Der Rat der Europäischen Union, die Europäische Kommission und das Europäische Parlament haben sich im Trilog-Verfahren auf Änderungen der KI-VO geeinigt. Diese Änderungen im Rahmen des sog. „Omnibus VII“-Gesetzgebungspakets sollen die Umsetzung der KI-VO vereinfachen und zugleich neue Vorschriften einführen. Die in dem Trilogentwurf (https://data.consilium.europa.eu/doc/document/ST-9247-2026-INIT/en/pdf) enthaltenen und für die Versicherungswirtschaft wesentlichen Änderungen sollen hier kurz dargestellt werden:
Zunächst soll Art. 4 KI-VO etwas entschärft werden, indem klargestellt wird, dass zwar eine gewisse KI-Kompetenz bei Mitarbeitenden und Auftragnehmern sichergestellt werden muss, jedoch keine Aussage darüber getroffen wird, welches genau Niveau diese Kompetenz bei jedem Einzelnen aufweisen soll. Ob mit dieser Ergänzung allerdings dem Bedürfnis der Wirtschaft nach Rechtssicherheit und Klarheit Rechnung getragen wird, darf offenbleiben. Immerhin kündigt der Entwurf zugleich an, dass die Kommission in Zusammenarbeit mit den Mitgliedsstaaten Empfehlungen zur Erfüllung der Kompetenzvorgabe entwickeln wird.
Mit einem neuen Art. 4a KI-VO soll der bisher in Art. 10 Abs. 5 KI-VO geregelte besondere Zulässigkeitsgrund zur Verarbeitung sensibler personenbezogener Daten zur Erkennung und Korrektur von sog. Bias geringfügig erweitert werden.
Art. 6 KI-VO soll dahingehend angepasst werden, dass KI-Systeme dann nicht als Sicherheitsbauteile von den in Anhang I aufgeführten Produkten gelten und somit nicht als Hochrisiko-KI zu werten sind, wenn sie ausschließlich der Assistenz, Performancesteigerung, Effizienz, Automatisierung, Komfortsteigerung oder der Qualitätskontrolle dienen, es sei denn, deren Ausfall könnte die Gesundheit oder Sicherheit natürlicher Personen beeinträchtigen. Diese Änderung könnte auch die Versicherungswirtschaft betreffen, bspw. dann, wenn bei Produkten, die unter einen Sach- oder Haftpflichtversicherungsschutz fallen, die Einhaltung gesetzlicher Bestimmungen deckungsrelevant wird. Gleiches gilt für Anpassungen bei den Anforderungen der Art. 10, 11 und 17 KI-VO, welche die Daten-Governance, technische Dokumentation und das Qualitätsmanagementsystem bei Hochrisiko-Systemen regeln. Hier sollen insbesondere Erleichterungen für KMU erfolgen.
Eine gewisse bürokratische Erleichterung soll es für Betreiber von Hochrisiko-Systemen nach Anhang III, Nummer 5 lit. b und c KI-VO geben, also auch für Versicherer, die KI-Systeme zur Kreditwürdigkeitsprüfung (etwa im Bereich der Restschuldversicherung) und Bonitätsbewertung verwenden oder für Lebens- und Krankenversicherer, die KI für die Risikobewertung und Preisbildung nutzen. Während diese Betreiber bisher nach Art. 27 KI-VO eine umfassende Grundrechte-Folgenabschätzung durchführen mussten, die eine Datenschutz-Folgeabschätzung lediglich ergänzen konnte, dürfen jetzt gegenseitige Verweise in den Abschätzungen eingefügt werden. Wurde also ein bestimmter Punkt in der bisherigen Datenschutz-Folgeabschätzung bereits berücksichtigt, kann hierauf in der KI-Grundrechte-Folgenabschätzung verwiesen werden und umgekehrt. Diese gesetzliche Änderung ist zu begrüßen und stützt die von den Autoren dieses Beitrags auch andernorts bereits vertretene Forderung nach einer integrierten Umsetzung rechtlicher Rahmenbedingungen für KI (s. dazu https://www.deutscheranwaltspiegel.de/cybersecurityquarterly/cyber-security/cybersicherheit-nach-ki-vo-und-dsgvo-159916/).
