Versicherung — EU AI Act Compliance

EU AI Act Pflichten für Versicherungs-KI: versicherungsmathematische Modelle, Underwriting, Schadensbewertung und Pricing-KI für natürliche Personen. Behandelt Anhang III Kategorie 5(b) und die Wechselwirkung mit Solvency II.

Versicherung und der EU AI Act — die versicherungsmathematische Herausforderung

Der EU AI Act (Verordnung (EU) 2024/1689) legt die höchsten Compliance-Anforderungen für KI-Systeme fest, die den Zugang natürlicher Personen zu grundlegenden Dienstleistungen und Finanzprodukten beeinflussen. Die Versicherungsbranche steht im Mittelpunkt dieser Überlegungen. KI-Systeme, die darüber entscheiden, ob eine natürliche Person eine Kfz-, Kranken-, Lebens- oder Sachversicherung erhalten kann — und zu welchen Konditionen —, sind in vielen Konfigurationen Hochrisiko-KI-Systeme gemäß Anhang III, Punkt 5(b) des Gesetzes.

Die zentrale Herausforderung für die Versicherungsbranche liegt in der Versicherungsmathematik. Seit über einem Jahrhundert basiert die Versicherungspreisgestaltung auf der statistischen Modellierung von Risiken über Bevölkerungsgruppen. Der EU AI Act verbietet keine versicherungsmathematische Differenzierung, legt aber substantielle Pflichten für die KI-Systeme fest, durch die eine solche Differenzierung auf der Ebene der einzelnen natürlichen Person vollzogen wird. Der Übergang von traditionellen Bündelungsmodellen zur KI-gestützten individuellen Risikobewertung — ermöglicht durch Telematik, Gesundheitsdatenströme und Verhaltensanalytik — ist genau das, was den Hochrisiko-Tatbestand des Gesetzes auslöst.

Versicherer, die in der EU tätig sind, müssen daher eine systematische Klassifizierungsübung durchführen: Welche ihrer KI-Systeme erzeugen individualisierte Ergebnisse, die Deckungsentscheidungen für natürliche Personen bestimmen oder maßgeblich beeinflussen? Diese Klassifizierungsübung ist nicht bloß eine Compliance-Formalität. Ihr Ergebnis bestimmt, ob der Versicherer als Betreiber nach Art. 26 (oder als Anbieter nach Art. 16) Pflichten in Bezug auf Daten-Governance, technische Dokumentation, menschliche Aufsicht, Konformitätsbewertung und Registrierung in der EU-Datenbank für Hochrisiko-KI trägt.

Die Anwendung des Gesetzes auf das Versicherungswesen wird durch die bereits bestehende regulatorische Dichte des Sektors zusätzlich erschwert. Die Solvency II-Richtlinie (2009/138/EG), die Versicherungsvertriebsrichtlinie (IDD) (EU) 2016/97, die GDPR und die prinzipienbasierten KI-Leitlinien der EIOPA (2021) stellen jeweils Anforderungen an versicherungsmathematische Modellierung, Kundenbehandlung und Datennutzung. Diese Rahmenbedingungen überschneiden sich mit den Pflichten des EU AI Act — ersetzen sie aber nicht. Compliance-Programme müssen alle gleichzeitig adressieren.

Hochrisiko-KI-Anwendungsfälle in der Versicherung

Versicherungsmathematische Pricing-Modelle für natürliche Personen

Anhang III, Punkt 5(b) des EU AI Act stuft als hochriskant jedes KI-System ein, das zur Bewertung der Kreditwürdigkeit natürlicher Personen oder zur Klassifizierung natürlicher Personen nach ihrem Risikoprofil zum Zweck des Zugangs zu Versicherungsdienstleistungen verwendet wird. Dies umfasst versicherungsmathematische KI-Systeme, die:

einen individuellen Risiko-Score erzeugen, der zur Festsetzung der Kfz-Versicherungsprämie für einen namentlich genannten Versicherungsnehmer verwendet wird
den Gesundheitsstatus oder das Sterblichkeitsrisiko einer natürlichen Person klassifizieren, um die Berechtigung zum Abschluss einer Lebensversicherung oder die Prämienhöhe zu bestimmen
eine Pricing-Entscheidung für eine Sachversicherung auf Grundlage KI-bewerteter Risikofaktoren treffen, die einer bestimmten natürlichen Person zuzurechnen sind

