KI-Compliance in der Versicherungswirtschaft mit DORA, DSGVO und KI-VO

Die europäische Digitalregulierung hat in den vergangenen Jahren eine enorme Komplexität erreicht, die insbesondere Unternehmen der Finanz- und Versicherungswirtschaft vor die Herausforderung stellt, mehrere weitreichende Rechtsakte gleichzeitig in ihre Betriebsabläufe zu integrieren. Der Bitkom e. V. hat hierzu einen Leitfaden veröffentlicht, der aufzeigt, wie der Digital Operational Resilience Act (DORA), die Datenschutz-Grundverordnung (DS-GVO) und die KI-Verordnung (KI-VO) als einheitlicher Compliance-Rahmen begriffen werden können. Dieser ganzheitliche Ansatz sei notwendig, da die verschiedenen Regelwerke in der Praxis häufig auf identische Geschäftsprozesse, Datenbestände und IKT-Systeme zugreifen. Vor allem beim Einsatz von Künstlicher Intelligenz (KI) in Kernbereichen wie dem Underwriting oder der Schadenbearbeitung wird deutlich, dass eine isolierte Betrachtung einzelner Gesetze zu ineffizienten Doppelstrukturen und rechtlichen Unsicherheiten führe.

Warum muss KI-Compliance heute ganzheitlich gedacht werden?

Ein moderner KI-Prozess in einem Versicherungsunternehmen ist niemals nur ein Thema für eine einzelne regulatorische Instanz, sondern berührt stets mehrere Schutzzwecke gleichzeitig. Wenn beispielsweise ein KI-Modell zur automatisierten Rechnungsprüfung in der Krankenversicherung eingesetzt wird, verarbeitet es sensible Gesundheitsdaten nach Art. 9 DS-GVO, stellt ein IKT-Asset im Sinne von DORA dar und unterliegt zugleich den Transparenz- und Risikomanagementpflichten der KI-Verordnung. Da diese Systeme oft kritische oder wichtige Funktionen unterstützen, müssen sie zudem die strengen Resilienz-Anforderungen von DORA erfüllen. Dies schließt regelmäßige Penetrationstests und strukturierte Vorfallmeldewege ein. Ein integrierter Ansatz ermöglicht es, diese Anforderungen entlang gemeinsamer Daten- und Systemlogiken zu strukturieren, anstatt für jedes Gesetz separate Inventare und Risikobewertungen zu führen.

PRISMA als integrierter Compliance-Ansatz

Mit dem PRISMA-Rahmen schlägt Bitkom einen einheitlichen Ansatz vor, um die Anforderungen aus CRA, DORA, DS-GVO und KI-Verordnung miteinander zu verzahnen. Die sechs Bausteine umfassen:

  • Prozessbasis: Geschäftsprozesse als gemeinsamer Ausgangspunkt für die Compliance-Dokumentation.
  • Abgestimmte Begriffe: Einheitliche Definitionen und Risikokategorien, etwa für kritische Funktionen oder Hochrisiko-KI.
  • Koordinierte Meldungen: Besser aufeinander abgestimmte Vorfallmeldepflichten zur Vermeidung von Doppelmeldungen.
  • Risikobasierte Skalierung: Regulatorische Anforderungen sollen sich an der tatsächlichen Kritikalität von Prozessen und Systemen orientieren.
  • Menschliche Kontrolle: Klare Leitplanken für den Einsatz automatisierter Entscheidungen und eine wirksame menschliche Aufsicht.
  • Assurance: Einheitliche Governance-, Dokumentations- und Nachweiskonzepte, um Compliance dauerhaft prüfbar und nachvollziehbar zu gestalten.

Geschäftsprozess als Ankerpunkt der Digital-Governance

Der Bitkom-Leitfaden schlägt vor, den realen Geschäftsprozess als zentralen Anknüpfungspunkt für die gesamte digitale Compliance zu definieren. Anstatt regulatorische Anforderungen in „Silos“ abzuarbeiten, sollten Informationen zu Datenarten, IKT-Systemen, der Kritikalität einer Funktion und dem Einsatz von KI-Modellen einmalig strukturiert erfasst werden. Ob Schadenbearbeitung, Betrugserkennung, Kundenkommunikation oder Risikobewertung – ein prozessbasierter Ansatz erlaube es, die notwendigen Dokumentationen für das IKT-Informationsregister nach DORA, das Verzeichnis von Verarbeitungstätigkeiten nach der DSGVO und das KI-Register auf einer gemeinsamen Datenbasis aufzubauen. Versicherer können so den administrativen Aufwand erheblich reduzieren. Gleichzeitig können sie so sicherstellen, dass Verantwortlichkeiten und Kontrollen über alle Rechtsbereiche hinweg konsistent definiert sind.

Welche Hürden bestehen bei automatisierten Entscheidungen nach Art. 22 DS-GVO?

