Die BaFin ermutigt Versicherer ausdrücklich zum Einsatz von Künstlicher Intelligenz. Gleichzeitig macht BaFin-Exekutivdirektorin Julia Wiens klar, wo die roten Linien verlaufen. Warum Vertrauen, Fairness und Governance über den Erfolg von KI entscheiden, erklärt die Aufseherin auch im Rahmen der Messe insureNXT.
Frau Wiens, Künstliche Intelligenz gilt als Schlüsseltechnologie für Effizienz, Risikoanalyse und Kundeninteraktion in der Versicherungswirtschaft. Wie steht die BaFin dem Einsatz von Künstlicher Intelligenz gegenüber?
Julia Wiens: Wir stehen dem Einsatz innovativer Technologien und speziell dem Einsatz Künstlicher Intelligenz (KI) positiv gegenüber. Moderne und zukunftsfähige Unternehmen kommen an KI nicht mehr vorbei. Daher ermutigen wir die Versicherer dazu, KI einzusetzen und die Chancen von KI zu ergreifen – für sich selbst und insbesondere auch für die Verbraucherinnen und Verbraucher. Anwendungsfelder sehen wir beispielsweise in der Leistungsbearbeitung oder im Kundenservice. Hier geht es in erster Linie um schnellere, effizientere Anwendungen zur Optimierung interner Prozesse und zur Kostenreduktion. Damit sollte es die Branche aber nicht bewenden lassen. Wir sehen auch Anwendungsfelder über die reine Prozessautomatisierung hinaus, etwa in der Außenkommunikation, im Wissensmanagement und in Kontrollfunktionen wie der Revision
Die Versicherungsbranche steht im besonderen Vertrauensverhältnis zu ihren Kund*innen. Welche Anforderungen stellt die BaFin an Versicherungsunternehmen, wenn KI-basierte Systeme Entscheidungen etwa zur Risikoprüfung, Tarifierung oder Schadenregulierung treffen?
Julia Wiens: Uns ist wichtig, dass einzelne Verbraucherinnen und Verbraucher durch den Einsatz von KI-Systemen nicht benachteiligt werden. Um eine mögliche Diskriminierung durch fehlerhafte oder nichtrepräsentative Trainingsdaten zu verhindern, ist die Datenqualität von entscheidender Bedeutung. Die KI-Verordnung sieht beispielsweise vor, dass Versicherer gezielt Fairness-Metriken einsetzen, um systematische Benachteiligungen einzelner Verbrauchergruppen frühzeitig zu erkennen. Ebenso wichtig ist ein tiefgreifendes Modellverständnis: Nur wenn die Funktionsweise und die Logik hinter den KI-Entscheidungen nachvollziehbar sind, lässt sich sicherstellen, dass keine diskriminierenden Muster entstehen und die Ergebnisse fair bleiben. Wichtig ist außerdem, dass die Unternehmen für alle eingesetzten KI-Systeme ein angemessenes Risikomanagement sowie eine adäquate Governance-Struktur sicherstellen. Und diese, falls erforderlich, auch weiterentwickeln und anpassen. Die Governance muss alle aufsichtlich relevanten Risiken erfassen und alle einschlägigen gesetzlichen sowie regulatorischen Vorgaben beinhalten. Das ist die klare Verantwortung der Unternehmen. Im Übrigen gelten für KI-Systeme die gleichen Regeln und Anforderungen, wie für andere IT-Systeme auch. Dies betrifft insbesondere die Erklärbarkeit, die Nachvollziehbarkeit und die Transparenz der Systeme – und zwar abhängig davon, wie stark die jeweiligen Systeme relevante Entscheidungen des Unternehmens beeinflussen.
KI-Systeme können potenziell neue Risiken für Marktstabilität oder IT-Sicherheit mit sich bringen. Wie passt die BaFin ihre Aufsichtspraxis an, um solche technologischen Risiken frühzeitig zu erkennen und die Aufsicht auf neue digitale Geschäftsmodelle vorzubereiten?
Sie sprechen es an: KI-Systeme bringen neue Risiken mit sich. Und sie können bestehende Risiken verstärken. Neben dem Risiko einer möglichen Diskriminierung denke ich da beispielsweise an irreführende Inhalte durch halluzinierende generative KI, IKT- und Cyberrisiken oder an Konzentrationsrisiken durch die Abhängigkeit von großen Tech-Anbietern. Dank DORA haben die europäischen Aufsichtsbehörden nun weitreichende Befugnisse, um kritische IKT-Dienstleister angemessen zu überwachen. Gleichzeitig erwarten wir von den Unternehmen, dass sie alle Risiken und speziell Konzentrationsrisiken antizipieren, bewerten und steuern können – um für den Ernstfall gewappnet zu sein. Als BaFin haben wir uns frühzeitig mit dem Einsatz von KI beschäftigt, um ein praxisgerechtes Aufsichtskonzept zu entwickeln. Wir analysieren fortlaufend die Chancen und Risiken neuer Technologien – aus Sicht der beaufsichtigten Unternehmen und der Verbraucherinnen und Verbraucher, aber auch für die Finanzstabilität insgesamt. Wir halten unser Wissen über neue Technologien und neue Geschäftsmodelle auf dem aktuellsten Stand. Und wir befinden uns im regelmäßigen Austausch mit den Vertreterinnen und Vertretern von Unternehmen und Verbänden, etwa über unseren KI-Roundtable.
