AI Act Compliance für Versicherungsunternehmen in Deutschland
Welche KI im Versicherungsbereich ist hochriskant nach dem EU AI Act?
KI im Underwriting und bei Entschädigungsentscheidungen ist hochriskant nach EU AI Act Anhang III. Deutsche Versicherer und Insurtechs müssen bis August 2026 Risikomanagementsystem, Bias-Tests, technische Dokumentation und menschliche Aufsicht implementieren.
- Automatisiertes Underwriting für Privatpersonen ist explizit hochriskant (Anhang III, Ziffer 5 lit. b EU AI Act).
- KI, die Schadensansprüche ablehnt oder Auszahlungsbeträge bestimmt, fällt unter Hochrisiko-Pflichten.
- August 2026 ist der Stichtag: Alle Hochrisiko-KI-Systeme müssen registriert, geprüft und dokumentiert sein.
- BaFin koordiniert die AI-Act-Durchsetzung für Versicherer in Deutschland.
KI im Versicherungswesen ist nach dem EU AI Act stark reguliert. Automatisiertes Underwriting, KI-gestützte Prämienkalkulation und KI-Systeme, die Schadensansprüche bewerten oder ablehnen, sind gemäß Anhang III, Ziffer 5 lit. b der Verordnung (EU) 2024/1689 als hochriskant klassifiziert. Für deutsche Versicherungsunternehmen und Insurtechs gilt: Bis August 2026 müssen alle betroffenen KI-Systeme vollständige Hochrisiko-Compliance erfüllen — mit Risikomanagementsystem, Bias-Tests, technischer Dokumentation und menschlicher Aufsicht.
Einen vollständigen Überblick über die Anforderungen des EU AI Act bietet unser Pillar-Guide. Die BaFin koordiniert die Durchsetzung für den deutschen Versicherungssektor.
Kurzantwort
Hochriskant sind: automatisiertes Underwriting für Privatpersonen, KI-gestützte Prämienberechnung und KI, die Schäden ablehnt oder Auszahlungen festsetzt.
- Geringeres Risiko: Betrugsmarkierung zur menschlichen Prüfung, interne Risikomodelle ohne Kundenbezug
- Stichtag August 2026 für alle Hochrisiko-KI-Systeme
Hochrisiko-KI in der Versicherung: Was der EU AI Act direkt reguliert
Der EU AI Act klassifiziert bestimmte KI-Einsätze in der Versicherungsbranche in Anhang III, Ziffer 5 lit. b als hochriskant. Die Klassifizierung ist zweck- und kontextgebunden — nicht jede KI im Versicherungsumfeld ist automatisch hochriskant.
Underwriting und Risikoprüfung
KI-Systeme, die Risiken bewerten und Prämien für natürliche Personen berechnen, sind explizit hochriskant. Das umfasst:
- Automatisiertes Underwriting: Systeme, die Antragsdaten auswerten und eigenständig Deckungsentscheidungen treffen
- Dynamische Preisgestaltung: KI-Modelle, die Prämien auf Basis individueller Verhaltensdaten, Telematik oder demografischer Merkmale anpassen
- Risikoscoring: Algorithmen, die Risikoklassen für Privatpersonen berechnen
- Berechtigungsprüfung: KI, die bestimmt, ob eine Person überhaupt versicherbar ist
Für diese Systeme gelten die vollen Hochrisiko-Pflichten des AI Act: Risikomanagementsystem nach Artikel 9, Datenqualitätsanforderungen nach Artikel 10, technische Dokumentation nach Artikel 11, Transparenz nach Artikel 13 und menschliche Aufsicht nach Artikel 14. Einen strukturierten Einstieg in die Pflichten bietet unser Leitfaden zur KI-Versicherungs-Underwriting-Compliance.
Schadensbewertung und Entschädigungsentscheidungen
Schaden-KI lebt in einem nuancierten rechtlichen Raum. Entscheidend ist, ob ein System unterstützt oder entscheidet:
| KI-Einsatz | Risikoklasse | Begründung |
|---|---|---|
| Betrugsmarkierung zur menschlichen Prüfung | Geringeres Risiko | Keine finale Entscheidungsbefugnis |
| Automatische Schadensablehnung | Hochriskant | Folgenreiche Entscheidung über Leistungsansprüche |
| KI-gestützte Schadenshöhenbestimmung | Hochriskant | Bestimmt finanzielle Leistung |
| Dokumentenprüfung mit menschlichem Endentscheid | Geringeres Risiko | Unterstützt, entscheidet nicht |
Diese Einordnung ist die Grundlage jeder Compliance-Strategie. Unser Leitfaden zur KI-Schadenbearbeitungs-Compliance hilft bei der systematischen Klassifizierung. Für dokumentengestützte Schadenprüfung empfiehlt sich zudem die KI-Dokumentenanalyse-Compliance.
