Verordnung über künstliche Intelligenz (AI Act) in Kraft: Was Aktuarinnen und Aktuare jetzt darüber wissen sollten

Nach vielen Jahren im Entwurfsstadium (seit 2021) und ungezählten Konsultationen trat, mit der Veröffentlichung im Amtsblatt der Europäischen Union, am 01. August 2024 der „Artificial Intelligence Act“ [2] in Kraft. Die „Verordnung über künstliche Intelligenz“ [3], wie sie auf Deutsch heißt, rühmt sich als weltweit erste Regulierung für künstliche Intelligenz (KI) und hat ohne weitere nationale Umsetzungsakte in allen Mitgliedsstaaten unmittelbar Gesetzeskraft. Bei Zuwiderhandlungen drohen Geldbußen im Millionenbereich (Artikel 99).

Was ist künstliche Intelligenz im Sinne der Verordnung?

Als Menschen mit einer mathematischen Sozialisation fragen wir zuerst nach einer Definition des Begriffs. Nach umfänglichen Diskussionen hat man sich auf folgende Formulierung verständigt. „KI-System: ein maschinengestütztes System, das so konzipiert ist, dass es mit unterschiedlichem Grad an Autonomie operieren kann und nach dem Einsatz Anpassungsfähigkeit zeigen kann, und das für explizite oder implizite Ziele aus den Eingaben, die es erhält, ableitet, wie es Ergebnisse wie Vorhersagen, Inhalte, Empfehlungen oder Entscheidungen erzeugen kann, die physische oder virtuelle Umgebungen beeinflussen können.“ (Artikel 3) Insbesondere die Formulierung „aus den Eingaben, [...] Ergebnisse wie Vorhersagen, Empfehlungen oder Entscheidungen erzeugen kann [...]“ führt dazu, dass zahlreiche Anwendungen im Versicherungsbereich im Kontext von Data Science und Maschinellem Lernen als KI-Systeme im Sinne der Verordnung interpretiert werden müssen. Demnach gilt die KI-Regulierung auch für Teile und Teilprozesse des aktuariellen Tätigkeitsspektrums.

Was heißt das genau? Was müssen wir beachten?

Die Anforderungen an KI-Systeme beruhen weitgehend auf den Empfehlungen der High-Level-Expert-Group (HLEG), die im Auftrag der Europäischen Kommission ethische Leitlinien für vertrauenswürdige KI formuliert hat [4]. Während die HLEG einen holistischen Ansatz verfolgt und Anforderungen im Sinne einer vertrauenswürdigen KI für alle KI-Anwendungen formuliert, verfolgt die EU in ihrer Verordnung einen risikobasierten Ansatz. Konkret werden vier Kategorien von KI-Anwendungen definiert:

• verbotene Praktiken,
• Hochrisikosysteme,
• KI-Systeme mit besonderen Transparenzanforderungen,
• alle weiteren KI-Systeme, also das Komplement der drei anderen Kategorien.

Für uns Aktuarinnen und Aktuare, wie auch für alle anderen mit Data Science befassten Kolleginnen und Kollegen, folgt daraus die Aufgabe, für jede KI-Anwendung, die wir verwenden oder selbst erstellen, zu prüfen, in welche der Kategorien diese einzuordnen ist, sowie die spezifischen Regulierungen zu kennen und zu beachten. Klingt kompliziert, ist es in der Praxis auch, zum Glück gibt uns die Verordnung jedoch zentrale Kriterien an die Hand. Aber der Reihe nach.

