Die Sache mit der KI - Die Suche nach Use Cases und der AI-Act
Wie schon in meinem ersten Blog-Beitrag beschrieben, hat die digitale Transformation der Versicherungsbranche viele Komponenten, Themen und Facetten. Am heißesten diskutiert wird derzeit der Einsatz von KI, um Prozesse zu verbessern und die Flexibilität und Reaktionsgeschwindigkeit im Wettbewerb zu erhöhen. Daher widmet sich mein heutiger Beitrag diesem Thema:
Motive zum Einsatz von KI
Mehrwert oder Marketing?
Neben den in der Einleitung genannten Zielen vernimmt man in der Branche noch weitere Gründe zum Einsatz von KI: Es wird von einem "Türöffner" zur ' Data Driven Insurance' gesprochen, von besserem Service und innovativeren Produkten durch KI, von Effizienzsteigerung, optimierter Bewertung von Risiken und erfolgreicherer Kundenansprache im Vertrieb. Also eine tolle Technologie, die die Lösung für viele Probleme der Versicherungsbranche zu liefern scheint. Insofern ist es wichtig, sich mit dieser Technologie zu beschäftigen. Anbieter, wie auch wir, entwickeln KI-Lösungen für unterschiedliche Geschäftsprozesse und Einsatzzwecke. Versicherer beginnen "eigene" KI-Projekte und experimentieren mit der Technologie.
Bei genauerem Hinsehen zeigt sich jedoch, dass sich nach der ersten Euphorie die Branche schwertut, die richtigen Anwendungsfälle für den Einstieg in diese Technologie zu identifizieren. Manchmal hat man den Eindruck, dass die Manager der Branche vom Zauberwort "KI" getrieben sind und auch aus Imagegründen die Vorgabe machen, KI im eigenen Unternehmen jetzt endlich einzusetzen. Unsicherheiten bezüglich der Regulatorik, die Abgrenzung von Machine-Learning Modellen zu generativer KI, die Unkenntnis der eigenen Prozesse, noch nicht ausreichend ausgebildetes Bewusstsein der Mitarbeiter im Umgang mit der neuen Technologie und unklare Verantwortlichkeiten bremsen aber de facto die Verbreitung von KI, obwohl jeder darüber spricht oder sogar davon träumt.
Was ist der richtige Use Case?
Die Einsatzmöglichkeiten der KI sind schier unbegrenzt. Auf welch abstraktem Niveau dieser Technologie oft begegnet wird, zeigen die Worte eines Studenten beim Zurückziehen seiner eigenen Prüfungsarbeit zum Thema Prozessautomatisierung: "Vergessen Sie was ich geschrieben habe, das macht jetzt alles ChatGPT". Natürlich sind die Entscheidungsprozesse in Versicherungsunternehmen nicht so naiv, aber dennoch erlebe ich immer wieder, wie Führungskräfte und Mitarbeiter auf der Suche nach dem richtigen Use Case sind. Manche konzentrieren sich auf reine Capture-Funktionalitäten, andere wählen Routinevorgänge aus oder wollen gesamte Geschäftsprozesse End-to-End mit KI darstellen, wiederum andere konzentrieren sich auf komplexe Entscheidungsprozesse, die von einer KI entweder unterstützt oder übernommen werden sollen.
Um eine solche Entscheidung einigermaßen systematisch und sauber treffen zu können, ist es notwendig, sich an Kriterien zu orientieren. Die wichtigsten sind hierbei aus meiner Sicht:
1. Grundsatzentscheidung und KI-Strategie
Das Top-Management muss festlegen, welche Schwerpunkte beim Einsatz von KI das Unternehmen setzen soll. Die pure Forderung nach der Nutzung reicht nicht aus. Die Technologie hat keinen Selbstzweck, sondern muss da eingesetzt werden, wo sie den größten Mehrwert generiert. Projektdauer und -aufwand hängen direkt von der getroffenen Richtungsentscheidung ab.
2. Regulatorik
Je nach Profil des Versicherers (Leben, Kranken, Komposit) sowie in Abhängigkeit von der o.g. Grundsatzentscheidung und dem ausgewählten Geschäftsprozess haben regulatorische Vorschriften einen unterschiedlich starken Impact auf das Gesamtprojekt. Die Berücksichtigung einiger regulatorischer Bestimmungen sind dabei in der Regel offensichtlich, andere werden bei der Entscheidungsfindung noch nicht "automatisiert" abgeprüft. Eine ganzheitliche Betrachtung ist hier jedoch unbedingt erforderlich, um zukunftsfähige Entscheidungen treffen zu können.
Regulatorik
Datenschutz und Informationssicherheit
Als Anbieter unseres AI-Studios werden uns im Kontakt mit Kunden oder bei Anbahnungen eine Vielzahl von Fragen zur Compliance unseres Unternehmens und unserer Software gestellt. Insbesondere im Zusammenhang mit KI-Lösungen, die ja aufgrund der hohen Anforderungen an die Hardware in der Regel in der Cloud angeboten werden, bezieht sich der Informationsbedarf vorrangig auf den Datenschutz (DSGVO, §203 StGB, SGB). An zweiter Stelle rangieren dann Fragen zur Informationssicherheit bzw. dem ISMS. Immer öfter, aber überraschenderweise noch nicht in der Mehrzahl der Anfragen, bezieht sich der Regelbedarf auf die DORA, die neben den genannten Themen auch die Lieferkette (Unterauftragnehmer), Auditrechte und -pflichten sowie das BCM in den Fokus rückt.