Geringeres Risiko: Wo Versicherer KI sicherer einsetzen können
Nicht alle KI in der Versicherung ist hochriskant. Folgende Einsatzbereiche haben typischerweise geringere Compliance-Anforderungen:
- Chatbots und virtuelle Assistenten für allgemeinen Kundenservice — Transparenzpflicht nach Artikel 50 gilt dennoch: Kunden müssen wissen, dass sie mit KI sprechen
- Interne Risikomodelle für regulatorisches Kapital oder Solvency-II-Reporting, die keine individuellen Deckungsentscheidungen treffen
- Betrugsmarkierungssysteme, die Fälle für menschliche Prüfung kennzeichnen, ohne final zu entscheiden
- Prozessautomatisierung für reine Verwaltungsaufgaben ohne Entscheidungsbefugnis über Leistungsansprüche
Geringeres Risiko bedeutet nicht null Pflichten. Die allgemeinen AI-Act-Anforderungen aus Kapitel II — darunter Transparenz, Qualität und Dokumentation — gelten weiterhin. Für General-Purpose-AI-Modelle (GPAI) gelten zusätzlich die Pflichten nach Kapitel V der Verordnung.
Insurtech und digitale Versicherer: Besondere Herausforderungen
Insurtech-Unternehmen und digitale Versicherer stehen vor denselben AI-Act-Pflichten wie traditionelle Versicherungsunternehmen — oft ohne die Compliance-Infrastruktur etablierter Häuser. Typische Risikopunkte:
Telematik-Tarife: KI-gestützte Kfz- oder Krankenversicherungstarife, die Fahrstil, Vitaldaten oder Verhaltensmuster für die Prämienberechnung verwenden, sind hochriskant und zusätzlich datenschutzrechtlich komplex. DSGVO-Anforderungen (besondere Kategorien nach Artikel 9 DSGVO) und AI Act überlagern sich hier.
Embedded Insurance: Versicherungskomponenten in Drittplattformen, Apps oder Fintech-Produkten — wer das KI-System betreibt, trägt die Compliance-Pflichten als Anbieter oder Deployer nach Artikel 3 EU AI Act.
Datengetriebene Underwriting-Modelle: Startups, die proprietäre Datensätze für Underwriting-KI nutzen, müssen Datenqualität, Repräsentativität und Bias nach Artikel 10 dokumentieren und nachweisen.
DSGVO-AI-Act-Überlappung: Viele Insurtech-Modelle verarbeiten Gesundheits- oder Fahrdaten — besondere Kategorien nach Artikel 9 DSGVO, die zusätzliche Rechtsgrundlagen, Datenschutz-Folgenabschätzungen (DPIA) und technische Schutzmaßnahmen erfordern.
Compliance-Zeitplan: Was bis August 2026 zu tun ist
| Phase | Zeitraum | Aufgaben |
|---|---|---|
| Bestandsaufnahme | Sofort | KI-Systeminventar erstellen, Hochrisiko-Kandidaten identifizieren |
| Klassifizierung | Q2 2026 | Risikoklassifizierung dokumentieren, Gap-Analyse durchführen |
| Implementierung | Q2–Q3 2026 | Risikomanagementsystem, Bias-Tests, Dokumentation aufbauen |
| Registrierung | Bis August 2026 | Hochrisiko-Systeme in EU-KI-Datenbank nach Artikel 71 eintragen |
| Laufender Betrieb | Ab August 2026 | Monitoring, Incident Reporting, regelmäßige Überprüfung |
Der August 2026 ist der kritische Stichtag für den vollständigen Geltungsbeginn der Hochrisiko-Anforderungen nach Artikel 6 i.V.m. Anhang III EU AI Act. Systeme, die nach diesem Datum neu eingesetzt werden, müssen von Tag eins compliant sein. Einen strukturierten Überblick über alle Fristen bietet unser EU-AI-Act-Compliance-Leitfaden.
BaFin, AI Act und bestehende Regulierung: Das Zusammenspiel
Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) beaufsichtigt Versicherungsunternehmen in Deutschland und wird die Durchsetzung des EU AI Act für den Versicherungssektor koordinieren — in Abstimmung mit der nationalen Marktüberwachungsbehörde.
