Die KI-Verordnung: Eine sichere Sache – auch für Versicherer?

Seit Sommer diesen Jahres ist sie offiziell: Am 13. Juni wurde die Verordnung über künstliche Intelligenz, kurz auch KI-Verordnung oder AI Act, beschlossen und wenige Wochen später am 12. Juli im Amtsblatt der Europäischen Union veröffentlicht. Der AI Act gilt über alle Branchen und Dienstleistungssektoren hinweg und damit auch für Versicherer, Assekuradeure und Makler. In einer Zeit, in der intelligente Systeme und maschinenbasiertes Lernen spürbar an Fahrt und Bedeutung gewinnen, stellt sich die Frage: Welche konkreten Auswirkungen hat die KI-Verordnung auf die Versicherungswirtschaft? „In der Versicherungsbranche liegt ein besonderes Augenmerk im Rahmen des EU AI Acts auf Bereichen, in denen sensible personenbezogene Daten verarbeitet werden. Hierzu gehören insbesondere Lebens- und Krankenversicherungen“, so die Einschätzung von Gunter Lescher, PwC-Partner für Forensic Services und Experte für Compliance und Wirtschaftskriminalität. In einem Interview mit dem Beratungsunternehmen erläutert er, welche Auswirkungen die weltweit erste KI-Gesetzgebung haben wird.

Notwendige Maßnahmen werden an Risikograd gemessen

 

Unternehmen müssten sicherstellen, „dass ihre Systeme ethisch, transparent und gesetzeskonform sind“, so Lescher. Wie das zu bewerkstelligen ist, gibt die Verordnung auf Basis von vier unterschiedlichen Risikoklassen vor. Denn der Kern der neuen gesetzlichen Bestimmungen hat das Ziel, potenziellen Gefahren, die durch den Einsatz von KI entstehen können, proaktiv entgegenzuwirken. Die folgenden in der KI-Verordnung festgehaltenen Kategorien beschreiben den Risikograd einer Künstlichen Intelligenz:

  • Systeme mit inakzeptablem Risiko
  • Systeme mit hohem Risiko
  • Systeme mit begrenztem Risiko
  • Systeme mit keinem/niedrigen Risiko

Je nachdem, welcher der vier Risikoklasse eine KI-basierte Anwendung zugeordnet wird, unterliegt sie unterschiedlichen Compliance- und Informationspflichten. Deshalb ist es sinnvoll, zunächst einmal einen genaueren Blick auf die jeweilige Risikoklasse zu werfen.

Kategorie 1: KI-Systeme mit inakzeptablem Risiko

Der Umgang mit KI-Systemen, die nach AI Act-Definition ein „inakzeptables Risiko“ mitbringen, ist klar umrissen: Ihr Einsatz ist verboten. Doch um welche Systeme handelt es sich dabei? Gegenstand dieser Kategorie sind intelligente Softwareanwendungen, die sensible personenbezogene Daten erfassen und verarbeiten und damit potenziell Grundrechte verletzen können. Ein Beispiel hierfür ist zum Beispiel KI-basiertes Profiling, bei dem auf Basis von sehr persönlichen Informationen wie der ethnischen Zugehörigkeit, der Nationalität, bestehenden Straftaten oder der Wohnsituation Prognosen über zukünftige kriminelle Handlungen errechnet werden. Ebenso auf der roten Liste der EU-Gesetzgeber stehen biometrische Kategorisierungssysteme, Systeme zur Emotionserkennung, die Extraktion von biometrischen Daten zur automatisierten Gesichtserkennung, Social Scoring-Verfahren und intelligente Anwendungen, die in irgendeiner Weise manipulative oder täuschende Interaktionen steuern. Automatisierte Scoring-Verfahren etwa für Lebens-, Unfall- oder Krankenversicherer fallen damit definitiv in die Kategorie der KI-Systeme mit inakzeptablem Risiko.

