Zum Inhalt gehen

EU AI Act für Versicherer: Effiziente Umsetzung in einer regulierten Branche

Franz-Ferdinand Müller
28.08.2024
capgemini-invent

Künstliche Intelligenz – Risiko und Chance zugleich

Künstliche Intelligenz (KI) ist aus unserem Alltag nicht mehr wegzudenken. Auch Unternehmen profitieren von (Teil-)Automatisierungen ihrer Prozesse, der Analyse komplexer Datensätze oder der Übernahme von Kundeninteraktionen (z. B. Chatbots).  Doch das hohe Innovationspotenzial von KI birgt auch Risiken. Eine künstliche Intelligenz könnte Entscheidungen treffen, die Mensch und Umwelt schaden oder ethische Grundsätze wie das Gleichbehandlungsgesetz nicht oder nur teilweise berücksichtigen. Deshalb haben das Europäische Parlament und der Rat der Europäischen Union ein Regelwerk zum Einsatz künstlicher Intelligenz auf den Weg gebracht. Nach den abgeschlossenen Trilog-Verhandlungen wurde der Artificial Intelligence Act (AI Act) am 13. März 2024 formal verabschiedet. Die rechtliche Würdigung und die grundlegenden Auswirkungen des AI Acts wurden bereits in unserem Blogartikel „AI Act im Fokus: Wie Rechts- und Strategieberatung gemeinsam neue Standards setzen” umfassend dargelegt.

Wir möchten mit diesem Artikel einige Besonderheiten bei der Umsetzung des AI Acts für Versicherer beleuchten – einer Industrie, die bereits heute umfangreichen IT-regulatorischen Vorgaben mit ähnlicher und in Teilen überschneidender Zielsetzung unterliegt.

Der AI Act und die bestehende (IT-)Regulatorik für Versicherer

Der AI Act verfolgt grundsätzlich einen sektorübergreifenden Ansatz und gilt somit für nahezu alle Branchen. Die Versicherungsindustrie ist aufgrund ihrer großen Datenbestände und ihres datengestützten Geschäftsmodells neben dem Bankensektor besonders prädestiniert für den Einsatz von KI. So kann KI bereits heute etwa in der automatisierten Schadenbearbeitung, bei Kundenkontakten und auch in der individuellen Kundenansprache im Marketing eingesetzt werden. Zudem lässt die Auslegung des KI-Begriffs im AI Act durchaus Spielraum zur Interpretation. Dadurch können auch stochastische Modelle oder Simulationsalgorithmen für Prognosen als (hochriskantes) KI-System verstanden werden. Entsprechend hoch sollte die Umsetzung des AI Acts bei Versicherern priorisiert werden.

Für eine effiziente Umsetzung des AI Acts ist es unerlässlich, bereits geltende IT-regulatorische Anforderungen im Sektor (z. B. VAIT, DORA, NIS-2) auch für KI-Systeme anzuwenden. Aufgrund der Breite und Tiefe dieser Vorgaben sind – bei vollständiger Anwendung für das KI-System – einzelne Anforderungen des EU AI Acts berührt oder abgedeckt. Dies gilt etwa für Vorgaben zur Cybersicherheit, zur Governance sowie Anforderungen an die Dokumentation.

Einer zweiten Anforderungsebene sind diejenigen Anforderungen an das KI-System zuzuordnen, die spezifisch für KI-Anwendungsfälle umzusetzen sind und durch bestehende Vorgaben und Prozesse typischerweise nicht oder nur sehr eingeschränkt berührt werden. Hierzu zählen etwa Anforderungen zu AI-Ethischen Aspekten, Transparenzpflichten und die Vorgaben zur Risikobewertung von KI-Anwendungsfällen. Diesbezüglich sind neue Lösungen zu finden oder bestehende Prozesse zielgerichtet zu erweitern.

Zuletzt sind für eine konforme Nutzung von KI auch Anforderungen umzusetzen, die abhängig vom fachlichen Kontext des spezifischen KI-Anwendungsfalles durch das KI-System sicherzustellen sind. Diese sind in der nachfolgenden schematischen Darstellung als Dach der Pyramide dargestellt (nicht abschließend).

