KI, die Lebens- und Krankenversicherungen tarifiert, steht auf der Hochrisiko-Liste der EU-KI-Verordnung. Anhang III Nr. 5 Buchst. c stuft "KI-Systeme, die bestimmungsgemäß für die Risikobewertung und Preisbildung in Bezug auf natürliche Personen im Fall von Lebens- und Krankenversicherungen verwendet werden sollen" als hochriskant ein, und diese Einstufung löst Artikel 27 aus: die Pflicht des Betreibers, vor der Inbetriebnahme des Systems eine Grundrechte-Folgenabschätzung (FRIA) durchzuführen. Dieser Beitrag ist die ausgearbeitete Versicherungsfassung der allgemeinen FRIA-Vorlage: eine vollständige Abschätzung über alle sechs Abschnitte für einen Versicherer, der ein KI-gestütztes Underwriting- und Tarifierungssystem einführt, mit einer präzisen Tabelle, welche Versicherungssparten in den Geltungsbereich fallen und welche nicht, sowie der gebotenen Tiefe zu besonderen Kategorien von Gesundheits- und genetischen Daten, die das Underwriting in der Lebens- und Krankenversicherung verlangt. Einen strukturierten ersten Entwurf erstellen Sie mit dem kostenlosen FRIA-Generator. Ein Hinweis zum Zeitplan vorweg: Der 2. August 2026 ist der rechtsverbindliche Geltungsbeginn für eigenständige Hochrisiko-KI-Systeme nach Anhang III und ihre FRIA; der Digital Omnibus (vorläufig vereinbart am ~7. Mai 2026) würde ihn auf den 2. Dezember 2027 verschieben, ist aber Stand Juni 2026 noch nicht geltendes Recht. Bereiten Sie sich daher weiter auf Basis des 2. August 2026 vor.
Fällt Ihre Versicherungs-KI in den Geltungsbereich? Anhang III Nr. 5 Buchst. c
Anhang III Nr. 5 Buchst. c der EU-KI-Verordnung stuft "KI-Systeme, die bestimmungsgemäß für die Risikobewertung und Preisbildung in Bezug auf natürliche Personen im Fall von Lebens- und Krankenversicherungen verwendet werden sollen" als hochriskant ein. Der Auslöser ist eng und spezifisch gefasst. Er benennt die Lebens- und Krankenversicherung und zwei Funktionen: Risikobewertung und Preisbildung. Eine KI-gestützte Underwriting-Engine, die eine Risikoklasse festlegt, einen Prämienzuschlag anwendet oder für einen einzelnen Lebens- oder Krankenversicherungsvertrag eine Entscheidung über Annahme, Ablehnung oder Weiterleitung trifft, fällt eindeutig in diese Kategorie. Die Einstufung ist verbindliches Recht; sie wurde anhand des Eintrags zu Anhang III im AI Act Service Desk des EU-KI-Büros geprüft.
Der am 19. Mai 2026 veröffentlichte Entwurf der Leitlinien der Kommission zur Einstufung von Hochrisiko-KI-Systemen weist darauf hin, dass entweder die Risikobewertung oder die Preisbildung ein System in den Geltungsbereich bringen kann; beide Funktionen müssen nicht zugleich vorliegen. Derselbe Leitlinienentwurf weist darauf hin, dass Nr. 5 Buchst. c auch die private Pflegeversicherung, private Altersvorsorgeprodukte, soweit sie die Lebensgrundlage einer Person im Alter erheblich beeinflussen, die Restschuldversicherung (Hypothekenabsicherung) und die öffentliche Krankenversicherung erfasst, wenn die individuelle Risikobewertung durch KI erfolgt. Diese Leitlinien sind ein Entwurf, befinden sich in der Konsultation der Interessenträger und sind nicht verbindlich; die von ihnen beschriebenen Randbereiche des Geltungsbereichs können sich vor der endgültigen Fassung noch ändern. Behandeln Sie sie als Planungssignal und gleichen Sie den endgültigen Text mit dem Leitlinienentwurf der Kommission ab.
