Spätestens seit ChatGPT wird über Künstliche Intelligenz (KI) wieder auf zahlreichen Plattformen und Kanälen gesprochen. Mithilfe von Machine Learning (ML) können Muster in Daten ohne explizite Programmierung von der KI erkannt, verknüpft und verarbeitet werden. Auch in der Versicherungsbranche werden die vielseitigen Einsatzmöglichkeiten von KI/ML-Modellen zunehmend erkannt.
Die ZEB Use Case Landkarte für Versicherungen zeigt dabei mögliche Anwendungsfälle entlang der gesamten Wertschöpfungskette auf: Beispielsweise können durch KI-gestützte Prognosemodelle Schadens- und Leistungsfälle vorhergesagt, Betrugsversuche erkannt und Stornoquoten gesenkt werden. Laut Erhebungen seitens Zeb werden Potenziale bezüglich KI/ML bisher nur im geringen Maße genutzt, allerdings haben bereits 44 Prozent der befragten Häuser erste KI/ML-Modelle eingeführt oder Piloten verprobt, jedes vierte Unternehmen plant zudem Projekte in diesem Bereich.
Zunehmende regulatorische Aktivitäten
Das Potential von KI wird auch von den Aufsichtsbehörden erkannt. Neben bereits bestehenden IT-bezogenen Vorgaben, wie versicherungsaufsichtsrechtliche Anforderungen an die IT (VAIT) oder die Datenschutzgrundverordnung (DSGVO), hat die regulatorische Aufmerksamkeit auch für das Thema KI in den letzten Jahren auf nationaler wie supranationaler Ebene einen stetigen Zuwachs erfahren (siehe erste Grafik). Sowohl die Bafin als auch die EU-Kommission lassen in ihren Veröffentlichungen verschiedenste regulatorische Anforderungen anklingen, die den gesamten Entwicklungsprozess von KI/ML-Anwendungen beeinflussen können.
Sobald sich Versicherer dazu entschließen, KI/ML-Systeme aktiv zu nutzen, sollten sie sich deshalb auch mit den gesetzlichen Rahmenbedingungen und aktuellen aufsichtsrechtlichen Aktivitäten auseinandersetzen. Werden regulatorische Vorgaben nicht bereits bei Beginn der Implementierung eines Use Cases berücksichtigt, kann dies später zu erheblich höheren Kosten und Umsetzungszeiten oder gar zu einem Einsatzstopp der bereits entwickelten Anwendung führen.
Zum Vergrößern der Grafik hier klicken.
Während die Bafin Konsultations- und Prinzipienpapieren zu ML und KI veröffentlicht, ebnet die EU-Kommission bereits den Weg für verbindliche EU-weite Regelungen. Das Inkrafttreten der im April 2021 im Entwurf vorgestellten KI-Verordnung („AI Act“) wird von ZEB bereits Ende 2023 erwartet. Der AI Act verfolgt einen risikobasierten Ansatz, der unterschiedlich starke Regulierungsansätze für vier unterschiedliche Risikoklassen (minimales bis unannehmbares Risiko) vorsieht (siehe Grafik unten).
Für KI/ML-Anwendungen mit geringem Risiko, wie beispielsweise einfach gehaltene Tools für die Berechnung von Abwanderungsquoten, sieht der AI Act lediglich Transparenzpflichten vor, wohingegen weitaus strengere Anforderungen an Hochrisiko-Anwendungen* gestellt werden. Für diese wird zum Beispiel die Etablierung eines Risikomanagementsystems, Anforderungen an menschliche Aufsicht über die Systeme und Transparenz über Robustheit und Sicherheit der Anwendung gefordert.
Für Versicherer könnten zukünftig zentrale KI/ML-Systeme als Hochrisiko-Anwendungen eingestuft werden, beispielsweise solche zur automatisierten Schadensregulierung und Betrugserkennung. Zudem könnten auch biometrische Anwendungen betroffen sein, zum Beispiel für die biometrische Identifikation von Mitarbeitern, Bewerbern und Kunden.
*Hierunter sind Anwendungen zu verstehen, die laut Verordnungsentwurf „erhebliche Risiken für die Gesundheit und Sicherheit oder die Grundrechte von Personen bergen“.
