Der Stand der KI im Versicherungswesen
Die australische Versicherungsbranche durchläuft eine rasante, KI-getriebene Transformation. Von der Automatisierung der Risikoprüfung, die Risiken in Sekunden statt in Tagen bewertet, bis hin zur KI in der Schadenbearbeitung, die unkomplizierte Schäden ohne menschliches Zutun einordnet und reguliert, gestaltet KI jede Stufe der Wertschöpfungskette der Versicherung neu.
Große australische Versicherer, IAG (NRMA, CGU), Suncorp (AAMI, GIO), QBE, Allianz und der Versicherer des öffentlichen Sektors icare, setzen KI in der Risikobewertung und Tarifierung der Risikoprüfung ein, indem sie Machine-Learning-Modelle zur Bewertung von Risikofaktoren und zur Festlegung von Prämien nutzen; bei der Triage und Bearbeitung von Schäden, wobei die KI Schäden nach Komplexität kategorisiert und unkomplizierte Regulierungen automatisiert; bei der Betrugserkennung, indem sie Mustererkennung über Schadendaten hinweg einsetzt, um verdächtige Muster zu identifizieren; bei der Automatisierung des Kundenservice, wobei KI-Chatbots Policenanfragen, Schadenmeldungen und die Erstmeldung eines Schadens (first notification of loss) bearbeiten; bei der versicherungsmathematischen Modellierung, bei der KI traditionelle versicherungsmathematische Methoden mit größeren Datensätzen und mehr Variablen erweitert; bei Werkzeugen für Makler und Vermittler, mit KI-gestützter Angebotserstellung und Risikobewertung in den Vertriebskanälen; und bei der Modellierung von Naturkatastrophen, indem KI eingesetzt wird, um wetterbedingte Risiken im zunehmend volatilen Klima Australiens vorherzusagen und zu bepreisen.
Der kommerzielle Druck, KI im Versicherungswesen einzuführen, ist enorm. Die Kosten der Schadenbearbeitung machen 60-70% der Prämien aus, und KI-getriebene Effizienzgewinne in der Schadenbearbeitung verbessern unmittelbar die Combined Ratios. Versicherer, die bei der KI-Einführung hinterherhinken, erleiden Wettbewerbsnachteile bei der Tarifgenauigkeit, der Schadeneffizienz und der Kundenerfahrung.
KI im Versicherungswesen birgt jedoch ein außergewöhnliches Governance-Risiko. Versicherung ist eine der wenigen Branchen, in denen KI-Algorithmen unmittelbar bestimmen, ob Einzelpersonen Versicherungsschutz erhalten, was sie zahlen und ob ihre Schäden anerkannt werden. Dies sind lebensverändernde Entscheidungen. Ein KI-Modell zur Risikoprüfung, das Einzelpersonen aufgrund geschützter Merkmale, Behinderung, Geschlecht, Alter, ethnische Zugehörigkeit, diskriminiert, schafft nicht nur eine rechtliche Haftung; es fügt realen Menschen realen Schaden zu. Der EU AI Act stuft KI für Versicherungstarifierung und Risikoprüfung ausdrücklich als hochriskant ein, und australische Regulierungsbehörden, darunter die APRA und die ASIC, signalisieren eine verstärkte Prüfung algorithmischer Entscheidungsfindung im Versicherungswesen.
Wichtigste KI-Sicherheitsrisiken im Versicherungswesen
Versicherungsunternehmen stehen vor KI-Sicherheitsrisiken, die Datenschutz, algorithmische Fairness, regulatorische Compliance und operationelle Integrität umfassen.
Algorithmische Verzerrung bei Risikoprüfung und Tarifierung: Das folgenschwerste KI-Risiko im Versicherungswesen sind diskriminierende Ergebnisse bei Entscheidungen zur Risikoprüfung und Tarifierung. Machine-Learning-Modelle, die mit historischen Daten trainiert wurden, können bestehende Verzerrungen fortschreiben und verstärken. Stellvertreterdiskriminierung, bei der KI scheinbar neutrale Variablen (Postleitzahl, Beruf, Fahrzeugtyp) verwendet, die mit geschützten Merkmalen (ethnische Zugehörigkeit, sozioökonomischer Status, Behinderung) korrelieren, ist besonders heimtückisch, da die Diskriminierung in den Merkmalen des Modells nicht explizit ist. Nach dem Disability Discrimination Act 1992 und dem Sex Discrimination Act 1984 verfügen Versicherer über begrenzte Ausnahmen, die eine versicherungsmathematisch begründete Diskriminierung erlauben, doch diese Ausnahmen erfordern echte versicherungsmathematische oder statistische Daten zur Untermauerung der Differenzierung. KI-Modelle, die ohne transparente versicherungsmathematische Begründung diskriminieren, riskieren Durchsetzungsmaßnahmen der Australian Human Rights Commission und der ASIC.