Die entscheidende Schwelle ist die individuelle Betroffenheit natürlicher Personen. Versicherungsmathematische KI, die auf juristische Personen angewendet wird — gewerbliche Haftpflicht, Transportversicherung, Industriesachversicherung — löst Anhang III Kat. 5(b) nicht aus, sofern natürliche Personen nicht in materiell gleichwertiger Weise betroffen sind. Versicherer, die sowohl Privat- als auch Gewerbegeschäft betreiben, müssen jedes KI-System nach der Population klassifizieren, auf die es wirkt.

Telematik und Pay-as-you-drive-Systeme in der Kfz-Versicherung

Telematikbasierte Versicherungs-Pricing-Systeme, die Fahrverhaltensdasten erfassen — Geschwindigkeit, Beschleunigung, Bremsmuster, Nutzungszeiten — und KI-Modelle einsetzen, um eine individuelle Prämie für eine namentlich genannte natürliche Person zu erzeugen, sind der paradigmatische Hochrisiko-KI-Anwendungsfall in der Versicherung. Diese Systeme erfüllen alle Tatbestandsmerkmale von Anhang III Kat. 5(b): Sie bewerten einzelne natürliche Personen, erzeugen Ausgaben, die den Zugang zu und die Preisgestaltung von Versicherungsschutz bestimmen, und ihre KI-gesteuerte Individualisierung ist genau das, was sie von traditionellen versicherungsmathematischen Bündelungsmodellen unterscheidet.

Anbieter von Telematik-Scoring-Engines — ob intern entwickelt oder von einem Drittanbieter lizenziert — müssen Art. 9 (Risikomanagement), Art. 10 (Daten-Governance für Trainings- und Validierungsdatensätze), Art. 11 in Verbindung mit Anhang IV (technische Dokumentation), Art. 12 (Protokollierung), Art. 13 (Transparenz), Art. 14 (menschliche Aufsicht) und Art. 15 (Genauigkeit, Robustheit, Cybersicherheit) einhalten.

Underwriting-KI in der Lebens- und Krankenversicherung

KI-Systeme, die im Lebensversicherungs-Underwriting zur Bewertung des Langlebigkeits- oder Sterblichkeitsrisikos einzelner Antragsteller eingesetzt werden — und damit darüber entscheiden, ob und zu welcher Prämie Deckung angeboten wird — sind nach Anhang III Kat. 5(b) hochriskant, sofern sie individualisierte Bewertungen für natürliche Personen erzeugen. Dies umfasst KI-Systeme, die Antworten auf Gesundheitsfragebögen, Krankenakten (soweit rechtmäßig zugänglich) oder Datenströme von Wearable-Geräten verarbeiten, um einen Risiko-Score zu erzeugen, der Underwriting-Entscheidungen beeinflusst.

KI in der Krankenversicherung, die einzelne Antragsteller nach Gesundheitsrisikoprofilen zum Zweck der Preisgestaltung oder Berechtigung segmentiert, unterliegt derselben Klassifizierung. Versicherer müssen auf die Schnittstelle zwischen GDPR Art. 9 (Gesundheitsdaten als besondere Datenkategorie) und den Art. 10-Anforderungen zur Daten-Governance des AI Act achten: Trainingsdatensätze, die Gesundheitsdaten enthalten, erfordern eine ausdrückliche Rechtsgrundlage nach GDPR Art. 9(2), die in der nach Anhang IV erforderlichen technischen Dokumentation dokumentiert sein muss.

