weil diese auch für kleine und mittlere Finanzinstitute sehr relevant sein werden bzw teilweise bereits sind.
Gleichzeitig ist eine sehr grundlegende (Forschungs-)Frage, wie die besonderen Compliance-Anforderungen an die KI-Systeme in das allgemeine Compliance-Management integriert werden können. Eine Spezialfrage, die mich hier besonders beschäftigt, ist das Zusammenspiel mit der sektorspezifischen Regulierung von Cybersicherheit bzw. -resilienz.
BC: Daran anschließend: Sind Österreichs Universitäten noch zeitgemäß ausgestattet in der juristischen Ausbildung?
Škorjanc: Die Rechtslage entwickelt sich seit Jahren mit zunehmender Geschwindigkeit weiter. Diese Entwicklung lässt sich sowohl im Technologierecht (z.B. TKG 2021, KI-VO, DMA, DSA, Data Act…) als auch im Finanzmarktaufsichtsrecht (z.B. Geldwäscheprävention, DORA, CSRD…) deutlich beobachten.
In einem sich rasch wandelnden rechtlichen Umfeld, in dem immer mehr Bereiche sukzessive reguliert werden (z.B. Crypto, Cybersicherheit), sind ein fundiertes Grundlagenwissen und die Beherrschung der juristischen Methodik meines Erachtens noch wichtiger geworden.
Die Ausstattung der österreichischen Universitäten für die juristische Ausbildung hat sich in den letzten Jahren zwar deutlich weiterentwickelt, insbesondere im Hinblick auf Digitalisierung und moderne Lehrmethoden. Die Themen wie das Betreuungsverhältnis und Tutoring von Studierenden bleiben aber nach wie vor von höchster Relevanz.
BC: Make or buy ist ein altes betriebswirtschaftliches Problem, was sind die zentralen Überlegungen zu Eigenentwicklung und Beschaffung von KI-Systemen?
Škorjanc: Gegen eine Eigenentwicklung sprechen im Bereich der KI, noch mehr als sonst, die prohibitiv hohen Kosten, fehlende interne Kompetenz und Know-how sowie zusätzlich die mangelnde Verfügbarkeit von (qualitativ hochwertigen) Trainingsdaten. In vielen Bereichen (z.B. LLMs) rückt daher ein Cloud-Computing-Servicemodell, das als KI-as-a-Service bezeichnet wird, in den Fokus.
Die Zweiteilung „make or buy“ relativiert sich im Bereich von KI-Systemen allerdings insofern, als viele Systeme nach der Beschaffung noch „antrainiert“ werden müssen, um die gewünschte Qualität des Outputs gewährleisten zu können. Dieses „Fine-Tuning“ von KI-Systemen erfolgt in der Regel durch den Betreiber selbst, kann aber wiederum ausgelagert werden, auch an Drittdienstleister.
BC: Welche Vorteile – insbesondere hinsichtlich Zeitersparnis und Prozessverschlankung – ergeben sich für Unternehmen der Finanzbranche bei Einführung eines digitalen, KI-basierten Bonitätsprüfungsverfahrens?
Škorjanc: Tatsächlich geht es zunächst nicht unbedingt um eine bessere Risikoeinschätzung, sondern um eine schnellere Bearbeitung von Kreditanträgen und um Effizienzgewinne durch die Fähigkeit, größere Datenmenden wie Summen- und Saldenlisten schnell auswerten zu können. Das deklarierte Ziel ist hier die Kostenreduktion.
BC: Welche Datenschutz- und Compliance Anforderungen an Finanzunternehmen stellt der KI-VO der Europäischen Union? Und wie sind hier speziell die Rechts- und die IT-Abteilung gefordert?
Škorjanc: Die KI-VO enthält umfassende Compliance-Anforderungen an KI-Systeme die als „hochriskant“ eingestuft werden, wie etwa die Bewertung der Kreditwürdigkeit natürlicher Personen. Parallel ergeben sich Anforderungen an KI-Systeme bzw. deren Betrieb aus dem sektoralen Aufsichtsrecht sowie, sofern Kundendaten verwendet werden, aus dem Datenschutzrecht.