Verbotene Praktiken (Auswahl)

In Artikel 5 werden Praktiken, die ein unannehmbares Risiko darstellen, innerhalb der EU grundsätzlich verboten. Dies betrifft unter anderem KI-Anwendungen zur unterschwelligen Einflussnahme, um das Verhalten einer Person zu beeinflussen, oder zur Ausnutzung einer Schwäche oder Schutzbedürftigkeit einer Person aufgrund ihres Alters oder ihrer körperlichen oder geistigen Behinderung. Zudem sind KI-Anwendungen zur Bewertung natürlicher Personen auf Grundlage ihres Sozialverhaltens oder vorhergesagter Persönlichkeitsmerkmale verboten, sofern dies zu einer Schlechterstellung oder Benachteiligung führt (Social Scoring). Es ist davon auszugehen, dass sich die versicherungstechnische Praxis schon allein aus Reputationsgründen nicht weiter mit verbotenen Systemen beschäftigen wird, sodass dieser Aspekt für die Betrachtung nicht weiter relevant sein wird.

Hochrisikosysteme

Hochrisikosysteme werden in Art. 6 definiert und in Anhang III verschiedene Anwendungsfelder davon aufgelistet. Hier finden wir unter anderem die Verwaltung und den Betrieb kritischer Infrastrukturen, die allgemeine und berufliche Bildung, Strafverfolgung, Migration, Asyl und Grenzkontrolle. Auch die Zugänglichkeit und Inanspruchnahme grundlegender privater und öffentlicher Dienste und Leistungen fallen darunter, wozu im Allgemeinen auch die Versicherungsbranche zu zählen ist.

Tatsächlich widmet sich unserer Branche hier ein ganzer Satz: „KI-Systeme, die bestimmungsgemäß für die Risikobewertung und Preisbildung in Bezug auf natürliche Personen im Fall von Kranken- und Lebensversicherungen verwendet werden sollen;“ ([3], Anhang III, Punkt 5c). Die umfangreichen Anforderungen an Hochrisikosysteme beschränken sich damit auf die Sparten Kranken- und Lebensversicherungen und auch hier nur auf wenige spezielle KI-Anwendungen.

Und auch hier gibt es noch Einschränkungen, denn in Artikel 6 (3) werden wiederum Kriterien dafür genannt, wann eine KI-Anwendung nicht also hochriskant gilt, obwohl sie in die, in Anhang III genannten Bereiche fällt. Dies ist etwa dann der Fall, „wenn es kein erhebliches Risiko der Beeinträchtigung in Bezug auf die Gesundheit, Sicherheit oder Grundrechte natürlicher Personen birgt, indem es unter anderem nicht das Ergebnis der Entscheidungsfindung wesentlich beeinflusst.“ Speziell gilt dies unter anderem auch, wenn das KI-System dazu bestimmt ist, „das Ergebnis einer zuvor abgeschlossenen menschlichen Tätigkeit zu verbessern“ oder „eine vorbereitende Aufgabe für eine Bewertung durchzuführen, die für die Zwecke , der in Anhang III aufgeführten Anwendungsfälle relevant ist.“ Damit fällt wiederum nicht jede KI-Anwendung, die an der Risikobewertung oder der Preisbildung in der Kranken- und Lebensversicherung beteiligt ist, in die Kategorie der Hochrisikoanwendungen. Der Vollständigkeit halber sei erwähnt, dass gemäß [3], Anhang III, Punkt 4 auch der Einsatz von KI im Personalmanagement in Unternehmen und damit insbesondere auch in Versicherungen als Hochrisikoanwendung klassifiziert ist.

Die Regelungen für Hochrisikosysteme umfassen unter anderem ein spezifisches Risikomanagement, eine Daten-Governance, ausführliche technische Dokumentationen und Aufzeichnungspflichten, Transparenzvorschriften, menschliche Aufsicht sowie besondere Anforderungen an Genauigkeit, Robustheit und Cybersicherheit. Darüber hinaus werden weitreichende Pflichten für Anbieter von Hochrisikosystemen formuliert. Unter anderem etwa die Einrichtung eines eigenen Qualitätsmanagementsystems, die Pflicht einer regelmäßigen Konformitätsbewertung
sowie weitgehende Informationspflichten gegenüber den zuständigen Behörden. Okay, hier wird schon eine Menge gefordert, was mit einem nicht unerheblichen bürokratischen Aufwand einhergeht. In der Praxis werden wir das meiste davon jedoch sowieso bereits tun, sei es, weil viele der betroffenen Aspekte auch Teil weiterer aufsichtsrechtlicher Vorgaben sind, oder weil
wir sinnvollerweise Reputationsgefahren im Blick haben, insbesondere im Kontext Risikobewertung und Preisbildung. Insgesamt sollte der zusätzliche Aufwand damit eher überschaubar sein.

