Der EU AI Act stellt Versicherer vor umfassende Anforderungen beim Einsatz von Künstlicher Intelligenz. Bestimmte Anwendungsfälle gelten als unannehmbares Risiko und sind verboten und Hochrisiko-KI-Systeme unterliegen strengen Vorgaben: Diese reichen von der Pflicht zur systematischen Risikobewertung über transparente Dokumentation und Nachvollziehbarkeit der Entscheidungen bis hin zu regelmäßigen Monitoring- und Meldepflichten.

Anzeige

Die Europäische Versicherungsaufsicht (European Insurance and Occupational Pensions Authority, EIOPA) erhöht den Compliance-Druck weiter. In ihrer „Opinion on AI Governance and Risk Management“ vom August 2025 fordert sie für KI-Systeme, die weder verboten noch als Hochrisiko-Systeme eingestuft sind, klare Verantwortlichkeiten, eine dokumentierte AI Policy, Data Governance, menschliche Aufsicht, Fairness, Robustheit und Cybersicherheit. Die Maßnahmen müssen dabei jeweils dem konkreten Risiko eines Use Case entsprechen. Diese Opinion schafft zwar keine neuen Bindungspflichten, formuliert aber klare Erwartungen der Versicherungsaufsicht.

Compliance allein reicht nicht aus

Am Thema AI Governance kommen Versicherer also nicht vorbei. Wer KI einsetzen möchte – und das wollen und müssen alle, um wettbewerbsfähig zu bleiben – muss alle gesetzlichen Pflichten erfüllen. Compliance allein reicht jedoch nicht aus. Um KI auch tatsächlich als strategischen Wettbewerbsvorteil zu nutzen, ist eine AI Governance erforderlich, die über die reine Erfüllung von Regularien hinausgeht. Sonst darf KI zwar genutzt werden, aber es besteht die Gefahr, im „Pilot Purgatory“ zu verharren, sprich: mit seinen KI-Projekten nicht über die Pilotphase hinauszukommen.

So kommt die „Build for the Future 2024 Global Study“ der Boston Consulting Group zu dem Ergebnis, dass bisher nur rund sieben Prozent der Versicherer KI über Pilotprojekte hinaus skaliert haben. 93 Prozent ist es also nicht gelungen, Künstliche Intelligenz in organisationsweite, wertschöpfende Lösungen umzuwandeln. Eine zentrale Ursache dafür ist oft eine fehlende Gesamtstrategie. Das Muster ist dabei meist dasselbe: Eine Fachabteilung erhält den Auftrag, einen KI-Use-Case zu entwickeln, die IT baut pragmatisch einen Prototyp, der Pilot funktioniert – aber der nächste Schritt ist nicht definiert. Governance kommt erst als Nachkontrolle statt als Enabler. Wie McKinsey in seinem Report “The future of AI in the insurance industry” feststellt, testen viele Versicherer KI in isolierten Einzelprojekten, statt sie gezielt für geschäftskritische Transformationen einzusetzen.

Damit werden die potenziellen Wettbewerbsvorteile von KI verschenkt. Dass diese zweifellos vorhanden sind, demonstrieren Vorreiter, die eine hohe KI-Reife aufweisen. Die Marktforschungs- und Benchmark-Organisation Evident Insights untersuchte für ihren „Evident AI Insurance Index (Special Edition 2025)” rund 30 große Versicherer – und fand heraus, dass diejenigen mit einer hohen Reife messbare Verbesserungen bei Produktivität, Prozessgeschwindigkeit, Kosten und Kundenerlebnissen erzielen. Die finanziellen Auswirkungen sind erheblich: Branchenanalysen zeigen, dass KI-Leader einen bis zu 6,1-fach höheren Total Shareholder Return erzielen als Nachzügler. Im operativen Geschäft verbessert KI-gestützte Betrugserkennung die Combined Ratio um rund einen Prozentpunkt, KI-gestütztes Underwriting die Loss Ratio um bis zu drei Prozentpunkte.

Was diese Vorreiter gemeinsam haben: Sie betrachten KI nicht als Technologieprojekt, sondern als Unternehmenstransformation und steuern ihre Einführung entsprechend. Sie bewerten ihre KI-Use Cases konsistent hinsichtlich Kosten und Nutzen, verfolgen ihre Auswirkungen auf das Geschäft nach und können ihnen einen direkt quantifizierten finanziellen Wert zuordnen. Ein Beispiel: Die Allianz, im Evident AI Insurance Index auf Platz 2, steuert ihre KI-Initiativen über ein AI Value Canvas und eine Data Value Metric. Mit ihnen bewertet sie jeden Use Case auf seinen finanziellen Beitrag hin – bei mittlerweile rund 400 Generative-AI-Anwendungen. Das zeigt: Um die Vorteile von KI auch tatsächlich zu realisieren, benötigen Versicherer ein AI Operating Model – ein internes „Betriebssystem für KI“.

