Compliance für Versicherer:
Die KI-Verordnung trifft
Ihre Bestandssysteme.

Vier potentiell offene Flanken
01

Lückenhaftes KI-Inventar

Was nach 2020 als KI gebaut wurde, ist meist erfasst. Was davor als Score, Modell oder Regelwerk in die Bestandssysteme einging, fehlt — Underwriting, Leistungsprüfung, Tarifierung. Im Workshop entstehen Listen mit 12 bis 40 Systemen, davon drei bis acht Hochrisiko.

02

Verteilte Verantwortung

Risk kennt die Modelle. Compliance kennt den Verordnungstext. IT kennt die Systeme. Datenschutz kennt die DSFA. Eine integrierte Verantwortung mit Vorstandsanbindung fehlt.

03

Schulungspflicht ohne Träger

Die Schulungsmatrix liegt im Entwurf. Ein Bereich, der die Umsetzung trägt, fehlt.

04

DORA und KI getrennt

DORA-Programme laufen, KI-Governance läuft daneben. Budgetär kaum zu rechtfertigen, fachlich gegen die BaFin-Orientierungshilfe.

Lage

Vier Regelwerke,
ein Risikomanagement.

KI-Verordnung, DORA, novellierte MaGo, BaFin-Orientierungshilfe. Drei davon sind bereits bindend.

Bindend seit
02.02.2025

KI-Kompetenz (Art. 4) und verbotene Praktiken (Art. 5) gelten unmittelbar.

IKT-Risiko seit
17.01.2025

DORA wird angewendet. Die BaFin-Orientierungshilfe ordnet KI als IKT-Asset darunter ein.

Bußgeldrahmen
15 Mio. € / 3 %

Bemessungsgrundlage ist der Konzernumsatz, nicht die betroffene Einheit.

Hochrisiko: verschoben, nicht erledigt.

Risikobewertung und Preisbildung in Lebens- und Krankenversicherung fallen als Hochrisiko-KI unter Anhang III Nr. 5(c). Der Digital-Omnibus verschiebt die Frist vom 02.08.2026 auf den 02.12.2027 — mehr Vorlauf, dieselbe Pflicht.

Governance gilt heute, nicht 2027.

DORA und die novellierte MaGo (in Kraft seit 14.10.2025) verlangen die Einbettung von KI in das bestehende Risikomanagement jetzt, unabhängig vom Hochrisiko-Datum.

Wer die vier Regelwerke separat bearbeitet, baut die gleichen Kontrollen viermal.

Vorgehen

Drei Stufen,
einzeln buchbar.

Wir starten nach Ihren individuellen Bedürfnissen.

01
Eine Woche

Sondierung

Workshop mit den verantwortlichen Bereichen. Klassifiziertes KI-Inventar, Bewertung der Hochrisiko-Kandidaten, indikatives Bußgeldexposure pro System, 90-Tage-Aktionsliste. Lieferung als vorstandsfähiges Lagebild.

02
Sechs bis zehn Wochen

Programm-Design

Lückenanalyse gegen die KI-Verordnung, integriert mit DORA, MaGo und BaFin-Orientierungshilfe. Roadmap mit benannten Verantwortlichkeiten und Investitionsbändern. Vorlage für die Vorstandsentscheidung.

03
Drei bis sechs Monate

Umsetzung

Governance aufbauen: Prozesse, Rollen, Reporting, Tooling. Begleitung in den geregelten Betrieb.

Das Papier ist nicht der Engpass. Komplex wird das Ausfüllen, Ratifizieren und Implementieren im laufenden Betrieb.

Ihre Ansprechpartnerin

Kompetent begleitet vom Erstgespräch bis zum Betrieb.

Nadine Humbert

Compliance Lead · makematiq

Nadine Humbert

Führt unsere Compliance Practice und ist operativ aktuell bei einem deutschen Großversicherer im Projekt verbindlich tätig. Verbindet die regulatorische Lage mit dem, was im Betrieb funktioniert.