AI Act verabschiedet: Wie wirkt sich das Gesetz zur KI-Regulierung auf die Versicherungswirtschaft aus?

Nach mehreren Jahren der Vorbereitung wurde am 13.07.2024 der Artificial Intelligence Act (AI Act) im Amtsblatt der Europäischen Union (EU) veröffentlicht. Damit tritt am 02.08.2024 die weltweit erste Regulierung für den Einsatz künstlicher Intelligenz in Kraft, und wird, wie bei Verordnungen der EU üblich, sofort in allen Mitgliedsstaaten Gesetz, ohne weitere nationale Umsetzungsakte.

Wie in meinen Beiträgen „Der Artificial Intelligence Act – Ein Überblick“ vom 03.02.2022 und „Der Artificial Intelligence Act – Systematik und Regelungen“ vom 22.02.2022 dargelegt, verfolgt die neue Regulierung einen risikobasierten Ansatz und teilt KI-Anwendungen in vier Kategorien ein:

• Verbotene Praktiken
• Hochrisikosysteme
• KI-Systeme mit besonderen Transparenzanforderungen
• Alle weiteren KI-Systeme (Minimal Risk).

Hochrisikosysteme in der Versicherung

Aus Sicht der Versicherungsbranche war mit Spannung erwartet worden, welche Anwendungen letztlich in die Kategorie der im Anhang III des Gesetzes aufgelisteten Hochrisikosysteme und damit unter die Regulierung fallen würden. Dies war im Verlauf des Gesetzgebungsverfahrens kontrovers diskutiert worden. Im finalen Gesetz heißt es dazu nun:

„KI-Systeme, die bestimmungsgemäß für die Risikobewertung und Preisbildung in Bezug auf natürliche Personen im Fall von Kranken- und Lebensversicherungen verwendet werden sollen;“ (Anhang III, Punkt 5c).

Die Zuordnung von KI-Anwendungen im Versicherungsbereich in die Kategorie Hochrisikosysteme beschränkt sich also auf die Themen Risikobewertung und Preisbildung in der Lebens- und Krankenversicherung. Die Regelungen für Hochrisikosysteme umfassen unter anderem ein spezifisches Risikomanagement, eine Daten-Governance, ausführliche technische Dokumentationen und Aufzeichnungspflichten, Transparenzvorschriften, menschliche Aufsicht sowie besondere Anforderungen an Genauigkeit, Robustheit und Cyber-Sicherheit. Darüber hinaus werden weitreichende Pflichten für Anbieter von Hochrisikosystemen formuliert. Unter anderem etwa die Einrichtung eines eigenen Qualitätsmanagementsystems, die Pflicht einer regelmäßigen Konformitätsbewertung sowie weitgehende Informationspflichten gegenüber den zuständigen Behörden.

Der Vollständigkeit halber sei erwähnt, dass gemäß Anhang III, Punkt 4 auch der Einsatz von KI im Personalmanagement in Unternehmen und damit insbesondere auch in Versicherungen als Hochrisikoanwendung klassifiziert ist.

Transparenzanforderungen in der Versicherung

Mit Blick auf die Transparenzpflichten für Anbieter und Nutzer von KI-Systemen erscheint zunächst das Thema Interaktion mit natürlichen Personen für Versicherungen relevant. Konkret muss etwa bei dem Einsatz eines Chatbots in der Kundenkommunikation, der Nutzer darüber informiert werden, dass er mit einer KI interagiert.

Darüber hinaus werden weitere Transparenzanforderungen für „KI-Modelle mit allgemeinem Verwendungszweck“ formuliert, hinter denen sich vor allem die Basismodelle verbergen.

Large Language Modelle

Während des langwierigen Gesetzgebungsverfahrens wurde die Bürokratie von der Realität in Form der Large Language Modelle überholt. Spätestens mit dem Siegeszug von ChatGPT im Jahr 2023 wurde klar, dass auch generative KI bei der Regulierung berücksichtigt sein sollte. Tatsächlich wäre der AI Act an der Kontroverse, wie weit die Regulierung hier gehen sollte, auf den letzten Metern fast noch gescheitert.

Zwischen Hochrisiko und keine Regulierung einigte man sich quasi „in der Mitte“ und formulierte neue Transparenzanforderungen. Dabei werden die Basismodelle in zwei Kategorien eingeteilt in „KI-Modelle mit allgemeinem Verwendungszweck“ und „KI-Modelle mit allgemeinem Verwendungszweck mit systemischem Risiko“. Kriterien zur Klassifizierung werden im neuen Anhang XIII formuliert. Zentral ist dabei die Komplexität des Modells, gemessen in FLOPs (Floating Point Operations per second). In abgestufter Form gelten umfängliche Transparenzanforderungen für die Anbieter von Basismodellen.

Large Language Modelle in der Versicherung

Für vielfältige Anwendungen, etwa im Wissensmanagement, werden aktuell im Versicherungsumfeld Large Language Modelle entwickelt. In der Praxis werden dafür keine eigenen Basismodelle verwendet, sondern es wird auf den vorhandenen und verfügbaren Basismodellen aufgesetzt. Vor diesem Hintergrund sind Versicherungsunternehmen in der Regel von diesen Transparenzpflichten nicht selbst betroffen – im Gegenteil: als Adressaten der Offenlegungspflichten der Anbieter von Basismodellen profitieren sie davon.

Alles halb so schlimm?!

Zusammenfassend stellen wir fest, dass Versicherungen von der KI-Regulierung in überschaubarer (moderater) Weise betroffen sind.

• KI-Anwendungen für Risikobewertung und Preisbildung in Bezug auf natürliche Personen im Fall von Kranken- und Lebensversicherungen sind Hochrisikoanwendungen und damit umfassend reguliert.
• KI-basierte Kommunikation (Chatbots) mit natürlichen Personen unterliegt der Mitteilungspflicht, dass mit einer KI interagiert wird.

Die Vielzahl weiterer Anwendungen, mit denen wir uns täglich beschäftigen, fallen hingegen in die Kategorie vier jener Anwendungen, für die keine Regulierung vorgesehen ist. Hier besteht die Möglichkeit einer freiwilligen Selbstverpflichtung, wovon auf Grund der bereits bestehenden umfänglichen Regulierung unserer Branche aktuell nicht auszugehen ist.

msg insur:it bietet ein Höchstmaß an Sicherheit der KI-Anwendungen

Die von msg insur:it bisher entwickelten KI-Anwendungen (KI-unterstützte Migration, msg.ask:it, msg.claim:it), fallen in die Kategorie vier und damit nicht unter die Regulierung des AI Acts. Die Anwendungen bieten aber unabhängig davon ein Höchstmaß an Sicherheit und Compliance gemäß den bestehenden regulatorischen Anforderungen in der Versicherungsbranche. Sofern wir in Zukunft KI-Anwendungen anbieten werden, die der Regulierung des AI Acts unterliegen, garantieren wir, dass diese regelkonform sein werden, sowohl im Falle von Hochrisikoanwendungen als auch im Falle besonderer Transparenzvorschriften.