Die Europäische Union hat den AI Act eingeführt, um einen umfassenden Rechtsrahmen für die Nutzung von Künstlicher Intelligenz (KI) zu schaffen. Ziel des Gesetzes ist es, Risiken für Grundrechte, Sicherheit und den Zugang zu grundlegenden Dienstleistungen zu verringern, während Innovationen nicht behindert werden. Vor diesem Hintergrund stellt sich die Frage, welche Anforderungen auf Versicherungsunternehmen zukommen und welche Maßnahmen sie ergreifen müssen, um den neuen Vorgaben gerecht zu werden.

Einige Regelungen des EU AI Acts sind bereits in Kraft, doch der für Versicherungen relevanteste Teil wird erst im August 2026 implementiert. Eine Vielzahl von Versicherern hat bereits KI-Technologien in ihre Systeme integriert oder plant, neue Technologien einzuführen. Um die Compliance mit dem AI Act sicherzustellen, sind möglicherweise umfassende Maßnahmen erforderlich. Daher sollten Versicherungsunternehmen das Thema nicht auf die lange Bank schieben, insbesondere da bei Verstößen empfindliche Geldbußen drohen.

cms.wyepo.660x424Die entscheidende Deadline für Versicherer ist der 2. August 2026Pegasystems

Die Definition von Künstlicher Intelligenz im AI Act

Um zu verstehen, wie Versicherungsunternehmen effektiv auf die Fristen des AI Acts reagieren können, ist es notwendig, sich mit den grundlegenden definitorischen Aspekten des Gesetzes auseinanderzusetzen. Der AI Act definiert ein KI-System als ein maschinengestütztes System, das für einen gewissen Grad an autonomem Betrieb vorgesehen ist und nach seiner Aktivierung Anpassungsfähigkeit zeigt. Es verarbeitet Eingaben, um Vorhersagen, Inhalte, Empfehlungen oder Entscheidungen zu generieren, die sowohl physische als auch virtuelle Umgebungen beeinflussen können.

Eine spezielle Kategorie stellt die sogenannte General Purpose AI (GPAI) dar, die auf eine Vielzahl von Anwendungsbereichen ausgelegt ist und nicht auf spezifische Anwendungsfälle beschränkt wird. Ein Beispiel ist ein großes Sprachmodell (Large Language Model, LLM), welches in Chatbots, bei der Textanalyse oder der Code-Generierung eingesetzt werden kann.

Die Pflichten, die Versicherungsunternehmen bezüglich ihrer KI-Systeme und GPAI haben, hängen im Wesentlichen von zwei Faktoren ab: dem Einsatzzweck der KI-Systeme und der Klassifizierung als Hochrisiko-System sowie der Rolle des Unternehmens als Betreiber oder Anbieter des Systems.

Risikoklassifizierung von KI-Systemen

KI-Systeme, die nicht unter GPAI fallen, werden im AI Act in vier Risikoklassen unterteilt. Dabei ist das Kriterium für die Einordnung ausschließlich der beabsichtigte Einsatz der Technologie. So kann eine identische KI-Architektur in verschiedene Risikoklassen eingestuft werden, was unabhängig von ihrer Komplexität ist.

  • KI-Systeme mit unzulässigem Risiko sind verbotene Systeme, wie beispielsweise solche, die für Social Scoring oder manipulative Zwecke eingesetzt werden.
  • Hochrisiko-Systeme sind Anwendungen, die Grundrechte, Gesundheit sowie Sicherheit oder den Zugang zu lebenswichtigen Dienstleistungen direkt beeinflussen. Hierzu zählen unter anderem Systeme, die Entscheidungen über die Annahme von Lebensversicherungen treffen oder Schadensansprüche bewerten. Diese Systeme müssen den höchsten gesetzlichen Anforderungen genügen.
  • Systeme mit begrenztem Risiko umfassen Anwendungen, die nicht als Hochrisiko-Systeme gelten, jedoch Transparenzpflichten aufweisen müssen. So müssen Versicherungen beispielsweise offenlegen, wenn Kunden mit einem KI-gestützten Chatbot interagieren.
  • Systeme mit minimalem oder ohne Risiko stellen KI-Anwendungen dar, die nahezu keine Gefahr für die Rechte oder Sicherheit von Individuen darstellen, wie einfache Empfehlungssysteme für Versicherungsprodukte. Sie unterliegen nur geringfügigen Regulationsvorgaben.

Unterschiede zwischen Betreibern und Anbietern

Der AI Act unterscheidet nicht nur zwischen KI-Systemen und GPAI sowie deren Risikoklassen, sondern auch zwischen der Rolle von Anbietern und Betreibern. Ein Betreiber ist eine natürliche oder juristische Person, die ein KI-System in eigener Verantwortung nutzt. In der Versicherungsbranche könnte dies beispielsweise den Einsatz eines externen KI-Algorithmus zur Betrugserkennung im Tagesgeschäft umfassen.

Im Gegensatz dazu wird als Anbieter jede Person oder Organisation eingestuft, die ein KI-System entwickelt oder in Verkehr bringt. Dies bedeutet, dass Versicherer als Anbieter agieren, wenn sie beispielsweise einen eigenen KI-Schadenklassifizierer entwickeln oder einen Dienstleister mit dessen Entwicklung beauftragen.