Schadensbewertung und -abwicklungs-KI

Die Klassifizierung von Schaden-KI hängt von ihrer funktionalen Rolle im Schadensentscheidungsworkflow ab. Zwei Szenarien sind zu unterscheiden:

KI, die ein Schadenergebnis für eine natürliche Person maßgeblich beeinflusst: Wenn ein KI-System einen Schaden bewertet und sein Ergebnis direkt zur Kürzung, Ablehnung oder bedingten Zahlung einer Versicherungsleistung an eine natürliche Person führt — auch wenn nominell eine menschliche Prüfung stattfindet —, ist das System wahrscheinlich hochriskant nach Anhang III Kat. 5(b), weil es de facto den Zugang der natürlichen Person zu Versicherungsleistungen bestimmt.
KI, die Schäden zur menschlichen Untersuchung markiert: Wenn der KI-Output nur ein Eingabeparameter unter mehreren ist, den ein Schadenssachbearbeiter berücksichtigt, der eine eigenständige substantielle Entscheidung trifft, und der Sachbearbeiter die Befugnis und die Informationen hat, von der KI-Bewertung abzuweichen, ist das System möglicherweise nicht hochriskant. Diese Unterscheidung muss dokumentiert und operativ tatsächlich gegeben sein — nicht nur nominell.

Versicherungsbetrug-Erkennung

KI-Systeme zur Erkennung potenziell betrügerischer Schäden befinden sich in einem wichtigen Grenzbereich. Löst die Betrugserkennungs-KI eine automatische nachteilige Maßnahme aus — Zahlungsaussetzung, Stornierung der Police — die eine natürliche Person ohne substantielle menschliche Überprüfung betrifft, ist sie wahrscheinlich hochriskant. Erzeugt die KI lediglich ein Betrugsverdachts-Flag, das anschließend von einem Spezialisten geprüft wird, der die volle Entscheidungsbefugnis behält, trifft dies möglicherweise nicht zu. Versicherer sollten den Betrugs-KI-Workflow detailliert dokumentieren und beurteilen, ob die operative menschliche Aufsicht substantiell oder nur nominell ist.

Anbieter versus Betreiber in der Versicherung

Rollenabgrenzung

Der EU AI Act legt unterschiedliche Pflichtenkataloge fest, je nachdem, ob eine Organisation Anbieter (entwickelt und bringt die KI auf den Markt) oder Betreiber (verwendet ein KI-System eines Drittanbieters in einem professionellen Kontext) ist. Für Versicherer ist diese Unterscheidung von erheblicher wirtschaftlicher Bedeutung:

Ein Versicherer, der eine eigene Telematik-Scoring-Engine oder versicherungsmathematische Pricing-KI entwickelt, ist Anbieter nach Art. 3(3) und trägt die vollständigen Anbieterpflichten nach Art. 16: Qualitätsmanagementsystem, technische Dokumentation, EU-Konformitätserklärung, CE-Kennzeichnung, Registrierung in der EU-Datenbank und Marktüberwachung.
Ein Versicherer, der versicherungsmathematische KI-Software von einem Anbieter lizenziert, ist Betreiber nach Art. 3(4) und trägt Betreiberpflichten nach Art. 26: Implementierung gemäß den Anweisungen des Anbieters, menschliche Aufsicht, Protokollführung und Vorfallsmeldung.
Ein Versicherer, der ein lizenziertes KI-System so modifiziert, dass sein Verwendungszweck verändert wird — beispielsweise durch Anwendung eines Telematik-Modells auf eine Versicherungsnehmer-Population außerhalb des validierten Anwendungsbereichs —, kann nach Art. 25(1) als Anbieter mit vollständigen Anbieterpflichten neu klassifiziert werden.

Betreiber-Sorgfaltspflichten bei versicherungsmathematischen Anbieter-KI-Systemen

Versicherer, die versicherungsmathematische KI-Systeme von Drittanbietern einsetzen, müssen strukturierte Sorgfaltspflichten vor und nach der Inbetriebnahme wahrnehmen:

Vor der Inbetriebnahme: Sicherstellen, dass das KI-System in der EU-Datenbank für Hochrisiko-KI nach Art. 49 registriert ist, eine CE-Kennzeichnung trägt und von einer EU-Konformitätserklärung begleitet wird. Die technische Dokumentationszusammenfassung anfordern und prüfen, einschließlich Genauigkeits- und Bias-Metriken, des validierten Anwendungsbereichs und der Zweckbestimmungserklärung.

