25.07.2023
Die Regulierung von KI in der Versicherungsbranche – ein Überblick
Im Versicherungswesen sind die Einsatzmöglichkeiten von KI-basierten Systemen besonders vielseitig. Versicherungsunternehmen setzen schon seit Jahrzehnten auf sogenannte Expertensysteme, die als ein Vorläufer heutiger KI-Systeme gesehen werden können. Mit dem stetig voranschreitenden digitalen Wandel steigt nun aber immer mehr die Bedeutung von modernen KI-Algorithmen für Versicherungen.
Im Versicherungswesen sind die Einsatzmöglichkeiten von KI-basierten Systemen besonders vielseitig. Versicherungsunternehmen setzen schon seit Jahrzehnten auf sogenannte Expertensysteme, die als ein Vorläufer heutiger KI-Systeme gesehen werden können. Mit dem stetig voranschreitenden digitalen Wandel steigt nun aber immer mehr die Bedeutung von modernen KI-Algorithmen für Versicherungen. Unternehmen in der Versicherungsbranche können von diesen enorm profitieren. Es wachsen jedoch auch die juristischen Herausforderungen, die es zu bewältigen gilt. Dabei sind verschiedene rechtliche Teilbereiche betroffen, darunter etwa Zivil-, Datenschutz– und Aufsichtsrecht. Zudem arbeitet der europäische Gesetzgeber zurzeit an der unionsrechtlichen KI-Verordnung, die Entwicklung und Einsatz von KI in der EU regulieren soll und die voraussichtlich Versicherungen dezidiert adressieren wird. Der vorliegende Beitrag soll zunächst einen kurzen Überblick über die Vorzüge von KI-Systemen für Versicherungen geben. Schwerpunktmäßig werden dann der bestehende Rechtsrahmen und kommende Regulierungsvorhaben vorgestellt, die für Versicherungsunternehmen im Hinblick auf den Einsatz von KI-Systemen zu beachten sind.
Versicherungen können vielseitig von KI profitieren
Die Einsatzmöglichkeiten für KI in der Versicherungsbranche sind mannigfaltig. Insbesondere da Versicherungen mit enormen Mengen an Daten arbeiten, können mittels KI und maschinellem Lernen viele Prozesse automatisiert und effizienter gestaltet werden. Zudem können dadurch Versicherungsprodukte maßgeschneidert und den individuellen Umständen von Versicherungsnehmenden angepasst werden. In Zukunft wird der Einsatz von KI in Versicherungen vermutlich unverzichtbar sein.
Automatisiertes Underwriting
Beispielsweise ermöglicht der Einsatz von KI das vereinfachte Underwriting. Das Underwriting bezeichnet den Vorgang, in dem Anträge geprüft, Risiken eingeschätzt und Verträge zum Abschluss gebracht werden. Laut dem Beratungsunternehmen Accenture verbringen Underwriter:innen fast die Hälfte ihrer Zeit mit administrativen Aufgaben, manuellen Prozessen sowie Dateieingaben. KI kann derartige Tätigkeiten übernehmen und damit das Underwriting wesentlich schneller und wirtschaftlicher machen.
Versicherungsbetrug mit KI aufdecken
Darüber hinaus können KI-Systeme bei der Erkennung von Versicherungsbetrug unterstützen. Etwa jeder zehnte Versicherungsfall ist laut Expert:innenmeinungen ein Betrugsfall. Für Versicherungen und als Konsequenz auch für die Versicherten stellt dies eine beachtliche finanzielle Belastung dar. Es können etwa Versicherungsnehmende als auch Leistungserbringende betrügerisches Handeln an den Tag legen, beispielsweise indem Schäden fingiert, oder nicht erbrachte Leistungen abgerechnet werden. KI bietet bei der Betrugserkennung gänzlich neue Möglichkeiten. Die KI wird dafür mit riesigen Datenmengen angelernt und kann darauf basierend Betrugsmuster automatisiert und effizient erkennen. Versicherungen können so immense Kosten einsparen und Kapazitäten von Mitarbeitenden freigeben.
