Die EU AI Act Timeline gibt Orientierung, wann welche regulatorischen Maßnahmen für KI gelten. Für Versicherungen heißt das: vom Aufbau der Governance über Risk Assessments bis zu CE‑ähnlichen Konformitätsprüfungen für Hochrisikosysteme. Der EU AI Act macht deutlich, dass ein integrierter KI‑Lifecycle samt Monitoring und Reporting Pflicht wird. Unternehmen, die Zeitpläne nicht berücksichtigen, riskieren Nachrüstaufwand, Betriebsunterbrechungen und empfindliche Sanktionen.

Der EU AI Act etabliert erstmals eine umfassende, risikobasierte Regulierung für KI‑Systeme. Für Versicherer bedeutet das, dass KI‑gestützte Anwendungen in Underwriting, Pricing und Schadenmanagement nicht mehr nur technologisch bewertet werden – ihre Einordnung nach Risikoklassen entscheidet über Pflichten, Nachweislast und mögliche Sanktionen. Die EU AI Act Timeline signalisiert klare Meilensteine: Eintritt der Verordnung, schrittweise Umsetzungsfristen und die Phase, ab der Hochrisikosysteme verbindlich reguliert werden.

Der EU AI Act verknüpft die regulatorischen Pflichten direkt mit den Phasen des KI‑Lifecycles. Das heißt: Compliance muss entlang des gesamten Prozesses nachweisbar sein – von der Projektinitiierung bis zur Stilllegung. Die wichtigsten Anforderungen entlang des KI-Lifecycles:

• Vor Projektstart: Klare Verantwortlichkeiten und Rollen müssen benannt werden. Ein Risikomanagementsystem ist zu etablieren, das Entscheidungen, Freigaben und Eskalationswege dokumentiert.
• Anforderungs- und Risikomanagement: Jede Anwendung ist nach Risikoklassen zu bewerten. Die Einordnung (verboten, Hochrisiko, geringeres Risiko) bestimmt Umfang und Tiefe der weiteren Anforderungen – insbesondere Hochrisikosysteme unterliegen strengen Auflagen. Data Governance muss die Herkunft, Zweckbindung und Qualitätskriterien für Trainings‑, Validierungs‑ und Testdaten sichern. Bias‑Analysen und Datenprovenienz sind dokumentpflichtig.
• Modellumsetzung und -test: Modelle sind methodisch zu validieren. Robustheit, Genauigkeit und Fairness müssen belegt werden. Testprotokolle und Evaluationsergebnisse sind zu archivieren.
• Deployment und Monitoring: Systeme sind fortlaufend zu überwachen. Ereignisse und wesentliche Änderungen müssen automatisch protokolliert werden; Vorfälle sind dokumentiert zu analysieren und zu melden. Für bestimmte Anwendungen sind menschliche Kontrollinstanzen Pflicht.
• Sanktionen: Nichteinhaltung kann zu erheblichen Bußgeldern und operativen Einschränkungen führen. Die regulatorische Nachweispflicht macht aus punktuellen Prüfungen eine dauerhafte Governance‑Aufgabe.

General Purpose AI (GPAI) bezeichnet Modelle, die nicht auf einen engen Anwendungsfall beschränkt sind, sondern vielseitig einsetzbar sind. Der EU AI Act nimmt GPAI‑Modelle besonders in den Blick: Leitlinien und Entwürfe zur Behandlung von GPAI adressieren Schwellenwerte, zusätzliche Meldepflichten und Kriterien zur Einstufung des Systemrisikos.

Für Versicherungen ist relevant, ob eingesetzte Modelle als GPAI gelten, denn das kann Auswirkungen auf die Risikoklassifizierung haben. GPAI kann bestehende Anwendungen in eine höhere Risikokategorie heben (siehe unten), weil die Vielseitigkeit und Reichweite der Modelle zu größerer Unsicherheit bei Bias, Robustheit und Datenherkunft führt.

Für KI in der Versicherung heißt das: Inventarisieren, klassifizieren, dokumentieren und Monitoring‑Prozesse einführen. Frühzeitige Maßnahmen reduzieren Nachrüstkosten, mindern Haftungsrisiken und schaffen Nachweisfähigkeit gegenüber Aufsichtsbehörden.