AI Act in Kraft getreten – und nun?
Mit dem Artificial Intelligence Act hat die Europäische Union einen verbindlichen Rahmen für alle EU-Länder festgelegt. Im Gastbeitrag stellt Christian Nölke, Principal Consultant bei adesso SE, nicht nur mögliche Anwendungsgebiete Künstlicher Intelligenz für Versicherer vor, sondern zeigt auch 7 Schritte auf, die Versicherer auf dem Weg zur AI Compliance hinter sich bringen müssen.
AI (Artificial Intelligence / Künstliche Intelligenz) ist derzeit das beherrschende Thema der Versicherungsbranche und darüber hinaus. Durch ChatGPT hat AI eine mediale Aufmerksamkeit erlangt, die kaum zu übersehen ist. Für Versicherungsunternehmen gibt es eine Fülle von Anwendungen, bei denen AI eingesetzt werden kann:
Anzeige
- Sortierung und Kategorisierung des Posteingangs
- Unterstützung bei Textformulierung und Datenanalyse
- Automatisierte Prüfung und Bearbeitung von Rechnungen, Schadensmeldungen, Neu- und Änderungsanträgen
- Hilfe bei der Entwicklung neuer Tarife und Produkte
Auch die Europäische Union hat sich des Themas inzwischen angenommen. Zeitweise wurde über Referentenentwürfen von über 500 Seiten gebrütet, herausgekommen ist ein Gesetzeswerk von immerhin 144 Seiten.
Am 21. Mai 2024 hat der Ministerrat der EU den AI Act beschlossen, am 12. Juli 2024 wurde er unter der Nummer „2024/1689“ veröffentlicht.
Bei so einem umfangreichen Werk stellen sich Versicherungsunternehmen viele Fragen: Was ist die sinnvollste Vorgehensweise? Wie gehen wir mit unseren bereits bestehenden AI-Systemen um? Welche Maßnahmen sind zu ergreifen, um AI wirtschaftlich aber auch compliant nutzen zu können? Und kann man so in der EU AI überhaupt noch sinnvoll nutzen?
Die letzte Frage kann man klar mit „Ja“ beantworten. Die EU schafft durch den AI Act einen verbindlichen Rahmen für alle EU-Länder. Gerade Versicherungsunternehmen, die in mehreren Ländern agieren, erhalten so Klarheit. Statt vieler nationaler Regelungen befolgen sie einheitliche Vorschriften. Sie wissen, was geht und was nicht, und das über den ganzen Binnenmarkt weitgehend einheitlich. Das ist ein Vorteil, der trotz des Umfangs von EU-Verordnungen schon seit der Datenschutz-Grundverordnung (DSGVO) und dem Digital Operational Resilience Act (DORA) vorhanden ist und sich im AI Act fortsetzt.
Aber welche Vorgehensweise ist zielführend?
Schritt 1: AI Act kennenlernen
Wie die meisten EU-Regularien ist auch der AI Act umfangreich. 144 Seiten wollen gelesen, analysiert, strukturiert und verstanden werden. Nicht jeder Artikel ist für jede Zielgruppe relevant, einige richten sich nur an kontrollierende Behörden oder an staatliche Stellen.
Bei EU-Regularien ist zudem besonders, dass Erwägungsgründe Teil des Gesetzeswerkes sind und immer mitbetrachtet werden müssen. Sie dienen dazu, Artikel besser zu verstehen und richtig auslegen zu können.
Besonderes Augenmerk sollten Versicherungsunternehmen auf Anhang III legen. Hier findet sich die Liste der Systeme, die durch den AI Act von vornherein als „Hochrisiko-KI-Systeme“ definiert sind. Dies sind beispielsweise Systeme „für die Risikobewertung und Preisbildung in Bezug auf natürliche Personen im Fall von Lebens- und Krankenversicherungen“, aber auch Systeme „für die Einstellung … natürlicher Personen … insbesondere um gezielte … Bewerbungen zu sichten oder zu filtern und Bewerber zu bewerten“. Das erste Beispiel dürfte bei vielen Versicherungsunternehmen in der Planung liegen, und auch eine AI-gestützte Vorauswahl von Bewerbern ist bei Unternehmen ein Wunsch der Personalabteilungen.
Schritt 2: AI Register & Inventur
AI in Versicherungsunternehmen ist keine Neuheit. Schon länger beschäftigen sich Fachbereiche und IT mit diesem Thema, auch haben Softwarehersteller und Dienstleister Produkte im Angebot, die der sehr weiten Definition von AI nach Art. 3 entsprechen. Hier ist eine Inventur nötig. Soweit nicht bereits geschehen sind alle Systeme, die eine Form der AI enthalten, in ein AI Register einzutragen. Ebenso sind alle Services von Drittanbietern mit AI hier aufzulisten. Weiterhin ist ein Überblick zu schaffen, in welchen laufenden oder geplanten Projekten Formen von AI evaluiert werden.
Schritt 3: AI Strategie
Für Versicherungen empfiehlt es sich, analog zur IT-Strategie und zur DORA-Strategie eine AI Strategie auszuformulieren. Diese sollte wie andere Strategien auch aus der Geschäftsstrategie abgeleitet sein. All diese Strategien sind konsistent zueinander und verfolgen einen risikobasierten Ansatz.