Maßgeblich ist die Gesundheitsdeckung, unabhängig davon, ob eine Sparte als "Leben" oder "Nichtleben" etikettiert ist. Der Leitlinienentwurf ordnet Kfz-, Wohngebäude- und Sach- sowie Haftpflicht-Tarifierungs-KI außerhalb von Nr. 5 Buchst. c ein, ebenso Versicherungsanlageprodukte, das Schadenmanagement und die Produktgestaltung auf Portfolioebene. Bietet eine Sparte hingegen Gesundheitsdeckung, ändert sich die Lage: Die Leitlinien behandeln Unfall-, Krankheits- und private Krankenversicherung als Krankenversicherung, sodass KI-gestützte Risikobewertung oder Preisbildung für diese Sparten unter Buchst. c fallen kann, obwohl sie als Nichtlebensgeschäft gezeichnet werden. Gehen Sie nicht davon aus, dass ein Nichtleben-Etikett einen Unfall- oder Krankheitsbestand aus dem Geltungsbereich heraushält. Diese Grenze schaltet auch nicht jede andere Pflicht ab: Die DSGVO, die Transparenzpflichten nach Artikel 50 und versicherungsrechtliche Wohlverhaltensregeln können weiterhin für Sparten gelten, die außerhalb von Buchst. c liegen. Die FRIA-Pflicht nach Buchst. c gilt unabhängig davon, ob der Versicherer eine öffentliche oder private Einrichtung ist. Die Unterscheidung zwischen öffentlich und privat in Artikel 27 betrifft die allgemeinen Anhang-III-Kategorien; für das Kreditscoring (Nr. 5 Buchst. b) und die Lebens- und Krankenversicherung (Nr. 5 Buchst. c) schuldet jeder Betreiber die FRIA. Eine ausführlichere Darstellung, wie ein System in Anhang III gelangt, finden Sie im Leitfaden zur Hochrisiko-Einstufung.
| Versicherungssparte & KI-Einsatz | Hochrisiko nach Anhang III Nr. 5 Buchst. c? | FRIA erforderlich? |
|---|---|---|
| Individuelle Lebensversicherung — Risikobewertung oder Preisbildung für natürliche Personen | Ja (verbindlich) | Ja — Betreiberpflicht, unabhängig vom öffentlichen/privaten Status |
| Private Krankenversicherung — Risikobewertung oder Preisbildung | Ja (verbindlich) | Ja |
| Private Pflegeversicherung — Risikobewertung oder Preisbildung | Ja, nach dem Entwurf der Leitlinien der Kommission (noch nicht endgültig) | Ja, sofern bestätigt |
| Restschuldversicherung (Hypothekenabsicherung) — Risikobewertung oder Preisbildung | Ja, nach dem Entwurf der Leitlinien der Kommission | Ja, sofern bestätigt |
| Private Altersvorsorgeprodukte, die die Lebensgrundlage im Alter betreffen — Risikobewertung | Wahrscheinlich, nach dem Entwurf der Leitlinien der Kommission | Ja, sofern bestätigt |
| Unfall-/Krankheits-Deckung, gezeichnet als Nichtleben — Risikobewertung oder Preisbildung | Ja, nach dem Entwurf der Leitlinien als Krankenversicherung behandelt | Ja, sofern bestätigt |
| Kfz, Wohngebäude/Sach, Haftpflicht — Preisbildung | Nein — außerhalb der ersten Welle von Anhang III Nr. 5 Buchst. c | Auf dieser Grundlage nicht |
| Eigenständige Schadenbearbeitung / Betrugserkennung (abtrennbares System) | Außerhalb von Buchst. c — weder Risikobewertung noch Preisbildung | Auf dieser Grundlage nicht (DSGVO, EIOPA-/IDD-Regeln können gelten) |
| Betrugsfunktion, eingebettet in ein System zur Risikobewertung oder Preisbildung in der Lebens-/Krankenversicherung | Ja — Nr. 5 Buchst. c kennt keine Betrugsausnahme | Ja |
Betrugserkennung: Nr. 5 Buchst. c kennt keine Betrugsausnahme
Die ausdrückliche Ausnahme für die Betrugserkennung in der Hochrisiko-Liste steht in Nr. 5 Buchst. b — Kreditwürdigkeit und Kreditscoring, "mit Ausnahme von KI-Systemen, die zur Aufdeckung von Finanzbetrug verwendet werden". Die ausgearbeitete Kreditfassung dieser Abschätzung finden Sie im FRIA-Beispiel zum Kreditscoring. Nr. 5 Buchst. c enthält keine entsprechende Betrugsausnahme. Der Entwurf der Leitlinien der Kommission benennt die Asymmetrie ausdrücklich: Anders als Nr. 5 Buchst. b sieht Nr. 5 Buchst. c keine Ausnahme für die Betrugserkennung vor, sodass ein KI-System, das bestimmungsgemäß der Risikobewertung oder Preisbildung in der Lebens- und Krankenversicherung dient, hochriskant bleibt, auch wenn es zugleich eine Funktion zur Betrugserkennung enthält.