Rahmenwerk aus Rollen, Prozessen, Policies und Technik

Ein AI Operating Model beschreibt ein Rahmenwerk aus Rollen, Prozessen, Policies und technischen Elementen, das definiert, wie man als Unternehmen KI betreiben möchte und ermöglicht es, KI über den gesamten Lebenszyklus hinweg zu steuern. Ein solches Modell wird nicht von der Regulatorik vorgeschrieben, aber davon geprägt. Der EU AI Act und die Opinion der EIOPA definieren die Mindestanforderungen, das Operating Model geht aber darüber hinaus: Es regelt auch kommerzielle Priorisierung, ROI-Messung, Skalierungsstrategie und Ressourcen-Allokation.

Ein vollständiges AI Operating Model für Versicherer umfasst vier zentrale Bausteine:

Governance-Organe. Ein AI Governance Committee agiert als strategisches Gremium und setzt die Leitplanken. Use-Case-nahe AI Review Boards fungieren dagegen als operative Gremien und treffen konkrete Einzelfallentscheidungen.

Lifecycle-Prozesse. Sie steuern den Lebenszyklus von KI-Anwendungen Ende zu Ende: von der Ideenfindung bis hin zur Stilllegung. Die Prozesse definieren Quality Gates und Dokumentationsanforderungen für jeden Übergang von einer Lebenszyklus-Phase in die nächste.

Model Inventory und Risk Tiering. Ein zentrales Register verzeichnet sämtliche KI-Systeme und klassifiziert sie nach den Kategorien des EU AI Act sowie versicherungsspezifischen Risikokriterien (z. B. Automatisierungsgrad oder Einfluss auf Prämien- und Leistungsentscheidungen).

KPI-Framework. Dieses Rahmenwerk ermöglicht eine mehrdimensionale ROI-Messung von KI-Use-Cases mit mehreren Spitzenkennzahlen wie Combined Ratio/Loss Ratio, Straight-Through Processing, Time-to-Decision, Net Promoter Score und Underwriter-Override-Rate.

Wer entscheidet was?

Das AI Governance Committee ist idealerweise auf Geschäftsführungsebene angesiedelt und trifft Grundsatzentscheidungen: Welche KI-Prinzipien gelten? Welche Use Cases werden priorisiert? Wie wird das Operating Model weiterentwickelt? Dieses Gremium ist darüber hinaus auch der natürliche Ort für die regulatorische Gesamtverantwortung, also die Compliance mit den Anforderungen des EU AI Act und der EIOPA. Es überwacht diese Compliance aber nicht operativ, sondern stellt sicher, dass die erforderlichen Prozesse dafür existieren.

Die AI Review Boards treffen dagegen konkrete Entscheidungen für einzelne Use Cases: Darf dieses KI-Modell in Produktion? Ist das Risk Tiering korrekt? Ist die erforderliche menschliche Aufsicht gewährleistet? Die Review Boards sichern die eigentliche Compliance pro System und prüfen, ob eine KI-Anwendung die Anforderungen des jeweils aktuellen Quality Gates erfüllt und deshalb für die nächste Stufe ihres Lebenszyklus freigegeben werden kann.

In den AI Review Boards sollten einige Kernrollen immer vertreten sein. Dazu zählen AI/Model Risk Manager, die die technische Robustheit, Drift-Risiken und den Validierungsstatus von KI-Modellen prüfen, sowie Vertreter der Compliance- und Rechtsabteilungen, die die Erfüllung der regulatorischen Anforderungen prüfen. Zudem sollten der Fachbereich des jeweiligen Use Cases vertreten sein, um zu beurteilen, ob ein Modell das richtige Problem löst und seine Ergebnisse in der Praxis plausibel sind. Vertreter von IT und Data Engineering sollten zudem sicherstellen, dass MLOps-Infrastruktur, Monitoring und Audit-Logging produktionsreif sind.