KI-Systeme mit besonderen Transparenzanforderungen

In die dritte Kategorie fallen KI-Anwendungen, die keine Hochrisikosysteme im Sinne von Artikel 6 sind, für die jedoch besondere Transparenzanforderungen formuliert werden. Dies betrifft unter anderem KI-Systeme, die mit natürlichen Personen interagieren, sowie die Verwendung von Emotionserkennungssystemen oder Systemen zur biometrischen Kategorisierung. In diesen Fällen muss die betroffene Person darüber informiert werden. Beim Einsatz von KI-Systemen, die Bild-, Ton- oder Videoinhalte erzeugen oder manipulieren, die wirklichen Personen, Gegenständen, Orten oder anderen Einrichtungen oder Ereignissen merklich ähneln und einer Person fälschlicherweise als echt oder wahrhaftig erscheinen könnten („Deepfake“), muss offengelegt werden, dass die Inhalte künstlich erzeugt oder manipuliert wurden. Letzteres betrifft uns in unserer Branche wohl eher nicht. Beim Einsatz von Chatbots in der Kundenkommunikation muss zukünftig der Nutzer darüber informiert werden, dass er mit einer KI interagiert.

KI-Modelle mit allgemeinem Verwendungszweck (ohne/mit systemischem Risiko)

Während des langwierigen Gesetzgebungsverfahrens wurde der Gesetzgeber von der Realität in Form der Large Language Modelle überholt. Spätestens seit dem breiten öffentlichen Interesse an ChatGPT im Jahr 2023 wurde klar, dass auch generative KI bei der Regulierung berücksichtigt werden sollte. Tatsächlich wäre der AI Act an der Kontroverse, wie weit die Regulierung hier gehen sollte, auf den letzten Metern fast noch gescheitert.

Zwischen der Einstufung generativer KI als Hochrisiko und keine Regulierung, einigte man sich quasi „in der Mitte“ und formulierte neue Transparenzanforderungen. Dabei werden zwei Kategorien unterschieden: „KI-Modelle mit allgemeinem Verwendungszweck“ (general-purpose AI models) und „KI-Modelle mit allgemeinem Verwendungszweck mit systemischem Risiko“ (general-purpose AI models with systemic risk). Die Begriffe sind dabei so allgemein formuliert, dass sie sowohl die verbreiteten Transformer-Modelle wie GPT-4, DALL-E, BERT, etc., als auch künftige (Weiter-) Entwicklungen umfassen.

Ob die Begrifflichkeiten hier sachgemäß gewählt sind, lässt sich durchaus kritisch hinterfragen. Denn es spricht einiges für die These, dass KI-Modelle mit allgemeinem Verwendungszweck immer ein systemisches Risiko in sich tragen. Der Gesetzgeber sieht dies offensichtlich nicht so, denn er gibt uns Kriterien zur Klassifizierung, also wann von einem systemischen Risiko auszugehen ist, an die Hand. Zentral dabei sind unter anderem die Komplexität des Modells, die Größe der verwendeten Datensätze, die Menge der für das Trainieren des Modells verwendeten Berechnungen sowie die Zahl der registrierten Endnutzer (Artikel 51 & Anhang XIII).

Für die Anbieter von „KI-Modellen mit allgemeinem Verwendungszweck“ gelten umfängliche Transparenzanforderungen, wie etwa die Pflicht zur Erstellung und laufenden Aktualisierung einer technischen Dokumentation. Zudem müssen Anbieter über eine Strategie zur Einhaltung des Urheberrechts der EU sowie über eine hinreichend detaillierte Zusammenfassung der für das Training des KI-Modells verwendeten Inhalte verfügen (Artikel 53 und Anhang XI). Aber auch hier gibt es Ausnahmen, denn diese Pflichten „gelten nicht für Anbieter von KI-Modellen, die im Rahmen einer freien und quelloffenen Lizenz bereitgestellt werden“ (Artikel 53 (2)).

