Besonderes Augenmerk müssen Versicherer auch auf den Datenschutz legen. Der AI Act ergänzt die DSGVO, aber ersetzt sie nicht. Jeder Verarbeitung von personenbezogenen Daten mit KI-Systemen muss den DSGVO-Prinzipien entsprechen (Rechtmäßigkeit, Zweckbindung, Datenminimierung, Transparenz, Sicherheit). Der AI Act fügt diesen Anforderung weitere Datenschutz-Pflichten hinzu.
Möchte ein Versicherer beispielsweise ein KI-Modell für Schadenklassifizierung mit Kundendaten trainieren, verlangt der AI Act zusätzlich von ihm, dass die Trainingsdaten repräsentativ und frei von Bias sind. Zudem muss er die Quellen und die Qualität der Daten dokumentieren. Wenn ein Versicherer Kundendaten mit einem Hochrisiko-System verarbeiten will, etwa einer Anwendung für Risikoprüfung oder Pricing, muss er dafür sorgen, dass das System keine diskriminierenden Ergebnisse nach sensiblen Merkmalen produziert.
Zusätzliche Datenschutz-Anforderungen ergeben sich auch beim Einsatz von GPAI. Möchte ein Versicherer beispielsweise für einen Chatbot eine GPAI in Kombination mit Kundendaten nutzen, muss er prüfen, ob der Anbieter der GPAI diese Daten für das Weitertraining seines Modells nutzt und sich dann gegebenenfalls die Einwilligung seiner Kunden einholen. Nicht zuletzt ist er auch dafür verantwortlich, dass die Integration der GPAI keine Risiken wie Datenlecks erzeugt.
Wie gehen Versicherer am besten vor?
Die ersten Regelungen des AI Act sind bereits in Kraft. So dürfen inzwischen beispielsweise keine verbotenen KI-Systeme mehr eingesetzt werden. Die entscheidende Deadline für KI im Versicherungsbetrieb ist aber der 2. August 2026. Ab diesem Tag werden die meisten Bestimmungen anwendbar: Hochrisiko-Systeme benötigen die CE-Kennzeichnung und die Transparenzpflichten beispielsweise bei Chatbots müssen umgesetzt sein. Die Anbieter- und Betreiberpflichten greifen vollständig.
Die vielen unterschiedlichen Anforderungen des AI Act machen es notwendig, dass Versicherer sehr genau prüfen, welche davon für ihre KI-Systeme gelten. Folgender Fahrplan kann ihnen dabei helfen, Compliance herzustellen:
- KI-Inventar erstellen. Die Erfassung aller KI-Systeme inklusive Zweck und Version ist eine gute Ausgangsbasis.
- Rollen und Risiken klären. Anschließend können Versicherer für jedes System die eigene Rolle klären (Anbieter/Betreiber) und Hochrisiko-Anwendungen priorisieren.
- Gap-Analyse durchführen. Um zu ermitteln, welche konkreten Maßnahmen erforderlich sind, sollte geprüft werden, ob für die Systeme alle Pflichten erfüllt sind (Dokumentation, menschliche Aufsicht, Transparenz) beziehungsweise wo es noch Lücken gibt.
- Lücken schließen. Auf Basis der Gap-Analyse können Versicherer dann gezielt tätig werden. Wenn erforderlich, müssen fehlende Dokumentationen und ein fehlendes Risikomanagement aufgesetzt werden. Zudem sollten sie Prozesse für Incident-Meldungen und die CE-Kennzeichnung einführen.
- Governance und Verträge anpassen. Am besten legen Versicherungen in Rollenswitch-Klauseln fest, was passiert, wenn sie durch Anpassungen an KI-Systemen zu Anbietern werden. Die Klauseln sollten klare Verantwortlichkeiten und Pflichten festlegen. Von Anbietern externer Systeme sollten sie sich vertraglich garantieren lassen, dass sie alle AI-Act-Pflichten erfüllen und Änderungen melden. Nicht zuletzt müssen sie KI-Governance in ihre Compliance-Strukturen integrieren und ihr Management entsprechend schulen.
Der AI Act markiert für Versicherer einen Wendepunkt, der weit über technische Anpassungen hinausgeht. Wer die Anforderungen frühzeitig adressiert, schafft nicht nur Rechtssicherheit, sondern legt auch die Basis für vertrauenswürdige KI – und stärkt damit seine Reputation besonders im sensiblen Versicherungsumfeld.