Effiziente Kommunikation mit Versicherten mittels KI
Auch in der Betreuung von Versicherten können KI-gestützte Anwendungen erhebliche Vorteile mit sich bringen. Durch den Einsatz von KI kann die Kommunikation mit Kund:innen automatisiert und damit wesentlich effizienter gestaltet werden. Durch den Einsatz von Chatbots können etwa Anfragen von Versicherten rund um die Uhr bearbeitet werden. KI unterstützt zudem im Umgang mit den immer größer werdenden Anfragevolumen. Zum einen kann dadurch die Qualität des Kund:innenservices verbessert werden, zum anderen wird Beschäftigten viel Arbeit abgenommen.
Newsletter
Alle wichtigen Neuigkeiten zu Themen wie Datenschutz, Künstliche Intelligenz, IT-Recht und vielen mehr – einmal monatlich in Ihr Postfach.
Regulierung von KI im Versicherungsbereich
Die genannten Vorteile bilden nur beispielhaft ab, wie KI in Versicherungen gewinnbringend eingesetzt werden kann. Die Nutzen von KI sind dabei aber kein Geheimnis mehr und KI-Systeme finden bereits großflächig Anwendung. Ebenso bekannt wie die Vorteile sind jedoch auch die Risiken, die mit dem Einsatz von KI verbunden sind. Beispielsweise weil die KI häufig immense Mengen an, oft personenbezogenen, Daten verarbeitet, ergeben sich insbesondere aus Sicht des Datenschutzes umfassende rechtliche Bedenken. Zudem können KI-Systeme unter Umständen Vorurteile zum Ausdruck bringen oder Diskriminierungen enthalten. Denn die KI-Systeme spiegeln in ihren Antworten bzw. ihrer Anwendung im Wesentlichen lediglich die Muster wider, die sie aus ihren Trainingsdaten gelernt haben. Sind die Trainingsdatensätze also unvollständig oder enthalten Verzerrungen, wirkt sich dies entsprechend auf den Output der KI aus. Als Konsequenz besteht daher die Gefahr, dass unkontrollierte KI diskriminierende Entscheidungen trifft und sich damit insgesamt gesellschaftlich negativ auswirken könnte. Die beschriebenen Risiken von KI sind daher bereits Gegenstand kritischer gesellschaftlicher und juristischer Auseinandersetzungen. Zudem haben sie bereits die Gesetzgeber auf den Plan gerufen, sowohl auf europäischer also auch auf nationaler Ebene. Die Folge sind teilweise strenge regulatorische Anforderungen, insbesondere auch im Versicherungsbereich.
Im Folgenden soll daher ein Überblick über den bereits bestehenden Rechtsrahmen sowie ein Ausblick über künftige relevante Regulierungen gegeben werde.
KI, Versicherungen und Datenschutzrecht
Der Umgang von KI mit personenbezogenen Daten wird auch im Versicherungswesen hauptsächlich von der DSGVO reguliert.
Für den Einsatz der KI gelten insoweit grundsätzlich alle Anforderungen aus der DSGVO, soweit durch die KI personenbezogene Daten verarbeitet werden. So müssen – für den gesamten Lebenszyklus der KI – für die Verarbeitung von personenbezogenen Daten insbesondere die Anforderungen an die Rechtmäßigkeit der Verarbeitung aus Art. 6 und Art. 9 DSGVO, an die Erfüllung der Informationspflichten aus Art. 13 und Art. 14 DSGVO sowie an die technischen und organisatorischen Maßnahmen nach Art. 32 DSGVO eingehalten werden. Darüber hinaus spielt im Zusammenhang mit der Entwicklung und dem Betrieb eines KI-Systems vor allem noch der Grundsatz der Datenminimierung aus Art. 5 Abs. 1 lit. c DSGVO.
