Risikobasierte Preisbildung in der Versicherung: Risikoklasse und Pflichten im EU-KI-Recht
KI-Systeme zur Festsetzung von Prämien und Versicherungsprämien für natürliche Personen (risikobasierte Preisbildung) sind nach Anhang III Nr. 5 AI Act HOCHRISKANT. Sie unterliegen spätestens am 2. Dezember 2027 (verschoben durch AI Omnibus 2026) dem Pflichtenbündel aus Art. 8–15 mit Schwerpunkt Daten-Governance/Bias-Prüfung (Art. 10) und menschlicher Aufsicht (Art. 14). Überlagert: DSGVO (besondere Datenkategorien bei Gesundheitsdaten, Art. 9), AGG (Diskriminierungsverbot — keine unterschiedliche Prämie nach Geschlecht, ethnischer Herkunft, Religion), Versicherungsaufsichtsrecht (VAG, BaFin-Aufsicht), Gleichbehandlung der Geschlechter (Unionsrecht: keine geschlechterspezifischen Prämien). Risiko-Scoring, das mittelbar diskriminiert (Proxy-Variablen), verstößt gegen AGG und AI Act Art. 10. Eine vollautomatische Ablehnung ist datenschutzrechtlich problematisch.
Steve Baka
Hochrisiko nach Anhang III Nr. 5
Anhang III Nr. 5 erfasst KI „zur Festsetzung der Prämien und Versicherungsprämien für natürliche Personen". Beispiele: individuelle Kfz-Versicherungsprämie nach Fahrstil-/Telematik-Daten, Lebens-/Krankenversicherungs-Scoring, Risiko-Klassifikation für Zusatzversicherungen. Grund der Einstufung: Versicherungsschutz ist wirtschaftlich existentiell; risikobasierte Preise bergen hohes Diskriminierungsrisiko; die Festsetzung beeinflusst den Zugang zu grundlegender Absicherung. Volles Pflichtenbündel aus Art. 8–15 spätestens am 2. Dezember 2027 (verschoben durch AI Omnibus 2026).
Pflichten und AGG-/Gleichbehandlung
Anbieter: Art. 8–15, insb. Daten-Governance mit Bias-Prüfung (Art. 10), Aufzeichnung (Art. 12), menschliche Aufsicht (Art. 14). Überlagert zwingend: AGG — Diskriminierungsverbot nach Geschlecht, Alter, ethnischer Herkunft, Religion, Behinderung; Unionsrechtliche Gleichbehandlung der Geschlechter (Prämienkalkulation darf nicht geschlechterspezifisch sein); VAG und BaFin-Versicherungsaufsicht; DSGVO (Gesundheitsdaten als besondere Kategorie nach Art. 9, strenge Voraussetzungen). Risiko-Scoring mit Proxy-Variablen (Wohnort, Beruf, Name), die mittelbar auf AGG-Merkmale schließen, ist unzulässig. Eine klare Faktoren-Dokumentation (welche Variablen, warum, wie gewichtet) ist entscheidend.
Praxis: Telematik-Tarife und Gesundheitsdaten
Besonders praxisrelevant sind Kfz-Telematik-Tarife (Fahrstil-Bewertung) und gesundheitsbasierte Risikoprämien. Bei Telematik: Transparenz über erfasste Daten, freiwillige Teilnahme, keine Diskriminierung nach Geschlecht/Alter. Bei Gesundheitsdaten: Art. 9 DSGVO erlaubt Verarbeitung nur in engen Grenzen (Versicherungsabschluss mit ausdrücklicher Zustimmung, betragsmäßige Begrenzung); kein heimliches Ausforschen über Wearables/Social Media. Praktisch erforderlich: Fairness-Tests, klare Begründung individueller Prämien, Recht auf menschliche Überprüfung, BaFin-konforme Kalkulation. Neue KI-basierte Tarifmodelle sind vor Markteinführung aufsichtlich abzustimmen.
Quellen
Amtsblatt der Europäischen Union. Verbindlicher Primärtext des EU AI Act (konsolidierte Fassung).
EU AI OfficeEuropäische Kommission. Zentrale EU-Behörde für AI-Act-Durchsetzung, GPAI-Aufsicht und Leitlinien.
Verordnung (EU) 2023/2854 (Data Act) — EUR-LexAmtsblatt der Europäischen Union. Verbindlicher Primärtext des EU Data Act zur Datenweitergabe an verbundenen Produkten.
Datenschutz-Grundverordnung (DSGVO) — EUR-LexAmtsblatt der Europäischen Union. Verbindlicher Primärtext der DSGVO; maßgeblich für KI-Verarbeitung personenbezogener Daten.
AI Act — konsolidierter Lesetext (ai-act-law.eu)Future of Life Institute / Konsortium. Breit genutzte inoffiziell-konsolidierte, artikelgenaue Darstellung des AI Act.
European Data Protection Supervisor (EDPS)EDPS. EU-Datenschutzaufsicht; Stellungnahmen zum AI Act und Schnittstelle KI/Datenschutz.
European Data Protection Board (EDPB)EDPB. Gremium der EU-Datenschutzbehörden mit Leitlinien zur KI-Verarbeitung.
EU AI PactEuropäische Kommission. Freiwillige Frühumsetzung des AI Act; Indikator für Markterwartungen.
Bundesamt für Sicherheit in der Informationstechnik (BSI)BSI. IT-Sicherheitsbehörde Deutschland; relevant für Cybersecurity-Pflichten des AI Act und CRA/NIS2.
Datenschutzkonferenz (DSK)DSK. Zusammenschluss der deutschen Aufsichtsbehörden; Orientierungshilfen auch zu KI.
Der Bundesbeauftragte für Datenschutz (BfDI)BfDI. Bundesweiter Datenschutzbeauftragter Deutschland.
Rat für Künstliche Intelligenz (Österreich)Bundesministerium AT. Beratendes Gremium und Ministerium für KI-Politik in Österreich.
Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB)EDÖB / FDPIC. Schweizer Datenschutzbehörde; Bezug zu EU-KI-Recht für die Schweiz.
Cyber Resilience Act (VO (EU) 2024/2847) — EUR-LexAmtsblatt der Europäischen Union. Schnittstellen-Rechtsakt zur Cybersicherheit von Produkten mit digitalen Elementen (KI-relevant).
Richtlinie (EU) 2022/2555 (NIS2) — EUR-LexAmtsblatt der Europäischen Union. Schnittstellen-Rechtsakt zu IT-Sicherheitsanforderungen für kritische Sektoren.
Häufige Fragen
Ist risikobasierte Versicherungspreisung hochriskant?
Ja. Anhang III Nr. 5 erfasst Festsetzung von Prämien für natürliche Personen. Volles Pflichtenbündel aus Art. 8–15 ab 2. Aug. 2026.
Dürfen Frauen und Männer unterschiedlich bewertet werden?
Nein. Unionsrechtliche Gleichbehandlung der Geschlechter verbietet geschlechterspezifische Prämien. AGG verbietet Diskriminierung nach Alter/Ethnie/Religion/Behinderung.
Was gilt bei Telematik-Tarifen?
Transparenz über Daten, freiwillige Teilnahme, keine Diskriminierung. Gesundheitsdaten unterliegen DSGVO Art. 9 (besondere Kategorie), keine heimliche Ausforschung über Wearables.
Rechtskonforme Umsetzung für Risikobasierte Preisbildung in der Versicherung?
Wenn du Risikobasierte Preisbildung in der Versicherung rechtskonform einführen oder prüfen willst, entwickle ich mit dir die passende Compliance-Strategie — von der Risikoklassifizierung bis zum Nachweis.