Rechtliche Fallstricke: Was Makler beim Einsatz von KI beachten müssen

Für Versicherungsmakler soll Künstliche Intelligenz ein großes Potenzial im Alltag entfalten. Alleine auf der DKM in Dortmund in der vergangenen Woche wurden verschiedenste Einsatzmöglichkeiten präsentiert. Künstliche Intelligenz ist auf dem Weg, den Versicherungsvertrieb zu revolutionieren – doch wo Chancen liegen, lauern auch Fallstricke – vor allem rechtliche, wie Rechtsanwältin Marlene Spaude von der Hamburger Kanzlei Michaelis in einem aktuellen Beitrag ausführt.

Die Nutzung von KI erfordert regelmäßig die Verarbeitung personenbezogener Daten, oft in einem Ausmaß und einer Komplexität, die über herkömmliche IT-Lösungen hinausgehen. Als zentrale Rechtsgrundlage bietet sich die Einwilligung der betroffenen Person nach Art. 6 Abs. 1 lit. a DSGVO an. Doch gibt es praktikable Alternativen? Nach aktueller Rechtsauffassung sind diese Alternativen nur in engen Grenzen anwendbar. Die Vertragserfüllung nach Art. 6 Abs. 1 lit. b DSGVO greift lediglich, wenn der Einsatz der KI objektiv erforderlich ist, um einen Vertrag mit der betroffenen Person zu erfüllen. Dies könnte etwa bei einer KI-basierten Übersetzungslösung der Fall sein, wenn vertraglich vereinbarte Leistungen nur mit Hilfe dieser Technologie erbracht werden können. Komfortsteigerungen, Effizienzgewinne oder interne Automatisierungen genügen nicht, die "Erforderlichkeit" wird in der Praxis eng ausgelegt.

Auch die Rechtsgrundlage des berechtigten Interesses nach Art. 6 Abs. 1 lit. f DSGVO bietet auf den ersten Blick mehr Spielraum. Sie erlaubt datenverarbeitende Prozesse im Rahmen einer Interessenabwägung. Jedoch ist die praktische Anwendung hier häufig mit Unsicherheiten behaftet: Komplexe Verarbeitungsvorgänge durch KI-Systeme machen es schwierig, abzuschätzen, ob die betroffene Person in der konkreten Situation mit der Verarbeitung ihrer Daten rechnen kann – ein zentrales Kriterium laut Erwägungsgrund 47 DSGVO. Zudem stellt der EuGH (Urteil v. 4. Juli 2023, Meta Platforms, C-252/21) klar, dass eine Datenverarbeitung nur dann als erforderlich gelten kann, wenn das Ziel nicht mit weniger eingriffsintensiven Mitteln erreicht werden kann. Auch der Grundsatz der Datenminimierung (Art. 5 Abs. 1 lit. c DSGVO) ist in diese Abwägung einzubeziehen.

Insbesondere beim Einsatz von KI, der zu vollautomatisierten Entscheidungen mit rechtlicher Wirkung führt, etwa bei einer Ablehnung eines Versicherungsvertrags oder einem automatisierten Scoring – ist eine ausdrückliche Einwilligung oder eine gesetzliche Grundlage zwingend erforderlich (Art. 22 DSGVO).

Unternehmen, die auf kommerzielle KI-Lösungen wie ChatGPT (Team, Enterprise, API) oder Microsoft Copilot setzen, können sich zumindest teilweise auf die bestehenden Datenschutzverträge (Data Processing Agreements – DPA) und Zertifizierungen (z. B. Data Privacy Framework – DPF) stützen. Beide Anbieter treten in diesen Lizenzen als Auftragsverarbeiter im Sinne des Art. 28 DSGVO auf.

Für OpenAI gilt: In den kommerziellen Versionen von ChatGPT werden Eingaben nicht für Trainingszwecke verwendet – ein entscheidender Vorteil aus datenschutzrechtlicher Sicht. Dennoch sollte die Datenverarbeitung stets nach dem Prinzip der Datensparsamkeit erfolgen – beispielsweise durch die Verwendung von Platzhaltern oder anonymisierten IDs.

Auch Microsoft verpflichtet sich vertraglich zur Einhaltung von DSGVO-Standards. Trotz dieser Absicherung bleibt das nutzende Unternehmen als verantwortliche Stelle verpflichtet, die datenschutzrechtlichen Anforderungen umzusetzen – von der Auswahl der Rechtsgrundlage über transparente Information bis hin zur Wahrung der Betroffenenrechte und dem Umgang mit besonderen Datenkategorien (Art. 9 DSGVO, z. B. Gesundheitsdaten).