Die Grenze verläuft daher eng. Ein eigenständiges, abtrennbares System zur Betrugserkennung, das nicht selbst eine Risikobewertung oder Preisbildung vornimmt, liegt aus Gründen des Geltungsbereichs außerhalb von Buchst. c, weil die Aufdeckung von Betrug weder Risikobewertung noch Preisbildung ist. Eine Betrugsfunktion, die in das Underwriting- oder Tarifierungssystem eingebettet ist, hebt die Einstufung nach Buchst. c nicht auf. Halten Sie fest, welcher Fall vorliegt, und ziehen Sie die Systemgrenze ausdrücklich, damit ein Prüfer die Argumentation nachvollziehen kann.
Wer schuldet die FRIA, und die sechs Komponenten nach Artikel 27 Abs. 1
In diesem ausgearbeiteten Beispiel nimmt ein europäischer Lebens- und Krankenversicherer ("der Versicherer") ein KI-gestütztes Underwriting- und Tarifierungssystem für individuelle Risikolebens- und private Krankenversicherungen in Produktion. Das Modell stammt von einem Drittanbieter (dem Anbieter) und wird im Haus feinabgestimmt. Bei jedem neuen Antrag und bei der Neutarifierung zur Verlängerung verarbeitet es Antragsdaten — Alter, angegebene Krankengeschichte, BMI, Raucherstatus, einen Lifestyle-Fragebogen — zusammen mit strukturierten Daten aus dem medizinischen Fragebogen und ausgewählten externen oder verhaltensbezogenen Signalen und gibt für eine natürliche Person eine Risikoklasse, einen Prämienzuschlag und eine Entscheidung über Annahme, Ablehnung oder Weiterleitung an einen Underwriter aus. Da es Risikobewertung und Preisbildung für natürliche Personen in der Lebens- und Krankenversicherung vornimmt, ist es hochriskant nach Anhang III Nr. 5 Buchst. c, und der Versicherer schuldet vor der Inbetriebnahme eine FRIA nach Artikel 27.
Der Versicherer ist der Betreiber und trägt die FRIA-Pflicht. Der externe Modellanbieter ist in der Regel der Anbieter, doch diese Aufteilung ergibt sich nicht automatisch. Nach Artikel 25 kann der Versicherer selbst zum Anbieter werden — und die Anbieterpflichten übernehmen —, wenn er eine wesentliche Veränderung am System vornimmt, es unter seinem eigenen Namen oder seiner eigenen Handelsmarke in Verkehr bringt oder in Betrieb nimmt oder die Zweckbestimmung des Systems ändert; hauseigene Feinabstimmung kann diese Schwelle überschreiten, klären Sie die Rolle daher, bevor Sie sich darauf verlassen. Für die FRIA sollte der Betreiber vom Anbieter genug erhalten, um das Grundrechterisiko beurteilen zu können: die Betriebsanleitung und Informationen nach Artikel 13 — Zweckbestimmung, bekannte Beschränkungen, Genauigkeit und die eingebauten Maßnahmen zur menschlichen Aufsicht —, gestützt auf vertragliche Nachweise zu Trainingsdaten und verbleibender Verzerrung (Bias). Der Anbieter erstellt die technische Dokumentation nach Anhang IV für seine eigene Konformitätsbewertung und für die Behörden; weder diese Dokumentation noch die Konformitätsbewertung des Anbieters erfüllt die FRIA-Pflicht des Betreibers. Die Verantwortung für die FRIA ist nicht übertragbar; das Auslagern des Modells lagert die Pflicht nicht mit aus.
Artikel 27 Abs. 1 zählt sechs verpflichtende Komponenten auf; die Tabelle ordnet jeder zu, was dieser Versicherer dokumentiert. Die Meldung der FRIA-Ergebnisse an die Marktüberwachungsbehörde ist ein gesonderter Schritt nach Artikel 27 Abs. 3, der auf die Abschätzung folgt und im letzten Abschnitt behandelt wird.
