AI Act für Versicherungen: Risikobewertung und Claims richtig einordnen

Versicherungen, die KI für die Risikobewertung von Lebens- oder Krankenversicherungen einsetzen, betreiben regelmäßig Hochrisiko-KI nach Anhang III Nr. 5(c) der EU-VO 2024/1689. Für alle Teams, die solche Systeme entwickeln, beschaffen oder nutzen, gilt die Pflicht zur KI-Kompetenz aus Art. 4 bereits seit dem 2. Februar 2025; die spezifischen High-Risk-Pflichten greifen ab dem 2. August 2026 gemäß Art. 113.

Welche KI-Systeme sind in Versicherungen wirklich Hochrisiko?

KI in Versicherungen ist nicht pauschal Hochrisiko. Hochrisiko liegt nach der EU-VO 2024/1689 vor allem dann vor, wenn ein System natürliche Personen im Kontext von Lebens- oder Krankenversicherungen bewertet, profiliert oder bepreist. Genau diesen Fall nennt Anhang III Nr. 5(c) ausdrücklich: Risikobewertung und Preisbildung im Verhältnis zu natürlichen Personen in Lebens- und Krankenversicherungen.

Für Versicherer bedeutet das in der Praxis: Underwriting-Modelle, Gesundheitsprognosen, Scoring-Logiken und automatisierte Annahmeempfehlungen sind nicht bloß „smarte Fachanwendungen“, sondern potenziell hochregulierte KI-Systeme. Wer solche Modelle einkauft oder betreibt, sollte deshalb nicht nur den Anbieter fragen, ob „AI Act ready“ auf dem Sales-Deck steht. Entscheidend sind belastbare Unterlagen zu Zweck, Grenzen, Datenbasis, menschlicher Aufsicht und zum vorgesehenen Einsatzkontext. Wenn das System faktisch über Annahme, Zuschläge oder Ausschlüsse mitsteuert, ist eine High-Risk-Einordnung meist der sichere Ausgangspunkt.

Was gilt für Schadenregulierung und Claims?

Claims-KI ist nach dem AI Act nicht automatisch Hochrisiko. Systeme zur Dokumentenklassifikation, Bildvoranalyse, Priorisierung von Schadenfällen oder Betrugserkennung fallen nicht allein deshalb in Anhang III, weil sie im Schadenprozess laufen. Für Versicherer ist das eine wichtige Differenzierung: Claims-Automatisierung kann operativ sehr relevant sein, ohne dieselbe Risikoklasse wie Underwriting in Leben und Kranken auszulösen.

Trotzdem ist Claims-KI kein rechtsfreier Raum. Wenn ein Modell intransparent arbeitet, fehlerhafte Muster verstärkt oder Fachsachbearbeiter Ergebnisse nur noch abnicken, steigt das Risiko für diskriminierende Entscheidungen, fehlerhafte Leistungsbearbeitung und Dokumentationslücken. Ein Schaden-Chatbot oder Self-Service-Assistent kann zusätzlich ab dem 2. August 2026 unter Art. 50 fallen, weil Nutzer erkennen müssen, dass sie mit einer KI interagieren. Versicherer sollten Claims-Systeme deshalb nicht nur nach „Hochrisiko ja oder nein“ prüfen, sondern nach Zweck, Automatisierungsgrad, Kontrollpunkten und Transparenz.

Welche Pflichten treffen Versicherer schon heute?

Versicherer müssen KI-Kompetenz nach Art. 4 seit dem 2. Februar 2025 bereits heute organisieren. Betroffen sind nicht nur Data-Science- oder Compliance-Teams, sondern auch Underwriter, Claims-Manager, Produktverantwortliche, Einkauf, Datenschutz und Führungskräfte, die über Auswahl oder Einsatz von KI-Systemen entscheiden. Maßgeblich ist, ob Personen im Namen des Unternehmens mit dem Betrieb oder der Nutzung von KI-Systemen umgehen.

