EU AI Act für Versicherungsvermittler: Welche KI gilt als Hochrisiko?
Der Unterschied zwischen Kundenservice-Automatisierung und KI zur Risikobewertung oder Preisgestaltung bei Lebens- und Krankenversicherungen.
Mit dem Verwendungszweck beginnen
Für Versicherungsvermittler ist nicht entscheidend, ob ein Anbieter KI verwendet. Entscheidend sind Zweck, verwendete Informationen und die Frage, ob das Ergebnis eine Entscheidung über eine Person beeinflusst. Der AI Act ist risikobasiert; die DSGVO regelt weiterhin personenbezogene Daten.
Ein enger Kommunikationsablauf kann Wiederholungsarbeit reduzieren, ohne zu einer versteckten Entscheidungsmaschine zu werden. Das breite Versprechen, einen Prozess zu automatisieren, kann sehr unterschiedliche rechtliche und operative Folgen verdecken.
Wo die Hochrisiko-Grenze liegen kann
Der AI Act stuft KI zur Risikobewertung und Preisgestaltung für natürliche Personen bei Lebens- und Krankenversicherungen als Hochrisiko ein.
Zeitplan und Leitlinien entwickeln sich weiter. Organisationen sollten den konkreten Einsatz klassifizieren, Annahmen dokumentieren und aktuelle Rechtsberatung einholen, statt sich auf Produktbezeichnungen oder alte Checklisten zu verlassen.
Einen engen operativen Umfang gestalten
Trennen Sie Kundenaufnahme und Terminbuchung von Underwriting, Anspruchsprüfung, individueller Risikobewertung und Prämienempfehlungen.
Ein Assistent kann die Versicherungskategorie erkennen und einen Beratertermin buchen. Er sollte keine persönliche Risikoklasse berechnen, sofern dieser Einsatz nicht bewusst gesteuert wird.
Die DSGVO gilt weiterhin
Die Einordnung nach AI Act ersetzt keine DSGVO-Analyse. Zweck, Rechtsgrundlage, Datenminimierung, Transparenz, Aufzeichnung, Aufbewahrung, Zugriff, Auftragsverarbeiter, Transfers, Sicherheit und Betroffenenrechte müssen geklärt werden. Sprache und Freitext können mehr Daten erfassen als Formulare.
Fragen sollten auf das Minimum für den nächsten Schritt begrenzt sein. Bei sensiblen Daten sind engere Zugriffe, passende Aufbewahrung und getestete menschliche Übergabe nötig. Aufzeichnung ist eine bewusste Einstellung, kein Standard.
Fragen für den Einkauf
Einkäufer bei Versicherungsvermittler sollten nach Zweck, verbotenen Nutzungen, Datenfeldern, Modell- und Infrastrukturanbietern, Speicherorten, Logs, Monitoring, Vorfällen und menschlicher Aufsicht fragen. Wichtig ist auch das Verhalten bei Unsicherheit, Widerspruch oder Gesprächen außerhalb des Umfangs.
Verträge müssen zur realen Leistung passen. Rollen als Anbieter, Betreiber, Verantwortlicher und Auftragsverarbeiter sind anhand der tatsächlichen Kontrolle festzulegen. Der Begriff „konforme Plattform“ klärt diese Rollen nicht.
Ein praktischer Implementierungsweg
Beginnen Sie mit wenigen wiederholbaren Szenarien und einer schriftlichen Entscheidungstabelle. Legen Sie erlaubte Aktion, Daten, Verantwortliche, Eskalationsauslöser und maximale Reaktionszeit fest. Testen Sie normale, unklare, abgelehnte, mehrsprachige und dringende Fälle.
Die sicherste und wirtschaftlich sinnvollste Automatisierung beschleunigt Routinekommunikation und belässt folgenreiche Entscheidungen beim Menschen. Diese Grenze muss in Produkt, Vertrag, Schulung und Betrieb sichtbar sein.