Vertragliche Schutzmaßnahmen: Beschaffungsverträge mit KI-Anbietern sollten Folgendes festlegen: die Pflicht des Anbieters, den Versicherer über wesentliche Aktualisierungen oder Neubewertungen zu informieren; die Pflicht des Anbieters, auf Anfrage aktualisierte Marktüberwachungsdaten bereitzustellen; sowie die Grenzen des zulässigen Einsatzbereichs — mit einem klaren Mechanismus, über den der Versicherer eine Bereichserweiterungsprüfung anfordern kann, anstatt einseitig vorzugehen.

Laufende Überwachung: Gemäß Art. 26(5) müssen Betreiber die Leistung von Hochrisiko-KI-Systemen in ihrem operativen Kontext überwachen. Für versicherungsmathematische KI bedeutet dies: Verfolgung der Modellleistung anhand tatsächlicher Schadenergebnisse, Überwachung von Verteilungsverschiebungen zwischen der Trainingspopulation und der aktuellen Versicherungsnehmer-Population sowie Eskalation wesentlicher Abweichungen an den Anbieter zur Untersuchung.

Wechselwirkung mit Solvency II, IDD und GDPR

Solvency II — Governance-System und ORSA

Die Pillar-II-Anforderungen der Solvency II-Richtlinie begründen ein Governance-System über versicherungsmathematische und Risikomanagementfunktionen. Die Own Risk and Solvency Assessment (ORSA) verlangt eine dokumentierte Risikoidentifikation, Stresstests und eine interne Modell-Governance. Diese Anforderungen überschneiden sich erheblich mit dem Risikomanagementsystem des EU AI Act nach Art. 9 sowie den Modellvalidierungskomponenten der technischen Dokumentation in Anhang IV.

Versicherer sollten eine strukturierte Gap-Analyse durchführen, um zu ermitteln, welche Solvency II-Governance-Artefakte für die AI Act Compliance genutzt werden können und welche Lücken verbleiben. Typische Lücken sind: KI-spezifische Bias-Tests und Fairness-Bewertungen (in Solvency II nicht adressiert); Art. 10-Datensatzdokumentation für Trainings- und Validierungsdaten (die über den Solvency II-Modellvalidierungsumfang hinausgeht); automatische Protokollierung des KI-Systembetriebs nach Art. 12; und die Gestaltung menschlicher Aufsichtsmechanismen nach Art. 14. Wenn ein gemäß Solvency II genehmigtes internes Modell KI-Komponenten enthält, muss das Governance-Framework für dieses Modell erweitert werden, um den AI Act-Pflichten zu genügen, bevor das System unter dem Hochrisiko-Regime rechtmäßig eingesetzt werden kann.

Versicherungsvertriebsrichtlinie — Fairness und Transparenz

Die IDD (EU) 2016/97 verlangt, dass der Versicherungsvertrieb im besten Interesse des Kunden erfolgt und Informationen in verständlicher Form präsentiert werden. Wird KI im Vertriebsprozess eingesetzt — beispielsweise auf einer digitalen Plattform, die personalisierte Produktempfehlungen oder Prämienangebote generiert —, decken sich die Fairness- und Offenlegungspflichten der IDD mit den Transparenzanforderungen des EU AI Act nach Art. 13. Versicherer sollten die Offenlegungspflichten des AI Act in die IDD-Produktinformationsdokumente (IPIDs) und Basisinformationsblätter integrieren und sicherstellen, dass die Rolle der KI bei der Vertriebs- oder Pricing-Entscheidung in einer für Versicherungsnehmer verständlichen Sprache kommuniziert wird.

GDPR — Besondere Datenkategorien und automatisierte Entscheidungsfindung

GDPR Art. 9 klassifiziert Gesundheitsdaten, genetische Daten und Daten über den körperlichen oder geistigen Gesundheitszustand einer Person als besondere Datenkategorien, deren Verarbeitung ohne spezifische Ausnahme verboten ist. Lebens- und Krankenversicherer, die solche Daten für KI-Training oder -Scoring verwenden, müssen für jede Datenkategorie und jeden Verarbeitungszweck eine gültige Rechtsgrundlage nach Art. 9(2) identifizieren und dokumentieren — in der Regel ausdrückliche Einwilligung nach Art. 9(2)(a) oder eine Ausnahme nach mitgliedstaatlichem Recht gemäß Art. 9(2)(b).

