Über Schutzlücken der EU-KI-Verordnung bei der Regulierung der automatisierten Detektion von Geldwäsche
Stellen Sie sich vor, Sie möchten eine Überweisung tätigen, Ihr Bankkonto wurde jedoch gesperrt. Nach Rückfrage bei Ihrer Bank wird die Überweisung am übernächsten Werktag ausgeführt und die Verzögerung mit technischen Problemen erklärt. Ein halbes Jahr später erhalten Sie wegen eben dieser Überweisung die Mitteilung der Staatsanwaltschaft über die Einleitung eines Ermittlungsverfahrens gegen Sie. Denn Ihre Bank hat wegen eines KI-Alarms bezüglich Ihrer Überweisung eine Geldwäscheverdachtsmeldung gegen Sie erstattet, die automatisch und ohne genauere Überprüfung an die zuständige Behörde weitergeleitet wurde. Mit der Überweisung wollten Sie jedoch nur Geld an Ihre Tochter senden, die ein Auslandsstudium in Südamerika absolviert.
Dieses Zukunftsszenario liegt derzeit weniger fern, als wir heute vielleicht meinen. Denn algorithmische Lösungen zur Aufdeckung potenzieller Geldwäschefälle werden in Finanzinstituten und Banken bereits großflächig eingesetzt. Der EU-Gesetzgeber hat jedoch die Chance verpasst, solche KI-Systeme als hochriskant i.S.d. EU-KI-Verordnung einzustufen und damit einer besonders strengen Regulierung nach Art. 8 ff. EU-KI-Verordnung zu unterstellen. In der Geldwäschebekämpfung ist der Einsatz von KI mit gravierenden Risiken automatisierter Fehlentscheidungen verbunden, die durch die Privatisierung des geldwäscherechtlichen Verdachtswesens zu massiven Grundrechtsumgehungen führen können. Eine staatliche Einhegung wäre daher wünschenswert (gewesen).
Geldwäsche als Ruin einer ordnungsgemäßen Wirtschaft
Geldwäsche ist ein globales Problem, das die Stabilität des weltweiten Finanzsystems bedroht. Laut Schätzungen von MONEYVAL werden jährlich zwischen 2 % und 5 % des globalen Bruttoinlandsprodukts – das entspricht etwa 800 Milliarden bis 2 Billionen US-Dollar – durch Geldwäsche illegal in den legalen Finanzkreislauf eingebracht. Die Bekämpfung dieser kriminellen Aktivitäten stellt die Strafverfolgungsbehörden vor enorme Herausforderungen, da Geldwäsche häufig durch verschachtelte Finanzstrukturen, Offshore-Konten und internationale Netzwerke verschleiert wird. Eine ineffektive Bekämpfung der Geldwäsche ermöglicht es Kriminellen, die Herkunft illegal erworbener Gelder zu verschleiern, diese in den legalen Finanzkreislauf einzuschleusen und damit reguläre Geschäfte zu tätigen. Diese Aktivitäten untergraben nicht nur das Vertrauen in die Finanzmärkte, sondern finanzieren auch andere schwerwiegende Straftaten wie Terrorismus oder Menschenhandel. Trotz zahlreicher nationaler und internationaler Vorschriften (zuletzt Verabschiedung des EU-Geldwäschepakets) ist das Dunkelfeld der Geldwäsche enorm – Studien zufolge bleiben bis zu 99 % dieser Kriminalität unentdeckt.
Um das Entdeckungsrisiko von Geldwäsche signifikant zu erhöhen, wird der Einsatz von KI zur Detektion dieser Kriminalitätsform angepriesen. Machine-Learning-Algorithmen sollen Muster in Massentransaktionen erkennen, die Menschen leicht übersehen. Solche KI-Systeme können Anomalien im Transaktionsverhalten identifizieren, die auf Geldwäsche hindeuten und daraufhin Verdachtsmeldungen an die zuständigen Behörden weiterleiten. Die Financial Intelligence Unit (FIU) ist die nationale deutsche Empfangsbehörde zur Entgegennahme von Meldungen, die etwa Finanzinstitute und Notare abgeben müssen, wenn sie geldwäscheverdächtiges Verhalten erkennen (vgl. zum Kreis der sog. Verpflichteten § 2 GwG). § 43 Abs. 1 Nr. 1 GwG schreibt vor, dass eine Geldwäscheverdachtsmeldung abzugeben ist, wenn Tatsachen darauf hindeuten, dass ein Vermögensgegenstand, der mit einer Geschäftsbeziehung, einem Maklergeschäft oder einer Transaktion im Zusammenhang steht, aus einer strafbaren Handlung stammt, die eine Vortat der Geldwäsche darstellen könnte.