Auf Basis der genannten Regularien entscheiden sich viele Versicherer gegen den Einsatz von KI im Umfeld von Prozessen, in denen Gesundheitsdaten oder andere besonders geschützte personenbezogene Daten genutzt werden müssen. Oft wird viel Energie in die vertragliche Lösung der bereits erwähnten regulatorischen Fragen gesteckt. Die Abstimmung mit Rechtsabteilung, DSB und CISO dauert mitunter Monate und bremst viele Projekte aus, obwohl für diese Themen durchaus häufig erprobte Lösungen gibt.
AI-Act
Überraschend für mich ist, dass der AI-Act in nahezu allen unseren Gesprächen am Markt bei der Bewertung von KI-Projekten eine untergeordnete Rolle spielt. Dabei ist dieses sehr fortschrittliche und weltweit erste KI-Gesetz eine wichtige Rahmenbedingung für die oben genannte Grundsatzentscheidung und KI-Strategie, als auch für den konkreten Einsatz dieser Technologie. Das offiziell als Verordnung (EU) 2024/1689 zur Festlegung harmonisierter Vorschriften für künstliche Intelligenz bezeichnete Regelwerk wurde am 13. Juni 2024 beschlossen und ist am 01. August 2024 in Kraft getreten. Der Gültigkeitsbeginn der Regelungen folgt einem gestaffelten Zeitplan, der am 02. Februar 2025 beginnt (verbotene KI).
Der AI-Act definiert zunächst, was unter KI im Sinne der Verordnung zu verstehen ist (Titel 1 Artikel 3 Nr. 1). Die Definition lässt Interpretationsspielraum und wird sicherlich in den nächsten Wochen und Monaten intensiv diskutiert werden. Als sicher gilt, dass im Wesentlichen Hochrisiko-KI und generative KI-Systeme im Fokus der Verordnung stehen. Des Weiteren nennt der Gesetzgeber Rollen, die unter die Verordnung fallen. Hier werden Anbieter, Betreiber und Händler genannt.
Anschließend teilt der AI-Act Anwendungen von KI in Risikogruppen ein. Anwendungen der höchsten Risikogruppe „Unannehmbares Risiko" (Kapitel II Art. 5 KI-VO) sind lt. Gesetz verboten, die niedrigste Risikogruppe "Minimales/kein Risiko" bleibt ohne Regulierung. Für die Versicherungsbranche ist voraussichtlich die zweithöchste Risikogruppe (Hochrisiko-KI-System) von besonderer Bedeutung. Der Einsatz von KI-Systemen in Geschäftsvorfällen der Kranken- oder Lebensversicherung dürfte i.d.R. in diese Kategorie fallen. Der Einsatz von KI in dieser Risikokategorie erfordert die Einhaltung diverser Pflichten, die bei Einführung organisiert und im laufenden Betrieb eingehalten werden müssen. Die genaue Interpretation und Einordnung von Geschäftsvorfällen ist noch nicht abgeschlossen und wird sich sicher weiterentwickeln und es wird somit mehr und mehr Sicherheit beim Einsatz der Technologie geben. Die im AI-Act vorgegebenen Regeln müssen einerseits eingehalten werden, zeigen aber andererseits, wie ein Einsatz von KI auch in diesen (Hochrisiko-) Bereichen möglich ist. Bei Verstößen gegen die Regelungen sind allerdings erhebliche Sanktionen vorgesehen. Je nach Verstoß drohen Bußgelder von bis zu 35 Mio. Euro oder 7 % des Vorjahresumsatzes. Wer über die Sanktionen hinaus für die KI haftet, ist derzeit noch nicht abschließend geklärt.
Fazit
Vor diesem Hintergrund wird deutlich, dass der Einsatz von KI in Versicherungsunternehmen bewusst geplant und entschieden werden muss. Es ist meiner Ansicht nach fraglich, ob der Einsatz von KI in Entscheidungsprozessen (z.B. Risikovoranfrage, individuelles Pricing o.ä.) tatsächlich im ersten Schritt sinnvoll ist, solange noch keine klare KI-Governance in den Unternehmen etabliert ist und Erfahrungswerte gänzlich fehlen. Natürlich heißt das nicht, dass auch vor dem Hintergrund des Wettbewerbsdrucks bzw. des von Top-Management und Aufsichtsgremien gewünschten schnellen Einsatzes von KI auf sinnvolle Anwendungen verzichtet werden sollte. In meinem bereits früher geforderten Step-by-Step-Ansatz sollte man möglichst schnell mit dem Einsatz dieser Technologie z.B. in einer niedrigeren Risikokategorie beginnen. Dies ermöglicht erste Effizienz- und Serviceverbesserungen, liefert erste Erfahrungen im Umgang mit dieser revolutionären Technologie sowie mit regulatorisch korrekten Prozessen und ermöglicht den Aufbau einer KI-Governance am praktischen Beispiel. Dies ist dann eine gute Vorbereitung für den Einsatz dieser Technologie in Prozessen, die einer höheren Risikokategorie zuzuordnen sind. Marktteilnehmer, die sich mit dem Betrieb, dem Vertrieb und der Erstellung von KI-Systemen beschäftigen, sollten insbesondere auch den AI-Act kennen und berücksichtigen, wenn sie ihre KI-Strategie definieren.
Wie man leicht erkennen kann, ist die intensive Beschäftigung mit dem Thema unerlässlich. Deshalb empfehle ich Ihnen die Teilnahme an unserem Webinar zum Thema "AI-Act" am 18. November 2024, wo ich mit Dr. Gunbritt Kammerer-Galahn (TaylorWessing) und Dr. Burkhard Böbel (AAA Auctor Actor Advisor) zu diesem Thema diskutieren werde.