Die Abgrenzung zwischen diesen beiden Rollen ist allerdings dynamisch, da ein Betreiber zum Anbieter werden kann, wenn er wesentliche Änderungen an einem KI-System vornimmt. Ein Versicherer, der ein KI-System für die Risikoprüfung lizenziert, agiert zunächst als Betreiber. Bei Anpassungen an der Logik des Systems wird er jedoch zum Anbieter.

cms.wsrci.660x380Bei Verstößen gegen den EU AI Act drohen empfindliche GeldbußenPegasystems

Pflichten der Betreiber und Anbieter

Die Verpflichtungen von Betreibern und Anbietern variieren erheblich, besonders im Hinblick auf Hochrisiko-Systeme. Betreiber solcher Systeme sind verpflichtet, vor dem Einsatz eine Grundrechte-Folgenabschätzung (FRIA) durchzuführen, vor allem wenn das System in essenziellen Bereichen wie Versicherungen eingesetzt wird. Zudem müssen sie sicherstellen, dass die Nutzung des Systems dokumentiert und nachvollziehbar ist. Auch Schulungen für Mitarbeiter zur sicheren Nutzung der Systeme sind erforderlich, ebenso wie Monitoring- und Meldepflichten bei Vorfällen.

Anbieter hingegen müssen vor der Markteinführung eines Hochrisiko-Systems eine CE-Konformitätsbewertung durchführen, um sicherzustellen, dass alle gesetzlichen Anforderungen erfüllt sind. Diese Bewertung ähnelt der CE-Zertifizierung, die für verschiedene Produkte wie Elektrogeräte notwendig ist. Anbieter sind auch für die Erstellung technischer Dokumentationen und Risikomanagementsysteme verantwortlich. Sie müssen die Qualität der verwendeten Trainingsdaten sicherstellen und das KI-System in einer EU-Datenbank registrieren. Auch das Monitoring nach der Markteinführung und die Meldung schwerwiegender Vorfälle sind Teil ihrer Pflichten.

Wenn eine GPAI Teil eines Hochrisiko-Systems ist, unterscheiden sich die Anforderungen zwischen dem Betreiber und dem Anbieter der GPAI ebenfalls. Betreiber müssen auf Grundlage der Dokumentation vom Anbieter die Risiken bewerten und weitere Kontrollen implementieren, während Anbieter verpflichtet sind, systematische Dokumentationen und die Qualität ihrer Trainingsdaten offenzulegen.

Zusammenfassend ist festzuhalten, dass die Hauptverantwortung beim Anbieter liegt, während der Betreiber vor allem operative Verpflichtungen hat. Im Hinblick auf GPAI wird die Verantwortung zwischen den beiden Rollen geteilt, was klare Governance-Strukturen in den Versicherungen erforderlich macht.

Datenschutz im Zusammenhang mit KI-Systemen

Der Datenschutz muss in den Fokus von Versicherern gerückt werden, da der AI Act die DSGVO ergänzt, jedoch nicht ersetzt. Die Verarbeitung personenbezogener Daten mittels KI-Systemen muss stets den Prinzipien der DSGVO entsprechen, wie Rechtmäßigkeit, Transparenz, und Sicherheit. Der AI Act bringt zusätzliche Anforderungen an den Datenschutz mit sich.

Beispielsweise hat ein Versicherer, der ein KI-Modell zur Schadenklassifizierung mit Kundendaten trainieren möchte, sicherzustellen, dass die verwendeten Trainingsdaten repräsentativ und frei von Bias sind. Zudem ist eine Dokumentation der Datenquellen und deren Qualität erforderlich. Wenn ein Versicherer gedenkt, Kundendaten in einem Hochrisiko-System zu verwenden, muss er auch dafür sorgen, dass das System keine diskriminierenden Ergebnisse liefert.

Zusätzliche Datenschutzanforderungen ergeben sich auch bei der Anwendung von GPAI. Nutzt ein Versicherer eine GPAI für einen Chatbot in Verbindung mit Kundendaten, ist es wichtig zu prüfen, ob der Anbieter dieser GPAI die gleichen Daten für das Weitertraining des Modells verwendet, um gegebenenfalls die Einwilligung der Kunden einholen zu müssen.

Strategien für Versicherer zur Umsetzung des AI Act

Einige Aspekte des AI Acts sind bereits in Kraft, wobei die bedeutendste Frist für Versicherer der 2. August 2026 ist. An diesem Tag werden die umfassenden Vorschriften wirksam, die vor allem Hochrisiko-Systeme und Transparenzpflichten betreffen. Angesichts der Vielzahl an Anforderungen, die der AI Act stellt, müssen Versicherungsunternehmen sorgfältig abwägen, welche Vorschriften für ihre spezifischen KI-Systeme relevant sind. Ein wirkungsvoller Plan zur Einhaltung könnte folgende Schritte umfassen:

  1. Erstellung eines KI-Inventars, das alle bestehenden Systeme nach Zweck und Version auflistet.
  2. Prüfung der eigenen Rolle und Risikoanalyse für jedes KI-System.
  3. Durchführung einer Gap-Analyse, um zu identifizieren, wo die Anforderungen noch nicht erfüllt sind.
  4. Schließen der festgestellten Lücken durch Implementierung notwendiger Maßnahmen und Dokumentationen.
  5. Anpassung von Governance-Strukturen und Verträgen zur Definition klarer Verantwortlichkeiten und Pflichten.

Der AI Act stellt für Versicherungsunternehmen eine tiefgreifende Herausforderung dar, die über technische Anpassungen hinausgeht. Durch eine frühzeitige Auseinandersetzung mit den Anforderungen können Unternehmen nicht nur rechtliche Sicherheit gewinnen, sondern auch die Grundlagen für eine vertrauenswürdige Anwendung von KI legen und ihre Reputation im sensiblen Bereich der Versicherungen verbessern.

Fazit: Umsetzung des AI Acts ist essentiell

Versicherungsunternehmen stehen vor der Herausforderung, die Regelungen des AI Acts fristgerecht umzusetzen. Der rechtzeitige Umgang mit den neuen Anforderungen trägt zur Sicherstellung der Compliance und zur Stärkung des Vertrauens in KI-Anwendungen bei.