Kostenlos beraten
EU AI Act Versicherung: Hochrisiko-KI Compliance für deutsche Versicherer
ai-act

EU AI Act Versicherung: Pflichten für Versicherer

Welche KI ist hochriskant nach dem EU AI Act?

Der EU AI Act stuft mehrere KI-Systeme in der Versicherungsbranche als hochriskant ein — insbesondere für Schadensregulierung, Risikobewertung und Tarifierung. Versicherungsunternehmen müssen ihre KI-Systeme klassifizieren und bis August 2026 ein Qualitätsmanagementsystem einrichten.

  • Automatisiertes Underwriting für Privatpersonen ist explizit hochriskant nach Anhang III EU AI Act.
  • KI-Systeme zur Schadensregulierung und Tarifkalkulation unterliegen vollen Hochrisiko-Pflichten.
  • Verbotene Praktiken: Social Scoring und biometrische Kategorisierung nach Vulnerabilität sind untersagt.
  • Frist August 2026: Alle Hochrisiko-KI-Systeme müssen registriert und compliant sein.

Der EU AI Act reguliert KI in der Versicherungsbranche unmittelbar und umfassend. Automatisiertes Underwriting, KI-gestützte Prämienberechnung und Systeme, die Schadensansprüche bewerten oder ablehnen, sind gemäß Anhang III, Ziffer 5 lit. b der Verordnung (EU) 2024/1689 als hochriskant klassifiziert. Deutsche Versicherungsunternehmen und Insurtechs müssen bis August 2026 volle Hochrisiko-Compliance erreichen — inklusive Qualitätsmanagementsystem, Bias-Tests, technischer Dokumentation und menschlicher Aufsicht.

Einen vollständigen Überblick über die Anforderungen des EU AI Act bietet unser Pillar-Guide. Die BaFin koordiniert die Durchsetzung für den deutschen Versicherungssektor.

Gilt der EU AI Act für Versicherungsunternehmen?

Ja. Der EU AI Act (Verordnung (EU) 2024/1689) gilt unmittelbar in allen EU-Mitgliedstaaten — ohne Umsetzung in nationales Recht. Für Versicherungsunternehmen in Deutschland bedeutet das: Wer KI einsetzt, die Vertragsabschlüsse, Prämien oder Leistungsansprüche von natürlichen Personen beeinflusst, unterliegt den Hochrisiko-Pflichten der Verordnung.

Die Verordnung erfasst Versicherungsunternehmen in zwei Rollen:

  • Anbieter (Provider): Wer ein Hochrisiko-KI-System entwickelt oder in Verkehr bringt, trägt die vollständigen Pflichten aus Artikel 9–17 EU AI Act.
  • Betreiber (Deployer): Wer ein fremdes Hochrisiko-KI-System im Versicherungskontext einsetzt, trägt Betreiberpflichten — insbesondere menschliche Aufsicht, Protokollierung und Nutzerinformation.

Die Regulierung trifft etablierte Versicherungsunternehmen genauso wie Insurtechs und Embedded-Insurance-Anbieter. Auch digitale Versicherer ohne klassische BaFin-Vollzulassung sind vollständig erfasst.

Welche KI-Systeme sind hochriskant in der Versicherung?

Anhang III, Ziffer 5 lit. b EU AI Act klassifiziert KI-Systeme als hochriskant, wenn sie zur Risikobewertung und Tarifierung für natürliche Personen, zur Schadensbewertung oder zur Überprüfung von Versicherungsansprüchen eingesetzt werden. Die Klassifizierung ist zweck- und kontextgebunden — nicht jede KI im Versicherungsumfeld ist automatisch hochriskant.

Hochriskante KI-Systeme in der Versicherungsbranche:

  • Automatisiertes Underwriting für Privatpersonen (Risikoscoring, Deckungsentscheidungen)
  • KI-gestützte Prämienberechnung (dynamische Preisgestaltung, Telematik-Tarife)
  • Systeme zur Berechtigungsprüfung (Entscheidung über Versicherbarkeit)
  • KI, die Schadensansprüche ablehnt oder Auszahlungsbeträge bestimmt
  • KI-gestützte Betrugserkennung mit finaler Entscheidungsbefugnis über Leistungsansprüche

KI-Systeme mit geringerem Risiko:

  • Chatbots und virtuelle Assistenten für allgemeinen Kundenservice (Transparenzpflicht nach Art. 50 EU AI Act gilt dennoch)
  • Interne Risikomodelle für Solvency-II-Reporting ohne individuelle Deckungsentscheidungen
  • Betrugsmarkierungssysteme, die Fälle für menschliche Prüfung kennzeichnen
  • Prozessautomatisierung ohne Entscheidungsbefugnis über Leistungsansprüche

Unser Leitfaden zur KI-Versicherungs-Underwriting-Compliance hilft bei der systematischen Klassifizierung. Für dokumentengestützte Schadenprüfung empfiehlt sich die KI-Dokumentenanalyse-Compliance.

