Article
Künstliche Intelligenz bei Versicherern
Mit Deloitte sicher in Compliance und Risikomanagement integriert
Der Einsatz Künstlicher Intelligenz (KI) sollte auf der Agenda von Versicherern stehen. Entlang der gesamten Wertschöpfungskette, von der Produktentwicklung über das Marketing bis hin zum Underwriting und Pricing, eröffnen neue Methoden der KI spannende Möglichkeiten zur Weiterentwicklung und Optimierung von Prozessen und Angeboten. Vor diesem Hintergrund können neue Produkte entwickelt, Preise anders berechnet oder Schadenfälle schneller und günstiger abgewickelt werden. Da KI-Algorithmen eine sog. „Black Box“ darstellen, ist von außen zunächst kaum nachvollziehbar, wie sie aus den eingehenden Daten ihre Entscheidungen, Empfehlungen oder Prognosen berechnen. Daraus ergibt sich für die Versicherungswirtschaft unter anderem die Verpflichtung, ihr Compliance- und Risikomanagement für den Einsatz von KI weiterzuentwickeln.
Die für Versicherer wichtigsten Aufsichtsbehörden die „Bundesanstalt für Finanzdienstleistungsaufsicht“ (BaFin) und die „Europäische Aufsichtsbehörde für das Versicherungswesen und die betriebliche Altersversorgung“ (EIOPA) veröffentlichten bereits 2021 erste Prinzipien für Entwicklung und Anwendung von KI-Lösungen. Die Einhaltung dieser Vorschriften ist inzwischen auch Gegenstand von Überprüfungen durch die Aufsichtsbehörden bei den Versicherern. Außerdem arbeitet die EU seit 2018 in Arbeitsgruppen am Thema KI und seit 2021 am „AI Act“, der erstmals einen EU-weiten gesetzlichen Rahmen für den Einsatz von Künstlicher Intelligenz bieten soll.
Ziel ist es, alle Nutzungen von KI in vier verschiedene Risikokategorien einzuordnen und anschließend zu regulieren. Dabei stellen eine besondere Herausforderung die Algorithmen dar, die unterschiedliche Datenquellen in verschiedenen Anwendungen nutzen, sog. „General purpose AI" (GPAI). Diskutiert werden vier wesentliche Fragen:
- Wie genau ist KI zu definieren?
- Welche Anwendungsfälle gehören in welche Risikokategorie?
- Wie soll mit GPAI umgegangen werden?
- Wie verteilt sich die Verantwortung auf Entwickler und Kunden (z. B. Versicherer)?
Weiterentwicklung des Compliance und Risikomanagements
Ein Versicherer muss das Compliance und Risikomanagement weiterentwickeln, um die aktuellen und absehbaren Anforderungen der EU und der Aufsichtsbehörden bei der Nutzung von KI zu erfüllen. Anhand einiger Praxisbeispiele zeigen wir von Deloitte, was das konkret bedeutet:
- KI-Lösungen kommen in der Regel wenig bis kaum nachvollziehbar zu ihren Ergebnissen. Aus diesem Grund müssen Ergebnisse entwickelter Modelle entweder durch andere statistische Verfahren oder eine externe Stichprobe durch Expertenurteil begutachtet werden. Sonst besteht das Risiko, dass unbeabsichtigt eine Diskriminierung aufgrund von Geschlecht oder Hautfarbe vorliegt. Mittels klar definierter Prozesse in Risikomanagement und Compliance zur Kontrolle bei der Entwicklung und im laufenden Betrieb ist dauerhaft sichergestellt, dass ethisch indiskutable Entscheidungen, Strafzahlungen und beschädigte Reputation ausgeschlossen sind.
- Eine KI-Anwendung könnte auch Ziel von Kriminellen werden. Diese attackieren bereits heute mit hohem technischem Sachverstand unzureichend geschützte IT-Infrastruktur, verursachen erhebliche Schäden und erpressen Lösegeld. Eine KI-Lösung zur automatischen Schadenabwicklung, bei der anhand von Bildern die Schadenhöhe bestimmt wird, könnte zu zahlreichen überhöhten und ungerechtfertigten Auszahlungen kommen. Die finanziellen und die spezifischen Cyber-Risiken (Manipulation des Modells eingehender Daten) müssen Teil des Risikomanagements sein und von dort aus überwacht und mitigiert werden.
- Der Wunsch nach einer KI-Lösung zur Förderung des Vertriebs könnte in die Idee münden, auf Basis von Daten aus sozialen Medien seinen Bestandskunden oder Interessenten Produkte pauschal zu empfehlen, ohne deren Bedürfnisse genau zu berücksichtigen. Die Nutzung dieses Algorithmus würde möglicherweise gegen die EU-Richtlinie zum Vertrieb von Versicherungen sowie die EU-DSGVO verstoßen und erhebliche Bußgelder zur Folge haben. Im Rahmen eines verbindlichen KI-Complianceprozesses würde ein Versicherer eine solche Idee frühzeitig auf Konformität mit relevanten Vorgaben abgleichen und die Entwicklung stoppen oder gesetzeskonform gestalten.
BaFin, EIOPA und der EU AI Act fordern, dass Versicherungsunternehmen ein allumfassendes Rahmenwerk aus Compliance und Risikomanagement einführen, das alle Entscheidungen auf Basis von Algorithmen und entsprechende Wechselwirkungen einschließt. Während der Schwerpunkt von BaFin und EIOPA auf den versicherungsspezifischen Risiken liegt, stehen beim EU AI Act der Verbraucherschutz und das Thema Ethik im Fokus.
Dabei ist es Aufgabe des Vorstandes eines jeden Versicherers, ein der Nutzung von KI adäquates Risikomanagement einzurichten. Bei Dienstleistern gehört ein entsprechendes Auslagerungs- bzw. Ausgliederungsmanagement dazu. Die Verantwortlichkeiten sind hier klar zu definieren, ebenso sind auch Rollen und Prozesse für Berichte und Kontrollen festzulegen.
Deloitte Risk Advisory Insurance an Ihrer Seite
Deloitte verfügt über langjährige Erfahrungen mit Compliance und Risikomanagement bei Versicherern, Umsetzung von aufsichtsrechtlichen Anforderungen und der Anwendung von KI in der Versicherungswirtschaft. Wir bieten mit unseren Spezialistinnen und Spezialisten die Möglichkeit, passgenau die Anforderungen großer und kleiner Versicherer vollumfänglich aus einer Hand zu bedienen.
Unabhängig davon, ob Sie bereits KI nutzen und Compliance sowie Risikomanagement entsprechend weiterentwickeln wollen oder noch am Anfang stehen, Deloitte bietet Ihnen in jeder Phase passgenaue Lösungen. Wir unterstützen Sie bei der Implementierung oder Erweiterung vorhandener Prozesse, Rollen und Richtlinien für die Nutzung von KI-Lösungen und machen Sie damit fit für die Zukunft.
Bei Fragen Ihrerseits kommen Sie gerne jederzeit auf uns zu.
Ihre Ansprechpartner
Sebastian Stadie
Director | Regulatory and Legal Support, Financial Services, Insurance