Abbildung 1: Compliance-Anforderungen an KI-Systeme

Fazit

Kaum ein Sektor unterliegt bereits heute derart umfänglichen IT-regulatorischen Vorgaben wie die Versicherungsindustrie. Gleichzeitig ist die Branche wie wenige andere für KI-Anwendungsfälle geeignet oder nutzt in aktuariellen Kontexten bereits heute (unbewusst) Methoden, die gemäß AI Act als KI gelten.

Daher sollten Versicherer jetzt handeln und in einem ersten Schritt relevante  bestehende Prozesse und Lösungen im Unternehmen identifizieren, bewerten und diesbezügliche Stakeholder einbeziehen. So können sie Teile der Anforderungen des AI Acts effizient auf Grundlage bereits existierender Ansätze lösen. Gleichzeitig sparen Versicherer auf diese Weise Zeit und Ressourcen, um für die gänzlich neuen Anforderungen des AI Acts – und davon gibt es genug – spezifische Lösungen zu entwickeln.

Gerne unterstützen wir Sie bei einem derartigen Vorhaben rund um den AI Act, etwa durch:

  • Status Quo-Bewertungen: Gap-Analysen, AI-Maturity Assessments und Stakeholder-Mappings
  • Target Operating Model: Definition der Verantwortlichkeiten, Prozessen, Organisation und Standards rund um KI
  • KI-Lösungsauswahl: Entwicklung einer Auswahlmethodik und Durchführung des Selektionsprozesses für KI-Lösungen
  • Aufstellung KI-Verzeichnis: Identifikation und Bewertung bestehender KI-Systeme

Dabei arbeiten IT-Regulatorik-Experten aus unserem sektorspezifischen “Governance, Risk & Compliance Insurance”-Team gemeinsam mit Spezialisten aus Capgeminis Trusted AI- und Legal Engineering-Teams in Ihrem Projekt. Gemeinsam erarbeiten wir dann effiziente Ansätze zur Erreichung der KI-Compliance in Ihrem Unternehmen.

Unsere Experten

Hagen Ohm

Manager | Insurance, Capgemini Invent Germany
Seit neun Jahren bin ich in der Beratung und in der wirtschaftsprüfungsnahen Beratung tätig, wobei ich insbesondere Kunden aus dem Versicherungssektor bei der Umsetzung regulatorischer Anforderungen unterstütze. Mein Schwerpunkt liegt in der Beratung zu IT-Governance, Risikomanagement und Compliance gemäß branchenüblichen Standards und regulatorischen Vorgaben wie COBIT, COSO, MaGo, MaRisk, VAIT, BAIT und DORA. Als Fachexperte für IT-Ausgliederungsmanagement und Cloud-Services sorge ich dafür, dass diese Dienstleistungen den aufsichtlichen Anforderungen entsprechen. Durch meine Berufserfahrung bin ich sowohl mit den Vorgehensweisen von prüferischen Organen vertraut als auch mit der tatsächlichen End-to-End-Implementierung dieser Anforderungen.

Franz-Ferdinand Müller

Director | Insurance, Capgemini Invent Germany
Seit mehr als dreizehn Jahren bin ich in der Beratungs- und Wirtschaftsprüfungsbranche tätig und unterstütze meine Kunden dabei, regulatorische IT-Anforderungen zu identifizieren und umzusetzen. Dabei habe ich Erfahrung in der Implementierung nationaler (wie GoBD und VAIT) sowie internationaler regulatorischer Anforderungen im Finanzsektor. Ich leite Projekte im Bereich IT-Risikomanagement und Interne Kontrollsysteme in IT-Prozessen, basierend auf COBIT5 und ISO27001. Zudem habe ich Compliance-Funktionen im IT-Ausgliederungsmanagement und bei Cloud-Services aufgebaut, was meinen Kunden erhebliche Vorteile bringt. Durch meinen beruflichen Werdegang bin ich sowohl mit den Vorgehensweisen von prüferischen Organen als auch mit der Umsetzung großer Programme und Projekte vertraut.

    Blog-Updates per Mail?

    Abonnieren Sie unseren Newsletter und erhalten Sie alle zwei Monate eine Auswahl der besten Blogartikel.