Colorado Rocky Mountains - Colorado SB 21-169 KI-Bias-Tests fuer Versicherer
Colorado SB 21-169 · Versicherungen

Colorado SB 21-169: KI-Bias-Tests fuer Versicherer

Wenn Underwriting, Tarifierung oder Schadenbearbeitung Algorithmen, Vorhersagemodelle oder externe Verbraucherdaten (ECDIS) nutzen, will die Division of Insurance Ihre Governance, Ihre Bias-Tests und Ihre jaehrliche Attestierung sehen. Lebensversicherer stehen bereits unter Regulation 10-1-1. Kfz- und Krankenversicherung sind als Naechstes dran.

Lebensversicherung
Live seit 2023
Kfz + Kranken
Regelsetzung
Aufsicht
Division of Insurance
Compliance-Bewertung startenCompliance-Beratung buchen

Was ist Colorado SB21-169?

Colorado hat SB21-169 im Juli 2021 unter dem Namen "Protecting Consumers from Unfair Discrimination in Insurance Practices" verabschiedet. Das Gesetz sagt Versicherern: Sie dürfen Algorithmen, Vorhersagemodelle oder externe Verbraucherdaten (ECDIS) nicht einsetzen, wenn dabei unlautere Diskriminierung einer geschützten Klasse herauskommt. Alles Weitere — Fristen, Testmethoden, Attestierungen — steht in den Verordnungen der Division of Insurance.

Ein Gesetz, sektorweise Einführung. Regulation 10-1-1 regelt die Lebensversicherung seit November 2023 — dort sind die zentralen Pflichten rund um das Risikomanagement-Rahmenwerk und das Modellinventar verankert. Private Kfz-Versicherungen und Krankenversicherungspläne sind die nächsten Sparten, für die eigene Regeln gelten werden — die Regelsetzung dazu läuft gerade.

Risiko-Rahmenwerk

Schriftliche Governance und Risikomanagement erforderlich

Bias-Tests

Laufende Disparate-Impact-Tests, keine Einmalprüfung

Häufig verwechselt mit dem breiteren Colorado AI Act (SB24-205) — siehe Vergleich unten.

Wer ist betroffen

Lebensversicherer (bereits aktiv)

Jeder Lebensversicherer, der in Colorado zum Geschäftsbetrieb zugelassen ist und ECDIS, Algorithmen oder Vorhersagemodelle in Underwriting, Preisgestaltung oder Schadenregulierung einsetzt.

Private Kfz-Versicherer (Regelsetzung)

Kfz-Versicherer, die den anstehenden Regelungen zum Einsatz externer Daten, Telematik und Preisgestaltungsalgorithmen unterliegen.

Krankenversicherungspläne (Regelsetzung)

Krankenversicherer und Krankenversicherungspläne, die künftigen Verordnungen zu Algorithmen in Deckung, Preisgestaltung und Schadenregulierung unterliegen.

MGAs und TPAs

Managing General Agents und Drittverwalter, die Algorithmen oder ECDIS im Auftrag von Versicherern betreiben, fallen unter die Compliance-Verantwortung des Versicherers.

Rückversicherer, die ECDIS einsetzen

Rückversicherer, deren Modelle oder Daten Entscheidungen der in Colorado zugelassenen Versicherer beeinflussen, werden in der Regel über das Governance-Programm des zedierenden Versicherers adressiert.

InsurTech-Anbieter

Anbieter, die Algorithmen, Modelle oder ECDIS für Colorado-Versicherer bereitstellen, sollten mit nachgelagerten Sorgfaltsprüfungen und vertraglichen Verpflichtungen im Zusammenhang mit SB21-169 rechnen.

SB21-169 vs. SB24-205: Worin liegt der Unterschied?

Zwei Gesetze aus Colorado, zwei Aufsichtsbehörden, zwei Compliance-Programme. Wer als Versicherer in Colorado KI einsetzt, ist für beide dran.