Verbotene KI-Praktiken für Versicherungen

Neben den Hochrisiko-Kategorien definiert der EU AI Act in Artikel 5 absolut verbotene KI-Praktiken, die seit Februar 2025 gelten. Für Versicherungsunternehmen besonders relevant:

  • Social Scoring: KI-Systeme, die Privatpersonen auf Basis ihres Sozialverhaltens, ihrer wirtschaftlichen Situation oder persönlicher Merkmale bewerten und daraus nachteilige Behandlung ableiten, sind verboten.
  • Biometrische Kategorisierung: KI, die Personen auf Basis biometrischer Daten nach sensiblen Merkmalen wie politischen Ansichten, ethnischer Herkunft oder Religion kategorisiert, ist unzulässig.
  • Ausnutzung von Schwachstellen: KI-Systeme, die spezifische Schwachstellen von Personengruppen — etwa soziale Not, hohes Alter oder Behinderung — systematisch ausnutzen, um das Verhalten dieser Personen zu beeinflussen, sind verboten.

Verstöße gegen Artikel 5 sind die schwerwiegendste Sanktionskategorie: bis zu 35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes.

Pflichten für Hochrisiko-KI in der Versicherung

Versicherungsunternehmen, die Hochrisiko-KI einsetzen oder entwickeln, müssen folgende Anforderungen erfüllen:

  • Qualitätsmanagementsystem (Art. 9): Risikoidentifikation, Evaluierungsverfahren, Abhilfemaßnahmen und Lebenszyklusüberwachung für jedes Hochrisiko-KI-System.
  • Datenqualität und Bias-Tests (Art. 10): Trainingsdaten müssen repräsentativ, fehlerfrei und auf Diskriminierungspotenzial geprüft sein — besonders relevant für Underwriting-Modelle mit demografischen Daten.
  • Technische Dokumentation (Art. 11): Vollständige Beschreibung von Systemeigenschaften, Leistungsmetriken, Trainingsverfahren und Einschränkungen.
  • Transparenz gegenüber Betreibern (Art. 13): Betreiber müssen ausreichende Informationen erhalten, um das System sachgerecht einzusetzen.
  • Menschliche Aufsicht (Art. 14): Ausreichende Eingriffsmöglichkeiten durch Menschen, insbesondere bei folgenreichen Entscheidungen über Leistungsansprüche oder Versicherbarkeit.
  • Konformitätsbewertung und Registrierung (Art. 43, 71): Vor Inbetriebnahme muss eine Konformitätsbewertung durchgeführt und das System in der EU-KI-Datenbank registriert werden.

Das Zusammenspiel mit der DSGVO ist zentral: Underwriting-KI, die personenbezogene Daten verarbeitet, muss sowohl AI-Act- als auch DSGVO-konform sein. Hochautomatisierte Einzelentscheidungen unterliegen zusätzlich Artikel 22 DSGVO. Mehr dazu in unserem Leitfaden zur DSGVO-Checkliste für KI-Tools.

Zeitplan für Versicherungsunternehmen

DatumAnforderung
Februar 2025Verbotene KI-Praktiken (Art. 5) gelten
August 2025GPAI-Modellpflichten (Kapitel V) gelten
August 2026Vollständige Hochrisiko-Anforderungen für neue Systeme
August 2026Bestehende Hochrisiko-Systeme müssen angepasst sein

Der August 2026 ist der kritische Stichtag. Systeme, die nach diesem Datum neu eingesetzt werden, müssen von Tag eins compliant sein. Einen strukturierten Überblick über alle Fristen bietet unser EU-AI-Act-Compliance-Leitfaden.

