Skyline der Berge von Colorado
Colorado SB21-169

Colorado SB21-169: KI- und ECDIS-Compliance für Versicherer

Wenn Ihre Tarifierung oder Ihr Underwriting Algorithmen, Vorhersagemodelle oder externe Verbraucherdaten berührt, will Colorado Ihre Tests sehen. Lebensversicherer stehen bereits unter Regulation 10-1-1. Kfz- und Krankenversicherung sind als nächstes dran.

Compliance-Beratung buchen

Was ist Colorado SB21-169?

Colorado hat SB21-169 im Juli 2021 unter dem Namen "Protecting Consumers from Unfair Discrimination in Insurance Practices" verabschiedet. Das Gesetz sagt Versicherern: Sie dürfen Algorithmen, Vorhersagemodelle oder externe Verbraucherdaten (ECDIS) nicht einsetzen, wenn dabei unlautere Diskriminierung einer geschützten Klasse herauskommt. Alles Weitere — Fristen, Testmethoden, Attestierungen — steht in den Verordnungen der Division of Insurance.

Ein Gesetz, sektorweise Einführung. Regulation 10-1-1 regelt die Lebensversicherung seit November 2023 — dort sind die zentralen Pflichten rund um das Risikomanagement-Rahmenwerk und das Modellinventar verankert. Private Kfz-Versicherungen und Krankenversicherungspläne sind die nächsten Sparten, für die eigene Regeln gelten werden — die Regelsetzung dazu läuft gerade.

Risiko-Rahmenwerk

Schriftliche Governance und Risikomanagement erforderlich

Bias-Tests

Laufende Disparate-Impact-Tests, keine Einmalprüfung

Häufig verwechselt mit dem breiteren Colorado AI Act (SB24-205) — siehe Vergleich unten.

Wer ist betroffen

Lebensversicherer (bereits aktiv)

Jeder Lebensversicherer, der in Colorado zum Geschäftsbetrieb zugelassen ist und ECDIS, Algorithmen oder Vorhersagemodelle in Underwriting, Preisgestaltung oder Schadenregulierung einsetzt.

Private Kfz-Versicherer (Regelsetzung)

Kfz-Versicherer, die den anstehenden Regelungen zum Einsatz externer Daten, Telematik und Preisgestaltungsalgorithmen unterliegen.

Krankenversicherungspläne (Regelsetzung)

Krankenversicherer und Krankenversicherungspläne, die künftigen Verordnungen zu Algorithmen in Deckung, Preisgestaltung und Schadenregulierung unterliegen.

MGAs und TPAs

Managing General Agents und Drittverwalter, die Algorithmen oder ECDIS im Auftrag von Versicherern betreiben, fallen unter die Compliance-Verantwortung des Versicherers.

Rückversicherer, die ECDIS einsetzen

Rückversicherer, deren Modelle oder Daten Entscheidungen der in Colorado zugelassenen Versicherer beeinflussen, werden in der Regel über das Governance-Programm des zedierenden Versicherers adressiert.

InsurTech-Anbieter

Anbieter, die Algorithmen, Modelle oder ECDIS für Colorado-Versicherer bereitstellen, sollten mit nachgelagerten Sorgfaltsprüfungen und vertraglichen Verpflichtungen im Zusammenhang mit SB21-169 rechnen.

SB21-169 vs. SB24-205: Worin liegt der Unterschied?

Zwei Gesetze aus Colorado, zwei Aufsichtsbehörden, zwei Compliance-Programme. Wer als Versicherer in Colorado KI einsetzt, ist für beide dran.

Attribut
SB21-169
SB24-205 (Colorado AI Act)
Vollständiger Name
Senate Bill 21-169 (Schutz der Verbraucher vor unlauterer Diskriminierung in Versicherungspraktiken)
Senate Bill 24-205 (Colorado Artificial Intelligence Act)
Jahr der Verabschiedung
2021
2024
Sektoraler Geltungsbereich
Nur Versicherungswesen (Lebens-, Kfz-, Krankenversicherung usw.)
Sektorübergreifend (Beschäftigung, Wohnen, Gesundheit, Finanzen, Bildung, Rechtswesen)
Aufsichtsbehörde
Colorado Division of Insurance (DOI)
Colorado Attorney General
Geltungsbereich
Algorithmen, Vorhersagemodelle und ECDIS, die in Versicherungspraktiken eingesetzt werden
Hochrisiko-KI-Systeme, die folgenreiche Entscheidungen treffen
Kernpflicht
Prüfung von Daten und Modellen auf unlautere Diskriminierung; Dokumentation von Governance und Abhilfemaßnahmen
Risikomanagement, Folgenabschätzungen, Verbraucherbenachrichtigung, Heilungsfrist
Geltungsbeginn (aktuell)
Lebensversicherung: 14. November 2023. Kfz/Gesundheit: laufende Regelsetzung 2025-2026
1. Februar 2026

Was gilt als ECDIS?

