Nahende Regulierung von Künstlicher Intelligenz – Kernthemen und Action Points für Unternehmen am Beispiel der Versicherungsindustrie

In den vergangenen Jahren haben die EU, ihre Mitgliedsstaaten und internationale Organisationen eine Vielzahl an Publikationen in immer kürzeren Intervallen veröffentlicht, die sich mit der Zukunft von Künstlicher Intelligenz (KI) und möglicher Regulierung befassen. Gleichzeitig ist KI die Schlüsseltechnologie für viele Unternehmen. Um mit zukunftsfester KI zu operieren und sich gegebenenfalls auch einen Vorsprung vor Wettbewerbern zu sichern, ist es für Unternehmen wichtig, sich damit zu befassen, für welche konkreten Themen aktuell regulatorische Tendenzen im Raum stehen (wie Zugriff auf Daten, Anforderungen an Algorithmen, Haftung), welche Strategiepapiere noch die Möglichkeit für Industriefeedback vorsehen, was Unternehmen bei Erstellung, Einkauf bzw. Betrieb von KI bereits jetzt bedenken sollten und welche Chancen sich für sie ergeben.

Einen Wegweiser zu den regulatorischen Kernthemen und Handlungsempfehlungen bot der virtuelle Vortrag unserer Senior Associate France Vehar Data, Algorithms & Ethics – An Emerging Regulatory Debate” vom 15. September 2020 bei einem führenden internationalen Versicherungskonzern. Der Vortrag arbeitete mit Use Cases und einem Fokus auf der Versicherungsindustrie – für die sogar die Chance besteht ein neues KI-Versicherungs-Produkt zu entwickeln.

Dieser Blogbeitrag fasst die wichtigsten Punkte zusammen.

English Summary:

In recent years, the EU, its member states and international organizations have published various publications dealing with the future of artificial intelligence (AI) and a possible regulatory framework at ever shorter intervals. At the same time, AI is the key technology for many companies. In order to operate with future-proof AI and also to potentially even secure a lead over competitors, it is important for companies to consider which issues regarding AI regulatory trends are currently underway (such as ownership and access to data, requirements for algorithms, liability for AI generated output), which strategy papers still provide for the possibility of industry feedback, what they should already consider when creating, purchasing or operating AI and which opportunities may arise for them.

The virtual presentation “Data, Algorithms & Ethics – An emerging regulatory debate” by our Senior Associate France Vehar on 15 September 2020 at a leading international insurance group provided a guide to the regulatory core issues and recommendations for action. The presentation worked with use cases and a focus on the insurance industry – for which the current regulatory trend also includes a chance to develop a new AI insurance product.

This blog post will briefly summarize the core topics.

 

Use Cases in der Versicherungsindustrie

Eingangs zeigte Frau Vehar auf, dass es zwar keine einheitliche Definition von KI gibt, aber Kriterien, die sich anbieten, um ein System bestehend aus Daten und Algorithmus als „Künstliche Intelligenz“ zu qualifizieren. Nach diesen Kriterien ist eine KI gegeben, wenn sie Muster erkennen, aus Erfahrungen lernen und selbstständige Entscheidungen treffen kann. Dabei ist eine KI letzten Endes eine „Black Box“, weil nie mit letzter Sicherheit festgehalten werden könne, warum sie eine konkrete Entscheidung trifft.

Für die Versicherungsbranche ist KI seit ein paar Jahren ein Schlüsselthema, weil mit ihr bzw. durch sie das Potential besteht, intelligente Entscheidungen zu automatisieren und Muster erkennen zu können, die Menschen nicht identifizieren können. Vorausgesetzt sie wird richtig eingesetzt, hat sie das Potential Kosten einzusparen, Prozesse zu beschleunigen und effizienter zu gestalten. Typische Use Cases sind  z.B. der Einsatz im Rahmen von Underwriting und Preisgestaltung (um Anträge schnell bewerten zu können) sowie im Schadensmanagement und der Schadensabwicklung, z.B. durch die automatische Bearbeitung von Forderungen und Schadensprüfung, Chat Bots und zur Betrugsprüfung.

Überblick über die relevanten Publikationen

Im Anschluss folgte ein Überblick über die Vielzahl an Publikationen, die die EU und deren Mitgliedsstaaten in den vergangenen Jahren mit immer engerer Taktung veröffentlicht haben und in welchem Verhältnis diese zueinander stehen.