Die Pflicht aus Art. 4 ist branchenspezifisch zu verstehen. Ein Versicherer mit Hochrisiko-KI in der Lebens- oder Krankenversicherung braucht mehr als eine allgemeine „Prompting-Schulung“. Fachbereiche müssen erkennen können, wann ein Use Case in Anhang III fällt, welche Grenzen ein Anbieter vorgibt, wann menschliche Aufsicht tatsächlich eingreifen muss und welche Eskalationswege bei fehlerhaften Entscheidungen bestehen. Zugleich ist wichtig, die Rechtslage sauber zu kommunizieren: Art. 4 ist verbindlich, aber Art. 99 enthält keinen eigenen unionsweit harmonisierten Bußgeldtatbestand speziell für Verstöße gegen Art. 4. Gerade deshalb sollte die Seite der operativen Nachweisbarkeit im Vordergrund stehen.

Was sollten Underwriting-, Claims- und Compliance-Teams bis zum 2. August 2026 vorbereiten?

Versicherer sollten die Zeit bis zum 2. August 2026 nutzen, um Hochrisiko-KI und kontextabhängige Claims-Systeme sauber auseinanderzuhalten. Wer erst kurz vor Hauptanwendbarkeit mit der Klassifizierung beginnt, muss Fachprozesse, Anbieterunterlagen und Governance gleichzeitig nachziehen. Für Versicherungen ist die bessere Reihenfolge:

1. Inventarisieren Sie alle KI-Use-Cases. Erfassen Sie Underwriting-Modelle, Gesundheitsprognosen, Claims-Triage, Fraud Detection, Chatbots und externe SaaS-Tools mit ihrem tatsächlichen Einsatzzweck.
2. Klassifizieren Sie Leben und Kranken separat. Prüfen Sie jede Risikobewertung oder Preisbildung natürlicher Personen in diesen Sparten zuerst gegen Anhang III Nr. 5(c), statt pauschal mit einer allgemeinen Versicherungs-Kategorie zu arbeiten.
3. Sammeln Sie Anbieterunterlagen und Nutzungsgrenzen. Für Hochrisiko-KI werden belastbare Informationen zu Daten, Zweck, Logging, menschlicher Aufsicht und Performance benötigt; reine Marketing-Claims reichen nicht.
4. Bereiten Sie Betreiberpflichten und FRIA vor. Für Hochrisiko-KI sind insbesondere Art. 26 und Art. 27 relevant, also unter anderem Einsatz nach Anleitung, geeignete Aufsicht, Datenqualität im Einsatzkontext und die Grundrechte-Folgenabschätzung vor Inbetriebnahme.
5. Schulen Sie betroffene Rollen dokumentierbar. Wenn Claims, Underwriting und Compliance nicht dieselbe Sprache für Risikoklassen, Eskalationen und Grenzen sprechen, scheitert die Umsetzung im operativen Alltag.

Wenn Sie dafür einen schnellen gemeinsamen Wissensstand brauchen, ist der Kursüberblick der passende Einstieg. Für mehrere Fachbereiche bietet das Team-Paket die sinnvollere Struktur, weil Schulung und Nachweis konsistent über Compliance, Fachbereich und Führung organisiert werden können.

Warum gerade Versicherungen eine saubere Governance brauchen

Versicherungen arbeiten mit besonders sensiblen Konstellationen: Gesundheitsdaten, Profiling, Tarifierung, Leistungsentscheidungen und massenhaft standardisierte Prozesse. Genau deshalb ist eine falsche Einordnung von KI teurer als in vielen anderen Branchen. Wer Underwriting in Leben und Kranken fälschlich wie eine neutrale Workflow-Automation behandelt, unterschätzt den regulatorischen Kern des AI Act. Wer Claims-Systeme dagegen pauschal als Hochrisiko labelt, verschwendet Zeit und Governance-Ressourcen am falschen Ort.

Die richtige Linie ist deshalb klar. Versicherer sollten Hochrisiko dort priorisieren, wo die Verordnung es ausdrücklich anordnet, und gleichzeitig für Claims, Service und Fraud Detection saubere Kontroll- und Schulungsprozesse aufbauen. Eine belastbare Grundordnung aus Inventar, Klassifizierung, Rollenklärung und Schulung reduziert Reibung vor 2026 erheblich. Für die Einordnung typischer Fragen können Sie zusätzlich die FAQ zur Schulung nutzen; für den Gesamtüberblick zum Angebot finden Sie auf der Startseite die wichtigsten Einstiegspunkte.