Kommen die Daten nicht direkt vom Verbraucher, ist es wahrscheinlich ECDIS. Hier landet der Großteil der Compliance-Arbeit.

Finanzdaten

  • Kreditbasierte Versicherungsscores
  • Muster von Banktransaktionen
  • Zahlungshistorie
  • Tradeline-Daten

Lebensstil- und Verhaltensdaten

  • Aktivität in sozialen Medien
  • Einkaufshistorie der Verbraucher
  • Daten aus Treueprogrammen
  • Muster des Surfverhaltens

Geografische Daten

  • Demografische Daten von Volkszählungsbezirken
  • Merkmale der Wohngegend
  • Immobilien- und Standortdaten
  • Mobilitätsmuster

Gesundheits- und Wellnessdaten

  • Daten von Wearables
  • Verschreibungshistorie
  • Mitgliedschaft in Fitnessstudios und Fitnessprogrammen
  • Teilnahme an Wellness-Programmen

Compliance-Zeitplan

Die Lebensversicherung läuft bereits unter einem vollständigen Rahmenwerk. Die Regeln für Kfz und Gesundheit werden gerade geschrieben.

14. November 2023In Kraft

Frist für Rahmenwerk der Lebensversicherung

Lebensversicherer mussten ein Risikomanagement-Rahmenwerk gemäß Regulation 10-1-1 einführen, das den Einsatz von ECDIS, Algorithmen und Vorhersagemodellen regelt.

1. Juni 2024In Kraft

Fortschrittsbericht für Lebensversicherung

Erster Fortschrittsbericht bei der Division of Insurance fällig, in dem Umsetzung des Rahmenwerks, Testergebnisse und Abhilfemaßnahmen dokumentiert werden.

1. Dezember 2024In Kraft

Vollständige Compliance-Attestierung

Jährliche Attestierung von Lebensversicherern zur Bestätigung der vollständigen Einhaltung von SB21-169 und der zugehörigen Durchführungsverordnungen. Jährlich wiederkehrend.

2025-2026Regelsetzung

Regelsetzung für Kfz- und Krankenversicherung

Das Colorado DOI erweitert die SB21-169-Regelungen auf private Kfz-Versicherungen und Krankenversicherungspläne. Virtuelle Anhörung zur Regelsetzung am 2. Juni 2025 durchgeführt.

LaufendLaufend

Jährliche Attestierung und Prüfung

Alle betroffenen Versicherer müssen laufende Bias-Tests durchführen, Governance-Dokumentation pflegen und jährliche Attestierungen beim DOI einreichen.

Die vier Compliance-Säulen

Regulation 10-1-1 steht auf vier Bausteinen. Für jede jährliche Attestierung brauchen Sie Nachweise aus allen vieren.

Governance

Vom Vorstand oder der Geschäftsleitung genehmigte Richtlinien, dokumentierte Rollen und Aufsicht für jeden Algorithmus, jedes Vorhersagemodell und jede ECDIS, die in Versicherungspraktiken eingesetzt werden.

  • Schriftliches Governance-Rahmenwerk
  • Dokumentierte Aufsicht durch die Geschäftsleitung
  • Rollen- und Verantwortlichkeitszuordnung
  • Programm zur Sorgfaltsprüfung von Anbietern

Risikomanagement

Ein schriftliches Risikomanagement-Rahmenwerk, das den gesamten Lebenszyklus von Daten und Modellen abdeckt, von der Erfassung und Validierung bis hin zur Bereitstellung und laufenden Überwachung.

  • Bestandsaufnahme von ECDIS, Algorithmen und Modellen
  • Lebenszyklus-Risikobewertungen
  • Änderungskontroll- und Modellausmusterungsverfahren
  • Risikokontrollen für Dritte und Anbieter

Prüfung auf unlautere Diskriminierung

Laufende quantitative Prüfung von Daten und Modellen, um unlautere Diskriminierung gegenüber geschützten Klassen zu erkennen, einschließlich Rasse, Hautfarbe, nationale oder ethnische Herkunft, Religion, Geschlecht, sexuelle Orientierung, Behinderung, Geschlechtsidentität und Geschlechtsausdruck.

  • Analyse von Proxy-Variablen
  • Disparate-Impact-Tests über geschützte Klassen hinweg
  • Dokumentierte Testmethodik
  • Reproduzierbare Testdatensätze

Berichterstattung und Abhilfe

Dokumentierte Ergebnisse, Korrekturmaßnahmen bei Feststellung unlauterer Diskriminierung und jährliche Attestierung an die Division of Insurance.