| Komponente | Was der Versicherer dokumentiert | Grundlage |
|---|---|---|
| 1. Systembeschreibung & Zweckbestimmung | Das Underwriting- und Tarifierungssystem, seine Zweckbestimmung laut Anbieter, Angaben zum Anbieter, der Einsatzkontext (Vermittler am Point of Sale und Online-Direktvertrieb) und die Einstufung nach Anhang III Nr. 5 Buchst. c | Art. 27 Abs. 1 Buchst. a |
| 2. Dauer & Häufigkeit der Verwendung | Datum der Inbetriebnahme, unbefristete Dauer, Volumen in Anträgen pro Tag, ereignisgesteuert bei jedem Antrag und jeder Verlängerung sowie geografischer/marktbezogener Geltungsbereich | Art. 27 Abs. 1 Buchst. b |
| 3. Kategorien betroffener Personen | Antragsteller und Versicherungsnehmer bei der Verlängerung, mit ausdrücklichem Hinweis auf schutzbedürftige Gruppen (Behinderung, chronische oder genetische Erkrankungen, ältere Antragsteller) | Art. 27 Abs. 1 Buchst. c |
| 4. Spezifische Risiken für die Grundrechte | Das nachstehende Risikoregister, bewertet nach Eintrittswahrscheinlichkeit und Schwere, mit Minderungsmaßnahmen und Restrisiko | Art. 27 Abs. 1 Buchst. d |
| 5. Maßnahmen der menschlichen Aufsicht | Prüfung von Ablehnungen und wesentlichen Zuschlägen durch einen Underwriter, Freigabe durch den ärztlichen Dienst sowie Aufsichtsrollen, Qualifikationen und Schulungen | Art. 27 Abs. 1 Buchst. e |
| 6. Maßnahmen beim Eintreten von Risiken | Manueller Underwriting-Pfad, Begründungen bei nachteiligen Entscheidungen sowie der Beschwerde- und Abhilfeweg, der beim Eintreten eines Risikos ausgelöst wird | Art. 27 Abs. 1 Buchst. f |
Betroffene Gruppen und die berührten Grundrechte im Underwriting der Lebens- und Krankenversicherung
Abschnitt 3 der FRIA bestimmt, wen das System betrifft. Unmittelbar betroffen sind Antragsteller für Lebens- und private Krankenversicherungsdeckung sowie bestehende Versicherungsnehmer bei der Verlängerung. Zu den schutzbedürftigen Gruppen, die im Underwriting besondere Aufmerksamkeit erfordern, zählen Menschen mit Behinderung; Menschen mit chronischen oder genetischen Erkrankungen wie Diabetes, Krebsüberlebende, HIV-positive Antragsteller und Menschen mit Erbkrankheiten; ältere Antragsteller; Antragsteller mit einer Vorgeschichte psychischer Erkrankungen; sowie schwangere Antragstellerinnen. Mittelbar betroffen sind unterhaltsberechtigte Angehörige und benannte Bezugsberechtigte, die auf die Deckung angewiesen sind.
Die betroffenen Rechte lassen sich der Charta der Grundrechte der Europäischen Union zuordnen. Der schärfste Anknüpfungspunkt für das Underwriting ist **Artikel 21** Nichtdiskriminierung, der genetische Merkmale, Behinderung und Alter ausdrücklich unter seinen verbotenen Gründen nennt — genau die Merkmale, die das Underwriting berührt. Artikel 26 anerkennt den Anspruch von Menschen mit Behinderung auf Maßnahmen, die ihre Eigenständigkeit und Teilhabe gewährleisten. Artikel 7 schützt das Privat- und Familienleben, und Artikel 8 schützt personenbezogene Daten.
Gesundheits- und genetische Daten sind besondere Kategorien personenbezogener Daten nach Artikel 9 DSGVO. Ihre Verarbeitung ist untersagt, sofern keine Bedingung des Art. 9 Abs. 2 greift, etwa die ausdrückliche Einwilligung (Art. 9 Abs. 2 Buchst. a) oder ein erhebliches öffentliches Interesse (Art. 9 Abs. 2 Buchst. g) auf einer unions- oder mitgliedstaatlichen Rechtsgrundlage. Art. 9 Abs. 4 erlaubt es den Mitgliedstaaten, weitere Bedingungen für genetische, biometrische und Gesundheitsdaten einzuführen oder aufrechtzuerhalten, was für das Versicherungs-Underwriting unmittelbar relevant ist: Nationales Recht kann die Verwendung genetischer Testergebnisse bei der Preisbildung beschränken oder verbieten. Die FRIA hält für jedes Feld besonderer Kategorien, das das Modell berührt, die Rechtsgrundlage fest und beachtet jede nationale Beschränkung.