Die gute Nachricht: Eine gesonderte Zusatzvereinbarung zur KI-Nutzung ist nicht zwingend erforderlich. Entscheidend ist vielmehr eine transparente Information der betroffenen Personen. In der Datenschutzerklärung sollte der Einsatz von KI-Systemen daher klar und verständlich in einem eigenen Abschnitt erläutert werden – inklusive Angaben zur Art der verarbeiteten Daten, den Zwecken der Verarbeitung und möglichen Risiken.

Ein datenschutzrechtlicher Aspekt, der in der Praxis häufig unterschätzt wird, ist die Widerrufbarkeit der Einwilligung. Gemäß Art. 7 Abs. 3 DSGVO kann der Betroffene seine Einwilligung jederzeit und ohne Begründung widerrufen. Ab dem Zeitpunkt des Widerrufs ist eine weitere Verarbeitung der Daten unzulässig – unabhängig davon, ob die Verarbeitung vorher rechtmäßig war. Daher sollte bei der Wahl der genutzten KI unbedingt darauf geachtet werden, dass diese die eingebebenen Daten nicht zu „Trainingszwecken“ nutzt. Denn hierbei wird es kaum möglich sein, die eingespeisten Daten zu entfernen.

In der Praxis lässt sich kaum vorhersagen, wie häufig und in welchen Fällen Einwilligungen widerrufen werden. Dennoch sollten Unternehmen auf diese Möglichkeit vorbereitet sein – insbesondere, wenn sensible Daten verarbeitet oder automatisierte Entscheidungen getroffen werden.

Die Einführung der Künstlichen Intelligenz-Verordnung (KI-VO) durch die Europäische Union stellt einen entscheidenden Schritt in der Regulierung von KI-Systemen dar. Sie schafft einen einheitlichen Rechtsrahmen für den sicheren und verantwortungsvollen Einsatz von Künstlicher Intelligenz innerhalb der EU und berücksichtigt dabei sowohl die Chancen als auch die Risiken der Technologie. Besonders in Verbindung mit den Anforderungen der DSGVO eröffnet die KI-VO neue Perspektiven und Herausforderungen im Umgang mit personenbezogenen Daten.

Die KI-VO und die DSGVO greifen ineinander, insbesondere wenn es um hochriskante KI-Systeme geht, die auf personenbezogenen Daten basieren. Während die DSGVO den Schutz der Grundrechte und -freiheiten der betroffenen Personen sicherstellen soll, regelt die KI-VO, wie diese Rechte in der Praxis gewahrt bleiben können, insbesondere wenn KI-gestützte Entscheidungen in Bereichen wie Versicherungen oder Kreditvergabe getroffen werden.

Auch die KI VO regelt eine Transparenzpflicht. Art. 50 KI VO in Verbindung mit Erwägungsgrund 52 der Verordnung regelt, dass natürlichen Personen mitgeteilt werden soll, wenn sie mit einem KI‑System kommunizieren.

Art. 3 Nr. 4 KI VO definiert, dass „Betreiber“ im Sinne der KI VO auch juristische Personen sind, die ein KI-System in eigener Verantwortung verwenden. An Betreiber werden zusätzliche Anforderungen gestellt, beispielsweise die Schulungspflicht von Mitarbeitern nach Art. 4 KI VO. Daher empfiehlt es sich, bei Verwendungen von KI-Systemen auch einen Blick in die KI VO zu werfen. Die genauen Anforderungen hängen stark von dem Einsatzbereich des genutzten KI-Systems ab.

Der Einsatz von KI im Versicherungsvertrieb kann zweifellos Effizienz und Wettbewerbsfähigkeit steigern. Doch ohne datenschutzrechtlich saubere Umsetzung drohen erhebliche Risiken – von Bußgeldern bis hin zum Vertrauensverlust bei Kunden. Zudem sind auch die Vorgaben der KI VO bei Verwendung von KI-Systemen zu beachten. Eine saubere Rechtsgrundlage, transparente Kommunikation und ein verantwortungsvoller Umgang mit personenbezogenen Daten sind unerlässlich. Versicherungsmakler sollten daher ihre KI-Projekte stets gemeinsam mit juristischer Expertise und IT-Sicherheitsexperten planen und umsetzen, um Angriffsflächen zu vermeiden.

Als grobe Empfehlung sollten Versicherungsmakler beachten, dass sie für sämtliche KI-Maßnahmen und Einsatzbereiche eine Einwilligung bei Ihren Kunden einholen. Hier bietet es sich an, die Datenschutzerklärung entsprechend zu erweitern und zu konkretisieren.