EU AI Act Checkliste für Versicherungen

Für Versicherungsunternehmen empfiehlt sich folgender Compliance-Fahrplan:

  1. KI-Systeminventar erstellen — alle KI kartieren, die Kundenentscheidungen zu Vertragsabschluss, Prämien oder Leistungsansprüchen beeinflusst, einschließlich eingekaufter Drittanbieter-Systeme
  2. Risikoklassifizierung dokumentieren — Hochrisiko vs. geringeres Risiko nach Anhang III klar abgrenzen und begründen
  3. Verbotene Praktiken ausschließen — sicherstellen, dass kein eingesetztes System unter die Verbote des Art. 5 EU AI Act fällt
  4. Qualitätsmanagementsystem implementieren — nach Art. 9 EU AI Act für alle Hochrisiko-KI-Systeme
  5. Datenqualität und Bias prüfen — Trainingsdaten auf Repräsentativität und Diskriminierungspotenzial evaluieren
  6. Technische Dokumentation erstellen — Art. 11 EU AI Act für alle Hochrisiko-Systeme
  7. Menschliche Aufsicht sicherstellen — Eingriffsmöglichkeiten in automatisierte Entscheidungen dokumentieren und testen
  8. DSGVO-Überlappung klären — insbesondere für Underwriting-KI mit personenbezogenen Daten und Art. 22 DSGVO
  9. BaFin-Integration planen — AI-Act-Pflichten mit VAG, MaGo und Solvency-II-Anforderungen verzahnen
  10. Konformitätsbewertung und Registrierung — Hochrisiko-Systeme in EU-KI-Datenbank nach Art. 71 eintragen (Stichtag August 2026)

BaFin und EU AI Act: Das Zusammenspiel

Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) beaufsichtigt Versicherungsunternehmen in Deutschland und koordiniert die Durchsetzung des EU AI Act für den Versicherungssektor. Für die Compliance-Strategie bedeutet das:

  • Der AI Act ersetzt nicht bestehende BaFin-Anforderungen aus VAG und MaGo — er ergänzt sie
  • Bestehende Risikomanagementsysteme nach Solvency II sind ein guter Ausgangspunkt, decken AI-Act-Anforderungen aber oft nicht vollständig ab
  • BaFin hat signalisiert, dass KI-Governance-Strukturen im Rahmen laufender Aufsicht geprüft werden
  • EIOPA (europäische Versicherungsaufsicht) entwickelt Leitlinien zur AI-Act-Interpretation für den Sektor

Für Insurtechs und digitale Versicherer mit ChatGPT Enterprise oder Claude Enterprise in internen Prozessen empfiehlt sich zudem eine datenschutzrechtliche Prüfung vor dem Rollout.

So hilft Compound Law

  • KI-Systeminventar und Klassifizierung nach EU AI Act und Anhang III
  • Underwriting-Compliance-Frameworks nach AI Act und BaFin-Anforderungen
  • Schaden-KI-Richtlinienprüfung und Entscheidungsarchitektur
  • Insurtech-spezifische AI-Act-Beratung inklusive DSGVO-Überlappung
  • Technische Dokumentation, Bias-Tests und Qualitätsmanagementsystem
  • BaFin-Integrationsstrategie und Registrierungsbegleitung

Jetzt Erstgespräch vereinbaren

Häufig gestellte Fragen

Gilt der EU AI Act für Versicherungsunternehmen? Ja. Der EU AI Act gilt unmittelbar für alle Versicherungsunternehmen, die KI für Underwriting, Schadensregulierung, Prämienberechnung oder Risikobewertung einsetzen. Hochrisiko-Pflichten gelten ab August 2026 vollständig — für Insurtechs genauso wie für traditionelle Versicherer.

Welche Versicherungs-KI ist nach dem EU AI Act hochriskant? Hochriskant sind: automatisiertes Underwriting für Privatpersonen, KI-gestützte Prämienberechnung, Risikoscoring, KI-Schadensablehnung und Systeme zur Bestimmung von Auszahlungsbeträgen. Grundlage ist Anhang III, Ziffer 5 lit. b EU AI Act.

Wann muss ich den EU AI Act in meinem Versicherungsunternehmen umsetzen? Die Verbote für unzulässige KI-Praktiken galten ab Februar 2025. Die Hochrisiko-Anforderungen — Qualitätsmanagementsystem, Bias-Tests, Dokumentation, menschliche Aufsicht — gelten vollständig ab August 2026.

