AIA im Versicherungsbereich

AI-Act im Versicherungsbereich

Die EU-Verordnung 2024/1689 (AI-Act) erschafft einen einheitlichen Rechtsrahmen für die Entwicklung, das Inverkehrbringen, die Inbetriebnahme und die Verwendung von Systemen künstlicher Intelligenz (KI-Systeme) in der EU. Mit diesem Rechtsakt wird die Einführung von menschenzentrierter und vertrauenswürdiger künstlicher Intelligenz (KI) gefördert und ein hohes Schutzniveau in Bezug auf Gesundheit, Sicherheit und der in der Charta der Grundrechte der Europäischen Union („Charta“) verankerten Grundrechte sichergestellt. Gleichzeitig soll Innovation und Beschäftigung gefördert und der Union eine Führungsrolle bei der Einführung vertrauenswürdiger KI verschafft werden.

Definition Künstliche Intelligenz

Als „KI-System“ gilt ein maschinengestütztes System, das für einen in unterschiedlichem Grade autonomen Betrieb ausgelegt ist und das nach seiner Betriebsaufnahme anpassungsfähig sein kann und das aus den erhaltenen Eingaben für explizite oder implizite Ziele ableitet, wie Ausgaben wie etwa Vorhersagen, Inhalte, Empfehlungen oder Entscheidungen erstellt werden, die physische oder virtuelle Umgebungen beeinflussen können (Art. 3 Z 1) .

Quelle: FMA, Datenerhebung zum KI-Einsatz 2026.

Risikobasierte Anforderungen

Zur adäquaten Regulierung und Überwachung werden die in der EU verfügbaren Systeme in vier Risikokategorien eingestuft:

  • Inakzeptables Risiko: Der Zweck dieser Systeme ist nicht mit den Grundrechten in der Union vereinbar (z.B. Predictive Policing oder Social Scoring) (Art. 5) .
  • Hochriskante KI-Systeme: Der Einsatz dieser Systeme birgt eine hohe Wahrscheinlichkeit eines Schadeneintritts und eine hohes Schadenausmaß gegenüber individuellen und öffentlichen Interessen im Bereich der Gesundheit, Sicherheit und Grundrechte. Daher ist das Inverkehrbringen oder die Inbetriebnahme ist nur unter Einhaltung bestimmter Anforderungen erlaubt. Derartige KI-Systeme sind unter anderem im Anhang I und III des AI-Act aufgelistet (Art. 6) .
  • Begrenztes Risiko: Hierunter fallen KI-Systeme deren Risiko für Nutzer:innen durch Offenlegungspflichten minimiert werden kann. Abgezielt wird dabei vor allem auf Chatbots und Systeme, die in der Lage sind Bild-, Audio-, Text- oder Videoinhalte zu erzeugen oder zu manipulieren („Deepfakes“) (Art. 50) .
  • Minimales Risiko: Diese Kategorie umfasst alle sonstigen KI-Systeme. Sie unterliegen nur den allgemeinen Anforderungen (EG 165 iVm Art. 95) .

Geltungsbereich

Der Geltungsbereich des AI-Acts erstreckt sich auf

  • Anbieter von KI-Systemen (d.h. natürliche oder juristische Person, Behörde, Einrichtung oder sonstige Stelle, die ein KI-System oder ein KI-Modell entwickelt oder entwickeln lässt und es unter ihrem eigenen Namen in Verkehr bringt oder das KI-System unter ihrem eigenen Namen oder ihrer Handelsmarke in Betrieb nimmt, sei es entgeltlich oder unentgeltlich) unabhängig davon, ob sie in der Union oder in einem Drittland niedergelassen sind und auf
  • Betreiber von KI-Systemen (d.h. natürliche oder juristische Person, Behörde, Einrichtung oder sonstige Stelle, die ein KI-System in eigener Verantwortung verwendet, es sei denn, das KI-System wird im Rahmen einer persönlichen und nicht beruflichen Tätigkeit verwendet), die in der Union niedergelassen sind (Art. 2) .
Quelle: FMA, Datenerhebung zum KI-Einsatz 2026.

Nationale Behörden

Jeder Mitgliedstaat hat mindestens eine notifizierende Behörde und mindestens eine Marktüberwachungsbehörde als zuständige nationale Behörden zu benennen, die die Anwendung und Durchführung dieser Verordnung beaufsichtigen (Art. 70) .

  • Die notifizierende Behörde ist für die Einrichtung und Durchführung der erforderlichen Verfahren für die Bewertung, Benennung und Notifizierung von Konformitätsbewertungsstellen und für deren Überwachung zuständig.
  • Die Marktüberwachungsbehörde sind befugt, einzugreifen, wenn KI-Systeme Risiken bergen oder die Anforderungen des KI-Gesetzes nicht erfüllen, Fernüberwachung durchzuführen und auf die Dokumentation, die Datensätze und den Quellcode der Anbieter zuzugreifen. Bei Hochrisiko-KI-Systemen, die von beaufsichtigten Finanzinstituten in Verkehr gebracht, in Betrieb genommen oder verwendet werden, gilt die in jenen Rechtsvorschriften für die Finanzaufsicht über diese Institute benannte nationale Behörde als Marktüberwachungsbehörde (Art. 74 Abs. 6) .