Die Rechtsabteilung ist insbesondere gefordert eine KI-Governance-Struktur zu entwickeln und die Einhaltung von Transparenz- und Informationspflichten sicherzustellen. Die IT-Abteilung wiederum muss die technischen Voraussetzungen schaffen, um die rechtlichen Anforderungen umzusetzen. Dies umfasst insbesondere die Implementierung von Systemen zur Nachverfolgbarkeit und Erklärbarkeit von KI-Entscheidungen sowie von Mechanismen zur menschlichen Aufsicht und Kontrolle. Eine enge Zusammenarbeit zwischen den beiden Abteilungen ist – wie auch sonst – unerlässlich.
Open Source KI die beste Möglichkeit für Europa, technologische Unabhängigkeit zu erlangen
BC: Dass die technische Entwicklung der gesetzgeberischen voraus ist, ist kein neues Phänomen. Ist jetzt mit dem KI-VO alles Wesentliche abgedeckt oder besteht noch weiterer Handlungsbedarf für die Legislative?
Škorjanc: Die KI-VO muss noch durch zahlreiche Rechtsakt, technische Normen und Leitlinien konkretisiert und gewissermaßen mit Leben gefüllt werden. Zudem wurden in die KI-VO zahlreiche Mechanismen für nachträgliche Anpassungen (z.B. der Liste der Hochrisiko-KI-Systeme) eingebaut, was für eine gewisse Flexibilität und damit Zukunftsfähigkeit sorgen sollte.
Sie haben grundsätzlich Recht, dass die technische Entwicklung der gesetzgeberischen gewissermaßen zwangsläufig vorausgeht. Allerdings habe ich bei der Regulierung von KI eher die Befürchtung, dass eine neu entstehende Hightech-Branche quasi zu Tode reguliert wird. Schon jetzt ist die Open Source KI die strategisch beste oder möglicherweise sogar die einzige Möglichkeit für Europa, technologische Unabhängigkeit zu erlangen, denn es gibt schlicht keine europäischen Anbieter, die mit den US Big Techs und ihren chinesischen Pendants Schritt halten können.
BC: Die RuSt 24 wird Ihr erster Vortrag bei uns, herzlichen Glückwunsch zur Premiere! Worauf freuen Sie sich am meisten?
Škorjanc: Vielen Dank für die herzlichen Glückwünsche! Ich freue mich riesig darauf, meine Ideen und Perspektiven einzubringen und zur Diskussion stellen zu dürfen. Besonders spannend finde ich die Möglichkeit, gemeinsam innovative Ansätze für die rechtlichen Herausforderungen der Zukunft zu entwickeln. Und wer weiß, vielleicht schmieden wir dabei sogar schon die Pläne für RuSt 2025!
BC: Sehr geehrter Herr Dr. Škorjanc, Danke für diese profunden Einblicke, wir freuen uns schon sehr auf Ihren Beitrag zur RuSt!
Dr. Žiga Škorjanc ist Universitätsassistent Post Doc und Habilitand am Institut für Innovation und Digitalisierung im Recht der Universität Wien, Geschäftsführer der lexICT – Ihre Datenschutzberatung (Wien), Mitglied des European Union Intellectual Property Office (EUIPO) Observatory Legal Expert Group sowie Beirat der Digital Asset Association Austria (DAAA). Zuvor war er bei einer Rechtsanwaltskanzlei in Wien tätig (Rechtsanwaltsprüfung, OLG Wien). Er ist auf IT-, IP-, Datenschutz- und Datenrecht sowie auf die Nutzung technologischer Innovationen im Finanzsektor spezialisiert. Bei der RuSt ist er Gastgeber eines Woprkshops zum Thema „Ein Wegweiser durch die Rechtsfragen bei der Implementierung von KI (im Finanzsektor)“.