Fehler der KI bei der Schadenbearbeitung: KI-Systeme, die Schäden triagieren, bewerten oder regulieren, können Fehler mit erheblichen finanziellen und menschlichen Auswirkungen machen. Eine KI, die einen berechtigten Schaden zu Unrecht ablehnt, eine Regulierung zu niedrig ansetzt oder einen komplexen Schaden, der eine fachkundige Beurteilung erfordert, nicht erkennt, fügt den Versicherungsnehmern unmittelbaren Schaden zu. Nach dem Insurance Contracts Act 1984 und dem ASIC RG 271 müssen Versicherer Schäden fair bearbeiten und über eine wirksame interne Streitbeilegung verfügen, KI-gesteuerte Schadenentscheidungen müssen diese Standards erfüllen. Der Skandal um die zu niedrige Auszahlung von Arbeitsunfallleistungen bei icare im Jahr 2022 verdeutlichte die Folgen von Fehlern automatisierter Systeme bei der Berechnung von Leistungen.
Falsch-Positive und Diskriminierung bei der Betrugserkennung: KI-Modelle zur Betrugserkennung, die Schäden aus bestimmten demografischen Gruppen, geografischen Gebieten oder kulturellen Hintergründen überproportional kennzeichnen, schaffen ein Diskriminierungsrisiko. Berechtigte Antragsteller, die aufgrund von KI-Profiling einer verschärften Prüfung unterzogen werden, erleben Verzögerungen, aufdringliche Untersuchungen und Rufschädigung. Versicherer müssen die KI zur Betrugserkennung auf disparate Auswirkungen testen und sicherstellen, dass die Falsch-Positiv-Raten über demografische Gruppen hinweg einheitlich sind.
Shadow AI in der Schadenbearbeitung und in Maklernetzwerken: Schadensachbearbeiter, Schadenregulierer und Versicherungsmakler nutzen häufig KI-Werkzeuge, um Korrespondenz zu verfassen, Schadendokumentationen zu analysieren und Berichte zu erstellen. Das Vertriebsmodell der Versicherung, mit Maklern, Underwriting-Agenturen und Schadenmanagement-Dienstleistern, die als Vermittler agieren, schafft eine erweiterte Shadow-AI-Exposition über die gesamte Wertschöpfungskette hinweg. Personenbezogene Kundendaten, ärztliche Berichte, Finanzunterlagen und Schadendetails, die über nicht genehmigte KI-Werkzeuge verarbeitet werden, verstoßen gegen die Verpflichtungen des Privacy Act und gefährden möglicherweise das anwaltliche Berufsgeheimnis bei strittigen Schäden.
Sensibilität der Kundendaten: Versicherungsanträge und Schadenakten enthalten einige der sensibelsten personenbezogenen Daten überhaupt, Krankengeschichten, Finanzunterlagen, Vorstrafen, Behinderungsstatus, Informationen zur psychischen Gesundheit und Offenlegungen häuslicher Gewalt. Die Australian Privacy Principles des Privacy Act, insbesondere APP 6 (Nutzung und Offenlegung) und die verstärkten Schutzbestimmungen für sensible Informationen nach APP 3, erlegen strenge Verpflichtungen auf, wie diese Daten von KI verarbeitet werden dürfen.
Modellrisiko und versicherungsmathematische Integrität: Von der APRA regulierte Versicherer müssen sicherstellen, dass KI-Modelle, die in Kapital- und Reserveberechnungen, der Tarifierung und dem Risikomanagement eingesetzt werden, die aufsichtsrechtlichen Standards erfüllen. KI-Modelle, denen Transparenz, Erklärbarkeit oder unabhängige Validierung fehlt, schaffen ein Modellrisiko, das sich auf die aufsichtsrechtliche Kapitaladäquanz und die regulatorische Compliance auswirken kann.
APRA-Compliance und regulatorischer Rahmen für KI im Versicherungswesen
Australische Versicherer agieren in einem umfassenden aufsichtsrechtlichen und verhaltensbezogenen Regulierungsrahmen, der sich unmittelbar auf die KI-Governance auswirkt.