GDPR Art. 22 beschränkt ausschließlich automatisierte Entscheidungen, die für natürliche Personen rechtliche oder ähnlich bedeutsame Wirkungen haben. Eine KI-Underwriting-Entscheidung, die einen Deckungsantrag automatisch ablehnt, oder eine KI-Schadensentscheidung, die eine Leistungszahlung automatisch kürzt, ohne menschliche Beteiligung, stellt eine ausschließlich automatisierte Entscheidungsfindung nach Art. 22 dar. Die betroffene Person hat Anspruch auf: menschliche Überprüfung der Entscheidung; eine Erläuterung der wesentlichen Faktoren, die die automatisierte Entscheidung beeinflusst haben; und das Recht, das Ergebnis anzufechten. Versicherer müssen diese Rechte in ihre kundenseitigen Prozesse einbauen und sicherstellen, dass die internen Überprüfungsmechanismen substantiell funktionsfähig sind.

EIOPA-KI-Leitlinien

Die prinzipienbasierten Leitlinien der EIOPA zum KI-Einsatz in der Versicherung (2021) haben sektorbezogene Erwartungen hinsichtlich Transparenz, Nichtdiskriminierung, Datenqualität und Modellerklärbarkeit vor Inkrafttreten des AI Act etabliert. Die EIOPA erarbeitet sektorspezifische Umsetzungsleitlinien für den EU AI Act, und Versicherer sollten die EIOPA-Verlautbarungen aufmerksam verfolgen. Nationale Aufsichtsbehörden — ACPR (Frankreich), BaFin (Deutschland), IVASS (Italien), DNB (Niederlande) — werden ihre Aufsichtserwartungen im Einklang mit den EIOPA-Leitlinien umsetzen, und sektorspezifische Q&A-Publikationen werden während der Implementierungsphase des Gesetzes erwartet.

Durchsetzung — EIOPA und nationale Aufsichtsbehörden

Die Aufsichtsrolle der EIOPA

Die EIOPA (Europäische Aufsichtsbehörde für das Versicherungswesen und die betriebliche Altersversorgung) hat keine direkte Durchsetzungsbefugnis nach dem EU AI Act, der die nationalen Aufsichtsbehörden als zuständige Behörden nach Art. 70 bestimmt. Die EIOPA koordiniert jedoch die aufsichtliche Konvergenz der EU-Versicherungsaufseher und erlässt verbindliche und nicht verbindliche technische Standards. Die KI-Governance-Erwartungen der EIOPA — zum Ausdruck gebracht durch Leitlinien, Stellungnahmen und Aufsichtsaussagen — werden maßgeblich bestimmen, wie nationale Aufsichtsbehörden die AI Act-Anforderungen im Versicherungskontext umsetzen. Versicherer sollten EIOPA-Verlautbarungen als maßgebliche Sektorleitlinien behandeln, auch wenn sie rechtlich nicht verbindlich sind.

Nationale Versicherungsaufsichtsbehörden als KI-Aufsichtsbehörden

Nationale Versicherungsaufsichtsbehörden in den wichtigsten EU-Märkten sind positioniert, um die Funktionen der zuständigen AI Act-Behörden gegenüber Versicherungs-KI-Systemen wahrzunehmen:

ACPR (Autorité de contrôle prudentiel et de résolution) in Frankreich, die Aufsichtserwartungen an KI im Finanzdienstleistungsbereich veröffentlicht hat
BaFin (Bundesanstalt für Finanzdienstleistungsaufsicht) in Deutschland, mit einer etablierten Aufsichtspraxis im Bereich algorithmischer Entscheidungsfindung
IVASS (Istituto per la Vigilanza sulle Assicurazioni) in Italien
DNB (De Nederlandsche Bank) in den Niederlanden

Diese Behörden verfügen nach Art. 74 und Art. 75 über Befugnisse, den Zugang zu Trainingsdaten, technischer Dokumentation und Protokollen anzufordern; Vor-Ort-Prüfungen durchzuführen; Korrekturmaßnahmen anzuordnen; und finanzielle Sanktionen bei Nichteinhaltung zu empfehlen. Bußgelder für das Inverkehrbringen nicht konformer Hochrisiko-KI können 30 Millionen Euro oder 6 % des weltweiten Jahresumsatzes erreichen, je nachdem, welcher Betrag höher ist.