Wichtig für die Compliance-Strategie:
- Der AI Act ersetzt nicht bestehende BaFin-Anforderungen aus VAG und MaGo — er ergänzt sie
- Bestehende Risikomanagementsysteme nach Solvency II sind ein guter Ausgangspunkt, aber oft nicht ausreichend für AI-Act-Compliance
- BaFin hat bereits signalisiert, dass sie KI-Governance-Strukturen im Rahmen laufender Aufsicht prüfen wird
- Für grenzüberschreitend tätige Versicherungsunternehmen koordinieren Aufsichtskollegien die Durchsetzung europaweit
Das Zusammenspiel mit der DSGVO ist ebenfalls zentral: Underwriting-KI, die personenbezogene Daten verarbeitet, muss sowohl AI-Act- als auch DSGVO-konform sein. Hochautomatisierte Einzelentscheidungen unterliegen zusätzlich Artikel 22 DSGVO.
Was das praktisch bedeutet
Deutsche Versicherungsunternehmen und Insurtechs sollten strukturiert vorgehen:
- KI-Systeminventar erstellen — alle KI kartieren, die Kundenentscheidungen berührt, auch eingekaufte Systeme von Drittanbietern
- Risikoklassifizierung dokumentieren — Hochrisiko vs. geringeres Risiko klar abgrenzen und begründen
- Hochrisiko-Systeme compliance-ready machen — Risikomanagementsystem, Bias-Tests, Transparenzpflichten, menschliche Aufsicht implementieren
- Kundenorientierte Systeme prüfen — Transparenzpflichten nach Artikel 50 für Chatbots und Beratungs-KI sicherstellen
- BaFin-Integration planen — AI-Act-Pflichten mit VAG, MaGo und Solvency-II-Anforderungen verzahnen
- Registrierung vorbereiten — Hochrisiko-Systeme in EU-KI-Datenbank eintragen (Stichtag August 2026)
Für den Einsatz von KI-Werkzeugen in internen Prozessen empfiehlt sich zudem eine datenschutzrechtliche Prüfung: Claude Enterprise und ChatGPT Enterprise bieten unternehmensgerechte Datenschutzoptionen, die vor dem Rollout rechtlich abgesichert werden sollten.
So hilft Compound Law
- KI-Systeminventar und Klassifizierung nach EU AI Act
- Underwriting-Compliance-Frameworks nach AI Act und BaFin-Anforderungen
- Schaden-KI-Richtlinienprüfung und Entscheidungsarchitektur
- Insurtech-spezifische AI-Act-Beratung inklusive DSGVO-Überlappung
- Bias-Tests, Datenqualitätsprüfung und technische Dokumentation
- BaFin-Integrationsstrategie und Registrierungsbegleitung
Jetzt Erstgespräch vereinbaren
Häufig gestellte Fragen
Ist KI im Underwriting nach dem EU AI Act hochriskant? Ja. KI-Systeme, die Prämien oder die Berechtigungsfähigkeit für Privatpersonen berechnen, sind gemäß Anhang III, Ziffer 5 lit. b EU AI Act explizit als hochriskant klassifiziert. Das umfasst automatisiertes Underwriting, dynamische Preisgestaltung und Risikoscoring.
Wann gilt der EU AI Act für Versicherungsunternehmen? Die Hochrisiko-Anforderungen gelten vollständig ab August 2026. Systeme, die nach dem Stichtag neu eingesetzt werden, müssen unmittelbar compliant sein. Bestehende Systeme müssen bis August 2026 angepasst werden.
Ist automatisierte Schadensbearbeitung hochriskant? Es kommt auf die Entscheidungsbefugnis an. KI, die Schäden zur menschlichen Prüfung markiert, ist geringeres Risiko. KI, die Schadensansprüche ablehnt oder Auszahlungsbeträge festsetzt, ist hochriskant und erfordert volle Compliance.
Gilt der AI Act auch für Insurtechs? Ja. Insurtech-Startups unterliegen denselben Pflichten wie traditionelle Versicherungsunternehmen — unabhängig von Unternehmensgröße oder Lizenzart. Auch Embedded-Insurance-Anbieter und digitale Versicherer sind vollständig erfasst.
Was ist mit Gewerbeversicherung? Die Hochrisiko-Klassifizierung fokussiert auf KI-Entscheidungen gegenüber natürlichen Personen. Reine B2B-Versicherung hat tendenziell niedrigere Pflichten, aber der Einzelfall muss geprüft werden.
Was droht bei Nicht-Compliance? Bußgelder nach dem EU AI Act können bis zu 30 Millionen Euro oder 6 % des weltweiten Jahresumsatzes betragen — je nachdem, welcher Betrag höher ist. Für KMU und Startups sieht die Verordnung proportionale Obergrenzen vor.