Ist automatisierte Schadensbearbeitung hochriskant? Es kommt auf die Entscheidungsbefugnis an. KI, die Schäden zur menschlichen Prüfung markiert, ist geringeres Risiko. KI, die Schadensansprüche ablehnt oder Auszahlungsbeträge festsetzt, ist hochriskant und erfordert volle Compliance.

Was sind verbotene KI-Praktiken für Versicherungen? Verboten sind: Social Scoring von Privatpersonen, biometrische Kategorisierung auf Basis sensibler Merkmale und KI, die Schwachstellen bestimmter Personengruppen systematisch ausnutzt. Diese Verbote gelten seit Februar 2025 und sind die schwerwiegendste Sanktionskategorie.

Was droht bei Nicht-Compliance mit dem EU AI Act? Bußgelder können bis zu 30 Millionen Euro oder 6 % des weltweiten Jahresumsatzes betragen — für Verstöße gegen verbotene Praktiken sogar 35 Millionen Euro oder 7 %. Für KMU und Startups sieht die Verordnung proportionale Obergrenzen vor.

Weitere Branchen-Guides

EU AI Act Compliance für Anwaltskanzleien in Deutschland
ai-act

EU AI Act für Anwaltskanzleien: Risikoklassifikation und Compliance 2026

KI in der Kanzlei: Risikoklassen, Compliance-Pflichten, BRAO-Kontext und Fristen bis August 2026 für Rechtsdienstleister im Überblick.
EU KI-Gesetz August 2026 Frist – Compliance-Checkliste für Unternehmen in Deutschland
ai-act

KI-Verordnung Frist August 2026 — Was Unternehmen jetzt tun müssen

Noch 90 Tage bis zur EU AI Act Frist: Hochrisiko-KI-Pflichten ab 2. August 2026, GPAI-Anbieterpflichten und 6-Schritte-Plan für Unternehmen.
KI-Compliance Landwirtschaft: EU AI Act für Agrarbetriebe 2026
ai-act

KI-Verordnung Landwirtschaft: Compliance-Leitfaden 2026

AI Act Landwirtschaft 2026: Welche KI-Systeme hochriskant sind, was bis August gilt und wie Agrarbetriebe compliant werden.

Häufige Fragen

Gilt der EU AI Act für Versicherungsunternehmen?

Ja. Der EU AI Act gilt unmittelbar für alle Versicherungsunternehmen, die KI für Underwriting, Schadensregulierung, Prämienberechnung oder Risikobewertung einsetzen. Hochrisiko-Pflichten gelten ab August 2026 vollständig.

Welche Versicherungs-KI ist nach dem EU AI Act hochriskant?

Hochriskant sind: automatisiertes Underwriting für Privatpersonen, KI-gestützte Prämienberechnung, Risikoscoring, KI-Schadensablehnung und Systeme zur Bestimmung von Auszahlungsbeträgen. Grundlage ist Anhang III, Ziffer 5 lit. b EU AI Act.

Wann muss ich den EU AI Act in meinem Versicherungsunternehmen umsetzen?

Die Verbote für unzulässige KI-Praktiken galten ab Februar 2025. Die Hochrisiko-Anforderungen — Qualitätsmanagementsystem, Bias-Tests, Dokumentation, menschliche Aufsicht — gelten vollständig ab August 2026.

Ist automatisierte Schadensbearbeitung hochriskant?

Es kommt auf die Entscheidungsbefugnis an. KI, die Schäden zur menschlichen Prüfung markiert, ist geringeres Risiko. KI, die Schadensansprüche ablehnt oder Auszahlungsbeträge festsetzt, ist hochriskant und erfordert volle Compliance.

Was sind verbotene KI-Praktiken für Versicherungen?

Verboten sind: Social Scoring von Privatpersonen, biometrische Kategorisierung auf Basis sensibler Merkmale und KI, die Schwachstellen bestimmter Personengruppen systematisch ausnutzt. Diese Verbote gelten seit Februar 2025.

Was droht bei Nicht-Compliance mit dem EU AI Act?

Bußgelder können bis zu 30 Millionen Euro oder 6 % des weltweiten Jahresumsatzes betragen — je nachdem, welcher Betrag höher ist. Für KMU und Startups sieht die Verordnung proportionale Obergrenzen vor.

Kostenlos beraten