Der EU AI Act – das gibt es für Versicherer jetzt zu tun

Der EU AI Act hat die Regulierung künstlicher Intelligenz (KI) in der Europäischen Union im Fokus und markiert den ersten Schritt hin zu einem sicheren und verantwortungsbewussten Einsatz von KI-Systemen. Dieser beinhaltet insbesondere Richtlinien für die Entwicklung, den Einsatz und die Überwachung von KI-Systemen.

Das KI-Regularium wurde abschließend mit dem Entwurf vom 21. April 2021 vorgestellt. Nach politischen Diskussionen und Vereinbarungen wurde der Akt Anfang Dezember 2023 von allen drei EU-Institutionen angenommen. Aber was heißt das für Versicherer? Wir haben die wichtigsten Fakten zum EU AI Act zusammengefasst und mit einer Expertin und einem Experten aus der Branche gesprochen.

Die Inhalte des EU AI Acts

Der EU AI Act umfasst eine Vielzahl von Bestimmungen und Maßnahmen, um den sicheren und ethischen Einsatz von KI zu gewährleisten. Dazu zählen unter anderem:

Kategorisierung von KI-Systemen: Die KI-Systeme werden je nach ihrem Risikoniveau eingestuft, von unzulässigem Risiko bis zu minimalem Risiko. Entsprechend dieser Kategorisierung variieren die Anforderungen an Transparenz und Compliance.
Verbotene KI-Praktiken: Bestimmte KI-Anwendungen, die als besonders riskant oder ethisch inakzeptabel erachtet werden, sind verboten. Dazu gehören Social Scoring, biometrische Identifikation und Verhaltensmanipulation.
Compliance-Anforderungen: Unternehmen, die KI-Systeme entwickeln oder nutzen, müssen bestimmte Compliance-Maßnahmen ergreifen. Dazu zählen u. a. Risikobewertungen, Konformitätsbewertungen und Transparenzpflichten.
Governance-Struktur: Der EU AI Act sieht die Schaffung einer neuen Governance-Architektur vor, um die Überwachung und Durchsetzung der Vorschriften zu erleichtern. Dazu gehören ein KI-Büro bei der Europäischen Kommission und ein wissenschaftliches Gremium unabhängiger Experten.

Regulatorik als Herausforderung und Chance für die Assekuranz

KI-Nutzung muss auf Vertrauen basieren. Um eine vertrauenswürdige Nutzung von KI sicherzustellen, helfen Regeln und Richtlinien, wie ein transparenter und nachvollziehbar Umgang mit KI oder der europaweite Aufbau anerkannter Standards und Zertifikate. Dadurch kann wiederum gesellschaftliche Akzeptanz aufgebaut werden. Eine Regulierung künstlicher Intelligenzen ist vor allem dann wichtig, wenn Entscheidungen aktiven Einfluss auf Menschenleben haben. Vor allem KI-Systeme, die ein hohes Risiko für die Gesundheit, Sicherheit oder Grundrechte natürlicher Personen darstellen, gelten als hochriskant und müssen laut der EU reguliert werden. Dazu gehören neben KIs im Bereich der Verwaltung und des Betriebs kritischer Infrastruktur auch solche, die den Zugang zu und die Inanspruchnahme von wesentlichen privaten und öffentlichen Diensten und Leistungen absichern. In der Versicherungsbranche gilt besonderes Augenmerk für KI-Anwendungen in Bereichen wie der Lebens- und Krankenversicherung, also Bereiche mit sensiblen personenbezogenen Daten. Hier ist zu erwarten, das Systeme der Preisgestaltung und Risikobewertung strenger reguliert werden.

Die zusätzliche Regulierung kann jedoch auch als Chance betrachtet werden. KI-basierte Innovationen haben das Potenzial, Versicherungsprozesse effizienter und kundenorientierter zu gestalten. Allerdings müssen die Unternehmen sicherstellen, dass ihre KI-Anwendungen den neuen Vorschriften entsprechen und ethisch verantwortungsvoll eingesetzt werden.

Ein zentrales Thema im Zusammenhang mit dem EU AI Act ist auch das Outsourcing von KI-Entscheidungsmodellen und IT-Dienstleistungen. Die Digitalisierung und der bestehende Fachkräftemangel sind Treiber für das Outsourcing von IT-Dienstleistungen. Diese Entwicklung hat zur Folge, dass die Transparenz unter steigender Komplexität leidet und regulatorische Grauzonen entstehen. So betonte Rüdiger Giebichenstein (PwC) bei unserem Erfahrungsaustausch Outsourcing unter Solvency II 2023 die Notwendigkeit der Erfassung des Status quo und einer klaren Formulierung des Zielbildes. Versicherungsunternehmen müssen sicherstellen, dass die Systeme ihre Dienstleister transparente und nachvollziehbare Entscheidungen treffen und den Compliance-Anforderungen gerecht werden. Es bedarf eines Monitorings, das die Einhaltung der EU-AI-Act-Anforderungen sicherstellt. Hierbei können spezielle Tools helfen, wie das Explainable Artificial Intelligence (XAI) Tool Lucid [ML] von Deloitte. Solche sogenannten XAI-Tools sollen operative Methoden erarbeiten und bereitstellen, die der Erklärung von KI-Systemen dienen.