Doppelte Aufsicht: AI Act und sektorale Regulierung

Versicherungsaufsichtsbehörden, die den AI Act durchsetzen, werden dies im Kontext ihrer umfassenderen Aufsichts- und Verhaltensmandate tun. Eine AI Act-Untersuchung eines verzerrten versicherungsmathematischen Pricing-Modells kann gleichzeitig Solvency II Pillar-III-Berichtspflichten, IDD-Anforderungen zum Kundenverhalten und GDPR-Durchsetzung durch die Datenschutzbehörde berühren. Versicherer sollten davon ausgehen, dass Aufsichtseingriffe funktionsübergreifend sein werden, und ihre Compliance-Programme entsprechend gestalten.

Compliance-Fahrplan für Versicherer

Schritt 1: KI-System-Inventar und Klassifizierung

Eine umfassende Bestandsaufnahme aller KI-Systeme durchführen, die in folgenden Bereichen eingesetzt werden: Prämienpreisgestaltung; Underwriting-Annahme oder -Ablehnung; Schadensbewertung oder -zahlung; Betrugserkennung; Kundenrisikoklassifizierung; sowie Vertrieb oder Produktempfehlung. Für jedes System beurteilen, ob es Ausgaben erzeugt, die Ergebnisse für einzelne natürliche Personen bestimmen oder maßgeblich beeinflussen. Systeme, die diese Schwelle erreichen, erfordern eine Klassifizierungsprüfung gegenüber Anhang III Kat. 5(b).

Schritt 2: Feststellung der Anbieter-/Betreiberrolle

Für jedes Hochrisiko-KI-System bestimmen, ob der Versicherer Anbieter, Betreiber oder — entscheidend — ob eine Nutzung außerhalb des validierten Anwendungsbereichs des Herstellers eine Neuklassifizierung als Anbieter ausgelöst hat. Rechtsbeistand hinzuziehen, um Grenzfälle zu beurteilen, insbesondere wenn interne Daten oder Versicherungsnehmer-Populationen zur Feinabstimmung oder Erweiterung eines lizenzierten Modells verwendet wurden.

Schritt 3: Gap-Analyse gegenüber AI Act-Pflichten

Bestehende Solvency II-Governance-Artefakte, ORSA-Dokumentation und interne Modellvalidierungsprozesse den AI Act-Anforderungen nach Art. 9 (Risikomanagement), Art. 10 (Daten-Governance), Art. 11 und Anhang IV (technische Dokumentation), Art. 12 (Protokollierung), Art. 13 (Transparenz), Art. 14 (menschliche Aufsicht) und Art. 15 (Genauigkeit, Robustheit, Cybersicherheit) gegenüberstellen. Identifizierte Lücken dokumentieren und Sanierungsverantwortlichkeiten zuweisen.

Schritt 4: Daten-Governance und GDPR-Abgleich

Für jedes Hochrisiko-KI-System Trainings- und Validierungsdatensätze prüfen. Datenprovenienz, Erhebungsmethoden, Repräsentativität über relevante demografische Gruppen von Versicherungsnehmern und bekannte Einschränkungen dokumentieren. Sicherstellen, dass GDPR-Rechtsgrundlagen für alle personenbezogenen Daten und, sofern zutreffend, für besondere Datenkategorien vorliegen. Die Art. 10-Dokumentation in die technische Akte nach Anhang IV integrieren.

Schritt 5: Gestaltung menschlicher Aufsichtsmechanismen

Operational realistische menschliche Aufsichtsmechanismen für jeden Hochrisiko-KI-Einsatz gestalten. Für Underwriting-KI bedeutet dies: Ein qualifizierter Underwriter verfügt über die Informationen, die Befugnis und die Bearbeitungszeit, um die KI-Empfehlung zu prüfen und von ihr abzuweichen, bevor sie den Versicherungsnehmer betrifft. Für Schaden-KI bedeutet dies: Ein Schadenssachbearbeiter verfügt über eine substantielle Prüfungsbefugnis — nicht nur eine nominelle Genehmigungsfunktion. Das Aufsichtsdesign dokumentieren und in die technische Dokumentation aufnehmen.

