Am 01.08.2024 trat die KI-Verordnung (EU) 2024/1689 der Europäischen Union in Kraft. Sie ist damit weltweit die erste umfassende Regulierung im Bereich der künstlichen Intelligenz und soll sowohl Innovation fördern als auch die Grundrechte der Betroffenen schützen. KI spielt schon jetzt eine wichtige Rolle in vielen Unternehmen und ist für die Optimierung vieler Arbeitsprozesse nicht mehr wegzudenken. Auch in der Versicherungsbranche wird KI bereits in vielen Prozessen integriert. Der nachfolgende Artikel soll zunächst einen generellen Blick auf die KI-Verordnung werfen und sodann die Auswirkungen der KI-Verordnung auf die Versicherungsbranche untersuchen.
Die KI-Verordnung regelt besondere Aufgaben für Verpflichtete, um die Rechte von Betroffenen zu schützen. Die Pflichten erstrecken sich dabei auf den gesamten Lebenszyklus der KI. Dafür wird zunächst in Art. 2 geregelt, welche Bereiche von KI von der KI-Verordnung reguliert werden. Umfasst werden neben KI-Systemen auch die KI-Modelle und KI-Systeme mit allgemeinem Verwendungszweck. Definitionen finden sich in Art. 3.
KI-Systeme werden in verschiedene Risikogruppen unterteilt: KI-Systeme, von denen kein besonderes Risiko ausgeht, KI-Systeme, für die besondere Transparenzpflichten gelten, sowie Hochrisiko-KI-Systeme. Je nach Risikograd gelten strengere Verpflichtungen.
Bei KI-Modellen mit allgemeinem Verwendungszweck erfolgt eine Unterscheidung zwischen „normalen“ KI-Modellen und solchen, von denen ein systemisches Risiko ausgeht. Auch hier werden KI-Modellen, die ein systemisches Risiko aufweisen, strengere Pflichten auferlegt.
Art. 2 regelt, wer von der KI-Verordnung verpflichtet wird. So werden auch Betreiber verpflichtet. Damit gilt die KI-Verordnung nicht nur für Anbieter, sondern auch für Unternehmen, die KI-Systeme oder KI-Modelle mit allgemeinem Verwendungszweck für ihre internen und externen Abläufe nutzen. Unternehmen werden also auch von der KI-Verordnung verpflichtet, wenn ihre Mitarbeiter KI intern in die Arbeitsprozesse des Unternehmens eingliedern. Unternehmen müssen dann bestimmen, welche Form der KI verwendet wird, und wiederum eine Kategorisierung der KI vornehmen, um die entsprechenden Pflichten zu bestimmen.
Werden die Pflichten nicht eingehalten, können für Unternehmen, die KI nutzen, hohe Sanktionen fällig werden. Nach Art 99 Abs. 4 lit. e richtet sich die Höhe nach 3 % des weltweiten Jahresumsatzes des vergangenen Geschäftsjahres oder kann, wenn der Betrag höher ist, bis zu 15 000 000 € betragen.
Haftungsfragen werden von der KI-Verordnung offengelassen. So muss ein Blick in andere Gesetze erfolgen. Besonders relevant könnte die Produkthaftungsrichtlinie werden, aber auch eine Einstufung der KI-Verordnung als Schutzgesetz wird diskutiert. Offene Fragen könnten aber in Zukunft geklärt werden, da die EU-Kommission bereits einen Vorschlag zu einer spezifischen KI-Haftungsrichtlinie vorgelegt hat.
Versicherer sind oft mit einer Vielzahl an verschiedenen Anfragen konfrontiert. Um Arbeitsprozesse zu beschleunigen, wird daher auch in der Versicherungsbranche auf die Anwendung von KI gesetzt. So hilft KI bei der Bearbeitung von Anträgen, kann aber auch große Datenmengen analysieren, um zum Beispiel die Berechnung von Schadenswahrscheinlichkeiten zu erleichtern. Lässt sich die verwendete KI als KI-System, KI-Modell oder KI-System mit allgemeinem Verwendungszweck einordnen, fallen sie unter den Anwendungsbereich der KI-Verordnung. Versicherer werden dann mit einer hohen Compliance-Belastung konfrontiert. Es muss dann jede verwendete KI auf ihre rechtliche Konformität überprüft werden.
Im Bereich der Antragsbearbeitung mit KI ist aber besondere Vorsicht zu wahren. Werden in die KI bei der Antragsbearbeitung personenbezogene Daten eingespeist, so kann der Anwendungsbereich der DSGVO umfasst sein. Problematisch ist besonders das Recht von Betroffenen auf Löschung der personenbezogenen Daten (Art. 17 DSGVO). Denn werden Daten einmal in die KI eingegeben, ist eine spezifische Löschung dieser Daten sehr wahrscheinlich nicht mehr möglich. Unternehmen sollten daher neben der KI-Verordnung auch die DSGVO im Blick behalten, um eine doppelte Sanktionierung zu vermeiden (siehe auch: Unterlassungsanspruch aus der DSGVO? (LG Wiesbaden)).
Auch gilt es, das Recht von Betroffenen zu beachten, nicht einer ausschließlich auf einer automatisierten Verarbeitung, einschließlich Profiling, beruhender Entscheidung unterworfen zu werden (Art. 22 DSGVO). Das bedeutet für Versicherer, dass eine Entscheidung über Leistungsfälle nicht allein von der KI getroffen werden darf, sondern immer einer menschlichen Beteiligung bedarf. Anderes gilt, wenn die Person ausdrücklich ihre Einwilligung erteilt hat (Art. 22 Abs. 2 lit. c DSGVO).
Da KI bereits in einer Vielzahl von Arbeitsprozessen in der Versicherungsbranche eingesetzt wird, müssen besonders Versicherer immer die Vorschriften der KI-Verordnung beachten, um Sanktionen und Haftungsfälle zu vermeiden. Dabei gilt es, die verwandte KI stetig zu überprüfen, da die KI-Verordnung für den gesamten Lebenszyklus der KI gilt. Auch gilt es immer, die DSGVO im Blick zu behalten, wenn mit personenbezogenen Daten gearbeitet wird. Weitere Artikel unter: Datenschutz / IT-Recht
Rechtsanwalt Björn Thorben M. Jöhnke ist Partner der Kanzlei Jöhnke & Reichow Rechtsanwälte und seit 2017 Fachanwalt für Versicherungsrecht. Während seiner Anwaltstätigkeit hat er bereits eine Vielzahl von gerichtlichen Verfahren im Versicherungsrecht geführt und erfolgreich für die Rechte von Versicherungsnehmern gestritten.
Mit unserer Kompetenz streiten wir ehrgeizig für Ihr Ziel, nämlich Ihre Interessen durchzusetzen! Wir freuen uns, dass unsere Mandanten-/-innen unser Engagement schätzen und positiv bewerten.
Verpassen Sie auch zukünftig keinen Beitrag unserer Kanzlei. Über unseren 2mal monatlich erscheinenden Newsletter erhalten Sie stets die aktuellen Beiträge unserer Kanzlei zu den Themen Versicherungsrecht, Bank- und Kapitalmarktrecht, Vertriebsrecht, Handelsvertreterrecht und Wettbewerbsrecht. Wir freuen uns auf Ihre Anmeldung.