Ein Interview mit Gunter Lescher. Spätestens seit der Einführung von ChatGPT haben die meisten Menschen eine Ahnung, welches Potenzial Künstliche Intelligenz (KI) birgt und was KI-Systeme bereits können und künftig noch leisten werden. Neben den Chancen wird aber auch viel über die Risiken diskutiert, die mit der Nutzung von KI-Anwendungen einhergehen. Der EU AI Act will diese Gefahren eindämmen. Was das weltweit erste KI-Gesetz für die Compliance-Funktion von Versicherungsunternehmen bedeutet, erläutert Gunter Lescher im Interview.
Gunter Lescher ist Partner im Bereich Forensic Services bei PwC Deutschland. Der Experte für Compliance und Wirtschaftskriminalität hat sich auf die Aufdeckung, Aufklärung und Prävention von Fraud insbesondere in der Versicherungsbranche und bei mittelständisch geprägten Unternehmen spezialisiert.
Können Sie kurz beschreiben, worum es beim EU AI Act im Kern geht?
Gunter Lescher: Der EU AI Act ist das weltweit erste KI-Gesetz. Die Gesetzesinitiative der Europäischen Union zielt darauf ab, die Entwicklung und Nutzung von KI-Systemen zu regulieren. So sollen Unternehmen die Chancen nutzen können, die mit KI einhergehen. Gleichzeitig will das Gesetz aber auch die damit verbundenen Gefahren eindämmen. Der EU AI Act sieht vor, KI-Systeme nach ihrem Risikograd zu klassifizieren und führt entsprechende risikoorientierte Vorgaben für Sicherheit, Transparenz und Nichtdiskriminierung ein. Das Gesetz betrifft alle Anbieter und Nutzer von KI-Systemen, die in der EU tätig sind – also auch Versicherungsunternehmen. Das Gesetz wurde im Mai 2024 verabschiedet und wird ab Mai 2026 gelten.
Wie erfolgt die Klassifizierung der KI-Systeme?
Lescher: Das Gesetz stuft KI-Systeme, wie beispielsweise maschinelles Lernen und generative KI-Systeme, in verschiedene Risikoklassen ein. Diese Einstufung reicht von unzulässigen KI-Systemen bis zu KI-Systemen, die lediglich ein geringes oder gar kein Risiko aufweisen. Je nachdem, in welche Kategorie ein System fällt, müssen Unternehmen bestimmte Governance- und Compliance-Anforderungen sowie -Verpflichtungen erfüllen.
Was bedeutet das konkret für Unternehmen aus der Versicherungsbranche?
In der Versicherungsbranche liegt ein besonderes Augenmerk im Rahmen des EU AI Acts auf Bereichen, in denen sensible personenbezogene Daten verarbeitet werden. Hierzu gehören insbesondere Lebens- und Krankenversicherungen.
Lescher: Es ist zu erwarten, dass KI-Systeme, die zur Preisgestaltung und Risikobewertung eingesetzt werden, den streng regulierten Hochrisiko-KI-Systemen zugeordnet werden. Es geht hier zum Beispiel um Systeme, die Schäden automatisch erkennen und regulieren oder KI-Lösungen, die auf der Basis von Natural Language Processing und Text Mining eine Risikobewertung vornehmen. Aber auch personalisierte und individualisierte Versicherungsangebote fallen möglicherweise unter die KI-Systeme mit hohem Risiko, für die die Unternehmen künftig besonders strenge Compliance-Vorschriften erfüllen müssen. Für Versicherer ist es daher wichtig, das Thema frühzeitig auch aus Governance- und Compliance-Sicht zu beleuchten.
Welche Anforderungen müssen Versicherer erfüllen, wenn sie diese mit hohem Risiko assoziierten Systeme weiterhin nutzen wollen?
Lescher: Versicherungsunternehmen müssen im Rahmen von Produktüberwachung und -Governance belegen, dass sie verantwortungsvoll und fair mit Kundendaten umgehen. Insbesondere bei KI-Systemen mit hohem Risiko müssen sie die Konformität des Systems auch von externer Stelle bewerten lassen und analysieren, ob das System die Grundrechte einschränkt.
