Der von der Universität Münster am vergangenen Samstag durchgeführte Tag der Versicherungsjuristen hatte neben verschiedenen rechtswissenschaftlichen Fragestellungen auch aktuelle Themen auf der Agenda. Domenik Wendt, Professor an der Frankfurt University of Applied Sciences, stellte die KI-Verordnung der EU vor.
Danach gibt es eine Menge Anwendungsfelder in Versicherungswirtschaft, in denen Künstliche Intelligenz (KI) eingesetzt werden kann. Das beginnt beim "Inputmanagement", also der Verarbeitung von Schriftwechsel und anderer Kommunikation der Kunden und Vertriebspartner. Weitere wichtige Anwendungsfelder sind das Schadenmanagement, die Risikobewertung, Betrugserkennung, Kundenbetreuung und Vertrieb von Versicherungen.
Wettrüsten beim Betrug mit KI
Im Bereich Betrugserkennung gibt es laut Wendt ein "Wettrüsten". Auf der einen Seite werden mit KI Schadenbilder manipuliert oder erzeugt, auf der anderen Seite Manipulationen untersucht und als Betrug entlarvt. Ein Pluspunkt im Bereich Kundenbetreuung sei die jederzeitige Erreichbarkeit 24/7, und das auch noch in allen Sprachen - die KI-gestützte Spracherkennung macht es möglich. So können ganz neue Serviceerlebnisse der Kunden entstehen.
Wendt zeigte auf, dass die Regulierung der KI keineswegs erst mit dem "KI-Moment", der Veröffentlichung von ChatGPT, begonnen hat. Vielmehr stammen die Vorarbeiten bereits aus dem Jahr 2018. Seit 1. August diesen Jahres ist die KI-Verordnung in Kraft. Das Besondere an ihr sei der horizontale Regulierungsansatz, bei dem alle Branchen erfasst werden. Quer dazu steht der sektorale Regulierungsansatz der Finanzdienstleistungsbranche. Das erschwert auch die Aufsicht über die Umsetzung der KI-Verordnung, weil verschiedene Behörden dafür zuständig sind, wie schon bei der Versicherungsaufsichtskonferenz der BaFin vergangene Woche deutlich wurde.
Leben und Kranken im Fokus
Die KI-Verordnung versucht nicht, bestimmte Tools zu regulieren, sondern Anwendungsbereiche. Dabei gibt es eine Hierarchie von Anwendungsbereichen, die nahezu nicht betroffen sind bis hin zu Verbotsbereichen, beispielsweise dem Einsatz von KI zur Diskriminierung von Menschen. Knapp darunter ist der Bereich der Hochrisiko-KI. Ein solcher Anwendungsbereich ist die Lebens- und Krankenversicherung, wobei die Referenten und Diskutanten des Tages teilweise Unverständnis äußerten, warum nur diese beiden Sparten als besonders problematisch angesehen werden.
Interessant ist, dass die KI-Verordnung ausdrücklich auch darauf setzt, dass die Industrie Normen entwickelt. Dadurch verbindet man die gesetzliche Regulierung mit einer Selbstregulierung derjenigen, die KI-Anwendungen entwickeln und einsetzen. So kann man der Entwicklungsdynamik der KI besser gerecht werden.
Wendt wies darauf hin, dass der Anwendungsbereich weit ist. So werde man schon dadurch als Firma zum "Betreiber" einer KI, wenn man seinen Angestellten beispielsweise die Benutzung des in Microsoft-Produkten integrierten KI-Assistenten Copilot erlaubt. Das sollen auch Versicherungsvermittler beachten. Und wenn Firmen ihre "eigenen" KI-Assistenten entwickeln, zum Beispiel "Firmen-ChatGPTs", können sie sogar zum Entwickler oder Hersteller von KI mutieren. Das hat nach der KI-Verordnung besondere Anforderungen zur Folge.
DORA statt VAIT
Nicht nur KI, sondern Internetanwendungen generell bergen erhebliche Risiken für die Versicherungsbranche, hob Gunbritt Kammerer-Galahn, Partnerin von Taylor Wessing und Fachanwältin für Versicherungsrecht, in ihrem Vortrag hervor. Am 17. Januar 2025 beginnt eine neue Zeitrechnung der Cybersicherheits-Vorgaben, denn dann tritt die bisherige deutsche VAIT (Versicherungsaufsichtliche Anforderungen an die IT) außer Kraft, und der Digital Operational Resilience Act (DORA) ist anzuwenden. Auch dabei handelt es sich um eine europäische Verordnung, mit der die "digitale operationale Resilienz im Finanzsektor" gestärkt werden soll.
Betroffen sind unter anderem Versicherungs- und Rückversicherungsunternehmen, aber auch Versicherungsvermittler, soweit sie mindestens 250 Mitarbeitende und 43 Millionen Euro Jahresumsatz aufweisen.
Sogar Nebenberufler können betroffen sein
Eine Betroffenengruppe sind Kammerer-Galahn zufolge "Vermittler in Nebentätigkeit". Denn dabei handelt es sich oft um große Handelsunternehmen, die nebenbei produktakzessorisch Versicherungen vermitteln. Entgehen können dem nur diejenigen Unternehmen, die die Versicherungsvermittlung in ein selbstständiges Tochterunternehmen ausgegliedert haben, das unter den genannten Größenklassen liegt.
Zu den wesentlichen Anforderungen von DORA gehört ein entsprechendes Risikomanagement. Die Widerstandsfähigkeit (Resilienz) der IT-Systeme gegen Cyber-Angriffe muss getestet werden. Zudem gibt es Verpflichtungen, mit der Aufsicht Informationen zu erkannten Schwachstellen auszutauschen. In diesem Zusammenhang wurde kritisch diskutiert, ob Industrie- und Handelskammern als Aufsichtsbehörden von bestimmten Vermittlern dazu personell in der Lage sein werden.
Über Cyber-Vorfälle muss berichtet werden. Und wenn Drittdienstleister eingesetzt werden, müssen die Cyber-Risiken aus diesem Bereich ebenfalls gemanagt und überwacht werden. Kammerer-Galahn kritisierte, dass die Europäischen Aufsichtsbehörden selbst noch säumig sind mit der Umsetzung von DORA, denn die entsprechende Plattform zur Organisation der Berichterstattung ist noch nicht betriebsbereit.
Autor(en): Matthias Beenken
