Hier geht's zu unseren Stellenangeboten
  Kontakt   msg-Gruppe

Eine starke Unternehmensgruppe

Login BLOG
msg Logo

Regulatorik

Fit4AI Act: Ein Vorgehensmodell für die Versicherung

Von Stefan Nörtemann / 26. Juni 2025

Stufenweises Inkraftreten des AI Acts

Nach langjähriger Vorbereitung ist am 01. August 2024 die KI-Verordnung der Europäischen Union (EU), auch bekannt als Artificial Intelligence Act (AI Act), in Kraft getreten. Wie bei Verordnungen der EU üblich, werden die Regelungen sofort in allen Mitgliedsstaaten Gesetz ohne weitere nationale Umsetzungsakte. Allerdings gibt es Übergangsfristen bis zur Gültigkeit. Üblicherweise sind das zwei Jahre. Mit einigen Ausnahmen [1] gilt dies auch für den AI Act, so dass die meisten Artikel ab dem 01. August 2026 verpflichtend anzuwenden sind.

 

Ein Vorgehensmodell für die Versicherung

Details zur Rechtssystematik, zu einzelnen Regeln sowie den Auswirkungen auf die Versicherungswirtschaft habe ich in meinen Beiträgen vom 15.07.2024, 03.02.2022 und 22.02.2022 dargelegt. Hier soll es nun um die Frage gehen: Was ist in einem KI-Projekt im Versicherungsumfeld mit Blick auf die Regulierung zu tun?

 

Gehen wir von folgender Situation aus: Ein Versicherungsunternehmen entwickelt eine KI-Anwendung oder kauft eine solche bei einem Softwareanbieter (On-Premise oder in der Cloud) und plant, diese im Unternehmen einzusetzen. Die Regelungen des AI Acts hängen im Einzelnen stark von der Bestimmung der Rolle ab: Anwender, Hersteller, Anbieter, Betreiber, Einführer und weitere Rollen. Im Folgenden beschränken wir uns auf die Rolle des Anwenders, also des Versicherungsunternehmens, das eine KI in seinem Betrieb einsetzt.

 

Um sich in dem Dschungel der Anforderungen aus 180 Erwägungsgründen, 113 Artikeln und 13 Anhängen leichter zurechtzufinden, beschreibt das folgende Vorgehensmodell für Versicherungsunternehmen einen effizienten Weg, um Klarheit zu schaffen, ob die KI-Anwendung unter die Regulierung des AI Acts fällt und wenn ja, in welche Kategorie die Anwendung einzuordnen ist und welcher Umfang an Regulierung sich daraus ergibt.

 

Ist der AI Act anzuwenden?

Bei der Frage, ob eine KI-Anwendung den Bestimmungen des AI Acts unterliegt, ist zunächst zu prüfen, ob die Anwendung in den Geltungsbereich nach Artikel 2 (räumlich) als auch nach Artikel 3 (sachlich) fällt.

 

Räumlicher Geltungsbereich

Hat der Versicherer seinen Sitz in der EU oder wird die Anwendung in der EU in Verkehr gebracht oder hat sie Nutzer in der EU oder werden die Ergebnisse in der EU verwendet? Wird eine dieser Fragen mit ja beantwortet, so gilt der AI Act.

 

Sachlicher Geltungsbereich
Als nächstes stellt sich die Frage, ob die Anwendung überhaupt „Künstliche Intelligenz“ im Sinne der KI-Verordnung ist. In Artikel 3 heißt es dazu: „Ein KI-System [im Sinne dieser Verordnung] ist ein maschinengestütztes System, das für einen in wechselndem Maße autonomen Betrieb ausgelegt ist, das nach seiner Einführung anpassungsfähig sein kann und das aus den erhaltenen Eingaben für explizite oder implizite Ziele ableitet, wie Ergebnisse wie etwa Vorhersagen, Inhalte, Empfehlungen oder Entscheidungen hervorgebracht werden, die physische oder virtuelle Umgebungen beeinflussen können;“.

 

Diese Definition ist nicht allgemeingültig, sondern weicht durchaus von anderen Definitionen in der Fachliteratur ab. Nur dann, wenn diese Definition auf die konkrete KI-Anwendung zutrifft, gelten die Regelungen der KI-Verordnung.

 

Verbotene Systeme?

Im nächsten Schritt ist zu klären, ob die KI-Anwendung in die Kategorie der „Verbotenen Systeme“ fällt. In Artikel 5 findet sich ein ausführlicher Kriterienkatalog, der genau zu prüfen ist. Dabei ist es wichtig zu wissen, dass der Artikel 5 bereits heute gültig ist: Konkret dürfen verbotene Systeme seit dem 02. Februar 2025 nicht mehr betrieben werden.

 

Der Katalog der verbotenen Systeme umfasst insgesamt acht Themenbereiche. Es empfiehlt sich, diese genau abzuprüfen, denn ein Verstoß gegen Artikel 5 wird besonders streng sanktioniert. [2]

 

Grundsätzlich verboten sind unter anderem Techniken der unterschwelligen Beeinflussung oder das Ausnutzen einer Schwäche von Personen aufgrund ihres Alters oder einer Behinderung, um das Verhalten einer Person in einer Weise zu beeinflussen, die dieser Person oder einer anderen Person einen physischen oder psychischen Schaden zufügt oder zufügen kann.

 

Hochrisikosysteme

Anschließend ist zu prüfen, ob die KI-Anwendung in die Kategorie der Hochrisikosysteme fällt. Diese werden in Art. 6 definiert und in Anhang III die betroffenen Anwendungsfelder nach Branchen vollständig aufgelistet.