Kategorie 2: KI-Systeme mit hohem Risiko

Der Umgang mit KI-Systemen, die ein hohes Risiko vorweisen, gestaltet sich vielschichtiger, zumal hier neben den Grundrechten zusätzlich die Bereiche Safety & Security sowie Gesundheit betroffen sind, also auch die physische Sicherheit von Bürgerinnen und Bürgern. Die EU klassifiziert in zwei gesonderten AI-Act-Abschnitten intelligente Software, die in irgendeiner Weise sicherheitsrelevante Automatismen initiieren. Dazu gehören unter anderem Anwendungen im Zusammenhang mit Verkehr, Bildung, Beschäftigung und Sozialfürsorge. Konkret wären das zum Beispiel autonome Fahrzeuge, medizinische Geräte oder auch Sicherheitskomponenten in Aufzügen. Man könnte meinen, dass Versicherer mit dieser Kategorie keine großen Berührungspunkte haben, der PwC-Experte Lescher dämpft allerdings die Freude: „Es ist zu erwarten, dass KI-Systeme, die zur Preisgestaltung und Risikobewertung eingesetzt werden, den streng regulierten Hochrisiko-KI-Systemen zugeordnet werden.“ Als Beispiele nennt er das automatisierte Schadensmanagement und KI-basierte Risikobewertungen. Zudem könnten KI-Systeme zu Erstellung personalisierter und individualisierter Versicherungsangebote in die Hochrisikoklasse fallen. Die von Lescher zitierten KI-Systeme sind im Anhang III der KI-Verordnung gesondert aufgeführt.

Weitreichende Compliance-Anforderungen bei hohem Risiko

Unternehmen, die ein KI-System mit hohem Risiko entwickeln, auf den Markt bringen oder nutzen wollen, müssen eine lange Liste von Anforderungen erfüllen, um die Sicherheit ihrer Hochrisiko-KI zu gewährleisten. Außerdem ist es obligatorisch, dass die betreffende Anwendung in der EU-Datenbank registriert ist, ansonsten darf sie nicht in Betrieb genommen werden. Verantwortlich für diese öffentlich einsehbare Datenbank ist die Europäische Kommission, ihr Ziel ist ein maximales Maß an Transparenz für alle Beteiligten. Lescher zufolge müssen „Versicherungsunternehmen im Rahmen von Produktüberwachung und -Governance belegen, dass sie verantwortungsvoll und fair mit Kundendaten umgehen.“ Insbesondere bei KI-Systemen mit hohem Risiko müssten sie die Konformität des Systems auch von externer Stelle bewerten lassen und analysieren, ob das System die Grundrechte einschränkt.

Kategorie 3: KI-Systeme mit begrenztem Risiko

Unter die Kategorie der KI-Systeme mit begrenztem Risiko fallen alle intelligenten Anwendungen, deren Risiko bereits durch Maßnahmen zur Sicherstellung einer transparenten Datenverarbeitung minimiert werden können. In der Regel geht es hier um Software, die direkt mit natürlichen Personen interagiert, um generative KIs, die unterschiedliche Inhalte erzeugen und (transparent) manipulieren oder auch (zugelassene und mit Einwilligung arbeitende!) biometrische Kategorisierungs- und Emotionserkennungssysteme.

Gefordert ist maximale Transparenz

Auch Versicherer nutzen derartige Systeme, etwa im Service und Support durch den Einsatz eines Chatbots oder auch in der Kundenberatung durch die KI-basierte Generierung von personalisierten Angeboten. Hier sind die Anforderungen an Entwickler und Betreiber von Künstlicher Intelligenz nicht so streng wie bei Hochrisikoanwendungen: Neben einer Risikobewertung sind Unternehmen angehalten, gegenüber den Personen gegenüber, mit denen die KI interagiert, ein hohes Maß an Transparenz an den Tag zu legen. Deshalb müssen KI-generierte Inhalte für Verbraucher und Verbraucherinnen gut erkennbar als solche gekennzeichnet werden. Die Information, wie, wann und zu welchem Zweck Daten verarbeitet werden, ist hier ebenfalls grundlegend.