Die für Versicherer im Hochrisikobereich wohl wichtigste Änderung ist zeitlicher Natur. Die Anforderungen an Hochrisiko-Systeme nach Anhang III sollen künftig erst ab dem 02.12.2027 gelten. Es verbleiben also noch ca. 1,5 Jahre, bis die umfangreichen Anforderungen umgesetzt sein müssen.
Nicht angepasst werden soll dagegen die – breit kritisierte – KI-Definition. Diese kann derzeit vom Wortlaut her durchaus auch bewährte statistische Modelle der Versicherungsmathematik umfassen, obwohl es sich dabei offenkundig nicht um KI handelt. Hier besteht noch Anpassungsbedarf (https://www.gdv.de/gdv/medien/medieninformationen/trilogeinigung-zum-ki-omnibus-wichtiger-schritt-fuer-innovation-198770). Zudem bleibt es auch bei der grundsätzlichen Kritik an der Einstufung von Versicherungsunternehmen als Betreiber von Hochrisiko-KI, da sich viele Regelungen mit bereits bestehender Regulierung (Solvency-II, DORA) überschneiden (https://www.insuranceeurope.eu/mediaitem/819e4770-4b9e-4d2a-bc32-0cf6878fcda7/Digital+Omnibus+supporting+innovation+and+consumer+protection+in+the+insurance+sector.pdf?inline=1).
Auswirkungen der Änderungen auf die Versicherungswirtschaft
Auch wenn die Verschiebung der Anwendbarkeit der Hochrisiko-Regeln den betroffenen Lebens- und Krankenversicherungsunternehmen einen hohen Mehrwert bieten dürfte, bleibt doch der Eindruck zurück, dass mit den Änderungen im Trilog nicht der große Wurf gelungen ist. Insbesondere die Anpassungen in Art. 4, 4a und 6 KI-VO erleichtern die Rechtsanwendung und damit auch die rechtssichere Implementierung von KI-Systemen nur bedingt. Positiv zu bewerten ist dagegen die Anpassung der Grundrechte-Folgenabschätzung. Zumindest in dem Überlappungsbereich zwischen KI-VO und DSGVO lässt sich dadurch etwas Bürokratie einsparen.
Umfangreiche ToDo-Liste beim KI-Einsatz – Pre-publication Announcement
Nicht nur Lebens- und Krankenversicherer haben beim KI-Einsatz einiges zu beachten. Für alle Sparten gelten etwa die Transparenzanforderungen der KI-VO für generative KI. Auch müssen alle Versicherungsunternehmen, Vermittler, InsurTechs etc. die Anforderungen an die KI-Kompetenz ihrer Mitarbeiter und Dienstleister einhalten. Hierzu sind regelmäßige Schulungen, interne Leitlinien und eine ordnungsgemäße Unternehmensorganisation erforderlich. Daneben müssen u.a. die Vorgaben der Versicherungsaufsicht, der DORA-Verordnung, der DSGVO und der daneben bestehenden spezifischen datenschutzrechtlichen Normen sowie die Vorgaben des VVG, des AGG und die allgemeinen Sorgfalts- und Verkehrssicherungspflichten beachtet werden. Hinzu kommen besondere Aspekte, wenn Daten innerhalb der Cloud verarbeitet werden sollen.
Dieses komplexe Regelungsgeflecht behandeln wir in Kürze in einem gemeinsam mit der Versicherungsforen Leipzig GmbH herausgegebenen Handbuch. Dieses enthält eine umfassende und praxisnahe Einordnung der Einsatzfelder von KI und der rechtlichen Voraussetzungen des KI-Einsatzes in Versicherungsunternehmen inklusive Checklisten für die Praxis. Stay tuned!
