Artikel

Die CxO-Strategic Priorities Studie 2024 von Horváth hat u.a. ergeben, dass der Großteil von Versicherungen über Tarifierung und Risikobewertung hinaus bereits Erfahrungen mit Künstlicher Intelligenz (KI) gesammelt hat. Viele befinden sich aktuell in der Test- und Implementierungsphase. Gleichzeitig hat die Europäische Union mit der KI-Verordnung (engl. AI Act) ein Gesetzeswerk auf den Weg gebracht, welches KI regulieren soll und damit auch Versicherungen betreffen wird. Daher gehen wir in diesem Artikel zunächst auf die neue Verordnung ein und zeigen anschließend anhand von Beispielen aus der Versicherungsbranche die regulatorischen Anforderungen auf. Zum Schluss geben wir Versicherungen erste Empfehlungen hinsichtlich des Aufbaus einer AI Governance.

Die KI-Verordnung stellt, abhängig von der jeweiligen Risikokategorisierung der KI-Systeme, konkrete Anforderungen u.a. an Testverfahren, das Risiko- und Qualitätsmanagement, Transparenzpflichten sowie die laufende Überwachung. Dazu werden die KI-Systeme in vier Risikokategorien unterteilt, welche in der folgenden Grafik dargestellt sind.

Im Folgenden werden die risikoabhängigen Governance-Anforderungen aus Sicht einer Versicherung aufgezeigt. Dabei fokussieren wir uns auf zulässige KI-Systeme und beispielhafte Use Cases.

Für die Einstufung als KI-System mit hohem Risiko ist vor allem der Anhang III der KI-Verordnung zu beachten, welcher eine konkrete Liste mit Hochrisiko-KI-Systemen enthält. Diese ist vor allem für Leben- und Krankenversicherer relevant, da die Risikobewertung und die Tarifierung in diesen Sparten explizit als Hochrisiko-KI-Systeme eingestuft wurden. Damit unterliegen sie zukünftig umfangreichen Governance-Anforderungen. Diese umfassen zum einen die Definition von unternehmensweiten Prozesse und Standards zur Entwicklung und Qualitätssicherung, sowie die Überwachung von KI-Systemen und das Management der inhärenten Risiken. Zum anderen ist es entscheidend, die Verantwortung hierüber in der Organisation klar festzulegen und KI-Anwender durch Trainings und einen (freiwilligen) Verhaltenskodex auf die eigene Rolle in KI-gestützten Prozessen vorzubereiten.

Unter KI-Systeme mit Transparenzanforderungen fallen vor allem Chatbots, zum Beispiel in der Vertriebsunterstützung oder Leistungsprüfung. Beim Einsatz von Chatbots unter eigenem Namen sind Versicherungen angehalten, den Versicherungskunden darüber zu informieren, dass eine Interaktion mit einem KI-System stattfindet.

Darüber hinaus gibt es diverse KI-Systeme bei Versicherungen, welche maschinelles Lernen, Logik- und wissensgestützte Konzepte sowie statistische Methoden einsetzen. Hierunter fällt zum Beispiel die Tarifierung in der Sachversicherung. Für diese KI-Systeme bestehen freiwillige Anforderungen, die sich auf die Aufstellung von Verhaltenskodizes beschränken. Dies kann auch die optionale Anwendung von Governance-Anforderungen beinhalten, welche für Hochrisiko-KI-Systeme vorgesehen sind.

Grundsätzlich empfehlen wir Versicherungen, diese regulatorische Entwicklung genau zu beobachten. Die KI-Verordnung macht bereits deutlich, dass weitere delegierte Verordnungen und Durchführungsrechtsakte zu erwarten sind, unter anderem zur Ergänzung von Hochrisiko-KI-Systemen sowie Techniken und Ansätzen, welche als Künstliche Intelligenz eingestuft werden und damit in den Geltungsbereich der KI-Verordnung fallen. Für die fristgerechte Umsetzung der neuen Anforderungen raten wir als Erstes zu einer Bewertung der eingesetzten oder geplanten KI Use Cases, um den Handlungsbedarf zu erheben. Im Anschluss gilt es, ein rechtskonformes Betriebsmodell für KI Anwendungen zu skizzieren und in die Umsetzung zu bringen.

Mit der Umsetzung der KI-Verordnung bleibt die Frage nach einem effizienten Betriebsmodell für KI Anwendungen sowie der Hebung von Synergien im gesamten Unternehmen unbeantwortet. Daher empfehlen wir Versicherungen zusätzlich zur bisherigen Identifikation und Implementierung von Use Cases und über die regulatorischen Anforderungen hinaus, eine eigene AI Governance zu entwickeln. Diese befähigt Versicherungen, die Umsetzung der eigenen KI-Strategie sowie regulatorischer Vorgaben, Technologiefragen, Schulungsbedarf und vieles mehr zentral zu steuern. Eine richtige Umsetzung wird das Vertrauen der Stakeholder in die Leistungsfähigkeit, Sicherheit, Zuverlässigkeit und Fairness der eingesetzten KI-Systeme steigern.

Dr. Mägebier, A.