Ausgearbeitetes Beispiel: ein vollständiges FRIA-Risikoregister für Versicherer
In Abschnitt 4 wird die FRIA konkret. Bewerten Sie jedes Risiko nach derselben Matrix aus Eintrittswahrscheinlichkeit x Schwere, die in der allgemeinen FRIA-Vorlage dargestellt ist, und kalibrieren Sie die Schwere am versicherungsspezifischen Schaden: Eine fehlerhafte Ablehnung oder ein diskriminierender Zuschlag kann den Zugang zu Lebens- oder Krankenversicherungsschutz versperren, sodass die meisten Schäden auf Rechteebene hier auf der Schwere als schwerwiegend eingestuft werden, selbst wenn die Wahrscheinlichkeit nur möglich ist. Das nachstehende Register zeigt, wie der Versicherer die Risiken seines Underwriting-Systems für die Lebens- und Krankenversicherung dokumentiert: jedes betroffene Grundrecht, das Schadenszenario, eine Bewertung von Wahrscheinlichkeit und Schwere, die Minderungsmaßnahme und das danach verbleibende Restrisiko. Das ist ein praxistauglicher Detailgrad als Ziel und der Teil, den dieser Beitrag über die allgemeine Vorlage hinaus ergänzt.
| Grundrecht | Schadenszenario | Wahrscheinlichkeit | Schwere | Risiko | Minderungsmaßnahme | Restrisiko |
|---|---|---|---|---|---|---|
| Nichtdiskriminierung (Art. 21) — erfasst genetische Merkmale, Behinderung und Alter | Die Preisbildung nutzt gesundheitskorrelierte Proxys (Beruf, Postleitzahl, Schaden- oder Verschreibungshistorie, Wearable- oder Lifestyle-Daten) oder Daten besonderer Kategorien, die systematisch höhere Prämien oder Ablehnungen auf Menschen mit Behinderung, chronischen oder genetischen Erkrankungen und ältere Antragsteller abwälzen. | Möglich | Schwerwiegend | Hoch | Vierteljährliche Disparate-Impact-Tests über die Schichten Behinderung, Gesundheitsstatus, Alter und Geschlecht; jeder Tarifierungsfaktor auf objektiver versicherungsmathematischer Grundlage gerechtfertigt; Verbot der Verwendung genetischer Daten und Verbot nicht versicherungsmathematischer Proxy-Schlüsse; Freigabe der versicherungsmathematischen Fairness durch einen qualifizierten Aktuar; Proxys ohne nachweisbare Risikogrundlage entfernen oder transformieren. | Mittel |
| Rechte von Menschen mit Behinderung (Art. 26) | Antragsteller mit angegebener Behinderung oder chronischer Erkrankung erhalten regelbasiert automatisch einen Zuschlag oder eine automatische Ablehnung, ohne individuelle medizinische Beurteilung, was den Zugang zu Lebens- oder Krankenversicherungsschutz versperrt. | Möglich | Schwerwiegend | Hoch | Verpflichtende Prüfung jeder Ablehnung oder jedes wesentlichen Zuschlags mit Bezug zu einer Behinderung oder chronischen Erkrankung durch einen menschlichen Underwriter; individuelle Beurteilung über einen manuellen Underwriting-Pfad; Prüfung angemessener Vorkehrungen; ärztliche Freigabe nachteiliger Ergebnisse. | Mittel |
| Privatleben (Art. 7) & personenbezogene Daten (Art. 8) — Daten besonderer Kategorien nach Art. 9 DSGVO | Das Modell verarbeitet oder leitet Gesundheits- und genetische Daten besonderer Kategorien über das Erforderliche hinaus ab oder schließt aus nicht-medizinischen Daten auf den Gesundheitszustand, ohne eine gültige Bedingung nach Art. 9 Abs. 2 DSGVO. | Möglich | Schwerwiegend | Hoch | Prüfung von Datenminimierung und Rechtsgrundlage; ausdrückliche Einwilligung (Art. 9 Abs. 2 Buchst. a) oder eine andere gültige Bedingung nach Art. 9; Verbot, aus Proxy-Daten auf den Gesundheits- oder genetischen Status zu schließen; Verzahnung mit der DSGVO-DSFA (Art. 27 Abs. 4); Beachtung mitgliedstaatlicher Beschränkungen nach Art. 9 Abs. 4 für genetische und Gesundheitsdaten in der Versicherung. | Gering |