Um nicht im Nachhinein vor unerwartet hohen zeitlichen und monetären Aufwänden zu stehen, welche im schlimmsten Fall den gesamten Business Case zunichtemachen können, sind Versicherer daher gut beraten, bereits in der Konzeptionsphase regulatorische Rahmenanforderungen an KI/ML-Modelle zu berücksichtigen und umzusetzen. Durch frühzeitiges Befassen mit den aufsichtsrechtlichen Anforderungen können Versicherer sicherstellen, dass ihr zukünftiges Modell die rechtlichen Vorgaben erfüllt und verwendet werden darf.
ZEB-Vorgehensmodell zur Einwertung regulatorischer Anforderungen an KI-Modelle
Für die Verknüpfung regulatorischer Rahmenbedingungen mit der Entwicklung von KI/ML-Modellen setzt das ZEB-Vorgehensmodell (siehe Grafik unten) auf dem etablierten CRISP-DM (Cross-industry standard process for data mining) Standardprozessmodell auf. Das Modell definiert von dem Verständnis des Anwendungsfalls über die Modellierung bis zum Einsatz der Anwendung insgesamt sechs Phasen, die in einem KI/ML-Projekt (mehrmals) zu durchlaufen sind.
ZEB empfiehlt hier, das Standardprozessmodell zunächst um einen Investitionsrahmen (inklusive Bewertung von Investitionen und der Investitionsentscheidung selbst) zu erweitern: Für die Umsetzung eines KI/ML-Vorhaben ist im Rahmen einer daran gebundenen Investitionsentscheidung sowohl eine klare Sicht auf den Beitrag des Modells als auch auf die notwendigen Aufwände in der Erstellung wesentlich für dessen Bewertung. Durch Simulierung des gesamten Prozessmodells wird im Rahmen einer Investitionsbewertung eine Entscheidung für oder gegen die Umsetzung des KI/ML-Vorhabens getroffen.
Darauf aufbauend zeigt das ZEB-Vorgehensmodell zentrale Maßnahmen zur Erfüllung regulatorischer Anforderungen – wie zum Beispiel Risikoanalyse, Maßnahmen zur Steigerung der Datenqualität sowie lückenlose Dokumentation – auf, welche den jeweils passenden Phasen des Entwicklungsmodells zugeordnet sind (siehe dritte Grafik). Beispielsweise verlangt der AI Act die Einrichtung eines Risikomanagementsystems, welches im gesamten Lebenszyklus eines KI/ML-Systems aufrechterhalten werden muss. Für dessen Umsetzung sieht ZEB vor, bereits in der ersten Phase des Business Understanding eine Risikoanalyse über den potenziellen Anwendungsfall durchzuführen.
Business Understanding als zentraler Startpunkt
Für Unternehmen, die sich dem Thema nähern, ist insbesondere die erste CRISP-DM-Phase des Business Understanding zentral. Hier gilt es, ein Verständnis über den potenziellen Anwendungsfall zu schaffen, um eine grundlegende Bewertung von Modell-Charakteristika im Sinne der EU-Risikoklassifizierung des AI Acts vorzunehmen. Die initiale Einordnung des Anwendungsfalls in die entsprechende Risikoklasse ist zudem essenziell für alle daraus folgenden Anforderungen an die zukünftige KI/ML-Anwendung. Ist das Business Understanding einmal entwickelt, verstanden und an alle relevanten Stakeholder kommuniziert, kann zielgerichtet in die nächste Phase des Entwicklungsprozesses gestartet werden.
Das von ZEB entwickelte Vorgehensmodell bietet Versicherungen somit die Möglichkeit, die regulatorischen Anforderungen der Aufsicht in den jeweiligen Entwicklungsphasen mit geeigneten Maßnahmen umzusetzen.
Fazit & Ausblick
Die zunehmende Relevanz von KI/ML-Anwendungen für die Versicherungswirtschaft sowie die gleichzeitig zunehmende Aufmerksamkeit nationaler und supranationaler Regulatoren auf das Thema machen es notwendig, sich mit den daraus erwachsenen Anforderungen und zu treffenden Maßnahmen bereits in den frühen Phasen der Entwicklung von KI/ML-Anwendungen auseinanderzusetzen. Die Schaffung eines grundlegenden Verständnisses über potenzielle Anwendungsfälle im eigenen Unternehmen (Business Understanding) ist für Versicherer hier der erste Ansatzpunkt.