Doch so vielversprechend diese Technologie auch ist, birgt sie auch erhebliche Risiken. Der Einsatz von KI zur Geldwäschebekämpfung ist mit Unsicherheiten und potenziell automatisierten Fehlentscheidungen verbunden, die zu massiven Grundrechtseingriffen führen können.
Geldwäsche-Detektion durch KI unter der EU-KI-Verordnung
Die EU-KI-Verordnung legt fest, dass bestimmte KI-Anwendungen als Hochrisiko-KI-Systeme bzw. Modelle gelten und daher bestimmten Anforderungen genügen müssen. Dazu zählen etwa KI-Systeme, die in speziellen Bereichen der Strafverfolgung, im Bildungswesen oder im Gesundheitsbereich eingesetzt werden. Diese Systeme müssen Kriterien wie Transparenz, Nachvollziehbarkeit und Fehlerminimierung genügen.
Obwohl Fehlentscheidungen im Bereich der Geldwäschebekämpfung weitreichende Folgen haben können, stuft die EU-KI-Verordnung KI-Systeme zur Detektion von Geldwäsche nicht als Hochrisiko-Anwendungen ein. Dadurch sind die rechtlichen Anforderungen an diese Systeme deutlich geringer als in anderen Bereichen. Banken und Finanzinstitute, die KI zur Überwachung von Transaktionen nutzen, sind somit nicht denselben strengen Regularien unterworfen wie etwa Strafverfolgungsbehörden, die KI zur Gesichtserkennung einsetzen.
Diese Einstufung ist problematisch, da auch im Bereich der Geldwäsche-Verdachtsmeldungen Fehler gravierende Folgen für Betroffene haben können. Dies gilt ebenso für allein menschlich generierte Verdachtsmeldungen, die sich als „falscher Alarm“ herausstellen. Durch die automatisierte Verarbeitung und Verknüpfung großer Datenmengen zur Informationsgewinnung für die Verdachtsmeldungen erhöht sich die Anzahl von möglichen Betroffenen jedoch drastisch – Daten werden in einer menschlich nicht leistbaren Art (Mustererkennung auf Basis von Algorithmen) und Schnelligkeit verarbeitet und miteinander verknüpft.
Verdachtsmeldungen können unschuldige Personen in den Fokus der Strafverfolgungsbehörden rücken, was nicht nur ihren Ruf schädigen, sondern auch rechtliche und finanzielle Konsequenzen nach sich ziehen kann. Banken können bereits in dem frühen Stadium der Abgabe einer Verdachtsmeldung die Geschäftsbeziehung zu dem jeweiligen Kunden beenden. Eine zunehmende Flut von Verdachtsmeldungen könnte zudem die bereits heute angespannte Situation der FIU weiter überlasten und die effektive Bekämpfung tatsächlicher Geldwäschefälle erschweren.
Inkaufnahme massenhafter False Positives für wenige „echte“ Treffer?
Die Technologie hinter KI basiert auf statistischen Algorithmen und Modellen. Dies bedeutet, dass KI nicht zwischen legalen und illegalen Transaktionen unterscheidet, sondern aufgrund einer Klassifikation durch das Modell wiedergibt, dass es sich vorliegend um eine verdächtige Transaktion handeln könnte. Die Zuverlässigkeit dieser Einstufung hängt entscheidend von der Qualität der Trainingsdaten der KI und des eingesetzten Modells ab. Dies kann zu einer hohen Anzahl von False Positive Treffern – also fälschlicherweise als verdächtig eingestuften Transaktionen – führen.
Bei der Klassifikation von Transaktionen ist die Anzahl von False Positive Treffern und False Negative Treffern mathematisch bzw. technisch untrennbar miteinander verbunden. Derartige Systeme leisten immer eine technische Verbindung zwischen Sensitivität (Wie viel Prozent verdächtiger Transaktionen werden richtig-positiv als solche identifiziert?) und Spezifizität (Wie viel Prozent unverdächtiger Transaktionen werden richtig-negativ als solche identifiziert?). Die Sensitivität zu erhöhen bedeutet, die Spezifizität zu verringern – und umgekehrt.