APRA CPS 234 (Informationssicherheit): CPS 234 verlangt von der APRA regulierten Unternehmen, eine Informationssicherheit aufrechtzuerhalten, die den Bedrohungen ihrer Informationswerte angemessen ist. Für KI-Systeme bedeutet dies, KI-Werkzeuge innerhalb des CPS-234-Rahmens als Informationswerte einzustufen, Bedrohungen für KI-Systeme zu bewerten, einschließlich Datenvergiftung, Modellmanipulation und unbefugtem Zugriff, Sicherheitskontrollen einzuführen, die den KI-bezogenen Risiken angemessen sind, die Wirksamkeit der KI-Sicherheitskontrollen durch regelmäßige Bewertung zu testen, der APRA wesentliche KI-bezogene Informationssicherheitsvorfälle zu melden und sicherzustellen, dass der Vorstand über wesentliche KI-Sicherheitsfragen informiert wird.
APRA CPG 234 (Leitlinien zur Informationssicherheit): CPG 234 bietet Leitlinien zur Umsetzung von CPS 234 und behandelt das Technologierisikomanagement. Für KI weisen die Leitlinien darauf hin, dass Unternehmen Risiken von KI-Anbietern und Dritten bewerten, Sicherheitskontrollen für KI-Datenflüsse einführen, eine Sicherheitsüberwachung der KI-Systeme aufrechterhalten, KI in die Geschäftsfortführungs- und Notfallwiederherstellungsplanung einbeziehen und Fähigkeiten zur Reaktion auf KI-bezogene Vorfälle gewährleisten sollten.
APRA CPS 230 (operationelles Risikomanagement): CPS 230, gültig ab Juli 2025, verschärft die Anforderungen an das operationelle Risikomanagement. KI-Systeme, die kritische Abläufe unterstützen, müssen in die operationelle Resilienzplanung einbezogen werden. Dazu gehören die Identifizierung von KI-Abhängigkeiten in kritischen Geschäftsprozessen, die Festlegung von Toleranzschwellen für Störungen von KI-Systemen, das Testen der KI-Resilienz durch Szenarioanalysen, das Management des Konzentrationsrisikos bei KI-Anbietern und die Aufrechterhaltung tragfähiger Alternativen zu KI-abhängigen Prozessen.
Insurance Contracts Act und KI-Entscheidungsfindung: Der Insurance Contracts Act 1984 regelt das vertragliche Versicherungsverhältnis und erlegt spezifische, für KI relevante Verpflichtungen auf. Section 13 (Pflicht zu äußerstem Treu und Glauben) verlangt von Versicherern, in allen Geschäften nach Treu und Glauben zu handeln, KI-gesteuerte Entscheidungen müssen diesen Standard erfüllen. Section 14 (Offenlegungspflicht) wird von KI berührt, die Informationen sammelt oder ableitet, die über das hinausgehen, was der Versicherungsnehmer offengelegt hat. Die Sections 54 und 56 betreffen die Schadenbearbeitung, und KI-Schadenentscheidungen müssen diesen Bestimmungen entsprechen.
ASIC RG 271 und KI in der Streitbeilegung: Der Regulatory Guide 271 der ASIC legt Standards für die interne Streitbeilegung fest. Wenn KI-gesteuerte Schadenentscheidungen angefochten werden, müssen Versicherer substanzielle Antworten geben, die die Entscheidungsgrundlage erläutern, die herangezogenen Informationen (einschließlich der Ergebnisse von KI-Modellen) benennen und nachweisen, dass die Entscheidung fair war und alle relevanten Informationen berücksichtigt hat. Dies erfordert faktisch die Erklärbarkeit von KI-Schadenentscheidungen.
Hochrisiko-Klassifizierung des EU AI Act: Der EU AI Act stuft KI, die für Versicherungstarifierung, Risikoprüfung und Schadenbewertung verwendet wird, als hochriskant ein. Australische Versicherer mit EU-Exposition (über Lloyd's-Syndikate, globale Programme oder EU-Tochtergesellschaften) müssen Konformitätsbewertungen, Anforderungen an die menschliche Aufsicht, Transparenzverpflichtungen, Genauigkeits- und Robustheitstests sowie Risikomanagementsysteme für ihre Versicherungs-KI einhalten.
Aufbau eines KI-Governance-Rahmens für Versicherungsunternehmen
Versicherungsunternehmen benötigen Governance-Rahmen, die die einzigartige Schnittstelle von Aufsichtsrecht, Verbraucherschutz und algorithmischer Fairness adressieren.