Situativ sollten abhängig vom jeweiligen Use Case weitere Rollen zu den AI Review Boards hinzugezogen werden. Dazu zählt etwa ein Datenschutzbeauftragter, wenn personenbezogene Daten im Spiel sind oder es um eine KI-Anwendung geht, die als Hochrisiko-System klassifiziert wurde. Bei KI-Modellen für Pricing oder Reservierung sollte zudem das Aktuariat zwingend eingebunden werden. Wenn ein KI-Modell direkten Kundenkontakt hat, etwa bei einem Chatbot oder der Automatisierung von Ablehnungsbescheiden, sollte der Vertrieb vertreten sein.

Die Geschäftsführung ist bewusst im Governance Committee und nicht im Review Board vertreten – denn sonst könnten die operativen Entscheidungen schnell zu politischen Fragen werden. Auch externe Anbieter sollten nicht im Review Board sein, da sonst Interessenkonflikte drohen.

Quality Gates vom Business Case bis zur Stilllegung

Folgende Quality Gates sollten KI-Anwendungen durchlaufen:

Gate 1: Business Case und Risk Tiering. Vor dem Start der Entwicklung sollte geprüft werden, ob der Business Case der Anwendung quantifizierbar, das Risk Tiering abgeschlossen und ein Use Case Owner mit klaren Verantwortlichkeiten benannt ist und ob Trainingsdaten identifiziert und auf Qualität geprüft wurden. Ist etwas davon nicht der Fall, sollte kein Budget für Entwicklungsressourcen freigegeben werden.

Gate 2: Design Review. Dieses Gate durchläuft eine Anwendung nach der Konzeptphase und vor dem Build-Prozess. Folgende Fragen müssen dabei geklärt werden: Ist die Modellarchitektur dokumentiert und für den Use Case geeignet? Ist menschliche Aufsicht definiert? Wer greift wann wie ein? Sind Fairness- und Explainability-Anforderungen spezifiziert? Ist das Monitoring-Konzept skizziert? Welche Metriken und welche Drift-Schwellwerte sind vorgesehen?

Gate 3: Validierung und Freigabe. Dieses Gate stellt die größte Hürde für eine KI-Anwendung dar und muss vor ihrem Produktivgang durchlaufen werden. Ist ein technisches Audit-Logging implementiert und getestet? Ist die MLOps-Infrastruktur produktionsreif? Hat der Fachbereich die Modell-Outputs getestet und akzeptiert? Ist die regulatorische Dokumentation vollständig? Ist ein Exit-Kriterium definiert – ab welcher Performance-Verschlechterung wird das KI-Modell abgeschaltet? Bei diesem Gate kommt es häufig zu Spannungen: Der Fachbereich will schnell in Produktion gehen, die Vertreter der Compliance-Abteilung bremsen. Diese Spannung muss das AI Review Board anhand klarer Freigabe-Kriterien auflösen.

Gate 4: Hypercare Review. Dieses Gate wird oft vergessen, ist aber entscheidend, weil KI-Anwendungen im kontrollierten Umfeld eines Pilotbetriebs anders performen als im Live-Einsatz. Im Abstand von 30, 60 und 90 Tagen nach dem Go-Live sollte überprüft werden, ob die Live-Metriken der Anwendung im erwarteten Bereich liegen, sich die Raten wie prognostiziert verbessert haben und ungeplante Incidents oder Kundenbeschwerden aufgetreten sind.

Gate 5: Periodische Revalidierung. Einmal pro Jahr oder angestoßen durch Ereignisse wie signifikante Marktveränderungen, Datenschutzverletzungen oder Kundenbeschwerden sollten Versicherer die KI-Anwendung revalidieren: Hat sich der Datendrift außerhalb definierter Schwellwerte bewegt? Hat sich das regulatorische oder das geschäftliche Umfeld geändert? Ist das KI-Modell im Model Inventory noch korrekt klassifiziert?

Gate 6: Stilllegung. Wenn eine KI-Anwendung Schaden verursacht, unzuverlässig wird, ihre Performance zurückgeht oder sie nicht mehr ausreichend kontrolliert werden kann, sollte sie stillgelegt werden. Dieses Gate wird fast immer vergessen, was dazu führt, dass veraltete KI-Modelle ewig weiterlaufen, weil niemand dafür zuständig ist, sie abzuschalten.

AI Governance in Wachstumstreiber verwandeln

Die Vorreiter der Versicherungsbranche sehen in KI keine Technologie, sondern eine Unternehmenstransformation und setzen eine entsprechende Governance auf, die Verantwortlichkeiten definiert und Ergebnisse misst. Wer jetzt handelt, kann AI Governance in einen echten Wachstumstreiber verwandeln. Die Compliance mit den regulatorischen Vorgaben wird dabei automatisch mit sichergestellt.