Eine wichtige Norm im Zusammenhang mit dem Einsatz von KI ist zudem Art. 22 DSGVO. Die Vorschrift bestimmt, dass Personen keinen vollständig automatisierten Entscheidungen unterworfen werden dürfen, sofern sie dadurch rechtlich oder in anderer Weise erheblich beeinträchtigt werden. Absatz 2 der Norm sieht dafür zwar Ausnahmen vor, diese sind nach Absatz 4 jedoch in den meisten Fällen dann ausgeschlossen, wenn es sich um besondere Kategorien von personenbezogenen Daten nach Art. 9 DSGVO handelt. Bei den Daten, die von Versicherungen verarbeitet werden, wird dies mitunter zu beachten sein, etwa im Fall von Gesundheitsdaten. Zudem findet sich eine Ausnahme von dem Verbot automatisierter Entscheidungen in § 37 Bundesdatenschutzgesetz (BDSG). Die Regelung sieht vor, dass das Verbot dann nicht gilt, wenn die Entscheidung im Rahmen der Leistungserbringung nach einem Versicherungsvertrag ergeht. Diese Ausnahme selbst soll jedoch dann ausgeschlossen sein, wenn dem Begehren der betroffenen Person nicht stattgegeben wurde. Das bedeutet, dass die Ablehnung von Versicherungsleistungen grundsätzlich nicht KI-basiert und vollautomatisiert erfolgen darf und insgesamt für den Einsatz von KI zur Entscheidungsfindung ein ausdifferenzierter Ansatz gefunden werden muss.
Zu beachten ist ferner, dass aus datenschutzrechtlicher Sicht personenbezogene Daten nur so lange verarbeitet werden dürfen, wie es dafür eine Rechtsgrundlage gibt. Fällt die Rechtsgrundlage im Nachhinein weg, etwa wenn eine Einwilligung widerrufen wird, dürfen die betroffenen Daten nicht mehr weiterverarbeitet werden. Aus diesem Grund muss die Versicherung stets einen Überblick über die betroffenen Daten haben und beispielsweise in der Lage sein, sie bei Wegfall der Rechtsgrundlage auch zu löschen. Im Fall von KI-Systemen erweist sich dies jedoch als schwierig, wenn die KI-Systeme mit personenbezogenen Daten trainiert worden sind und diese Daten nun gelöscht werden müssen. Da eine KI eine Blackbox darstellen kann, bei der nicht mehr im Einzelnen nachvollzogen werden kann, was im „Inneren“ des Systems geschieht, kann auch die Löschung von Daten Probleme mit sich bringen.
Für Versicherungen, die sich die Vorteile von Künstlicher Intelligenz nutzen wollen, gilt es daher die Herausforderungen aus der DSGVO stets im Blick zu behalten und ein Konzept zu entwerfen, um eine datenschutzrechtlich zulässige Nutzung des KI-Systems zu gewährleisten.
Aufsichtsbehörden und KI in Versicherungen
Auch die Aufsichtsbehörden haben die Potenziale wie auch die Risiken für KI in der Versicherungswirtschaft erkannt. Sowohl die europäische Versicherungsaufsicht EIOPA als auch die in Deutschland zuständige BaFin haben daher bereits Stellung bezogen.
Die europäische Aufsichtsbehörde EIOPA zu KI in Versicherungen
Die EIOPA veröffentlichte am 17. Juni 2021 Leitlinien, die von einer Expert:innengruppe, bestehend aus Vertreter:innen aus Versicherungen, Beratung, Wissenschaft und Verbraucherschutzverbänden, ausgearbeitet wurden. Dabei handelt es sich um rechtlich nicht bindende Handlungsempfehlungen, die einen ethischen und vertrauenswürdigen Umgang mit KI-Anwendungen in Versicherungen zum Ziel haben. Im Wesentlichen sind sechs Prinzipien von dem Leitfaden umfasst: Verhältnismäßigkeit, Fairness und Nicht-Diskriminierung, Transparenz und Erklärbarkeit, menschliche Aufsicht über KI, die Beachtung des Datenschutzrechtes und das Prinzip der Belastbarkeit und Leistungsfähigkeit von KI-Systemen. Die Handlungsempfehlungen sollen dazu dienen, einen Ausgangspunkt für die Grenzen von KI in der Versicherungsbranche zu setzten. Versicherern sollen sie zur Orientierung, um KI verantwortungsvoll einzusetzen, dienen. Zudem können die aufgestellten Prinzipien als Vorbote künftiger Regulierungsvorhaben zu sehen sein. Laut EIOPA sollen etwa die Handlungsempfehlungen möglicherweise als Vorlage für aufsichtsrechtliche Vorgaben dienen.