Kategorie 4: KI-Systeme mit keinem/niedrigem Risiko

In diese Kategorie fallen Software-Lösungen wie etwa intelligente Spam-Filter oder auch Predictive Maintenance. Nach der KI-Verordnung unterliegen diese Systeme keiner besonderen Anforderung. Die Experten der EU-Kommission halten es jedoch für sinnvoll, dass Unternehmen oder Branchenverbände auf freiwilliger Basis eigene Leitlinien entwickeln.

Inkrafttreten und Anwendung der KI-Verordnung

Beraten, beschlossen, veröffentlicht, in Kraft getreten und angewendet: Der Weg, bis ein EU-Gesetz tatsächlich greift, ist lang. Die KI-Verordnung ist als neue gesetzliche Regelung 20 Tage nach ihrer Veröffentlichung, also am 2. August 2024, in Kraft getreten. Ihre konkrete Anwendung wird allerdings mehrstufig umgesetzt und misst sich am Risikograd und der Beschaffenheit der betreffenden KI-Software.

  • Ab 2. Februar 2025: (verbotene) KI-Systeme mit inakzeptablem Risiko (6 Monate nach Inkrafttreten)
  • Ab 2. August 2025: sogenannte General Purpose AI, kurz GPAI (12 Monate nach Inkrafttreten)
  • Ab 2. August 2026: KI-Systeme mit hohem Risiko, wie sie in Anhang III beschrieben sind (24 Monate nach Inkrafttreten)
  • Ab 2. August 2027: KI-Systeme mit hohem Risiko, wie sie in Anhang I beschrieben sind (36 Monate nach Inkrafttreten)

KI-Verordnung als Chance für Versicherer

Bei allen Herausforderungen und den komplexen Anforderugen, die mit der KI-Verordnung einhergehen, sieht der Gesamtverband der Deutschen Versicherungswirtschaft (GDV) auch eine Chance für die Versicherungsbranche. In einem Artikel des Magazins Versicherungsbote betont Jörg Asmussen, Hauptgeschäftsführer des GDV, die Wichtigkeit verbindlicher Regeln für den Einsatz von Künstlicher Intelligenz: „Auch für den Versicherungssektor ist KI der nächste große Entwicklungsschub.“

Gunbritt Kammerer-Gahlan, die als Fachanwältin für Versicherungsrecht für die Kanzlei Taylor Wessing tätig ist, sieht ebenfalls positives Potenzial in der vielerorts mit Unbehagen erwarteten KI-Verordnung. Sie äußert sich dazu in der Mai-Ausgabe des Magazins Versicherungsmonitor: „Europa kann so der erste Kontinent werden, der für KI-Anwendungen ein hohes Maß an Rechtssicherheit schafft und damit für Planungssicherheit sorgt, die Unternehmen in einem unregulierten Markt nicht haben.“

Sapiens unterstützt die digitale Transformation von Versicherern mit seiner Insurance Platform und setzt mit Nachdruck auf intelligente, KI-basierte Innovationen. Durch die gezielte Integration von Machine Learning und GenAI ermöglicht Sapiens seinen Kunden zum Beispiel die Bereitstellung von personalisierten Kundenangeboten, die Automatisierung von Entscheidungs- und Verarbeitungsprozessen sowie Predictive Analytics und die Erstellung von Reports in natürlicher Sprache. Dabei setzt Sapiens auf seine Partnerschaft mit Microsoft Azure OpenAI.

Möchten Sie erfahren, wie Sapiens KI in der Praxis umsetzt? Dann melden Sie sich hier zu unserem nächsten kostenlosen Seminar der Serie „Innovate with Intelligence“ an, das wir in Kooperation mit den Versicherungsforen Leipzig durchführen.