 

Kriterien für KI-Anwendungen in der Versicherung finden sich in Anhang III im Punkt 5c. Dort heißt es wörtlich: „KI-Systeme, die bestimmungsgemäß für die Risikobewertung und Preisbildung in Bezug auf natürliche Personen im Fall von Kranken- und Lebensversicherungen verwendet werden sollen“. Die umfänglichen Anforderungen an Hochrisikosysteme beschränken sich damit auf die Sparten Kranken- und Lebensversicherungen und auch hier nur auf die Risikobewertung und die Preisbildung.

 

Zusätzlich gibt es Ausnahmeregelungen. In Artikel 6 (3) heißt es unter anderem dazu: „Ein KI-System [gilt] nicht als hochriskant, wenn es kein erhebliches Risiko der Beeinträchtigung in Bezug auf die Gesundheit, Sicherheit oder Grundrechte natürlicher Personen birgt, indem es unter anderem nicht das Ergebnis der Entscheidungsfindung wesentlich beeinflusst.“

 

Erfüllt die KI-Anwendung die Kriterien aus Punkt 5c in Anhang III und trifft keine der Ausnahmereglungen gemäß Artikel 6 (3) zu, so haben wir es mit einem Hochrisikosystem zu tun. Als Anwender müssen die umfänglichen Anforderungen der nachfolgenden Artikel erfüllt werden (Artikel 8 – 15). Diese umfassen unter anderem ein spezifisches Risikomanagement, eine Daten-Governance, ausführliche technische Dokumentationen und Aufzeichnungspflichten, Transparenzvorschriften, menschliche Aufsicht sowie besondere Anforderungen an Genauigkeit, Robustheit und Cyber-Sicherheit. Weitergehende Erläuterungen zu den Anforderungen an Anbieter, Betreiber, Einführer und Anwender von Hochrisikosystemen erörtern wir in einem Folgebeitrag.

 

KI-Anwendungen mit besonderen Transparenzanforderungen

Handelt es sich nun bei der KI-Anwendung nicht um ein Hochrisikosystem, so ist zu prüfen, ob eines der Kriterien für Anwendungen mit besonderen Transparenzpflichten gemäß Artikel 50 erfüllt ist. Konkret betrifft dies KI-Anwendungen zur Interaktion mit natürlichen Personen, Emotionserkennungssysteme oder KI-Systeme zur Erzeugung von Deepfakes. In diesen Fällen ist dies gegenüber den Anwendern transparent zu machen. In der Versicherungsbranche ist das lediglich beim Einsatz von Chatbots relevant.

 

KI-Modelle mit allgemeinem Verwendungszweck

Schließlich ist abzuklären, ob es sich bei dem KI-Modell um ein großes Sprachmodell (Large Language Model) handelt, denn dann fällt es möglicherweise in die Kategorie der „KI-Modelle mit allgemeinem Verwendungszweck“ (general-purpose AI models). Wird die KI-Anwendung im Rahmen einer freien und quelloffenen Lizenz bereitgestellt, so ist nichts weiter zu tun. Andernfalls muss entschieden werden, ob es sich um ein „KI-Modell mit allgemeinem Verwendungszweck mit oder ohne systemisches Risiko“ handelt.

 

Kriterien zur Klassifizierung werden im Anhang XIII formuliert. Zentral sind dabei unter anderem die Komplexität des Modells, gemessen in FLOPs (Floating Point Operations per second), die Anzahl der Parameter des Modells, die Menge der Trainingsdaten und die Zahl der registrierten Endnutzer.

 

Abhängig davon sind die Anforderungen gemäß Artikel 53 bzw. Artikel 55 zu beachten. Konkret geht es dabei u.a. um technische Dokumentationen, eine Strategie zur Einhaltung des Urheberrechts bzw. die Bewertung systemischer Risiken und vieles mehr.

 

Existieren Selbstverpflichtungen?

Fällt die KI-Anwendung in keine der vorherigen Kategorien, so bestehen keine regulatorischen Anforderungen aus dem AI Act. Dann ist lediglich noch zu prüfen, ob es eine Selbstverpflichtung der Branche oder des Unternehmens hinsichtlich KI-Anwendungen gibt, die man beachten muss.

 

Was ist zu tun?

Anhand des beschriebenen Vorgehensmodells wissen wir nun, in welche Kategorie unsere KI-Anwendung fällt. Mit dem, was dann konkret zu tun ist, beschäftigen wir uns in einem Folgebeitrag.

 

 

 

 

[1] Vorschriften zu verbotenen Systemen (Artikel 5) sowie zur KI-Kompetenz (Artikel 4) gelten bereits seit dem 02. Februar 2025. Spezielle Regelungen zu Governance-Strukturen sowie zu KI-Systemen mit allgemeinem Verwendungszweck sind ab dem 02. August 2025 gültig.

 

[2] Gemäß Artikel 99 können Geldbußen von bis zu 35 000 000 EUR oder – im Falle von Unternehmen – von bis zu 7 % des gesamten weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres verhängt werden, je nachdem, welcher Betrag höher ist.

mehr von
Stefan Nörtemann

Inhaltsverzeichnis

INTERESSE AN MEHR?

Abonnieren Sie unseren Blog und bleiben Sie gut informiert.

Sie können Ihre Zustimmung jederzeit widerrufen

AI Act KI Künstliche Intelligenz
Regulatorik
AI Act verabschiedet: Wie wirkt sich das Gesetz zur KI-Regulierung auf die Versicherungswirtschaft aus?
15. Juli 2024
Regulatorik
Der Artificial Intelligence Act – Ein Überblick
3. Februar 2022
Regulatorik
Der Artificial Intelligence Act – Systematik und Regelungen
22. Februar 2022