Schritt 6: Anbieter-Sorgfaltspflichten und Vertragsanpassung

Für versicherungsmathematische KI-Systeme von Drittanbietern den oben beschriebenen Pre-Deployment-Due-Diligence-Prozess implementieren und bestehende Anbieterverträge prüfen. Wo Verträge keine Bestimmungen enthalten, die den Anbieter zur Pflege von AI Act-Compliance-Dokumentation verpflichten, den Versicherer über wesentliche Änderungen informieren und eine Prüfung der KI-Systemleistung erlauben, sind Vertragsänderungen oder Neuverhandlungen durchzuführen. Interne Verfahren zur Überwachung der KI-Systemleistung in der Live-Versicherungsnehmer-Population einrichten und wesentliche Abweichungen an Anbieter und, wo erforderlich, an Aufsichtsbehörden melden.

Official AI Act Compliance Deadline Calendar

Updated 2026-06-20 · Sources: Regulation (EU) 2024/1689 and the 2026 Digital Omnibus on AI.

Obligation	Applies to	Original date	New date	Status	Countdown	Legal basis
Prohibited Practices (Art. 5)	All providers and deployers	2 February 2025	2 February 2025	active	—	AI Act Art. 5
GPAI Rules (Chapter 5)	GPAI model providers	2 August 2025	2 August 2025	active	—	AI Act Art. 51-56
High-risk AI — Annex III (standalone)	Providers of standalone Annex III systems	2 August 2026	2 December 2027	deferred	—	AI Omnibus 2026 Art. 6(2)
High-risk AI — Annex I (embedded)	AI embedded in Annex I regulated products	2 August 2026	2 August 2028	deferred	—	AI Omnibus 2026 Art. 6(1)
AI-Generated Content Marking	Providers of generative GPAI systems	2 August 2025	2 August 2025	active	—	AI Act Art. 50(2)
Regulatory Sandboxes	National competent authorities	2 August 2026	2 August 2026	active	—	AI Act Art. 57

⬇ Download JSON · CC BY 4.0

AI Act meets DORA and NIS2

Is your organisation subject to both the AI Act and DORA? The two regulations intersect on the operational resilience of financial AI systems. Our sister site regulation-dora.eu covers DORA in depth.

Explore regulation-dora.eu ↗

Frequently Asked Questions

Ist unser Kfz-Versicherungs-Pricing-Algorithmus nach dem EU AI Act ein Hochrisiko-System?

Ein Kfz-Versicherungs-Pricing-Algorithmus ist wahrscheinlich ein Hochrisiko-System gemäß Anhang III, Punkt 5(b), wenn er die Kreditwürdigkeit oder das Risikoprofil einzelner natürlicher Personen bewertet, um Prämienniveaus oder den Deckungsumfang festzulegen. Telematikbasierte Pay-as-you-drive-Systeme, die das individuelle Fahrverhalten bewerten und diesen Score zur Prämienberechnung für namentlich genannte Versicherungsnehmer verwenden, fallen klar in diese Kategorie. Traditionelle versicherungsmathematische Bündelungsmodelle, die Personen kollektiven Risikoklassen zuordnen, ohne eine KI-gestützte Einzelbewertung vorzunehmen, befinden sich in einer Grauzone — jede KI-Komponente jedoch, die einen individualisierten Score erzeugt, der zur Preisgestaltung oder Annahme der Police einer natürlichen Person verwendet wird, sollte gemäß Art. 6(2) in Verbindung mit Anhang III Kat. 5(b) geprüft werden.

Deckt der Solvency II ORSA die Anforderungen des EU AI Act an das Risikomanagementsystem ab?

Nein, aber es gibt erhebliche Überschneidungen, die genutzt werden sollten. Art. 9 des EU AI Act verlangt ein Risikomanagementsystem, das vorhersehbare Risiken über den gesamten Lebenszyklus des KI-Systems identifiziert, analysiert und mindert. Die Solvency II Pillar-II-Anforderungen an die Own Risk and Solvency Assessment (ORSA) und das Governance-System verlangen eine dokumentierte Risikoidentifikation sowie eine interne Modell-Governance für versicherungsmathematische Prozesse und Preisgestaltungsverfahren. Die für Solvency II entwickelten Governance-Strukturen, dokumentierten Risikobewertungen und Modellvalidierungsverfahren können die Grundlage für die EU AI Act Compliance bilden, müssen jedoch um KI-spezifische Pflichten ergänzt werden: Bias-Tests, Daten-Governance nach Art. 10, automatische Protokollierung nach Art. 12 und menschliche Aufsicht nach Art. 14. Eine Gap-Analyse gegenüber den technischen Dokumentationsanforderungen in Anhang IV ist unerlässlich.