Prinzipien der BaFin zu KI in Versicherungen
Ebenso hat sich die deutsche Versicherungsaufsichtsbehörde BaFin mit den Möglichkeiten und Grenzen von KI in Versicherungsunternehmen auseinandergesetzt. Am 15. Juni 2021 veröffentlichte sie ihre Prinzipien für den Einsatz von Algorithmen in Entscheidungsprozessen. Diese sind in erster Linie an Finanzunternehmen gerichtet, enthalten jedoch auch Use Cases und Orientierungen für Versicherungen. Zunächst stellt das Papier klar, dass die BaFin algorithmusbasierte Entscheidungsprozesse nicht grundsätzlich billigt. Vielmehr sollen derartige Prozesse risikoorientiert und anlassbezogen durch die Aufsicht geprüft werden, etwa im Erlaubnisverfahren, in der laufenden Aufsicht oder in der Missstandsaufsicht. Dabei soll, wie auch sonst in der Beaufsichtigung, ein risikoorientierter, proportionaler und technologieneutraler Ansatz verfolgt werden. Die dann aufgestellten Prinzipien sollen aufsichtsrechtliche Mindestanforderungen darstellen und Unternehmen, die von der BaFin beaufsichtigt werden, zur Orientierung dienen. Die Behörde unterscheidet dabei zwischen übergeordneten Prinzipien und spezifischen Prinzipien für die Entwicklungsphase und Anwendung von KI.
Die übergeordneten Prinzipien beinhalten die klare Verantwortung der Geschäftsführung, auch für algorithmusbasierte Entscheidungen, die Implementierung eines adäquaten Risiko- und Auslagerungsmanagements, die Vermeidung von systematisch verzerrten Ergebnissen (Biases) und den Ausschluss bestimmter gesetzlich festgelegter Merkmale von der Risiko- und Preiskalkulation. Zudem hat die BaFin spezifische Prinzipien für die Entwicklungsphase von KI formuliert. Diese umfassen bestimmte Anforderungen an Datenstrategien und Datengovernance, die Beachtung des Datenschutzrechts, sowie die Sicherstellung von korrekten, robusten und reproduzierbaren Ergebnissen. Dadurch sollen Genauigkeit und Sorgfalt bei der Auswahl der Algorithmen, der Kalibrierung und der Dokumentation garantiert werden. Zudem soll so sichergestellt werden, dass Ergebnisse unternehmensintern und -extern nachvollzogen werden können. Diesem Ziel dient auch das aufgestellte Prinzip der Dokumentation zur internen und externen Nachvollziehbarkeit. Die Dokumentation soll sich auf Modellauswahl, Kalibrierung und Modellvalidierung beziehen. Eine angemessene Validierung ist selbst ebenfalls ein Prinzip der Entwicklungsphase von KI. Schließlich wird das Prinzip festgelegt, dass die Daten, die für Validierung und Kalibrierung genutzt werden, relevant und repräsentativ sind. Für die Anwendung von KI formuliert die BaFin das Prinzip der Einbindung von Beschäftigten in die Interpretation und Verwertung von Ergebnissen, der intensiven Freigabe- und Feedbackprozesse, der Etablierung von Notmaßnahmen, falls Probleme mit algorithmusbasierten Entscheidungsprozessen kommt und der laufenden Validierung, übergeordneten Evaluation und entsprechenden Anpassung während der gesamten praktischen Anwendung.
Die vorgestellten Prinzipien stellen laut BaFin noch vorläufige Überlegungen dar, die als Diskussionsgrundlage für aufsichtsrechtliche Mindestanforderungen dienen sollen. Künftige Aufsichtspraxis und ausdrückliche Regulierungen werden dann weitere Klarheit für Versicherungen bringen.
Haftungsrechtliche Fragen rund um KI
Darüber hinaus bringt der Einsatz von KI eine Reihe von haftungsrechtlichen Fragestellungen mit sich, die für Versicherungen relevant sind.