  • Schriftliche Dokumentation der Ergebnisse
  • Abhilfepläne mit Verantwortlichen und Fristen
  • Jährliche Einreichung von Attestierungen
  • Ad-hoc-Berichterstattung zu wesentlichen Sachverhalten

So sieht Ihr Bias-Audit-Bericht aus

Laden Sie einen Muster-Bias-Testbericht nach Colorado SB21-169 herunter, der von VerifyWise erstellt wurde.

Muster herunterladen (PDF)

Wie VerifyWise die SB21-169-Compliance unterstützt

Jede Säule bildet sich in einem VerifyWise-Modul ab. Governance sitzt in den Richtlinien, Modelle im Inventar, Tests in der Audit-Engine, und die Attestierung zieht die Nachweise zusammen.

SB21-169-Anforderung
VerifyWise-Abdeckung
Dokumentation des Governance-Rahmenwerks
Das Richtlinienmodul erfasst Rahmenwerksversionen, Genehmigungen und Prüfungshistorie
Modell- und ECDIS-Bestandsverzeichnis
Zentrales KI-Systeminventar mit Metadaten zu Anbieter, Datenquelle und Lebenszyklus
Risikomanagement-Lebenszyklus
Workflows zur Risikobewertung über Erfassung, Validierung, Bereitstellung und Ausmusterung
Bias- und Disparate-Impact-Tests
Konfigurierbare Bias-Audit-Engine mit Unterstützung der geschützten Klassen Colorados und benutzerdefinierter Gruppierungen
Analyse von Proxy-Variablen
Workflows zur Erkennung von Proxy-Merkmalen mit Prüfpfaden und Freigabe durch Prüfende
Nachverfolgung von Abhilfemaßnahmen
Modul für Vorfälle und Korrekturmaßnahmen mit Verantwortlichen, Fristen und Nachweisen
Sorgfaltsprüfung von Anbietern und Dritten
Workflows zum Anbietermanagement für ECDIS- und Modellanbieter mit Fragebogenvorlagen
Unterstützung der jährlichen Attestierung
Attestierungspakete mit verknüpften Kontrollen, Nachweisen und zeitgestempelten Freigaben
Nachweise und Prüfpfad
Unveränderliche Aktivitätsprotokolle über Modelle, Datensätze, Tests und Freigaben hinweg
Regulierungsreifer Export
Berichtsexport für Einreichungen bei der Division of Insurance und interne Audit-Pakete

Häufige Fehler, die zu vermeiden sind

Diese Muster sehen wir in Lebensversicherungsprogrammen immer wieder. Rechnen Sie damit, dass sie erneut auftauchen, sobald Kfz und Gesundheit live gehen.

SB21-169 wie SB24-205 zu behandeln

Das sind zwei verschiedene Gesetze. Andere Aufsicht, andere Fristen, anderer Geltungsbereich. SB21-169 ist versicherungsspezifisch, und die Division of Insurance setzt es durch. Der Colorado AI Act (SB24-205) ist breiter angelegt und liegt beim Attorney General. Wenn Sie Versicherer in Colorado sind, schulden Sie Compliance unter beiden.

Anzunehmen, dass nur öffentliche Daten ECDIS-Regeln auslösen

ECDIS ist breiter, als die meisten Teams erwarten. Von Anbietern gelieferte Scores, Datenbroker und Konsortialdaten zählen alle dazu. Kreditbasierte Versicherungsscores fallen klar in den Anwendungsbereich, auch wenn sie seit Jahren Teil der Versicherungstarifierung sind.

Sich auf „Fairness“-Zusicherungen von Anbietern zu verlassen

Die Compliance eines Anbieters ist nicht Ihre Compliance. Die Pflicht trägt der in Colorado zugelassene Versicherer. Sie brauchen weiterhin eigene Tests, eigene Dokumentation und eigene Governance — auch wenn jedes Modell in Ihrem Stack von einem Dritten stammt.

Die Prüfung auf Rasse zu beschränken

Regulation 10-1-1 deckt ein breiteres Spektrum geschützter Klassen ab als die meisten Altprogramme für Bias-Tests. Bei Rasse aufzuhören hinterlässt Lücken bei Geschlecht, Geschlechtsidentität, Geschlechtsausdruck, sexueller Orientierung, Behinderung und nationaler Herkunft.

Tests einmal laufen lassen und abhaken

Das ist kein jährliches Häkchen. Modelle ändern sich, Daten driften, neue Versionen gehen raus. Jedes davon ist ein neuer Testfall gegen dieselbe dokumentierte Methodik.

Häufig gestellte Fragen

Die Fragen, die wir von Rechts-, Compliance- und Data-Science-Teams in der Versicherung bekommen, die sich durch SB21-169 arbeiten.

Weiterführende Informationen

Colorado SB21-169: AI insurance bias testing and compliance guide