Was müssen Versicherer gegenüber Versicherungsnehmern über den KI-Einsatz bei Underwriting- oder Pricing-Entscheidungen offenlegen?

Wird ein Hochrisiko-KI-System eingesetzt, um eine Entscheidung zu treffen oder maßgeblich zu beeinflussen, die eine natürliche Person betrifft — einschließlich der Annahme, Ablehnung oder Preisgestaltung von Versicherungsschutz —, muss der Betreiber der betroffenen Person gemäß Art. 26(6) des EU AI Act aussagekräftige Informationen bereitstellen. Soweit eine automatisierte Entscheidungsfindung nach Art. 22 GDPR vorliegt, gelten zudem die Betroffenenrechte aus Art. 13–15 und 22 GDPR. Versicherungsnehmer haben Anspruch auf eine Erläuterung der Logik automatisierter Entscheidungen, das Recht auf menschliche Überprüfung und das Recht, das Ergebnis anzufechten. Versicherer, die KI-Underwriting-Tools einsetzen, müssen daher kundenseitige Offenlegungsprozesse gestalten und menschliche Überprüfungsmechanismen implementieren, die tatsächlich zugänglich sind — und nicht vom Vorhandensein spezifischen Fachwissens abhängen.

Sind KI-Systeme zur Betrugserkennung bei Schäden Hochrisiko-Systeme?

Nicht automatisch. KI zur Betrugserkennung, die Schäden zur menschlichen Prüfung markiert — wobei der menschliche Sachbearbeiter die endgültige Entscheidung über Zahlung, Kürzung oder Ablehnung trifft —, erreicht möglicherweise nicht die Schwelle für eine Hochrisiko-Klassifizierung nach Anhang III Kat. 5(b), da die KI nicht selbständig den Zugang zu Versicherungsleistungen für natürliche Personen bestimmt. Löst das Betrugserkennnungssystem jedoch automatisch eine Kürzung, Aussetzung oder Ablehnung einer Schadenzahlung an eine natürliche Person aus, ohne dass eine substantielle menschliche Überprüfung stattfindet, ist das System wahrscheinlich hochriskant. Versicherer sollten genau dokumentieren, wie die Ausgaben der Betrugs-KI im Schadenbearbeitungsworkflow verwendet werden, und sicherstellen, dass bei Betroffenheit natürlicher Personen eine echte menschliche Aufsicht eingreift, bevor eine Leistungsminderung eintritt.

Welche Unterlagen sollten wir von unserem Anbieter für versicherungsmathematische Software anfordern?

Versicherer, die versicherungsmathematische KI-Tools von Drittanbietern einsetzen, sollten vertraglich folgendes fordern: die EU-Konformitätserklärung und CE-Kennzeichnungsdokumentation für Hochrisiko-Systeme; technische Dokumentation gemäß Anhang IV, einschließlich der Zweckbestimmungserklärung, Beschreibungen der Trainingsdatensätze, Validierungs- und Testergebnisse (einschließlich Bias- und Genauigkeitsmetriken über demografische Untergruppen) sowie die Risikoverwaltungsakte; Gebrauchsanweisungen für den Betreiber; Marktüberwachungsdaten und Vorfallsberichte; sowie die Parameter und Bedingungen, unter denen das System validiert wurde, einschließlich etwaiger Einschränkungen hinsichtlich Anwendungsfällen oder Versicherungsnehmer-Populationen. Eine Nutzung außerhalb des Anwendungsbereichs der Herstelleranweisungen kann zur Umklassifizierung des Versicherers als Anbieter mit vollständigen Anbieterpflichten nach Art. 16 führen.

Stay ahead of AI Act changes

Get compliance alerts when deadlines or obligations change.

No spam. One-click unsubscribe.