Attribut
SB21-169
SB24-205 (Colorado AI Act)
Vollständiger Name
Senate Bill 21-169 (Schutz der Verbraucher vor unlauterer Diskriminierung in Versicherungspraktiken)
Senate Bill 24-205 (Colorado Artificial Intelligence Act)
Jahr der Verabschiedung
2021
2024
Sektoraler Geltungsbereich
Nur Versicherungswesen (Lebens-, Kfz-, Krankenversicherung usw.)
Sektorübergreifend (Beschäftigung, Wohnen, Gesundheit, Finanzen, Bildung, Rechtswesen)
Aufsichtsbehörde
Colorado Division of Insurance (DOI)
Colorado Attorney General
Geltungsbereich
Algorithmen, Vorhersagemodelle und ECDIS, die in Versicherungspraktiken eingesetzt werden
Hochrisiko-KI-Systeme, die folgenreiche Entscheidungen treffen
Kernpflicht
Prüfung von Daten und Modellen auf unlautere Diskriminierung; Dokumentation von Governance und Abhilfemaßnahmen
Risikomanagement, Folgenabschätzungen, Verbraucherbenachrichtigung, Heilungsfrist
Geltungsbeginn (aktuell)
Lebensversicherung: 14. November 2023. Kfz/Gesundheit: laufende Regelsetzung 2025-2026
1. Februar 2026

Was gilt als ECDIS?

Kommen die Daten nicht direkt vom Verbraucher, ist es wahrscheinlich ECDIS. Hier landet der Großteil der Compliance-Arbeit.

Finanzdaten

  • Kreditbasierte Versicherungsscores
  • Muster von Banktransaktionen
  • Zahlungshistorie
  • Tradeline-Daten

Lebensstil- und Verhaltensdaten

  • Aktivität in sozialen Medien
  • Einkaufshistorie der Verbraucher
  • Daten aus Treueprogrammen
  • Muster des Surfverhaltens

Geografische Daten

  • Demografische Daten von Volkszählungsbezirken
  • Merkmale der Wohngegend
  • Immobilien- und Standortdaten
  • Mobilitätsmuster

Gesundheits- und Wellnessdaten

  • Daten von Wearables
  • Verschreibungshistorie
  • Mitgliedschaft in Fitnessstudios und Fitnessprogrammen
  • Teilnahme an Wellness-Programmen

Compliance-Zeitplan

Die Lebensversicherung läuft bereits unter einem vollständigen Rahmenwerk. Die Regeln für Kfz und Gesundheit werden gerade geschrieben.

14. November 2023In Kraft

Frist für Rahmenwerk der Lebensversicherung

Lebensversicherer mussten ein Risikomanagement-Rahmenwerk gemäß Regulation 10-1-1 einführen, das den Einsatz von ECDIS, Algorithmen und Vorhersagemodellen regelt.

1. Juni 2024In Kraft

Fortschrittsbericht für Lebensversicherung

Erster Fortschrittsbericht bei der Division of Insurance fällig, in dem Umsetzung des Rahmenwerks, Testergebnisse und Abhilfemaßnahmen dokumentiert werden.

1. Dezember 2024In Kraft

Vollständige Compliance-Attestierung

Jährliche Attestierung von Lebensversicherern zur Bestätigung der vollständigen Einhaltung von SB21-169 und der zugehörigen Durchführungsverordnungen. Jährlich wiederkehrend.

2025-2026Regelsetzung

Regelsetzung für Kfz- und Krankenversicherung

Das Colorado DOI erweitert die SB21-169-Regelungen auf private Kfz-Versicherungen und Krankenversicherungspläne. Virtuelle Anhörung zur Regelsetzung am 2. Juni 2025 durchgeführt.

LaufendLaufend

Jährliche Attestierung und Prüfung

Alle betroffenen Versicherer müssen laufende Bias-Tests durchführen, Governance-Dokumentation pflegen und jährliche Attestierungen beim DOI einreichen.

Die vier Compliance-Säulen

Regulation 10-1-1 steht auf vier Bausteinen. Für jede jährliche Attestierung brauchen Sie Nachweise aus allen vieren.

Governance

Vom Vorstand oder der Geschäftsleitung genehmigte Richtlinien, dokumentierte Rollen und Aufsicht für jeden Algorithmus, jedes Vorhersagemodell und jede ECDIS, die in Versicherungspraktiken eingesetzt werden.