Insgesamt markiert der EU AI Act einen wichtigen Schritt in Richtung einer sicheren und verantwortungsvollen Nutzung von KI in der EU. Durch klare Richtlinien und Vorschriften soll das Vertrauen der Verbraucher gestärkt und gleichzeitig Innovationen gefördert werden, während Versicherungsunternehmen die Balance zwischen Compliance und technologischer Entwicklung finden müssen.

EU AI Act und Versicherungen – das sagen die Experten

Wie gut sind Versicherer auf den EU AI Act vorbereitet und welche Maßnahmen sollten Unternehmen nun umsetzen? Das wollten wir von Stimmen aus der Branche erfahren und haben dafür mit Mareike Gehrmann und Dr. Benedikt Kohn von der Düsseldorfer Kanzlei Taylor Wessing gesprochen. Gehrmann ist Fachanwältin für Informationstechnologierecht und Datenschutz-Expertin; Kohn ist Rechtsanwalt mit Schwerpunkt IT-Recht und Umsetzung regulatorischer Anforderungen beim Einsatz von KI.

Schon allein, weil die Branche mit sensiblen Daten und Informationen arbeitet, nähert sie sich schrittweise dem Thema, beobachtet aber die Entwicklung, schätzen Gehrmann und Kohn die aktuelle Lage ein und betonen: “Die Herausforderung wird sein, dass Versicherungen nicht nur die Anforderungen des EU AI Act umsetzen müssen, sondern zusätzlich auch die regulatorischen und datenschutzrechtlichen Anforderungen.” Die Versicherungsbranche biete viele Einsatzmöglichkeiten für KI, wie die Schadenabwicklung oder der Kundensupport.

Dafür haben Gehrmann und Kohn sieben Maßnahmen identifiziert, die die Branche nun umsetzen sollte. Diese beginnen bei der Festlegung von Prozessen und Grundsatzentscheidungen: “Vor dem Einsatz von KI sind erst einmal die Prozesse im Unternehmen zu identifizieren oder, falls nicht vorhanden, zu definieren. Es ist seitens der Unternehmensleitung zu prüfen, ob und für was KI eingesetzt werden soll und welche Risiken für ein Unternehmen akzeptabel sind”, so Gehrmann und Kohn. Außerdem sollten Verantwortlichkeiten klar geregelt und optimalerweise ein Team aus IT, HR und Legal aufgebaut werden, um Kompetenzen zu bündeln und auszubauen. Darüber hinaus sollte eine KI-Inventur durchgeführt werden, bei der bereits eingesetzte KI festgehalten und entwickelte KI katalogisiert wird. Auch eine Risikobewertung und ein darauf aufbauendes Risikomanagement sollten feste Bestandteile der KI-Implementation werden. Dazu gehört eine Prüfung, in welche Risikokategorie die KI einzustufen ist sowie der Aufbau einer Risikomanagementstruktur im Unternehmen. Diese sollte wiederum die Einhaltung der gesetzlichen Vorgaben sicherstellen sowie Strukturen für das Risikomanagement, das interne Audit und Dokumentationen aufbauen. Zu guter Letzt muss Awareness für den richtigen Umgang mit KI unter den Mitarbeitenden geschaffen werden. Dazu gehören Schulungen genauso wie beispielsweise die Entwicklung von Best Practices oder Leitlinien.

Die Implementierung gesetzlicher Anforderungen, der Aufbau einer Compliance-Struktur sowie der ressourcenintensive Aufbau von Know-how und Umgangsrichtlinien mit KI werden wohl die größten Herausforderungen bei der Etablierung von KI, so Gehrmann und Kohn. Regulatorische und datenschutzrechtliche Anforderung gilt es umzusetzen und interne Strukturen aufzubauen. Doch dann bietet KI enorme Chancen für die Branche: Eine frühe Umsetzung der Regulierungsvorschriften könne Vertrauen aufbauen, die Beschleunigung und effektive Gestaltung von Prozessen bürge einen Businessvorteil für Unternehmen, erwarten die Anwälte. Und das könne auch die Zufriedenheit der Kundinnen und Kunden steigern.

Quellen: