Das New Yorker Finanzministerium veröffentlicht neue Leitlinien zum Einsatz künstlicher Intelligenz in der Versicherungsbranche – Was Sie wissen müssen

Am 11. Juli 2024 veröffentlichte das New York Department of Financial Services (DFS) das Versicherungsschreiben Nr. 7 (2024) (Schreiben Nr. 7), in dem Leitlinien für den Einsatz künstlicher Intelligenz (KI) bei Underwriting- und Preisentscheidungen verabschiedet wurden. Die Leitlinien verlangen von den Versicherern die Entwicklung und Umsetzung eines Governance-Rahmens zur Steuerung der Risiken von KI, der die Aufsicht durch den Vorstand, die Geschäftsleitung und qualifiziertes Personal umfassen sollte. In einer Pressemitteilung zur Bekanntgabe des Schreibens Nr. 7 beschrieb DFS-Superintendent Adrienne Harris das Ziel des Schreibens als „Sicherstellung, dass die Implementierung von KI in der Versicherungsbranche keine systemischen Verzerrungen, die zu rechtswidriger oder ungerechter Diskriminierung geführt haben, aufrechterhält oder verstärkt, und gleichzeitig die Stabilität des Marktes gewährleistet“.

Zusammenfassung der Leitlinien aus Schreiben Nr. 7 und wichtige Hinweise zur Einhaltung der Vorschriften

Mit dem Schreiben Nr. 7 möchte das DFS Versicherungsunternehmen, die im Bundesstaat New York zur Ausübung von Versicherungstätigkeiten zugelassen sind, Unternehmen gemäß Artikel 43, Gesundheitsorganisationen, lizenzierte Bruderschaften und den New York State Insurance Fund (zusammenfassend als „Versicherer” bezeichnet) Leitlinien für die Entwicklung und Verwaltung der Nutzung externer Verbraucherdaten und Informationsquellen (ECDIS), künstlicher Intelligenzsysteme (AIS) und anderer KI-Vorhersagemodelle, die bei der Zeichnung und Preisgestaltung von Versicherungspolicen und Rentenverträgen eingesetzt werden.

Behandlung von Fairness-Bedenken

Während die Verwendung von ECIDS und AIS für Versicherer von Vorteil sein kann, befürchtet die DFS, dass der Einsatz solcher Technologien Ungleichheiten verstärken und verschärfen sowie das Risiko ungenauer, willkürlicher, launischer oder unfair diskriminierender Ergebnisse erhöhen könnte, was sich unverhältnismäßig stark auf schutzbedürftige Gemeinschaften und Einzelpersonen auswirken oder anderweitig den Versicherungsmarkt in New York untergraben könnte. Besonders besorgniserregend sind die Quellen, die Genauigkeit und die Zuverlässigkeit von ECDIS, insbesondere wenn die Quelle nicht der Aufsicht durch das DFS unterliegt, sowie das selbstlernende Verhalten von AIS, das unverhältnismäßige Auswirkungen auf schutzbedürftige Personen und Gemeinschaften verstärken und vergrößern kann. Daher müssen Versicherer nun nachweisen können, dass ECDIS und AIS, die für die Risikoprüfung und Preisgestaltung eingesetzt werden, auf allgemein anerkannten versicherungsmathematischen Standards basieren und einen klaren, empirischen, statistisch signifikanten, rationalen und nicht unfair diskriminierenden Zusammenhang zwischen den verwendeten Variablen und dem relevanten Risiko des Versicherten aufweisen.

Um ECDIS oder AIS bei der Risikoprüfung oder Preisgestaltung einsetzen zu können, sollte ein Versicherer durch eine umfassende Bewertung sicherstellen, dass die aus der KI abgeleiteten Richtlinien für die Risikoprüfung und Preisgestaltung nicht gegen das Versicherungsrecht verstoßen. Eine solche umfassende Bewertung sollte mindestens die folgenden drei Schritte umfassen:

1. Beurteilen Sie, ob die Verwendung von ECDIS oder AIS unverhältnismäßige nachteilige Auswirkungen auf die Risikoprüfung oder Preisgestaltung für Versicherte in ähnlicher Lage oder Versicherte einer geschützten Gruppe hat.
2. Beurteilen Sie, ob es eine legitime, rechtmäßige und faire Erklärung oder Begründung für die unterschiedlichen Auswirkungen auf Versicherte in ähnlicher Situation gibt.
3. Durchführung und angemessene Dokumentation einer Suche und Analyse nach weniger diskriminierenden alternativen Variablen oder Methoden.

Auswirkungen der Unternehmensführung

Gemäß 11 NYCRR § 90.2 sind Versicherer verpflichtet, über Corporate-Governance-Rahmenwerke zu verfügen, die ihrer Art, Größe und Komplexität angemessen sind. Ein solches System muss eine strenge Überwachung der Nutzung von KI durch den Versicherer im Sinne des Schreibens Nr. 7 gewährleisten. Diese Überwachung wird vom Vorstand jedes Versicherers ausgeübt, und das Governance-System sollte klare Verantwortlichkeiten in Bezug auf die Nutzung von KI festlegen und sicherstellen, dass die Geschäftsleitung in der Lage ist, die allgemeinen Auswirkungen von KI auf die Versicherungsbranche zu verstehen. Schreiben Nr. 7 sieht ferner vor, dass Versicherer, die KI einsetzen, die Entwicklung und Verwaltung dieser Technologien in schriftlichen Richtlinien und Verfahren formalisieren sollten – einem „lebendigen” Dokument, das mindestens einmal jährlich von den Leitungsgremien oder der Geschäftsleitung der Versicherer (sofern dies delegiert wurde) überprüft und genehmigt werden sollte, um der raschen Entwicklung des Marktes Rechnung zu tragen und den Best Practices der Branche zu entsprechen.

Zusätzlich zu schriftlichen Richtlinien und Verfahren sollten Versicherer umfassende Unterlagen über die Verwendung aller KI-Systeme führen, unabhängig davon, ob diese intern oder durch Dritte entwickelt wurden (gemäß 11 NYCRR 243). Versicherer sollten die relevanten Risiken in jeder Phase des AIS-Lebenszyklus sowie insgesamt verwalten, was im Rahmen einer bestehenden Risikomanagementfunktion oder separat als Teil eines unabhängigen Programms erfolgen kann. Gemäß 11 NYCRR § 89.16 müssen Versicherer bereits über eine interne Revisionsfunktion verfügen, um allgemeine und spezifische Audits, Überprüfungen und Tests durchzuführen, die zum Schutz von Vermögenswerten, zur Bewertung der Wirksamkeit und Effizienz von Kontrollen sowie zur Bewertung der Einhaltung von Richtlinien und Vorschriften erforderlich sind. Die neuen Leitlinien verlangen, dass die interne Revisionsfunktion angemessen auf jede Verwendung von ECDIS und AIS zugeschnitten ist.

Versicherer müssen verstehen, wie ECDIS oder AIS in Tools von Drittanbietern verwendet werden, die der Versicherer bei der Risikoprüfung und Preisgestaltung einsetzt, und sind dafür verantwortlich, dass diese Tools alle gesetzlichen und regulatorischen Anforderungen erfüllen. Versicherer sollten schriftliche Standards, Richtlinien, Verfahren und Protokolle für den Erwerb, die Nutzung oder die Verwendung von ECDIS oder AIS von Drittanbietern entwickeln. Versicherer sollten außerdem Verfahren entwickeln, um falsche Informationen aus ihrem AIS zu korrigieren und zu entfernen, die der Versicherer identifiziert hat oder die einem Drittanbieter gemeldet wurden.

Transparenz ist entscheidend

Versicherer sollten potenziellen Versicherungsnehmern jede Verwendung von ECDIS oder AIS bei der Risikoprüfung oder Preisgestaltung offenlegen. Die Offenlegung sollte Folgendes umfassen: (i) ob der Versicherer AIS bei der Risikoprüfung oder Preisgestaltung einsetzt; (ii) ob der Versicherer Daten über die Person verwendet, die von externen Anbietern (z. B. über ECDIS) bezogen wurden; und (iii) dass diese Person das Recht hat, Informationen über die spezifischen Daten anzufordern, die zur Risikoprüfungs- oder Preisgestaltungsentscheidung geführt haben, einschließlich der Kontaktinformationen für die Einreichung einer solchen Anfrage. Im Falle einer Ablehnung, Einschränkung, Tarifdifferenz oder einer anderen nachteiligen Entscheidung über die Risikoprüfung sollten die Gründe, die dem Versicherten oder potenziellen Versicherten mitgeteilt werden, Einzelheiten zu allen Informationen enthalten, auf denen der Versicherer seine Entscheidung gestützt hat. Das DFS vertritt nun die Auffassung, dass die unzureichende Offenlegung der wesentlichen Elemente eines AIS und der externen Datenquellen, auf die es sich stützt (unabhängig davon, ob diese aus ECDIS stammen oder nicht), gegenüber einem Verbraucher eine unlautere Handelspraxis im Sinne des Versicherungsgesetzes darstellen kann.

Wir sind hier, um Ihnen zu helfen

Unser Rechtsteam steht Ihnen zur Seite, um Sie bei der Navigation durch dieses sich ständig weiterentwickelnde regulatorische Umfeld zu unterstützen. Wir können Ihnen helfen bei:

• Auswirkungsanalyse: Bewertung der Auswirkungen der neuen Vorschriften auf Ihre bestehenden ECDIS- oder AI-Systeme.
• Compliance-Verfahren: Entwicklung konformer Verfahren für die ECDIS- und AIS-Analyse.
• Entwicklung eines Governance-Rahmens: Implementierung eines robusten Governance-Rahmens für die Überwachung von ECDIS und KI.
• Verbraucherinformationen: Erstellung klarer und prägnanter Verbraucherinformationen zum Einsatz von ECDIS oder KI bei Versicherungsentscheidungen.

Durch die proaktive Umsetzung dieser Anforderungen können Sie sicherstellen, dass Ihr Unternehmen die Vorgaben des Schreibens Nr. 7 und aller anderen geltenden DFS-Anforderungen erfüllt und das Risiko regulatorischer Maßnahmen minimiert wird. Zögern Sie nicht, uns zu kontaktieren, wenn Sie weitere Unterstützung bei der Bewältigung dieser neuen Ära der elektronischen Datennutzung und KI in der Versicherungsbranche benötigen.