  • Schriftliches Governance-Rahmenwerk
  • Dokumentierte Aufsicht durch die Geschäftsleitung
  • Rollen- und Verantwortlichkeitszuordnung
  • Programm zur Sorgfaltsprüfung von Anbietern

Risikomanagement

Ein schriftliches Risikomanagement-Rahmenwerk, das den gesamten Lebenszyklus von Daten und Modellen abdeckt, von der Erfassung und Validierung bis hin zur Bereitstellung und laufenden Überwachung.

  • Bestandsaufnahme von ECDIS, Algorithmen und Modellen
  • Lebenszyklus-Risikobewertungen
  • Änderungskontroll- und Modellausmusterungsverfahren
  • Risikokontrollen für Dritte und Anbieter

Prüfung auf unlautere Diskriminierung

Laufende quantitative Prüfung von Daten und Modellen, um unlautere Diskriminierung gegenüber geschützten Klassen zu erkennen, einschließlich Rasse, Hautfarbe, nationale oder ethnische Herkunft, Religion, Geschlecht, sexuelle Orientierung, Behinderung, Geschlechtsidentität und Geschlechtsausdruck.

  • Analyse von Proxy-Variablen
  • Disparate-Impact-Tests über geschützte Klassen hinweg
  • Dokumentierte Testmethodik
  • Reproduzierbare Testdatensätze

Berichterstattung und Abhilfe

Dokumentierte Ergebnisse, Korrekturmaßnahmen bei Feststellung unlauterer Diskriminierung und jährliche Attestierung an die Division of Insurance.

  • Schriftliche Dokumentation der Ergebnisse
  • Abhilfepläne mit Verantwortlichen und Fristen
  • Jährliche Einreichung von Attestierungen
  • Ad-hoc-Berichterstattung zu wesentlichen Sachverhalten

So sieht Ihr Bias-Audit-Bericht aus

Laden Sie einen Muster-Bias-Testbericht nach Colorado SB21-169 herunter, der von VerifyWise erstellt wurde.

Muster herunterladen (PDF)

Wie VerifyWise die SB21-169-Compliance unterstützt

Jede Säule bildet sich in einem VerifyWise-Modul ab. Governance sitzt in den Richtlinien, Modelle im Inventar, Tests in der Audit-Engine, und die Attestierung zieht die Nachweise zusammen.

SB21-169-Anforderung
VerifyWise-Abdeckung
Dokumentation des Governance-Rahmenwerks
Das Richtlinienmodul erfasst Rahmenwerksversionen, Genehmigungen und Prüfungshistorie
Modell- und ECDIS-Bestandsverzeichnis
Zentrales KI-Systeminventar mit Metadaten zu Anbieter, Datenquelle und Lebenszyklus
Risikomanagement-Lebenszyklus
Workflows zur Risikobewertung über Erfassung, Validierung, Bereitstellung und Ausmusterung
Bias- und Disparate-Impact-Tests
Konfigurierbare Bias-Audit-Engine mit Unterstützung der geschützten Klassen Colorados und benutzerdefinierter Gruppierungen
Analyse von Proxy-Variablen
Workflows zur Erkennung von Proxy-Merkmalen mit Prüfpfaden und Freigabe durch Prüfende
Nachverfolgung von Abhilfemaßnahmen
Modul für Vorfälle und Korrekturmaßnahmen mit Verantwortlichen, Fristen und Nachweisen
Sorgfaltsprüfung von Anbietern und Dritten
Workflows zum Anbietermanagement für ECDIS- und Modellanbieter mit Fragebogenvorlagen
Unterstützung der jährlichen Attestierung
Attestierungspakete mit verknüpften Kontrollen, Nachweisen und zeitgestempelten Freigaben
Nachweise und Prüfpfad
Unveränderliche Aktivitätsprotokolle über Modelle, Datensätze, Tests und Freigaben hinweg
Regulierungsreifer Export
Berichtsexport für Einreichungen bei der Division of Insurance und interne Audit-Pakete

Häufige Fehler, die zu vermeiden sind

Diese Muster sehen wir in Lebensversicherungsprogrammen immer wieder. Rechnen Sie damit, dass sie erneut auftauchen, sobald Kfz und Gesundheit live gehen.

