Die Beschäftigung mit künstlicher Intelligenz (KI) wird für viele Unternehmen wettbewerbsentscheidend. Wer den Anschluss verliert, könnte das Nachsehen haben und die Türen für immer schließen müssen. Das gilt auch für Finanz- und Versicherungsmakler, weshalb sie sich mit der EU-KI-Verordnung 2024/1689 (KI-VO), „Artificial Intelligence Act“ genannt, auseinandersetzen müssen, die im Mai 2024 in Kraft trat (lesen Sie zu den Grundsätzen auch das Interview mit Fachanwalt Lutz Martin Keppeler).
Denn die KI-VO definiert in Artikel 3 Nummer 3 Betreiber von KI-Systemen als „eine natürliche oder juristische Person, Behörde, Einrichtung oder sonstige Stelle, die ein KI-System in eigener Verantwortung verwendet, es sei denn, das KI-System wird im Rahmen einer persönlichen und nicht beruflichen Tätigkeit verwendet“. Das trifft schon jetzt auf rund jeden dritten Makler zu.
DSGVO und Datenschutz
Ein bedeutender Bereich, der für Makler als Betreiber von KI-Systemen wichtig ist, ist die Einhaltung der Datenschutzbestimmungen. „Die Nutzung von KI stellt eine Form der automatisierten Datenverarbeitung dar, wie sie Artikel 22 der Datenschutzgrundverordnung (DSGVO) beschreibt“, erklärt Rechtsanwalt Norman Wirth, geschäftsführender Vorstand des Vermittlerverbandes AfW. „Daher gelten die Bestimmungen der DSGVO uneingeschränkt, wenn in KI-Systemen personenbezogene Daten verarbeitet werden.“
Dem Juristen zufolge müssen Makler grundsätzlich drauf achten, dass IT-Systeme trotz KI datenschutzfreundlich gestaltet sind. Das sei insbesondere bei der Nachvollziehbarkeit der Verarbeitungsschritte eine große Herausforderung. Ferner haben Makler sicherzustellen, dass sie betroffene Kunden umfassend über die Verarbeitung ihrer personenbezogenen Daten informieren – dazu zählen etwa Angaben zu Einkünften und Vermögenswerten oder Gesundheitsdaten – und die notwendige Einwilligung einholen, sei es von den Kunden selbst oder durch eine andere rechtmäßige Grundlage gemäß Artikel 6 DSGVO.
Infos über Zweck der Datenverarbeitung
„Das beinhaltet explizit auch die Klärung der Zulässigkeit entsprechender Verfahren zur automatisierten Einzelfallentscheidung“, so Wirth, der die Wichtigkeit dieses Punktes betont. Darunter versteht die DSGVO (Artikel 4 Absatz 4) Entscheidungen, die ohne menschliche Eingriffe getroffen werden und auf der Verarbeitung personenbezogener Daten beruhen. In der Praxis heißt das für Makler, dass sie Kunden über den Zweck der Datenverarbeitung zu informieren haben. Ferner müssen sie ihren Kunden mitteilen, wer Zugang zu den Daten hat oder haben könnte, einschließlich etwaiger externer KI-Dienstleister.
Makler müssen dann die Rechte der Betroffenen auf Auskunft, Berichtigung oder Löschung von Daten berücksichtigen. „Es können nur KI-Systeme eingesetzt werden, die in der Lage sind, personenbezogene Daten im originären KI-System und auch in nachgelagerten Anwendungen zu beauskunften, zu berichtigen, zu sperren und zu löschen. KI-Systeme, die einmal dort gespeicherte personenbezogene Daten nicht wieder löschen können, sind unzulässig“, betont Wirth.
Infos über Dauer der Datenspeicherung
In diesen Kontext gehört, dass Makler angeben müssen, wie lange die personenbezogenen Daten voraussichtlich gespeichert werden oder nach welchen Kriterien diese Dauer bestimmt wird. Bei der Nutzung von KI-Systemen, die eine erhebliche Verarbeitung personenbezogener Daten beinhalten, sei ferner oft eine Datenschutzfolgeabschätzung erforderlich, um die Risiken der Datenverarbeitung zu bewerten und zu minimieren. Alle Datenverarbeitungen, die unter Einsatz von KI erfolgen, müssen zudem im Verarbeitungsverzeichnis dokumentiert werden.
Schließlich ist es Wirth zufolge wichtig, dass Makler sicherstellen, dass die eingesetzten KI-Systeme nicht „voreingenommen“ sind und keine diskriminierenden Ergebnisse liefern (Art. 5 DSGVO). Dazu seien eine sorgfältige Auswahl und Überprüfung der Trainingsdaten sowie regelmäßige Audits erforderlich.