Oftmals diskutiert ist beispielsweise, wer für Schäden haftet, die durch KI-Systeme verursacht werden. Grundsätzlich lässt sich sagen, dass unverändert das allgemeine Haftungsrecht gilt, teilweise ergeben sich durch den Einsatz von KI jedoch Besonderheiten. Für Schäden durch fehlerhafte Produkte können etwa Hersteller:innen verschuldensunabhängig nach dem Produkthaftungsgesetz haftbar gemacht werden. Problematisch ist dabei jedoch in Hinblick auf KI, dass der/die Geschädigte nachweisen muss, dass das betroffene Produkt fehlerhaft war. Die Entscheidungsfindung durch KI ist jedoch in vielen Fällen kaum bis gar nicht im Einzelnen nachzuvollziehen, da die KI-Systeme autonom arbeiten und sich selbstlernend weiterentwickeln. Eine Herstellerhaftung nach dem Produkthaftungsgesetz scheitert daher in vielen Fällen. Zudem besteht darüber hinaus die Möglichkeit der Produzentenhaftung nach dem Bürgerlichen Gesetzbuch (BGB), für die der/die Hersteller:in schuldhaft ein fehlerhaftes Produkt auf den Markt gebracht haben muss. Anders als bei der Produkthaftung wird hier eine Beweislastumkehr vorgenommen, sodass die Hersteller:innen nachweisen müssen, dass ihr Produkt fehlerhaft war. Für Schäden, die durch KI verursacht wurden, ist die Produzentenhaftung daher häufig relevanter.
Für Versicherungen von besonders großer Relevanz sind Schäden, die im Zusammenhang mit autonomen Fahrzeugen entstehen. In der Schadensregulierung ist hier vor allem fraglich, ob die Haftung für einen Schaden, der durch ein solches verursacht wird, unter Umständen von der/dem Fahrzeughalter:in auf die/den Entwickler:in der KI übergeht. Nach bisherigem Stand ist dieses jedoch nicht der Fall. Die/der Halter:in zieht den Nutzen aus dem Fahrzeug und hat deshalb auch nach wie vor das damit verbundene Risiko zu tragen.
Zu erwähnen ist darüber hinaus der Ansatz, dass KI selbst mit einer Rechtspersönlichkeit ausgestattet sei und als solche eigenständig haften müsse. Da KI-Systeme jedoch nicht mit einer Haftungsmasse ausgestattet sind, erscheinen derartige Überlegungen bisher nicht sehr praxistauglich, zumal mit dem gegebenen Haftungsregime bereits anwendbare Regelungen existieren.
Geplante Regulierungen der EU
Zusätzlich zu den schon bestehenden Regelungen, befinden sich jedoch derzeit mehrere Regulierungsvorhaben in Arbeit, die KI zum Gegenstand haben – vor allem auf europäischer Ebene.
Der Entwurf zur KI-Verordnung
Am prominentesten darunter ist wohl die geplante KI-Verordnung der EU (KI-VO). Der erste Entwurf für die KI-VO wurde am 21. April 2021 von der EU-Kommission vorgestellt. Seitdem haben die beiden Ko-Gesetzgeber, das EU-Parlament und der Ministerrat, jeweils Kompromissvorschläge ausgearbeitet. Auf dieser Grundlage wird voraussichtlich im Sommer 2023 der offizielle Trilog zwischen Parlament, Kommission und Ministerrat starten. In diesem wird dann das endgültige Gesetz ausgearbeitet, das als Verordnung unmittelbare Wirkung in allen EU-Mitgliedsstaaten entfalten wird. Wie lange der Trilog andauern wird, lässt sich nicht sagen. Ein Inkrafttreten des Gesetzes ist jedoch schon für Ende 2023 denkbar und kann für das Jahr 2024 sogar als wahrscheinlich angesehen werden. Anschließend wird es eine Umsetzungsfrist von zwei bis drei Jahren geben, sodass Versicherungsunternehmen spätestens zu diesem Zeitpunkt sämtliche Anforderungen aus der KI-VO umgesetzt haben müssen.