SB21-169 wie SB24-205 zu behandeln

Das sind zwei verschiedene Gesetze. Andere Aufsicht, andere Fristen, anderer Geltungsbereich. SB21-169 ist versicherungsspezifisch, und die Division of Insurance setzt es durch. Der Colorado AI Act (SB24-205) ist breiter angelegt und liegt beim Attorney General. Wenn Sie Versicherer in Colorado sind, schulden Sie Compliance unter beiden.

Anzunehmen, dass nur öffentliche Daten ECDIS-Regeln auslösen

ECDIS ist breiter, als die meisten Teams erwarten. Von Anbietern gelieferte Scores, Datenbroker und Konsortialdaten zählen alle dazu. Kreditbasierte Versicherungsscores fallen klar in den Anwendungsbereich, auch wenn sie seit Jahren Teil der Versicherungstarifierung sind.

Sich auf „Fairness“-Zusicherungen von Anbietern zu verlassen

Die Compliance eines Anbieters ist nicht Ihre Compliance. Die Pflicht trägt der in Colorado zugelassene Versicherer. Sie brauchen weiterhin eigene Tests, eigene Dokumentation und eigene Governance — auch wenn jedes Modell in Ihrem Stack von einem Dritten stammt.

Die Prüfung auf Rasse zu beschränken

Regulation 10-1-1 deckt ein breiteres Spektrum geschützter Klassen ab als die meisten Altprogramme für Bias-Tests. Bei Rasse aufzuhören hinterlässt Lücken bei Geschlecht, Geschlechtsidentität, Geschlechtsausdruck, sexueller Orientierung, Behinderung und nationaler Herkunft.

Tests einmal laufen lassen und abhaken

Das ist kein jährliches Häkchen. Modelle ändern sich, Daten driften, neue Versionen gehen raus. Jedes davon ist ein neuer Testfall gegen dieselbe dokumentierte Methodik.

Häufig gestellte Fragen

Die Fragen, die wir von Rechts-, Compliance- und Data-Science-Teams in der Versicherung bekommen, die sich durch SB21-169 arbeiten.