| Zugang zu grundlegenden Dienstleistungen | Ein fehlerhafter Risikoscore lehnt die Deckung zu Unrecht ab oder bepreist sie unbezahlbar und schließt den Antragsteller von der Gesundheitsabsicherung oder von der Lebensversicherungsdeckung aus, die zur Absicherung eines Hypothekendarlehens (Restschuldversicherung) benötigt wird. | Unwahrscheinlich | Schwerwiegend | Mittel | Genauigkeitsschwellen und Back-Testing im Einklang mit Artikel 15; Rückfalloption auf manuelle Beurteilung; Weiterleitung von Grenzfällen an einen menschlichen Underwriter; Bezahlbarkeitsprüfung und ein Widerspruchsweg. | Gering |
| Wirksamer Rechtsbehelf / Erläuterung (Art. 47; Art. 22 DSGVO) | Ein Antragsteller erhält eine automatisierte Ablehnung oder einen Zuschlag ohne nachvollziehbare Begründung und ohne Möglichkeit zur Anfechtung, was gegen die Garantien des Art. 22 DSGVO für ausschließlich automatisierte Entscheidungen verstößt. | Möglich | Mäßig | Mittel | Fallbezogene Begründungen für nachteilige Entscheidungen in verständlicher Sprache; stützt sich die Entscheidung auf die Erforderlichkeit für die Vertragserfüllung oder die ausdrückliche Einwilligung, gelten die Garantien des Art. 22 Abs. 3 DSGVO — Eingreifen einer Person, das Recht, den eigenen Standpunkt darzulegen und die Entscheidung anzufechten; ein protokollierter Workflow zur menschlichen Überprüfung; ein zugänglicher Beschwerde- und Abhilfekanal. | Gering |
Verzahnung von FRIA, DSFA und Art. 9 / Art. 22 DSGVO
Ein Underwriting-Modell für die Lebens- und Krankenversicherung verarbeitet fast immer personenbezogene Daten, sodass der Versicherer neben der FRIA auch eine DSFA nach der DSGVO führt. Artikel 27 Abs. 4 erlaubt es dem Betreiber, auf einer bestehenden DSFA aufzubauen, soweit diese die FRIA-Pflichten bereits abdeckt; die FRIA ergänzt die DSFA. Die FRIA erfasst jedes Recht der Charta, sodass sie fast immer eine Analyse erfordert, die über die DSFA hinausgeht. Zur DSFA selbst siehe DSFA für KI-Systeme; um beide gemeinsam zu erstellen, liefert der DSFA- und FRIA-Generator einen integrierten Entwurf.
Automatisierte Underwriting-Entscheidungen berühren außerdem Artikel 22 DSGVO, der Entscheidungen regelt, die ausschließlich auf automatisierter Verarbeitung beruhen und rechtliche oder ähnlich erhebliche Wirkungen entfalten. Eine Ablehnung oder ein wesentlicher Prämienzuschlag fällt darunter. Eine solche Entscheidung ist nur auf einer Grundlage nach Art. 22 Abs. 2 zulässig — in der Versicherung typischerweise die Erforderlichkeit für die Vertragserfüllung (Art. 22 Abs. 2 Buchst. a) oder die ausdrückliche Einwilligung des Antragstellers (Art. 22 Abs. 2 Buchst. c). Stützt sich die Entscheidung auf einen dieser Wege, gelten die Garantien des Art. 22 Abs. 3 — das Recht auf das Eingreifen einer Person, auf Darlegung des eigenen Standpunkts und auf Anfechtung der Entscheidung — und müssen mit einem protokollierten Workflow zur menschlichen Überprüfung in den Betrieb eingebaut werden. Der Anspruch des Antragstellers auf Erläuterung stützt sich auf die Transparenzpflichten der DSGVO und, bei Hochrisiko-Systemen, auf Artikel 86 der EU-KI-Verordnung (das Recht auf Erläuterung der Entscheidungsfindung im Einzelfall); geben Sie je Entscheidung Begründungen für nachteilige Entscheidungen in verständlicher Sprache an.
Wie sich die FRIA zu den Regeln des Versicherungssektors verhält
Versicherer unterliegen neben der EU-KI-Verordnung der sektoralen Aufsicht. EIOPA veröffentlichte am 6. August 2025 ihre an die nationalen Aufsichtsbehörden gerichtete Stellungnahme zu Governance und Risikomanagement von künstlicher Intelligenz. Sie verfolgt einen risikobasierten, verhältnismäßigen Ansatz über Daten-Governance, Aufzeichnungspflichten, Fairness, Cybersicherheit, Erklärbarkeit und menschliche Aufsicht hinweg und legt bestehendes sektorales Recht — die Versicherungsvertriebsrichtlinie (IDD) und Solvency II — für den KI-Einsatz aus. Sie stellt keine neuen Anforderungen auf und ändert weder den Anwendungsbereich der EU-KI-Verordnung noch den des sektoralen Rechts.