KI-Governance-Ausschuss für Versicherungen: Richten Sie ein Governance-Gremium ein, das die Bandbreite des KI-Risikos im Versicherungswesen widerspiegelt. Beziehen Sie den Chief Risk Officer und das Risikomanagement, den Chefaktuar und das versicherungsmathematische Team, den Chief Information Security Officer, den Chief Claims Officer, den Leiter der Risikoprüfung, Compliance und regulatorische Angelegenheiten sowie den Rechtsbeistand ein. Dieser Ausschuss sollte befugt sein, KI-Modelle für den Produktiveinsatz zu genehmigen, Verzerrungstests und Fairness-Bewertungen vorzuschreiben, eine menschliche Aufsicht für KI-Entscheidungen mit hoher Auswirkung zu verlangen und wesentliche KI-Risiken an den Risikoausschuss des Vorstands zu eskalieren.
Management des KI-Modellrisikos: Führen Sie einen Rahmen für das Modellrisikomanagement ein, der an den Erwartungen der APRA ausgerichtet ist. Standards für die Modellentwicklung erfordern die Dokumentation der Trainingsdaten, die Begründung der Merkmalsauswahl, die Modellarchitektur und Leistungskennzahlen. Eine unabhängige Modellvalidierung durch qualifizierte Prüfer (Aktuare, Data Scientists), die nicht an der Modellentwicklung beteiligt sind. Eine Modellüberwachung mit automatisierter Drift-Erkennung, Warnungen bei Leistungsabfall und regelmäßigen Neuvalidierungsplänen. Ein Modellinventar, das ein umfassendes Register aller KI-Modelle führt, einschließlich Zweck, Eigentümer, Validierungsstatus, Risikobewertung und Datenabhängigkeiten. Ein Modelländerungsmanagement mit Versionskontrolle, Testanforderungen und Genehmigungsabläufen für Modellaktualisierungen.
Rahmen für algorithmische Fairness: Entwickeln Sie einen strukturierten Ansatz zur Identifizierung und Minderung von KI-Verzerrungen bei Versicherungsentscheidungen. Tests vor der Bereitstellung mit Verzerrungsaudits über geschützte Merkmale hinweg (Alter, Geschlecht, Behinderung, ethnische Zugehörigkeit, Postleitzahl als Stellvertreter), bevor ein Modell in Produktion geht. Eine laufende Überwachung mit regelmäßiger statistischer Analyse der Modellergebnisse nach demografischer Gruppe. Eine versicherungsmathematische Begründungsdokumentation, bei der jede unterschiedliche Behandlung aufgrund geschützter Merkmale versicherungsmathematische Daten zur Untermauerung der Differenzierung erfordert, gemäß den Ausnahmen der Antidiskriminierungsgesetzgebung. Erklärbarkeitsanforderungen, die sicherstellen, dass alle KI-Entscheidungen, die Versicherungsnehmer betreffen, in für den Versicherungsnehmer verständlichen Begriffen erklärt werden können, insbesondere bei nachteiligen Entscheidungen. Abhilfeverfahren mit definierten Prozessen zur Behebung identifizierter Verzerrungen, einschließlich Modell-Neutraining, Merkmalsentfernung und Benachrichtigung der Versicherungsnehmer.
KI-Governance für Schäden: KI in der Schadenbearbeitung erfordert angesichts der unmittelbaren Auswirkungen auf die Versicherungsnehmer eine spezifische Governance. Führen Sie Anforderungen an eine menschliche Überprüfung für alle KI-gesteuerten Schadenablehnungen und erheblichen Regulierungskürzungen ein. Legen Sie Genauigkeitsschwellen fest, wenn die Genauigkeit der Schaden-KI unter definierte Werte fällt, eskalieren Sie zur menschlichen Beurteilung. Überwachen Sie die Ergebnisse der Schaden-KI auf Muster, die auf systemische Fehler oder Verzerrungen hindeuten. Stellen Sie sicher, dass KI-Schadenentscheidungen den Verpflichtungen des Insurance Contracts Act entsprechen, einschließlich äußersten Treu und Glaubens. Führen Sie Prüfpfade, die die KI-Bewertung mit den belegenden Nachweisen für die Streitbeilegung verknüpfen.
KI-Governance für Makler und Vertriebskanäle: Der Versicherungsvertrieb über Makler, Underwriting-Agenturen und Aggregatoren schafft erweiterte Anforderungen an die KI-Governance. Legen Sie Standards für die akzeptable KI-Nutzung für autorisierte Vertreter und Vertriebspartner fest. Nehmen Sie KI-Governance-Anforderungen in Zeichnungsvollmachtsvereinbarungen und Vertriebsverträge auf. Bewerten Sie Shadow-AI-Risiken entlang der gesamten Vertriebskette. Verlangen Sie von Maklern und Vermittlern die Einhaltung der KI-Datenverarbeitungsrichtlinien des Versicherers. Überwachen Sie nach Möglichkeit die Nutzung von KI-Werkzeugen über die Vertriebskanäle hinweg.
