Die KI-Verordnung: Eine weitere regulatorische Leitplanke für die Versicherer

Mit der EU-KI-Verordnung schafft Europa erstmals einen einheitlichen Rechtsrahmen für den Umgang mit künstlicher Intelligenz. Das Ziel besteht darin, Grundrechte zu schützen, Transparenz zu gewährleisten und die Sicherheit im digitalen Raum zu stärken. Insbesondere für regulierte Branchen wie die Versicherungswirtschaft stellt sich nun die Frage: Was bedeutet die Verordnung konkret für den Einsatz von KI-Systemen im Unternehmensalltag? 

„Don’t panic“ betont Prof. Dr. André Liebscher, Professor für Biomedizinische Bildverarbeitung an der Hochschule Kaiserslautern. Im Interview gibt er eine praxisnahe Einschätzung zur Risikoklassifizierung und zur regulatorischen Umsetzbarkeit. Zudem erläutert er, warum Versicherer in Sachen Compliance oft besser dastehen, als es auf den ersten Blick scheint. 

Können Sie uns einen kurzen Überblick geben: Was sind die wichtigsten Ziele der KI-Verordnung? 

Die EU möchte mit der KI-VO europäische Werte in der KI-Entwicklung verankern. Insbesondere sollen die Grundrechte und die Sicherheit der Bürger durch klare Vorgaben für KI-Systeme sichergestellt werden. Ziel ist die Stärkung des Vertrauens in KI. Transparenz spielt dabei eine zentrale Rolle – Menschen sollen wissen, wenn sie mit KI interagieren. Gleichzeitig dient die Verordnung der Schaffung eines einheitlichen Rechtsrahmens und soll damit eine Fragmentierung des europäischen Binnenmarkts durch nationale Regelungen verhindern. 

Ein weiteres Ziel ist die Förderung von Innovation und Wettbewerbsfähigkeit. Ob regulatorische Ansätze dafür das richtige Mittel der Wahl sind, kann jeder für sich selbst entscheiden. 

Wie funktioniert die risikobasierte Kategorisierung von KI-Systemen genau und warum ist sie so zentral für die Verordnung? 

Der risikobasierte Ansatz ist ein zentraler Bestandteil des Produkthaftungsframeworks der EU. Im Falle der KI-VO werden KI-Systeme in drei Risikoklassen (unannehmbares, hohes und begrenztes Risiko) eingeteilt, aus denen sich die regulatorischen Anforderungen an das KI-System ableiten. Wichtig ist dabei, dass sich das Risiko technologieneutral aus der konkreten Anwendung ergibt. Zusätzlich gibt es noch das Sonderrisiko „mangelnde Transparenz“, welches immer dann zum Tragen kommt, wenn ein KI-System mit Menschen interagiert. Die entsprechenden regulatorischen Anforderungen gelten dann ergänzend zu den Anforderungen aus den drei Basisrisikoklassen. KI-Modelle mit allgemeinem Verwendungszweck (GPAI) werden noch einmal gesondert betrachtet. 

Wie bewerten Sie die verschiedenen Risikostufen (minimales Risiko, hohes Risiko, unannehmbares Risiko) in Bezug auf Praktikabilität und wissenschaftliche Genauigkeit? 

Ich habe mir ehrlich gesagt noch nie Gedanken über die wissenschaftliche Genauigkeit der Risikoklassen gemacht. Mein Eindruck war, dass diese politisch motiviert waren – vor allem die Definition von verbotener und Hochrisiko-KI zielt größtenteils auf den öffentlichen Sektor ab. Aufgrund des Regelausnahmeprinzips sind die Klassen aber relativ gut abgrenzbar. Problematisch ist dabei aus meiner Sicht, dass sich die EU-Kommission das Recht vorbehalten hat, diese Klassen „at will“ zu erweitern. Meine Befürchtung ist, dass beim nächsten Skandal die entsprechende Anwendung auf einer der Listen landet. 