Durch die hohen Bußgelddrohungen im GwG – etwa § 56 GwG – sind Banken in der Regel veranlasst, wenige False Negative Treffer zu erhalten (eigentlich verdächtige Fälle, fälschlicherweise unverdächtig eingestuft) und nehmen daher zur Erhöhung der Anzahl „richtiger“ (tatsächlich verdächtiger Fälle; True Positive) Verdachtsfälle häufig technisch in Kauf, dass sich dadurch die Anzahl „falscher“ (tatsächlich unverdächtiger Fälle, fälschlicherweise als verdächtig eingestuft; False Positive) Treffer erhöht. Somit kommt es beim Einsatz von KI zur Detektion von Geldwäsche zu einer hohen Anzahl von False Positives, also fälschlicherweise als verdächtig eingestuften Transaktionen. Diese Treffer entstehen, wenn KI-Systeme auf Basis von Mustern oder Korrelationen statistische Auffälligkeiten entdecken, die in der Realität keinen kriminellen Hintergrund haben. Denn KI nimmt keine intuitive Beweisauswertung vor, sondern leitet Wahrscheinlichkeiten aus großen Datenmengen ab.
Die zwingende Folge ist, dass auch legale Transaktionen verdächtig erscheinen können. Beispielsweise können ungewöhnlich hohe Überweisungen innerhalb kurzer Zeit fälschlicherweise als Anzeichen von Geldwäsche eingestuft werden, obwohl sie aus zulässigen Gründen getätigt wurden. Banken sind jedoch verpflichtet, alle verdächtigen Transaktionen an die FIU weiterzuleiten, was unnötige Ermittlungen und erhebliche bürokratische Belastungen zur Folge haben kann.
Nach derzeitiger Rechtslage gibt es für den Einsatz von KI durch Banken keine spezifische Rechtsgrundlage, die Anforderungen an eine Fehlervermeidung stellt. Dies birgt ein hohes Risiko, dass False Positive Treffer vor Abgabe einer Verdachtsmeldung – etwa durch fehlende menschliche Kontrolle – nicht erkannt werden und Behörden wie die FIU weiter mit einer unspezifischen Masse an Verdachtsmeldungen überlastet werden. Zu Unrecht Betroffene sind potenziell stigmatisierenden, belastendenden und langwierigen Ermittlungen ausgesetzt.
Transparenz und die „Black Box“-Problematik
Ein weiteres zentrales Problem bei vielen KI-Systemen ist deren Intransparenz auf verschiedenen Ebenen, etwa aufgrund von Geschäftsgeheimnissen an den technischen Details oder mangelnder Erklärbarkeit des KI-Systems. Die Systeme basieren häufig auf hochkomplexen Algorithmen des maschinellen Lernens, deren Entscheidungsprozesse für Außenstehende kaum nachvollziehbar sind. Diese sogenannten Black Boxes erschweren es, dass ein Mensch überprüfen kann, warum eine bestimmte Transaktion als verdächtig eingestuft wurde und ob diese Entscheidung gerechtfertigt war.
Die mangelnde Transparenz stellt nicht nur ein rechtliches Problem dar. Banken und Aufsichtsbehörden könnten Entscheidungen treffen, die auf fehlerhaften oder unvollständigen Informationen basieren, ohne dies zu erkennen. Ursache dafür ist insbesondere der unzureichend bestimmte Verdachtsgrad (siehe etwa BT-Drs. 17/6804, 17.08.2011, S. 35 f. zur Spezifizierung des Verdachtsgrades: „…es für die Meldepflicht ausreicht, dass objektiv Tatsachen vorliegen, die darauf hindeuten, dass es sich bei Vermögenswerten um Erträge krimineller Aktivitäten handelt oder die Vermögenswerte im Zusammenhang mit Terrorismusfinanzierung stehen…“), bei dessen Vorliegen Banken zur Abgabe der Verdachtsmeldung verpflichtet sind. Eine zusätzliche Automatisierung dieser ungenauen Tatsachengrundlage könnte dazu führen, dass eine hohe Anzahl unbegründeter Verdachtsmeldungen weitergeleitet wird, da keine ausreichende menschliche Kontrolle stattfindet.
Grundrechte und KI-Einsatz: Gefahr erkannt, aber nicht gebannt
Ein weiterer kritischer Punkt betrifft die Einhaltung datenschutzrechtlicher Garantien. Beim Einsatz von KI durch private Rechtssubjekte (hier insbesondere Banken und Finanzinstitute) zur Verarbeitung von personenbezogenen Daten zur späteren Verwendung im Strafverfahren droht eine eklatante Umgehung von Grundrechten. Die DSGVO als verlängerter Arm datenschutzrechtlicher Grundgarantien schützt Bürgerinnen und Bürger (zum räumlichen Anwendungsbereich vgl. Art. 3 DSGVO) vor vollständig automatisierten Entscheidungen nach Art. 22 DSGVO, die erhebliche rechtliche Auswirkungen auf sie haben, es sei denn, eine gesetzliche Grundlage erlaubt diese Form der Entscheidungsfindung und spezifiziert die Maßnahmen zur Wahrung der Rechte der Betroffenen näher. Diese Rechtsgrundlage fehlt beim Einsatz von KI zur Erstellung von Verdachtsmeldungen nach § 43 GwG derzeit.