Auf EU-Ebene hervorzuheben sind hier insbesondere die 2018 veröffentlichte Mitteilung der Kommission “Künstliche Intelligenz für Europa“, samt des als Anhang entwickelten Koordinierten Plans für Künstliche Intelligenz; die im April 2019 veröffentlichten Ethik-Leitlinien für eine vertrauenswürdige KI der von der Kommission eingesetzten High-Level Expert Group on Artificial Intelligence sowie die Mitteilung der Kommission zur Schaffung von Vertrauen in eine auf den Menschen ausgerichtete Künstliche Intelligenz; das im Februar 2020 veröffentlichte Weißbuch zur Künstlichen Intelligenz der Kommission sowie die Mitteilung der Kommission zu einer Europäischen Datenstrategie; der Entwurf eines Berichts mit Empfehlungen an die Kommission zu zivilrechtlicher Haftung beim Einsatz künstlicher Intelligenz (April 2020) sowie das Inception Impact Assessment (Folgenabschätzung) der Initiative Proposal for a legal act of the European Parliament and the Council laying down requirements for Artificial Intelligence (Juli 2020), zu nennen. Letzteres bewertet Optionen unterschiedlicher Regulierungsintensität von einem “Soft-law”-Ansatz zur Anregung industriegeführter Interventionen bis hin zu umfassenden Rechtsvorschriften auf EU-Ebene. Die Annahme durch die Kommission ist für das erste Quartal 2021 geplant.

Die EU hat die Mitgliedsstaaten aufgefordert, nationale Strategien zu erstellen. Somit ist zusätzlich zu der Vielzahl bestehender nationaler Strategien – wie für Deutschland der Strategie Künstliche Intelligenz (November 2018) – zukünftig mit weiteren nationalen Strategien zu rechnen.

Darüber hinaus wurden die aktuellen Publikationen WIPO (World Intellectual Property Organisation, Revised Issues Paper on Intellectual Property Policy and Artificial Intelligence von Mai 2020) und der OECD (Organisation für wirtschaftliche Zusammenarbeit und Entwicklung, OECD Grundsätze für KI von  Mai 2019) vorgestellt.

Dies endete mit dem Fazit, dass mit Blick auf die betrachteten Publikationen zwar derzeit noch keine rechtsverbindlichen Regelungen speziell bezüglich KI bestehen, aber zu erwarten, dass zeitnha Vorschriften folgen werden.

Danach fasste Frau Vehar zusammen, was aus ihrer Sicht die Hauptaspekte der gegenwärtig geführten Regulierungsdiskussion seien, nämlich die Punkte Daten, Algorithmen und Ethik sowie dass speziell für die Versicherungsindustrie auch die Chance besteht, ein neues Versicherungs-Produkt für KI auf den Markt zu bringen.

Daten

Bezüglich Daten wird zunächst die Frage diskutiert, wem nichtpersonenbezogene Daten zuzurechnen sind (Bedarf es exklusiver Rechte?) bzw. wer Zugang zu diesen haben soll. Im Raum steht insbesondere die Förderung des Zugangs zu Daten (Stichwort Schaffung sektorspezifischer und sektorübergreifender pan-europäischer Datenräume). Dabei werden nicht nur ökonomische Anreize diskutiert, sondern auch wettbewerbsrechtliche Regulierungen. Fast alle Publikationen benennen dabei die Notwendigkeit eines neuen gesetzlichen Rahmens.

Mit Blick auf personenbezogene Daten stellt sich darüber hinaus die Frage, wie diese für KI genutzt werden können. So bestimmt sich die Verarbeitung personenbezogener Daten zwar bereits heute nach den datenschutzrechtlichen Bestimmungen der jeweilige Staaten, wie der Datenschutz-Grundverordnung, und bei Verstoß gegen diese drohen hohe Bußgelder. Allerdings bleibt oft unklar, wie diese Regeln in Bezug auf KI ausgelegt werden. Kernthemen sind hier z.B. ob eine Anonymisierung der Daten möglich ist, was die Grundlage für die Verarbeitung sein kann, wie KI mit dem Grundsatz der Datenminimierung zu vereinbaren ist und welche Anforderungen an technische und organisatorische Maßnahmen (TOMs) zu stellen sind. Für Deutschland hat die deutsche Datenschutzkonferenz (DSK) mit der Hambacher Erklärung zur Künstlichen Intelligenz (April 2019) und dem Positionspapier der DSK zu empfohlenen TOMs bei der Entwicklung und dem Betrieb von KI-Systemen (November 2019) zumindest schon Leitlinien zu ihrer Auffassung zu einigen Aspekte veröffentlicht.

Algorithmen

Bei der Debatte in Bezug auf Algorithmen geht es zunächst  um die Frage, wie Teile der KI sowie deren Output geschützt sein können (Ist ein KI-System patentierbar? Kann es Urheber von Werken sein? Was sind Lösungen über den Schutz von Geschäftsgeheimnissen?).