KI-Systeme, die nach der EU-KI-Verordnung hochriskant oder verboten sind, sind vom Anwendungsbereich der Stellungnahme ausgenommen. Ein Lebens- oder Kranken-Tarifierungsmodell ist nach Anhang III Nr. 5 Buchst. c hochriskant, sodass die EU-KI-Verordnung es regelt, einschließlich der FRIA nach Artikel 27. Die Grundsätze der EIOPA betreffen vor allem die nicht hochriskante KI des Versicherers — Nichtleben-Tarifierung, Schadenbearbeitung, Vertrieb und eigenständige Betrugserkennung. Die Stellungnahme der EIOPA ersetzt die FRIA nicht.
Meldung, die erwartete Vorlage und der Zeitplan
Sobald die FRIA durchgeführt ist, verlangt Artikel 27 Abs. 3 vom Betreiber, der Marktüberwachungsbehörde deren Ergebnisse zu melden. Artikel 27 Abs. 5 beauftragt das KI-Büro mit einer offiziellen Vorlage und einem Fragebogen zur Unterstützung der Meldung; Stand Juni 2026 ist diese Vorlage noch nicht veröffentlicht, und ihr Fehlen entbindet nicht von der Pflicht. Bis sie vorliegt, melden Sie auf Grundlage Ihrer eigenen Dokumentation der Komponenten nach Artikel 27 Abs. 1. Die Funktionsweise von Artikel 27 ist auf dem AI Act Service Desk zusammengefasst.
Die Geltungsdaten fügen sich in die umfassendere gestaffelte Einführung der EU-KI-Verordnung ein. Der 2. August 2026 ist der rechtsverbindliche Termin für eigenständige Hochrisiko-Systeme nach Anhang III und ihre FRIA nach Artikel 27. Der Digital Omnibus, um den 7. Mai 2026 vorläufig vereinbart, würde diesen Termin nach der Veröffentlichung im Amtsblatt auf den 2. Dezember 2027 verschieben. Er ist Stand Juni 2026 noch nicht geltendes Recht. Bereiten Sie sich weiter auf Basis des 2. August 2026 vor. Der Leitfaden zu den Anforderungen der EU-KI-Verordnung verfolgt die vollständige gestaffelte Einführung.
| Pflicht | Verbindlicher Termin | Nach dem Digital Omnibus* |
|---|---|---|
| Verbotene Praktiken (Art. 5) + KI-Kompetenz | 2. Feb. 2025 | Unverändert |
| Pflichten für GPAI-Modelle, Governance, die meisten Sanktionen (Geldbußen für GPAI-Anbieter nach Art. 101 ab 2. Aug. 2026) | 2. Aug. 2025 | Unverändert |
| Transparenz (Art. 50) | 2. Aug. 2026 | Unverändert (vorläufige Übergangsfrist für die Kennzeichnung nach Art. 50 Abs. 2 bis 2. Dez. 2026) |
| FRIA für Lebens-/Kranken-Tarifierung + eigenständige Hochrisiko-Systeme (Anhang III) | 2. Aug. 2026 | 2. Dez. 2027 |
| In Produkte eingebettete Hochrisiko-Systeme (Anhang I) | 2. Aug. 2027 | 2. Aug. 2028 |
Häufig gestellte Fragen
Ist Versicherungs-KI nach der EU-KI-Verordnung hochriskant?
KI, die für Risikobewertung oder Preisbildung in der Lebens- und Krankenversicherung eingesetzt wird, ist nach Anhang III Nr. 5 Buchst. c hochriskant; nach dem Entwurf der Leitlinien der Kommission genügt bereits eine der beiden Funktionen. Maßgeblich ist die Gesundheitsdeckung: Unfall-, Krankheits- und private Krankenversicherungssparten können als Krankenversicherung darunterfallen. Kfz-, Sach-, Hausrat- und Haftpflicht-Tarifierung liegt in der ersten Welle außerhalb dieses Buchstabens, wobei andere Pflichten wie die DSGVO, die Transparenzregeln nach Artikel 50 und die Wohlverhaltensregeln von EIOPA/IDD weiterhin gelten können.
Brauche ich für ein Versicherungs-Tarifierungsmodell eine FRIA?
Ja, wenn das Modell Risikobewertung und/oder Preisbildung für natürliche Personen in der Lebens- oder Krankenversicherung vornimmt. Die FRIA ist eine Betreiberpflicht nach Artikel 27, die unabhängig davon besteht, ob der Versicherer eine öffentliche oder private Einrichtung ist. Nach dem Entwurf der Leitlinien der Kommission genügt entweder die Risikobewertung oder die Preisbildung, um in den Geltungsbereich zu fallen.