Verhinderung von Shadow AI im Versicherungswesen
Shadow AI im Versicherungswesen ist über die Funktionen Schadenbearbeitung, Risikoprüfung und Vertrieb hinweg weit verbreitet, getrieben durch das Volumen an Dokumentation und Korrespondenz, das diese Rollen bewältigen.
Häufige Shadow-AI-Szenarien im Versicherungswesen: Schadensachbearbeiter, die ärztliche Berichte, Polizeiberichte und Aussagen von Antragstellern zur Zusammenfassung und Bewertung in eine KI einfügen. Schadenregulierer, die KI nutzen, um Fotos von Gebäudeschäden zu analysieren und Reparaturschätzungen zu erstellen. Underwriter, die Antragsdaten und Risikoinformationen in KI-Werkzeuge zur Angebotserstellung außerhalb genehmigter Systeme eingeben. Makler, die KI nutzen, um Beratungsdokumente, Statements of Advice und Kundenkorrespondenz mit personenbezogenen und finanziellen Informationen zu verfassen. Aktuare, die KI nutzen, um Modellierungsansätze mit sensiblen Schaden- und Tarifdatensätzen zu erkunden. Kundenservice-Personal, das Policendetails und Schadeninformationen in KI-Chatbots einfügt, um Antworten zu verfassen.
Die Herausforderung der Makler und Vermittler: Das Vertriebsmodell der Versicherung schafft einzigartige Herausforderungen für die Governance von Shadow AI. Makler und autorisierte Vertreter agieren als eigenständige Unternehmen mit eigenen IT-Umgebungen, verarbeiten jedoch Daten des Versicherers und der Versicherungsnehmer. Die Kontrolle der KI-Nutzung über Hunderte von Maklerbüros hinweg, von denen viele kleine Unternehmen mit begrenzter IT-Governance sind, erfordert eine Kombination aus vertraglichen Verpflichtungen, technologischen Kontrollen dort, wo Daten elektronisch ausgetauscht werden, und Schulungsprogrammen, die sich an Maklerinhaber und Compliance-Verantwortliche richten.
Technische Kontrollen für Versicherungen: Setzen Sie DLP-Regeln ein, die für versicherungsspezifische Datenmuster konfiguriert sind, Policennummern, Schadenreferenzen, medizinische Terminologie, Finanzzahlen. Führen Sie eine Netzwerküberwachung des KI-Dienst-Datenverkehrs über die Netzwerke für Schäden, Risikoprüfung und Unternehmen hinweg ein. Nutzen Sie Endpunktmanagement, um die Installation von KI-Anwendungen auf Unternehmensgeräten zu kontrollieren. Überwachen Sie API-Integrationen zwischen Versicherungsplattformen (Policenverwaltung, Schadenmanagement) und externen KI-Diensten. Setzen Sie eine Scan-Funktion am E-Mail-Gateway für KI-verarbeitete Inhalte ein, die Informationen zu Versicherungsnehmern enthalten.
Bereitstellung genehmigter Alternativen: Bieten Sie für gängige Versicherungsworkflows gesteuerte KI-Werkzeuge an. Stellen Sie eine genehmigte KI zur Schadenzusammenfassung mit Kontrollen für die Verarbeitung medizinischer Informationen und Datenresidenz in Australien bereit. Stellen Sie eine genehmigte KI zur Risikoprüfungsanalyse bereit, die in bestehende Risikobewertungssysteme integriert ist. Liefern Sie eine genehmigte KI zur Korrespondenzerstellung mit Schutz der Versicherungsnehmerdaten und tonangemessener Ausgabe. Erstellen Sie genehmigte Prompt-Bibliotheken für gängige Aufgaben in Schaden, Risikoprüfung und Kundenservice, die die Eingabe sensibler Daten minimieren.
Schulung und Sensibilisierung: Die versicherungsspezifische KI-Schulung sollte die Auswirkungen von KI-Entscheidungen auf die Versicherungsnehmer betonen. Schulen Sie Schadenpersonal darin, wie ein KI-Missbrauch Antragstellern schaden und Durchsetzungsmaßnahmen der ASIC auslösen könnte. Klären Sie Underwriter über die Risiken algorithmischer Verzerrung und die Antidiskriminierungspflichten auf. Unterrichten Sie Makler über die Verpflichtungen des Privacy Act bei der Nutzung von KI mit Kundendaten. Führen Sie szenariobasierte Übungen durch, die zeigen, wie Shadow AI zu Schadenlecks, Datenschutzverletzungen oder diskriminierenden Ergebnissen führen könnte.