Der Entwurf zur KI-VO verfolgt einen risikobasierten Ansatz. Je nachdem, welcher Risikoklasse eine KI zugeordnet wird, entscheiden sich die regulatorischen Anforderungen an das KI-System. Dabei wird zwischen vier Risikoklassen unterschieden: inakzeptablem Risiko, hohem Risiko, begrenztem Risiko und minimalem Risiko. Die Gruppe der Hochrisiko-KI ist das Herzstück der geplanten Verordnung, fast alle der enthaltenen Anforderungen und Verpflichtungen beziehen sich auf diese Risikogruppe. Dazu zählen z.B. das Einrichten eines Risikomanagement-Systems, gewisse Anforderungen an verwendete Trainingsdaten und bestimmte Transparenzverpflichtungen. Welche KI-Systeme unter die Hochrisiko-KI fallen, ist über die Anhänge II und III zum Verordnungsentwurf geregelt. Danach ist das Vorliegen von einem hohen Risiko einerseits dann anzunehmen, wenn die KI Sicherheitskomponente eines Produktes ist, das bereits einer der in Anhang II aufgelisteten Vorschriften unterfällt, beispielsweise Spielzeug, Aufzüge oder Medizinprodukte. Andererseits soll ein hohes Risiko dann gegeben sein, wenn das betreffende KI-System einem der in Anhang III genannten Bereiche unterfällt und dort für einen der jeweils aufgelisteten Anwendungsfälle vorgesehen ist. Für Versicherungen könnte insbesondere letzteres relevant sein, da etwa im bereits vorliegenden Entwurf des EU-Ministerrats KI zur Risikobeurteilung für Lebens- und Krankenversicherung explizit mit genannt ist. Zudem ist auch aufgrund anderer genannter Anwendungsfälle das Vorliegen von Hochrisiko-KI bei Versicherungen denkbar.
Versicherungsunternehmen sollten deshalb bereits jetzt damit beginnen, sich auf die kommende Verordnung vorzubereiten. Die Herausforderungen sind teils komplex und weitreichend. Mit der entsprechenden Vorarbeit kann die Umsetzung jedoch gut gelingen, insbesondere indem auf bestehende Compliance-Mechanismen und Know-how zurückgegriffen wird. Unsere Expert:innen sind erfahren mit der Umsetzung der kommenden KI-Verordnung in Versicherungsunternehmen. Auch Sie beraten wir gerne in dem Themenfeld.
Reformierung des Haftungsrechts
Neben der kommenden KI-Verordnung soll auf EU-Ebene zudem das Haftungsrecht rund um den Einsatz von KI erneuert werden. Für das deutsche Recht wird dies direkte Auswirkungen haben. Beispielsweise das Produkthaftungsgesetz dient zur Umsetzung der europäischen Produkthaftungsrichtlinie, die nun modernisiert und an die Herausforderungen der KI angepasst werden soll. Diese soll insbesondere die Haftungstatbestände erweitern und die Beweiserbringung für Geschädigte erleichtern, unter anderem durch eine Kausalitätsvermutung und eine Offenlegungspflicht für Beklagte. Zudem soll eine gänzliche neue Richtlinie eingeführt werden, die die KI-spezifische Haftung regulieren soll. Anders als die Produkthaftungsrichtlinie soll diese jedoch keine verschuldensunabhängige Haftung zum Gegenstand haben, sondern Fälle regeln, in denen es aufgrund von Vorsatz oder Fahrlässigkeit zu Schäden durch KI kommt. Auch sie soll jedoch eine Kausalitätsvermutung und eine Offenlegungspflicht beinhalten, um Geschädigten die Geltendmachung ihrer Ansprüche zu erleichtern. Sie nimmt dabei Bezug auf die Hochrisiko-KI, die von der KI-Verordnung reguliert wird. Sie kann damit als Sanktionsregime für Schäden aufgrund der Nichteinhaltung der Vorgaben aus der Verordnung gesehen werden.
Fazit
Die Vorteile, die KI für Versicherungen bringen kann, sind enorm. Unternehmen aus der Versicherungsbranche sollten sich daher unbedingt mit dem Thema auseinandersetzen. Dabei sind die rechtlichen Anforderungen zwar vielschichtig und teilweise sehr komplex. Mit einer e entsprechenden Planung und rechtlicher Expertise kann die Umsetzung jedoch gelingen und die rechtlichen Herausforderungen können gut gemeistert werden.
Unsere Expert:innen können auf eine umfangreiche Praxiserfahrung in der Beratung von Versicherungsunternehmen und die Regulierung von KI zurückgreifen. Auch Sie beraten wir gerne bei Ihren KI-Projekten. Kontaktieren Sie uns mit Ihren Fragen.
Vereinbaren Sie jetzt ein
unverbindliches Erstgespräch!
Lassen Sie uns über Ihre Herausforderungen sprechen und vereinbaren Sie ein unverbindliches Erstgespräch mit unseren spezialisierten Anwält:innen.
Unsere Experten zum Thema
Weitere Neuigkeiten
04.09.2024
AI as a Service (AIaaS): So funktioniert die Implementierung im Unternehmen
31.07.2024
Digital Health Update 2024
25.07.2024