Ist die Nichtleben- bzw. Schaden-/Unfallversicherung erfasst?
KI für die Tarifierung von Kfz-, Sach-/Hausrat- und Haftpflichtversicherung liegt in der ersten Welle außerhalb von Anhang III Nr. 5 Buchst. c. Die Gesundheitsdeckung bildet die Ausnahme: Der Entwurf der Leitlinien der Kommission behandelt Unfall-, Krankheits- und private Krankenversicherungssparten als Krankenversicherung, sodass KI-gestützte Risikobewertung oder Preisbildung für diese unter Buchst. c fallen kann. Sparten, die außerhalb bleiben, tragen weiterhin Pflichten aus der DSGVO und den Wohlverhaltensregeln.
Dürfen wir Gesundheits- oder genetische Daten in einem Underwriting-Modell verwenden?
Gesundheits- und genetische Daten sind besondere Kategorien personenbezogener Daten nach Artikel 9 DSGVO; ihre Verarbeitung ist untersagt, sofern keine Bedingung des Art. 9 Abs. 2 greift, etwa die ausdrückliche Einwilligung. Die Mitgliedstaaten können nach Art. 9 Abs. 4 weitere Beschränkungen für genetische und Gesundheitsdaten vorsehen, und Artikel 21 der Charta verbietet ausdrücklich eine Diskriminierung wegen genetischer Merkmale, Behinderung und Alters, sodass die direkte oder mittelbare Verwendung über Proxys eine starke Rechtfertigung und Disparate-Impact-Tests erfordert.
In welchem Verhältnis steht die FRIA zu unserer DSFA?
Artikel 27 Abs. 4 erlaubt es Ihnen, eine DSGVO-DSFA wiederzuverwenden, soweit sie die FRIA-Pflichten bereits abdeckt; die FRIA ergänzt sie. Die FRIA erfasst alle Rechte der Charta, sodass sie fast immer eine Analyse erfordert, die über die DSFA hinausgeht.
Ersetzt die KI-Stellungnahme der EIOPA die FRIA?
Nein. Die Stellungnahme der EIOPA vom 6. August 2025 legt bestehendes sektorales Recht (die IDD und Solvency II) für KI aus und nimmt Hochrisiko-Systeme der EU-KI-Verordnung von ihrem Anwendungsbereich aus. Ein Lebens- oder Kranken-Tarifierungsmodell ist nach der EU-KI-Verordnung hochriskant, sodass die EU-KI-Verordnung — einschließlich der FRIA nach Artikel 27 — es regelt; die Grundsätze der EIOPA betreffen vor allem die nicht hochriskante KI des Versicherers.
Wann ist die FRIA-Frist für Versicherer?
Der 2. August 2026 ist der rechtsverbindliche Termin. Der Digital Omnibus, um den 7. Mai 2026 vorläufig vereinbart, würde ihn nach der Veröffentlichung im Amtsblatt auf den 2. Dezember 2027 verschieben, doch das ist Stand Juni 2026 noch nicht geltendes Recht, bereiten Sie sich daher weiter auf Basis des 2. August 2026 vor.
Die wichtigsten Erkenntnisse
KI, die Lebens- und Krankenversicherungsschutz tarifiert, ist nach Anhang III Nr. 5 Buchst. c hochriskant, und die FRIA ist die Pflicht des Versicherers nach Artikel 27. Die Arbeit bleibt dieselbe, welcher Termin auch gilt: jede Versicherungssparte gegen Buchst. c einstufen, die sechs Komponenten nach Artikel 27 Abs. 1 dokumentieren, das Risikoregister Recht für Recht mit echter Tiefe zu Gesundheits- und genetischen Daten durchgehen, die menschliche Underwriter-Aufsicht in jede nachteilige Entscheidung einbauen und die Meldung der Ergebnisse nach Artikel 27 Abs. 3 vorbereiten. Fangen Sie jetzt an: Erfassen Sie Ihre KI-Systeme für Underwriting und Tarifierung, erstellen Sie die Abschätzung mit dem kostenlosen FRIA-Generator und erfassen Sie die Kontrollen und Nachweise, die Sie einer Aufsichtsbehörde vorlegen müssen. Dieser Beitrag dient nur der allgemeinen Information und stellt keine Rechtsberatung dar; klären Sie Ihre Pflichten nach Artikel 27 mit qualifiziertem Rechtsbeistand und prüfen Sie den regulatorischen Status — einschließlich des Entwurfs der Leitlinien der Kommission und des Digital Omnibus — erneut, bevor Sie sich auf einen Termin verlassen.