Versicherungsunternehmen sollten das Prinzipienpapier „Big Data und künstliche Intelligenz: Prinzipien für den Einsatz von Algorithmen in Entscheidungsprozessen“ der BaFin berücksichtigen. Dies ist zwar schon drei Jahre alt, beinhaltet aber viele sinnvolle Ansätze.
Weiterhin sollten Versicherungsunternehmen ein Framework wie TrustworthyAI nutzen. Es bietet einen ganzheitlichen Ansatz, der wesentliche Aspekte der Einführung enthält. AI im Unternehmen großflächig einzuführen ist mehr als eine bloße technische oder regulatorische Aufgabe. Es ist ein Change des Business und der Arbeitsweise. AI ist mehr als ein effizienter Algorithmus, sie kann ein Partner sein, mit dem Kunden, Mitarbeiter und Geschäftspartner interagieren.
Schritt 4: Prozesse & Vorgaben
Abgeleitet aus der AI Strategie erfolgt die Umsetzung in konkrete Prozesse und Vorgaben. Für die Eigenentwicklung sind Checks und Dokumentationspflichten in Projektantrags- und Portfolio-Prozessen, in Architekturvorgaben und Betriebshandbüchern zu verankern.
Für Softwareeinkauf und Services von Dienstleistern sind ebenfalls diese Checks und Dokumentationspflichten in den entsprechenden Auswahl- und Einkaufsprozessen festzulegen. Verantwortlichkeiten und Rollen sind zu definieren und zu besetzen.
Bei diesen Prozessen sollten insbesondere Gremien und Funktionen wie Betriebsrat, Datenschutz, operatives Risikomanagement, IT-Risikomanagement, Unternehmensarchitektur, Compliance und Recht nicht vergessen werden.
Schritt 5: Blueprints
Schließlich sind im fünften Schritt Prozesse und Vorgaben mit Leben zu füllen. AI Systeme sind in Risikoklassen zu kategorisieren, dies benötigt klare Kriterien zur Einstufung. Sie sind im Unternehmen einheitlich abzustimmen und anzuwenden. Abhängig von den Risikoklassen werden Sollmaßnahmenkataloge erstellt, die für ein System der entsprechenden Klasse abzuarbeiten und zu implementieren sind.
In diesem Schritt hat es sich bei Regularien wie der DSGVO und DORA bewährt, mit Blueprints zu arbeiten. Beispielhafte Systeme der unterschiedlichen Risikoklassen werden unter Mitwirkung aller beteiligten Gremien und Funktionen mustergültig beschrieben und ausgeführt. Diese Muster werden in Zukunft bei gleichgelagerten Systemen adaptiert. Sollte hierbei festgestellt werden, dass Blueprints nicht passen, führt dies zur Anpassung und Optimierung.
Wichtig ist, Projekte nicht allein zu lassen. Compliance bietet keinen direkten Wettbewerbsvorteil, aber nur Unternehmen mit Compliance bleiben im Wettbewerb.
Schritt 6: Umsetzung für aktuellen Stand
Danach müssen alle Systeme, Projekte, Vorhaben und Services, die im 2. Schritt identifiziert wurden, nach den festgelegten Regeln klassifiziert, bewertet und dokumentiert werden. Diese notwendige Arbeit bietet die Chance, zeitnah Prozesse und Vorgaben sowie Blueprints zu validieren.
Schritt 7: Rechtsumfeldbeobachtung & Risikomanagement
Schließlich gehen im letzten Schritt die Maßnahmen zum AI Act in den Betrieb über. Für neue Eigenentwicklung, Fremdbezüge oder Services greifen die Prozesse, Verantwortlichkeiten, Dokumentationspflichten und das Risikomanagement.
Parallel erfolgt die Rechtsumfeldbeobachtung. Wie bei der DSGVO oder der DORA ist fortlaufend mit Input der Aufsichtsbehörden und anderer staatlicher Stellen zu rechnen. Es gibt erste Ergebnisse aus Prüfungen der Aufsichtsbehörden sowie aus Gerichtsurteilen. Hier ist die eigene AI Strategie, Risikoklassifikation, Dokumentation usw. zu prüfen. Eventuell gibt es Anpassungsbedarf.
Zusammenfassung: Rechtzeitig und entschlossen handeln!
Der AI Act ist da. Viele hätten sich die Regelung anders gewünscht, in welche Richtung auch immer, aber zumindest ist die Zeit der Unsicherheit vorbei. Es bleibt Zeit zur Umsetzung, aber auch die ist kurz. Zeit, die man am Anfang nicht nutzt, bekommt man später nicht doppelt dazu. Also ist zügiges Handeln angesagt.
Gleichzeitig gilt es aber, das Umfeld im Auge zu behalten. So ist noch unklar, welche Behörde in Deutschland die Aufsicht übernehmen wird. Erst dann ist mit offiziellen Handlungsanweisungen zu rechnen. Allerdings können Versicherungsunternehmen ihre Erfahrung aus DSGVO und DORA nutzen.
AI bietet Versicherungsunternehmen Chancen auf innovative Werkzeuge und Produkte. Es gilt, den Change im Unternehmen aktiv zu gestalten, die Mitarbeiter auf dem Weg mitzunehmen und die Compliance sicherzustellen.
Anzeige