Was sind aus Ihrer Sicht die größten Herausforderungen bei der Umsetzung der Compliance-Vorgaben für Versicherungsunternehmen? 

Meiner Erfahrung nach sind Versicherungsunternehmen sehr gut darin, Compliance-Vorgaben umzusetzen. Im aktuariellen Umfeld werden viele der Anforderungen aus der KI-VO vermutlich schon implizit eingehalten. Die Herausforderung besteht zukünftig darin, dies auch entsprechend zu dokumentieren. 

Sehen Sie das Risiko, dass bestimmte Innovationspotenziale durch die regulatorischen Vorgaben gebremst werden könnten? 

Das Potential, dass Innovation durch die KI-VO verlangsamt wird, sehe ich schon. Insbesondere wurden einige Rechtsbegriffe neu eingeführt und sind somit noch weitgehend unklar. Ich schließe mich in diesem Punkt dem KI-Bundesverband an, dass dies vor allem für kleine und mittlere Unternehmen eine Herausforderung darstellt.  Auch sind aktuell viele Anforderungen noch abstrakt. Das AI Office* hat zwar versprochen, rechtzeitig entsprechende Guidelines zur Verfügung zu stellen, aber ob das funktioniert, muss man sehen. Ich war jedenfalls vom Workshop zur Umsetzung von Artikel 4 (KI-Kompetenz) im Februar 2025 enttäuscht und hätte mir mehr konkrete Umsetzungsideen vom AI Office selbst gewünscht.  

Welche spezifischen Anforderungen sollten Versicherungsunternehmen Ihrer Meinung nach in ihre Governance-Strukturen aufnehmen, um KI-Risiken wie Bias zu vermeiden? 

Das Thema ist recht umfangreich und würde bei einer belastbaren Antwort den Rahmen des Interviews sprengen, zumal im Moment auch noch ungeklärt ist, wie sich die Regulatoren die konkrete Umsetzung der Anforderungen der KI-VO im Detail vorstellen. Einen guten Einstieg bieten aber die „Leitlinien für Künstliche Intelligenz“ der EIOPA von 2021. Einen Punkt, den ich aber mitgeben kann: Bei der Risikobewertung sollte man sich nicht nur auf die technischen Ursachen konzentrieren, sondern auch die Auswirkungen auf die Betroffenen berücksichtigen. Für die Risikobewertung bzw. das Pricing in Kranken und Leben ist dies im Rahmen einer Grundrechte-Folgeabschätzung sogar explizit von der KI-VO vorgesehen. 

Wie könnte sich die Regulierung von KI in den nächsten Jahren weiterentwickeln? 

Da ist meine Glaskugel vermutlich so gut wie Ihre. Aktuell erleben wir gerade, wie die aktuelle Version der Verordnung umgesetzt wird und werden eine graduelle Weiterentwicklung sehen. Wir durften alle miterleben, wie mit der öffentlichen Verfügbarkeit von ChatGPT und damit von LLMs hektische Aktivität in den Regulierungsprozess kam. Das hat die KI-VO nach meiner Auffassung nicht unbedingt besser gemacht. Ich befürchte, dass beim nächsten großen Hypethema etwas ähnlich Überstürztes passieren könnte. 

Welche zentrale Empfehlung würden Sie Versicherungsunternehmen im Umgang mit KI und rechtlichen Anforderungen geben? 

Don’t panic. Letztendlich handelt es sich bei der KI-VO auch nur um ein Risikomanagementsystem „mit Benefits“. Man sollte aber nicht vergessen, dass alle anderen rechtlichen Anforderungen auch weiterhin Gültigkeit behalten (im Kontext von KI insbesondere die DS-GVO). Es lohnt sich also, zu prüfen, ob es Überschneidungen in den rechtlichen Anforderungen gibt und diese entsprechend übergreifend zu adressieren.  * Das AI Office ist eine Institution der Europäischen Kommission, die im Rahmen der EU-KI-Verordnung (AI Act) eine zentrale Rolle bei der Umsetzung, Koordination und Überwachung der KI-Regulierung in Europa einnimmt.