KI in der Versicherungswirtschaft – rechtliche Leitplanken für Versicherer
Veröffentlicht am 18th Mai 2026
Chatbots im Kundenservice, Algorithmen in der Risikoprüfung, KI-gestützte Schadenregulierung: Was noch vor wenigen Jahren nach Science-Fiction klang, ist in der Versicherungswirtschaft längst operativer Alltag. Die Versprechen sind groß – schnellere Prozesse, präzisere Risikoeinschätzungen, maßgeschneiderte Produkte. Doch je tiefer KI in Entscheidungen eingreift, die das Leben von Menschen unmittelbar berühren, desto drängender wird eine Frage: Wo verlaufen die rechtlichen Grenzen?
Für Versicherer ist KI inzwischen sowohl Innovationsmotor als auch Compliance-Risiko.
Jetzt handeln! Am 2. August 2026 tritt die KI-Verordnung vollständig in Kraft.
Ab diesem Datum sind die Hochrisiko-Pflichten einschließlich der Hochrisiko-Regeln (Annex III) und Transparenzpflichten anzuwenden. Bis dahin bleibt nicht viel Zeit. Für Versicherer bedeutet das: Bestehende KI-Anwendungen müssen inventarisiert, nach Risikoklassen eingeordnet und entlang der gesetzlichen Anforderungen ausgerichtet werden. Konzepte für Bias-Management, erklärbare KI und wirksame menschliche Aufsicht sind Pflicht.
Das übergeordnete Ziel lautet interdisziplinäre KI-Governance: Technik, Recht und Compliance müssen nicht sequenziell, sondern von Anfang an gemeinsam gedacht werden. Wer das ernst nimmt, schafft nicht nur regulatorische Sicherheit, sondern auch Vertrauen.
Kurz nach dem Inkrafttreten der KI-Verordnung wird auch die neue Produkthaftungsrichtlinie (EU) 2024/2853 in nationales Recht umgesetzt. Höchste Zeit also, dass sich Versicherer intensiv mit den rechtlichen Rahmenbedingungen zum Einsatz von KI auseinandersetzen.
KI-Regulierung: Mehr als nur die KI-Verordnung
Der regulatorische Rahmen hat in den letzten zwei Jahren spürbar nachgeschärft: Mit dem Inkrafttreten der KI-Verordnung (EU) 2024/1689 am 1. August 2024 hat Europa erstmals ein horizontales Regelwerk für KI geschaffen, das auch für Versicherer gilt. Parallel steigen die Erwartungen an Governance, IT-Sicherheit und Drittanbietersteuerung (u. a. durch DORA) – und das alles im Zusammenspiel mit Datenschutz, versicherungsaufsichtlichen Grundpflichten (VAG) den aufsichtsbehördlichen Vorgaben der BaFin und der neuen Produkthaftungsrichtlinie (EU) 2024/2853. Diese Regelungsebnen greifen ineinander – wer nur eine davon im Blick hat, riskiert unliebsame Überraschungen.
Warum die KI Verordnung für Versicherer besonders relevant ist
Das Herzstück der KI-Verordnung ist ihr risikobasierter Ansatz. Sie knüpft Pflichten nicht primär an „Technologie“, sondern an Einsatzkontext und Auswirkungen für die Gesundheit und Sicherheit oder die Grundrechte von Menschen. Das ist für Versicherer entscheidend, weil viele KI-Anwendungen unmittelbar Zugang zu essentiellen privaten Dienstleistungen, Vertragskonditionen oder Leistungsentscheidungen beeinflussen.
Der Gesetzgeber nennt ausdrücklich als Hochrisiko-Anwendungsfall: KI-Systeme zur Risikobewertung und Preisgestaltung gegenüber natürlichen Personen in der Lebens- und Krankenversicherung. Das bedeutet, wer solche Systeme entwickelt oder unter eigenem Namen in Betrieb nimmt, rückt schnell in eine (teilweise doppelte) Rollenlage hinein – als Provider (Anbieter) und/oder Deployer (Betreiber/Nutzer) – mit entsprechenden Pflichten entlang der Wertschöpfungskette.