SB21-169 ist ein Gesetz aus Colorado von 2021, das Versicherern sagt: Sie dürfen Algorithmen, Vorhersagemodelle oder externe Verbraucherdaten (ECDIS) nicht einsetzen, wenn am Ende unlautere Diskriminierung einer geschützten Klasse herauskommt. Die Colorado Division of Insurance setzt es durch und schreibt sektorspezifische Verordnungen, die konkret festlegen, wie Compliance aussieht.
ECDIS steht für External Consumer Data and Information Sources. Im Klartext: alle Daten, die Sie nicht direkt vom Verbraucher erhoben haben. Kreditbasierte Versicherungsscores, Kaufhistorie, Social-Media-Signale, Wearable-Daten, geografische Daten und alles von Drittbrokern oder Konsortien fällt unter ECDIS. Die meisten Versicherer nutzen ein zentrales Modellinventar, um jede Quelle zu erfassen.
Verschiedene Gesetze, verschiedene Aufsichten. SB21-169 ist versicherungsspezifisch, und die Division of Insurance führt es. SB24-205 (der Colorado AI Act) deckt Hochrisiko-KI in Beschäftigung, Wohnen, Gesundheit und anderen Sektoren ab, und der Attorney General führt das. Beide gehen gegen algorithmische Diskriminierung vor, aber jedes bringt ein eigenes Compliance-Programm und eigene Fristen mit.
Lebensversicherer sind heute unter Regulation 10-1-1 vollständig im Geltungsbereich. Sie brauchen ein aktives Risikomanagement-Rahmenwerk, laufende Tests und eine jährliche Attestierung in der Akte. Private Kfz-Versicherungen und Krankenversicherungspläne stecken Stand April 2026 in der aktiven Regelsetzung und übernehmen Pflichten, sobald diese Regeln finalisiert sind.
Für Lebensversicherer sind die Meilensteine: Risikomanagement-Rahmenwerk bis 14. November 2023 eingeführt; erster Fortschrittsbericht bis 1. Juni 2024 fällig; erste vollständige Compliance-Attestierung bis 1. Dezember 2024 fällig. Danach kommt die Attestierung jedes Jahr wieder.
Colorados Rahmenwerk deckt Rasse, Hautfarbe, nationale oder ethnische Herkunft, Religion, Geschlecht, sexuelle Orientierung, Behinderung, Geschlechtsidentität und Geschlechtsausdruck ab. Bauen Sie Ihre Testmethodik so, dass sie jede für Ihren Bestand relevante geschützte Klasse abdeckt — nicht nur die, die andere Rechtsräume zufällig interessieren.
Unlautere Diskriminierung liegt vor, wenn Algorithmen, Vorhersagemodelle oder ECDIS unverhältnismäßig nachteilige Ergebnisse für eine geschützte Klasse produzieren und es keinen legitimen, versicherungsmathematisch belastbaren Geschäftsgrund für den Unterschied gibt. Die Verordnungen der Division of Insurance geben präzise vor, welche Testmethodik Sie zur Erkennung anwenden müssen.
Ein betroffener Versicherer reicht bei der Colorado Division of Insurance eine Attestierung ein und erklärt aktenkundig, dass er das geforderte Governance-, Risikomanagement- und Testprogramm aufgebaut hat und betreibt. Die meisten Teams nutzen ein Compliance-Framework-Modul, um die Nachweise zusammenzuziehen. Die erste für Lebensversicherer ging am 1. Dezember 2024 raus. Danach ist es eine jährliche Einreichung.
Ja. Die Pflicht sitzt beim in Colorado zugelassenen Versicherer, Punkt. Ein Anbietermodell, ein Datenfeed eines Dritten oder ein Managing General Agent überträgt keine Verantwortung auf die andere Seite. Sie brauchen weiterhin Anbieter-Sorgfaltsprüfung, vertragliche Absicherungen und eigene Nachweise, dass Tests stattgefunden haben und die Governance gehalten hat.
Der Versicherer ergreift Korrekturmaßnahmen. Das heißt üblicherweise: Feststellung über einen Vorfall-Workflow dokumentieren, Modell oder Datenquelle bereinigen, neu testen und die Governance-Kontrollen so nachziehen, dass dasselbe nicht wieder passiert. Alles davon geht in die Akte, und die Division of Insurance kann Einsicht verlangen.
Das NAIC AI Model Bulletin ist eine nationale Vorlage, die andere Aufsichten der Bundesstaaten übernehmen. Colorados SB21-169 und Regulation 10-1-1 gehen tiefer als das Bulletin, vor allem bei quantitativen Tests und Attestierung. Wenn Sie außerdem mit dem NIST AI RMF arbeiten, überschneidet sich der größte Teil des Governance-Gerüsts. Wenn Sie in mehreren Bundesstaaten tätig sind, ist es meistens sinnvoll, ein Programm zu bauen, das Colorados Messlatte erfüllt, und es dann für die anderen Bundesstaaten anzupassen.
Ja. Stand April 2026 stehen Colorados KI-Versicherungsregeln in einem Verfahren, in dem argumentiert wird, dass Regulierung auf bundesstaatlicher Ebene widersprüchliche Anforderungen zwischen Bundesstaaten schafft und bundesrechtliche Standards Vorrang haben sollten. Dieses Muster sehen wir auch bei anderen KI-Gesetzen der Bundesstaaten, darunter dem Texas AI Act und dem Colorado AI Act. Das Gesetz gilt weiter, während der Fall läuft.
VerifyWise liefert Ihnen die Governance-, Bestands-, Bias-Test-, Abhilfe- und Attestierungs-Workflows, die die Verordnung verlangt. Versicherer nutzen es, um das Risikomanagement-Rahmenwerk zu dokumentieren, laufende Disparate-Impact-Tests zu fahren, Korrekturmaßnahmen nachzuverfolgen und Nachweise für die jährliche Attestierung bei der Division of Insurance zusammenzuziehen. Einen vollständigen Rundgang durch die Plattform finden Sie in unserer Produktübersicht.

Weiterführende Informationen

Colorado SB 21-169 compliance: AI bias testing and ECDIS rules for insurers