Für die Anbieter von „KI-Modellen mit allgemeinem Verwendungszweck mit systemischem Risiko“ gelten darüber hinaus weitergehende Anforderungen, wie etwa eine Modellbewertung mit standardisierten Protokollen und Instrumenten, die dem Stand der Technik entsprechen. Zudem sind mögliche systemische Risiken zu identifizieren, zu bewerten und zu mindern sowie einschlägige Informationen über schwerwiegende Vorfälle und mögliche Abhilfemaßnahmen zu erfassen, und das (neu zu gründende) Büro für künstliche Intelligenz sowie die zuständigen nationalen Behörden darüber zu unterrichten (Artikel 55).

Für vielfältige Anwendungen, etwa im Wissensmanagement, werden aktuell im Versicherungsumfeld Large-Language-Modelle entwickelt. In der Praxis werden dafür keine eigenen Basismodelle verwendet, sondern es wird auf den vorhandenen und verfügbaren Basismodellen aufgesetzt, die als KI-Modelle mit allgemeinem Verwendungszweck angesehen werden. In diesem Kontext sind Versicherungsunternehmen von zwei Seiten von den Transparenzpflichten betroffen: eEinerseits als Adressaten der Offenlegungspflichten der Anbieter von Basismodellen, die sie verwenden. Zum anderen selbst als Anbieter von spezialisierten Sprachmodellen.

Alle weiteren KI-Systeme

Für alle weiteren KI-Anwendungen, die in keine der obigen Kategorien fallen, ist keine Regulierung vorgesehen. Und dies betrifft heute viele der KI-Anwendungen, mit denen wir uns im Umfeld Actuarial Data Science beschäftigen.

Für die KI-Anwendungen dieser vierten Kategorie werden freiwillige Selbstverpflichtungen auf Basis sogenannter Verhaltenskodizes empfohlen (Artikel 95). Angesichts der bereits bestehenden umfänglichen Regulierung in der Versicherungsbranche sind hier meiner Einschätzung nach kurzfristig keine Initiativen zu erwarten.

KI-Kompetenz

Neben den umfänglichen Anforderungen an KI-Systeme werden im AI Act auch Anforderungen an die KI-Kompetenz der Beteiligten formuliert. In Artikel 4 heißt es dazu: „Die Anbieter und Betreiber von KI-Systemen ergreifen Maßnahmen, um […] sicherzustellen, dass ihr Personal […] über ein ausreichendes Maß an KI-Kompetenz verfügt, wobei ihre technischen Kenntnisse, ihre Erfahrung, ihre Ausbildung und Schulung und der Kontext, in dem die KI-Systeme eingesetzt werden sollen […], zu berücksichtigen sind.“

Vor diesem Hintergrund sind Aktuarinnen und Aktuare geradezu prädestiniert, zentrale Rollen in KI-Projekten einzunehmen. Aufgrund der spezifischen Ausbildung, unserer Erfahrung und Kompetenz sind wir in der Lage, zu analysieren, welche regulatorischen Anforderungen für eine KI-Anwendung gelten und wie diese effizient umzusetzen sind. Dies betrifft insbesondere komplexe und anspruchsvolle Anforderungen, wie Transparenz, Fairness oder Erklärbarkeit.

Hinweis: 
Dieser Artikel basiert auf dem Ergebnisbericht „Der
Artificial Intelligence Act im aktuariellen Kontext“ [1]
der AG AI Act des Ausschusses Actuarial Data Science,
der von Teresa Reichart, Prof. Dr. Jonas Offtermatt,
Dr. Michael Zimmer und mir verfasst wurde.