Kurzum: Sie müssen sicherstellen, dass ihre KI-Systeme ethisch, transparent und gesetzeskonform sind.
Sie haben Fragen?
Kontaktieren Sie unsere Versicherungs- und KI-Expert:innen
Was raten Sie Versicherungsunternehmen, wie sie sich am besten auf die Umsetzung des EU AI Acts vorbereiten?
Lescher: Versicherer kommen nicht umhin, eine effektive KI-Governance aufzubauen und das Thema in ihr Compliance-Framework einzubetten. Nur so sind sie in der Lage, die Chancen von KI-Systemen auszuschöpfen und gleichzeitig das Kundenvertrauen zu stärken sowie Reputations- und Sanktionsrisiken vorzubeugen.
Die Anforderungen an die KI-Governance sind dabei sehr vielfältig: von Aufbewahrungs- und Meldepflichten über die Bewertung der Konformität und die technische Dokumentation bis hin zur Integration in das Risiko- und Qualitätsmanagement-System.
Was sind die Folgen, wenn ein Unternehmen gegen diese Vorschriften verstößt?
Lescher: Bei Verstößen gegen den EU AI Act drohen empfindliche Sanktionen. Die Bußgelder hängen davon ab, wie schwer der Verstoß ist. Beim Einsatz unzulässiger KI-Systeme drohen beispielsweise Strafen bis zu 35 Millionen Euro oder sieben Prozent des gruppenweiten Jahresumsatzes. Aber auch falsche Angaben können mit Bußgeldern in mehrstelliger Millionenhöhe sanktioniert werden. Nicht zuletzt können Aufsichtsbehörden anordnen, dass nicht-konforme KI-Systeme vom Markt genommen werden.
Wie unterstützen Sie mit Ihrem Team Versicherer dabei, sich auf den EU AI Act vorzubereiten?
Lescher: Wir unterstützen Versicherer sowohl vor als auch nach dem Inkrafttreten des Gesetzes und insbesondere in der Übergangsphase. Im Vorfeld analysieren wir den Status quo der KI-Governance im Unternehmen. In diesem Rahmen verschaffen wir uns mit unseren Kunden gemeinsam einen Überblick über ihre Aufbau- und Ablauforganisation. Dies umfasst beispielsweise die Analyse vorhandener Richtlinien, die Überprüfung der Datenschutzkonformität von KI-Systemen oder die Überprüfung etablierter Compliance-Überwachungsmaßnahmen. Auf dieser Basis leiten wir Handlungsbedarfe ab, um die Governance- und Compliance-Anforderungen vollumfänglich einzuhalten. Zudem erstellen wir ein passgenaues Zielbild für eine angemessene KI- und Compliance-Governance. In der Übergangsphase erarbeiten wir gemeinsam mit unseren Kunden Maßnahmen, um das Zielbild für die KI-Governance und Compliance umzusetzen und die KI-Strategie zu realisieren. Zu unseren Services gehört zum Beispiel, dass wir Versicherer bei der Ausarbeitung geeigneter Schulungsmaßnahmen für involvierte Stakeholder in Bezug auf Compliance-Anforderungen im Zusammenhang mit KI-Nutzung unterstützen. Zudem unterstützen wir auch bei der Implementierung von geeigneten Risikoanalyse- und Überwachungsverfahren. Dabei legen wir ein besonderes Augenmerk darauf, dass Synergien aus vorhandenen Compliance-Prozessen und -Kontrollen optimal genutzt werden und dass eine Einbettung in das bestehende Compliance-Framework erfolgt. Nach dem Inkrafttreten des EU AI Acts unterstützen wir Versicherer bei der Integration der KI-Governance in die Compliance-Risikoanalyse, der Überwachung der umgesetzten Governance- und Compliance-Maßnahmen sowie bei der Ableitung von kontinuierlichen Optimierungspotenzialen.
Die Compliance-Anforderungen bereichsübergreifend sicherzustellen, stellt viele Versicherungsunternehmen vor Herausforderungen, bei denen wir Sie als Compliance-Funktion unterstützen.
Follow us
Contact us