Die KI-Verordnung schafft europaweit neue Spielregeln für KI. Wird die Regulierung damit zum Standortvorteil – oder droht sie, Innovation zu bremsen?
Regulierung soll in erster Linie Rechtssicherheit und Vertrauen schaffen. Die KI-Verordnung verfolgt dabei einen risikobasierten Ansatz. Heißt: KI-Praktiken, die ein fundamentales Risiko für die Verbraucherinnen und Verbraucher darstellen, werden verboten. Dazu zählt beispielsweise das Social Scoring, also die Bewertung natürlicher Personen aufgrund ihres Sozialverhaltens. Andere KI-Praktiken, die mit einem hohen Risiko behaftet sind, werden stärker beaufsichtigt. Dabei ist uns eine verhältnismäßige Auslegung der KI-Verordnung wichtig, insbesondere auch eine pragmatische Definition von KI- und Hochrisiko-KI-Anwendungen. Wir setzen uns beispielsweise dafür ein, dass gängige statistische Verfahren wie einfache lineare und logistische Regressionen nicht als Hochrisiko-KI klassifiziert werden. Von den Unternehmen erwarten wir insbesondere, dass Menschen in die Prozesse angemessen eingebunden sind. Denn letztlich haben wir alle dasselbe Ziel: dass die Versicherer durch faire und sichere KI-Systeme einen Nutzen erzielen können – für sich und für ihre Kundinnen und Kunden.
Viele Versicherer sehen in KI nicht nur ein Risiko, sondern auch einen klaren Wettbewerbsvorteil. Welche Rahmenbedingungen braucht es aus Sicht der BaFin, damit deutsche und europäische Versicherer KI verantwortungsvoll, aber auch wettbewerbsfähig einsetzen können?
Wichtig ist aus meiner Sicht, dass die Regulatorik ausbalanciert ist. Für neue Risiken können auch neue Vorgaben sinnvoll sein – aber mit Augenmaß. Mit einer überbordenden Regulierung, die Innovationen erstickt und die Wettbewerbsfähigkeit der deutschen und europäischen Versicherer gefährdet, ist niemandem geholfen. Die KI-Verordnung schafft meines Erachtens einen passenden Rahmen. Sie setzt klare Leitplanken, lässt den Unternehmen innerhalb dieser Leitplanken aber bewusst Handlungsspielraum. Soweit die Risiken beherrschbar bleiben, schränkt die Verordnung den Einsatz von KI nicht ein. Auch Hochrisiko-KI-Systeme sind nicht verboten, unterliegen jedoch strengeren Dokumentationspflichten und einer intensiveren Aufsicht. An der einen oder anderen Stelle sollte die Regulierung noch konkretisiert werden. Es bedarf, wie gesagt, einer präzisen, nicht überbordenden Definition von KI. Auch die Aufsichtszuständigkeiten sollten klarer geregelt werden. Dann bin ich überzeugt, dass die Regulierung einen Mehrwert bietet.
Wenn Sie einen Tag lang die Regeln komplett neu schreiben dürften – was würden Sie bei der Regulierung von Innovationen ändern?
Anstatt die Regeln neu zu schreiben, möchte ich die Unternehmen ermutigen, ihre Innovationskraft innerhalb des bestehenden Rechtsrahmens voll zu entfalten. Das Potenzial ist bereits vorhanden. Sobald Unternehmen mutig vorangehen, werden wir Wege finden, sie auch unter der aktuellen Regulatorik effektiv zu unterstützen. Wir verfügen über ein umfassendes Regelwerk, dessen Erfolg primär von einer angemessenen und lösungsorientierten Anwendung abhängt. Eine Verschlankung und Vereinfachung von Rechtstexten wären langfristig vielleicht die „Kür“. Die eigentliche Priorität liegt aber in der praktischen Umsetzung. Nicht neue Regeln sind der Schlüssel zur Innovation, sondern der Wille, den bestehenden Spielraum zu nutzen. Denn nur innovative Unternehmen werden langfristig wettbewerbsfähig bleiben und sich dauerhaft am Markt behaupten.