Die EU-KI-Verordnung sieht für Hochrisiko-KI-Systeme strenge Prüfungen und Kontrollen vor. KI-Systeme zur Geldwäschebekämpfung sind jedoch nicht als hochriskant nach der EU-KI-Verordnung einzustufen, weshalb diese Schutzmechanismen hier nicht in ausreichendem Maße greifen. Dies ist besonders bedenklich, da Fehlentscheidungen in diesem Bereich nicht nur strafrechtliche Konsequenzen für die Betroffenen haben können, sondern auch das Vertrauen von Betroffenen in die Integrität des Finanzsystems insgesamt untergraben können.
Fazit
Die EU-KI-Verordnung stellt zweifellos einen wichtigen ersten Schritt dar, um den Einsatz von Künstlicher Intelligenz zu regulieren. Die Tatsache, dass KI-Systeme im Bereich der Geldwäschebekämpfung nicht als Hochrisiko-Anwendungen einzustufen sind, bedeutet eine erhebliche Regelungslücke. Der Fehlschluss des europäischen Gesetzgebers, dass KI-Anwendungen insbesondere dann gefährlich sind, wenn sie – wie etwa ChatGPT – durch die breite Masse eingesetzt werden können, ist frappierend.
Fehlentscheidungen – insbesondere durch fälschlich als verdächtig ausgewiesene Transaktionen – und die fehlenden Rechtsgrundlagen für den Einsatz solcher Systeme durch Private gefährden die Rechte der Betroffenen und erschweren im Ergebnis die Durchführung einer rechtsstaatlichen und rechtmäßigen Strafverfolgung. Die grundrechtliche Einhegung dieser Gefahren wird dadurch erheblich erschwert, dass mit der Verpflichtung zur vorgelagerten Datenanalyse ein essenzieller Schritt der Strafverfolgung an Private – die Banken – ausgelagert wird, die jedenfalls nicht unmittelbar an Grundrechte gebunden sind. Inwiefern dieser Mangel an grundrechtlicher Bindung aufgrund der besonderen Gefahrenlage teilprivatisierter Strafverfolgung zukünftig dogmatisch überdacht werden muss (etwa unter Rückgriff auf die Rechtsprechung des EGMR), ist eine wissenschaftlich vertieft zu diskutierende Frage.
Die wirkliche Effektivität von KI-Systemen lässt sich nur durch die Auflösung des Widerspruchs zwischen fehleranfälliger Detektion von neuen Mustern und Achtung der Rechte Betroffener erzielen. Einerseits ist die Anomalie-Detektion (Entdeckung neuer Begehungsweisen von Geldwäsche) in ihrer Komplexität und aufgrund der schieren Datenmenge allein menschlich nicht zu bewältigen. Anderseits zeigt gerade die heute politisch und gesellschaftlich instabile Zeit, dass grundrechtliche Garantien gar nicht hoch genug angesetzt werden können, wird es doch immer diejenigen geben, die versuchen werden, diese Garantien auf der einen Seite zu umgehen und auf der anderen Seite zu ihrem Vorteil auszuspielen.
Um die technischen Möglichkeiten zukünftig rechtsstaatlich nutzen zu können, ist ein rechtlicher sowie interdisziplinärer Begleitungsprozess notwendig, der die rechtlichen Rahmenbedingungen für das gegenwärtige System der Geldwäschebekämpfung schafft. Nur durch strengere Kontrollen, höhere Transparenzanforderungen und klare Regeln zur Fehlervermeidung kann sichergestellt werden, dass diese Technologien zum Nutzen der Gesellschaft eingesetzt werden, ohne dabei die Grundrechte der Betroffenen zu gefährden. Eine spezifische Rechtsgrundlage – neben der EU-KI-Verordnung – wird für den KI-Einsatz in verschiedenen hochsensiblen Bereichen zusätzlich erforderlich sein.
Lena Leffer hat im Rahmen des BMBF-geförderten Projektes „MaLeFiz“ an der Martin-Luther-Universität Halle-Wittenberg zum Einsatz einer KI zur Detektion von Geldwäsche promoviert. Ihre Monografie mit dem Titel „Automated Suspicion Algorithms – Strafverfolgung durch KI am Beispiel der Geldwäsche“ befindet sich derzeit im Erscheinen. Dieser Text ist maßgeblich durch die Kapitel III. und IV. dieser Arbeit inspiriert.