Der Einsatz von KI in leistungsrelevanten Prozessen stößt regelmäßig an die Grenzen des Art. 22 DS-GVO. Danach sind automatisierte Entscheidungen grundsätzlich unzulässig, sofern keine der Ausnahmen des Art. 22 Abs. 2 DSGVO greift. Für die Versicherungspraxis bedeutet dies, dass insbesondere Ablehnungen oder Kürzungen in der Schadenbearbeitung eine wirksame menschliche Kontrolle erfordern. Dabei ist entscheidend, dass der Mensch nicht nur formal beteiligt ist, sondern eine tatsächliche inhaltliche Prüfung vornimmt. Das routinemäßige Bestätigen algorithmischer Empfehlungen reicht hierfür nicht aus.

Die geplante Digital-Omnibus-Verordnung könnte hier für Erleichterungen sorgen, indem sie klarstellt, dass automatisierte Entscheidungen zulässig sind, wenn sie für die Erfüllung eines Vertrags erforderlich sind, was jedoch politisch noch umstritten ist.

KI-Systeme im IKT-Risikomanagement

Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) betrachtet KI-Systeme als integralen Bestandteil der IKT-Landschaft. Sie ordnet sie damit direkt in den Anwendungsbereich von DORA ein. Die BaFin erwartet von Versicherungsunternehmen, dass der Einsatz von KI nicht dem Zufall überlassen wird, sondern in einer vom Leitungsorgan genehmigten KI-Strategie verankert ist. Insbesondere bei der Nutzung von KI-Assistenten oder externen Cloud-Modellen müssen Unternehmen spezifische Risiken wie Prompt Injection, Halluzinationen oder ungewollte Datenabflüsse durch technische Schutzmechanismen und klare vertragliche Audit-Rechte minimieren. Ein besonderer Fokus liegt dabei auf dem Aufbau von KI-Kompetenzen auf allen Ebenen des Unternehmens, um die technologischen Risiken über den gesamten Lebenszyklus eines Modells hinweg tatsächlich bewerten zu können.

Der „KI-Beauftragte“ -

Ihre Lösung für rechtssichere KI-Compliance

Wir bieten Unternehmen eine umfassende Lösung für die rechtlichen und regulatorischen Herausforderungen, die der Einsatz von KI mit sich bringt. 

Jetzt unverbindliches Angebot anfordern

Der Digital-Omnibus und KI-Training

Der Leitfaden verweist zudem auf die geplanten Änderungen durch den Digital Omnibus, die bestehende Unsicherheiten beim KI-Einsatz reduzieren könnten. Ein zentraler Punkt ist die geplante Kodifizierung des berechtigten Interesses als Rechtsgrundlage für das Training von KI-Modellen, was Unternehmen den Rückgriff auf Opt-out-Modelle ermöglichen würde. Zudem könnten Anpassungen bei der Definition des Personenbezugs dazu führen, dass pseudonymisierte Daten einfacher für Forschungs- und Entwicklungszwecke genutzt werden können, sofern für den Verantwortlichen kein Identifizierungsrisiko besteht. Obwohl der Rat der Europäischen Union einige dieser Liberalisierungen aktuell noch ablehnt, bleibt die Harmonisierung der DS-GVO mit den Anforderungen der KI-Wirtschaft ein entscheidendes Ziel für die kommenden Jahre. Bis zum finalen Abschluss des Omnibus Verfahrens besteht für Unternehmen weiterhin erhebliche Rechtsunsicherheit hinsichtlich der datenschutzrechtlichen Zulässigkeit bestimmter KI-Anwendungen und Prozesse.

Was sollten Versicherungsunternehmen beachten?

Unternehmen der Versicherungswirtschaft sollten die Umsetzung der Digitalregulierung als strategische Chance begreifen, ihre Governance-Strukturen zu modernisieren. Die im Leitfaden vorgestellte PRISMA-Logik bietet hierfür einen praxisnahen Vorschlag.

Wer regulatorische Anforderungen nicht als lästige Pflicht, sondern als Teil der Produktentwicklung versteht, kann innovative Services schneller skalieren. Gleichzeitig stärkt dies das Vertrauen der Kunden durch nachgewiesene digitale Resilienz und Datenschutzkonformität. Bitkom empfiehlt einen pragmatischen,
risikobasierten Compliance-Ansatz zu verfolgen.

Fazit

Ein integrierter Compliance-Ansatz für DORA, die DS-GVO und die KI-Verordnung ist heute weit mehr als eine reine Effizienzmaßnahme. Bei der Vielzahl an Digitalgesetzen und der stetigen technologischen Entwicklung ist er Voraussetzung für rechtssichere Innovation in einem hochregulierten Marktumfeld. Versicherer, die ihre Prozess-, IKT- und KI-Governance erfolgreich verzahnen, minimieren nicht nur Sanktionsrisiken, sondern sichern sich durch operative Stabilität und Transparenz einen entscheidenden Wettbewerbsvorteil. Die aktive Nutzung koordinierter Frameworks kann zum zentralen Erfolgsfaktor für die digitale Transformation der Versicherungswirtschaft werden.

KI-Compliance aus einer Hand

Künstliche Intelligenz rechtssicher nutzen & entwickeln
  • KINAST KI-Beratung 
  • KINAST externer KI-Beauftragter
  • KINAST KI-Kompetenz-Schulungen
Jetzt unverbindliches Angebot anfordern