Hochrisiko-Anbieter und -Betreiber haben ein umfangreiches Pflichtenprogramm zu erfüllen. Sie müssen ein kontinuierliches Risikomanagementsystem gewährleisten, Anforderungen an die Datenqualität, technische Dokumentation, Transparenz und – vor dem Einsatz – eine Grundrechte-Folgenabschätzung sicherstellen. Zudem müssen Betreiber sicherstellen, dass qualifizierte Personen die Systeme wirksam überwachen und im Bedarfsfall eingreifen können. Eine rein theoretische Aufsicht genügt nicht – die menschliche Kontrollfunktion („human-in-the-loop“) muss real existieren und über ausreichende Befugnisse verfügen.
Das Bias-Problem: Wenn Fairness auf dem Spiel steht
Ein spezifisches Risiko des KI-Einsatzes, das rechtlich wie reputationsmäßig unterschätzt wird, ist die sogenannte Voreingenommenheit („Bias“) als inhärentes Risiko. Gemeint sind systematische Verzerrungen im algorithmischen Output – Abweichungen zwischen dem, was die KI errechnet, und dem, was tatsächlich der Fall ist. Das Tückische: Anders als ein voreingenommener Sachbearbeiter, der eine Einzelentscheidung trifft, ist eine verzerrte KI skalierbar. Sie trifft Tausende von Entscheidungen nach demselben fehlerhaften Muster – und kann so ganze Bevölkerungsgruppen systematisch benachteiligen oder vom Zugang zu Versicherungsschutz ausschließen.
Besonders heikel ist dabei die sogenannte Black-Box-Problematik. Moderne KI-Systeme, insbesondere tiefe neuronale Netze, sind für Außenstehende – und oft auch für ihre Entwickler – nicht transparent. Im Streitfall bedeutet das für den Versicherer: Er muss nachweisen, dass seine KI keine verbotene Diskriminierung betreibt, kann aber möglicherweise nicht erklären, wie die Entscheidung zustande gekommen ist. Die Folge ist eine schwierige Beweislage – insbesondere unter dem AGG (Allgemeines Gleichbehandlungsgesetz), das keine diskriminierende Absicht verlangt. Ein undurchsichtiges System allein kann einen Verstoß nicht ausschließen.
Das Diskriminierungsrecht steckt hier klare Grenzen. § 19 Abs. 1 Nr. 2 AGG verbietet Benachteiligungen wegen Geschlecht, ethnischer Herkunft, Alter, Religion oder Behinderung auch im Versicherungsvertragsverhältnis – und das unabhängig davon, ob die Ungleichbehandlung gewollt oder durch einen Algorithmus verursacht wurde. Hinzu kommt das strikte Verwendungsverbot genetischer Daten aus § 18 GenDG, das technisch und organisatorisch auch für KI-Systeme abgesichert sein muss, die über sogenannte Proxy-Variablen indirekt auf solche Daten schließen könnten.
Versicherer, die KI-Systeme gemäß Anhang III Ziff. 5 lit. c) KI-VO (Risikobewertung und Preisbildung in der Lebens- und Krankenversicherung) einsetzen, müssen gemäß Art. 27 KI-VO eine Grundrechte-Folgenabschätzung durchführen. Diese muss unter anderem Aussagen zu den spezifischen Schadensrisiken enthalten, die sich auf die ermittelten Kategorien von Personen oder Personengruppen in der Kranken- und Lebensversicherung auswirken können.
Technisch lässt sich Bias durch drei Hebel minimieren: vorbereitende Datenreparatur (Pre-Processing), algorithmische Anpassungen zur Reduktion von Verzerrungen in den Trainingsdaten sowie nachbereitende Analyse der Ergebnisse und entsprechende Korrekturmaßnahmen (Post-Processing).