Desweiteren regen viele Publikationen an, dass der Gesetzgeber Anforderungen an den Algorithmus festlegt, wie z.B. dass dieser robust, transparent, überprüfbar und nicht diskriminierend ist. Das Weißbuch der Kommission möchte bezüglich der Anforderungen auch nach dem Risikopotential unterscheiden und sog. „high risk“-KI-Anwendungen stärker in den Fokus nehmen. Daher wird für die Versicherungsindustrie viel davon abhängen, ob sie als eine solche Risikobranche eingestuft wird.

Schließlich geht es auch insbesondere um die Frage, wer für KI haften soll. Das Europäische Parlament hat den oben genannten Berichtsenwturf mit Empfehlungen an die Kommission zu zivilrechtlicher Haftung beim Einsatz künstlicher Intelligenz veröffentlicht, in dem es die Kommission auffordert, einen Vorschlag für eine Verordnung über die Haftung für den Betrieb von KI-Systemen vorzulegen. Danach sollen spezifische Anpassungen an bestehende Haftungsregelungen durch eine Verordnung vorgenommen werden. Der Entwurf konzentriert sich dabei auf die Haftung des sog. „deployers“ von  KI, definiert als de Person, die über den Einsatz des KI-Systems entscheidet, die Kontrolle über das Risiko ausübt und die von seinem Betrieb profitiert. Zu dem Haftungskonzept soll ein verschuldensabhängige Haftung (‚strict liability‘) für Hochrisiko-KI-Systeme gehören. Hochrisiko-KI-Systeme sollen in einem Anhang zur Verordnung aufgeführt werden und alle ‚deployer‘ von Hochrisiko-KI-Systemen sollen über eine entsprechende Haftpflichtversicherung verfügen.

Neues Businessmodell für Versicherer

Insbesondere für die Versicherungsbranche ist dabei interessant, dass der gerade genannte Berichtsentwurf die Versicherungsindustrie sogar explizit auffordert, bestehende Versicherungsprodukte anzupassen beziehungsweise neue Versicherungsmodelle für die zahlreichen Sektoren und verschiedenen Technologien, Produkte und Dienstleistungen, die KI-Systeme beinhalten, zu schaffen. Hier bietet sich also die Chance ein neues Versicherungs-Produkt zu entwickeln.

Ethik

Schließlich geht es bei der regulatorischen Debatte um die Frage, welche ethischen Anforderungen an KI-Prozesse zu stellen sind. Dabei wird zumeist auf den sogenannten „human-centric-approach“ bzw. das Konzept von sog. „trustworthy AI“ („vertrauenswürdiger KI“) rekurriert, nämlich, dass der Mensch im Zentrum der KI stehen soll. Daraus werden unterschiedliche Anforderungen abgeleitet, die teils kongruent sind mit den obengenannten Anforderungen an Algorithmen. Insbesondere auf nationaler Ebene wird oft auch in den Fokus genommen wie sich KI auf den Arbeitsmarkt auswirkt, wobei z.B. Mitbestimmungsrechte des Betriebsrates bei der Einführung von KI diskutiert werden.

Fazit

Das Fazit des Vortrags war, dass zeitnah aus der regulatorischen Debatte konkrete Anforderungen an KI entstehen werden. Wie praktisch umsetzbar gerade die regulatorischen Ansätze, Anforderungen an den Algorithmus und Datenminimierung zu stellen, vor dem Hintergrund der hinter KI stehenden Technik sind, bleibt abzuwarten. Gerade das Frühjahr 2021 werde zeigen, wieweit die EU mit einer entsprechenden Regulierung gelangt ist. Da einige Publikationen Anforderungen an KI danach abstufen wollen, ob es sich um sogenannte „High-Risk“-Applikationen handelt, bietet es sich an, sich über Möglichkeiten Industriefeedback (z.B. über Konsultationen) zu geben, zu informieren.

Aktuell sollten Unternehmen bei der Erstellung, dem Einkauf und dem Betrieb von KI insbesondere überlegen, mit welchen Daten die KI trainiert werden kann, ob es Anforderungen an Algorithmen gibt, deren Eintreten sie zukünftig als wahrscheinlich erachten und die sie bereits jetzt umsetzen können und Verträge sorgfältig gestalten, z.B. bezüglich Rechten, Gewährleistung und Haftung für das KI-System und dessen Output.

Auch lohnt für Versicherungsunternehmen die Überlegung, wie ein Produkt für eine KI-Haftpflichtversicherung aussehen könnte, um bei einer Regulierung, die eine Versicherung für KI-Systeme voraussetzt, eine rasch entstehende Nachfrage schnell bedienen zu können.

Wir danken Frau Vehar für Ihren Vortrag. Der IPT Blog informiert weiter über aktuelle Entwicklungen zu diesem Thema.