Datenschutz und automatisierte Entscheidungen
Wer KI im Kundenverhältnis einsetzt, muss sich auch mit Art. 22 DSGVO auseinandersetzen. Dieses Recht schützt Personen davor, ausschließlich auf Basis automatisierter Verarbeitung Entscheidungen mit rechtlicher Wirkung zu unterliegen. n der Versicherungspraxis bedeutet dies konkret, dass Unternehmen, die Prämien, Vertragsannahmen oder Leistungsentscheidungen vollständig durch Algorithmen steuern, entweder eine belastbare Ausnahmevoraussetzung benötigen oder eine echte menschliche Einbindung gewährleisten müssen, die es ermöglicht, die Entscheidung zu überprüfen und individuelle Aspekte einzubringen.
Das schafft ein anspruchsvolles Spannungsfeld, da sich datenschutzrechtliche Transparenz, also die Pflicht zur Auskunft über die Logik einer Entscheidung, und das legitime Interesse des Unternehmens, seinen Algorithmus nicht offenzulegen, nicht immer leicht in Einklang bringen lassen. Wer adaptive KI einsetzt, die sich im Betrieb weiterentwickelt, stößt zudem schnell an die Grenzen des Einwilligungsmodells: Eine informierte, zweckgebundene Einwilligung setzt voraus, dass der Verarbeitungszweck bekannt ist, was bei selbstlernenden Systemen strukturell schwierig ist.
DORA: KI braucht „betriebssichere“ IT
Seit dem 17. Januar 2025 ist DORA anwendbar – auch für Versicherer. DORA stärkt insbesondere die Anforderungen an die digitale operationelle Resilienz, einschließlich Governance, Umgang mit ICT-Vorfällen (Information and Communication Technology) und Steuerung von ICT-Drittparteien. Das von DORA vorgeschriebene ICT-Risikomanagement umfasst auch KI-Systeme, Datenpipelines und externe KI-Anbieter. Für den Einsatz externer KI-Anbieter bedeutet das konkret: Verträge müssen Ausstiegsstrategien, Auditrechte und klare Verantwortlichkeiten abbilden – ein Aspekt, der bei der Einbindung spezialisierter KI-Dienstleister in der Praxis häufig unterschätzt wird. Darüber hinaus verpflichtet DORA Versicherer dazu, schwerwiegende ICT-bezogene Vorfälle – also auch solche, die durch fehlerhafte KI-Systeme ausgelöst werden – unverzüglich der BaFin zu melden.
Die BaFin ergänzt dies durch ihre Erwartungshaltung, dass Versicherer „Blackbox-Ausreden" gar nicht erst versuchen sollten. Die Verantwortung für algorithmische Entscheidungen verbleibt beim Unternehmen – und damit beim Vorstand.
Neue Produkthaftungsrichtlinie – Software als Produkt
Die neue Produkthaftungsrichtlinie (EU) 2024/2853 ist von den EU-Mitgliedstaaten bis zum 9. Dezember 2026 in nationales Recht umzusetzen.
Mit der neuen Produkthaftungsrichtlinie, die bis Dezember 2026 in nationales Recht umgesetzt sein muss, tritt eine weitere Haftungsebene hinzu. Software – und damit auch KI – wird künftig als Produkt im haftungsrechtlichen Sinne behandelt. Fehlerhafte Trainingsdaten, diskriminierende Algorithmen oder mangelhafte Updates können zur Produkthaftung führen. Besonders weitreichend ist, dass Hersteller auch für Fehler haften, die erst nach dem Inverkehrbringen entstehen, solange sie die Kontrolle über das System ausüben, beispielsweise durch Software-Updates oder Vernetzung. Das Risiko erstreckt sich potenziell über die gesamte Lebensdauer des Produkts.
Besonders zu beachten ist die erleichterte Beweissituation für Geschädigte. Wer die geforderten Offenlegungspflichten (z. B. Entwicklungs- und Testdokumentation) nicht erfüllt, riskiert eine Fehlervermutung zugunsten des Geschädigten.
