SDA_SE_Logo_RGB 1
Menu

DSGVO-konforme KI für Versicherer: Praxisleitfaden

DSGVO-konforme KI
Avatar von Steffen Heilmann

By

Steffen Heilmann

 

Versicherer stehen 2026 vor einer regulatorischen Konstellation, die es in dieser Form noch nie gab: DSGVO, EU KI-Verordnung und die BaFin-Rahmenwerke MaRisk VA und VAIT gelten gleichzeitig. Jede dieser Ebenen für sich ist handhabbar. Die Kombination ist es, die Projekte ausbremst, weil viele Versicherer sie nacheinander abarbeiten statt sie als ein einziges Governance-Thema zu denken.

Dieser Leitfaden zeigt, wie Versicherer KI einsetzen können, die alle drei Ebenen gleichzeitig erfüllt. Er konzentriert sich auf die Punkte, an denen die Praxis regelmäßig stolpert: die sechs kritischen DSGVO-Artikel, das Zusammenspiel mit der KI-Verordnung, die BaFin-Integration, und zehn konkrete Kriterien, anhand derer Versicherer eine KI-Plattform auf DSGVO-Tauglichkeit bewerten können. Am Ende steht ein 90-Tage-Fahrplan, der auch unter Zeitdruck funktioniert.

Wer den regulatorischen Rahmen zur KI-Verordnung vertiefen möchte, findet in unserem Schwesterartikel zur KI-Verordnung 2026 für Versicherer die ergänzende Perspektive.

 

DSGVO, KI-Verordnung und BaFin: Warum Versicherer drei Regulierungsebenen gleichzeitig bedienen müssen

Die drei Ebenen decken unterschiedliche Perspektiven ab und ergänzen sich. Sie ersetzen einander nicht.

DSGVO regelt den Umgang mit personenbezogenen Daten. Für Versicherer ist das die praktische Grundregel, weil fast jede ihrer Kernprozesse personenbezogen ist: Verträge, Schadenakten, Kundenhistorien, Gesundheitsdaten. Die DSGVO ist seit 2018 scharf und gut dokumentiert.

EU KI-Verordnung regelt den Einsatz von KI-Systemen, unabhängig davon, ob personenbezogene Daten im Spiel sind. Sie greift schrittweise seit Februar 2025. Die entscheidende Stufe folgt am 2. August 2026 für Hochrisiko-KI-Systeme. Ein Großteil der KI in Versicherungen fällt in diese Kategorie.

BaFin-Rahmenwerke (MaRisk VA, VAIT, Merkblatt Algorithmen) regeln, wie Finanzdienstleister intern organisiert sein müssen. Sie verlangen Risikomanagement, dokumentierte Prozesse, IT-Sicherheit und Modellvalidierung.

Die häufigste Fehlannahme in Projekten: Wer die DSGVO erfüllt, ist automatisch KI-VO-konform. Das stimmt nicht. Ein DSGVO-konformes System kann gegen die KI-VO verstoßen, etwa wenn es keine menschliche Aufsicht vorsieht oder keine Dokumentation für die BaFin bereithält. Umgekehrt kann ein KI-VO-konformes System gegen die DSGVO verstoßen, etwa wenn die Rechtsgrundlage für Trainingsdaten unklar ist.

Die praktische Konsequenz: KI-Governance in Versicherungen muss alle drei Ebenen in einem integrierten Prozess abdecken. Nicht nacheinander, sondern gemeinsam.

Reference Image Website SDA

30 % schnellere Softwareentwicklung mit KI-Agenten in der Versicherungsbranche

In einem groß angelegten Projekt mit ursprünglich 500 Personentagen zeigte sich bereits nach dem ersten Monat, dass der Aufwand höher als geplant sein würde. Der Umstieg auf KI-gestützte Softwareentwicklung hat das Blatt gewendet: Nach einer einmonatigen Vorbereitungsphase wurde das Projekt mit nur 350 Personentagen in fünf Monaten erfolgreich abgeschlossen – und lagen damit nicht nur einen Monat vor dem ursprünglichen Endtermin, sondern auch rund 30 % unter dem geplanten Aufwand.

ZUR FALLSTUDIE

Die sechs kritischen DSGVO-Artikel bei KI in Versicherungen

Nicht alle DSGVO-Artikel sind beim KI-Einsatz gleich wichtig. Sechs stechen heraus, weil sie in Versicherungsprozessen regelmäßig zu Compliance-Lücken führen.

DSGVO-Artikel Worum es geht Versicherungs-Use-Case Typische Stolperfalle
Art. 5 Grundsätze (Zweckbindung, Datenminimierung) KI-Training mit Schadenakten Trainingszweck unterscheidet sich vom ursprünglichen Verarbeitungszweck
Art. 6 und Art. 9 Rechtsgrundlage und besondere Datenkategorien Gesundheitsdaten in Kranken- und Lebensversicherung Fehlende oder unklare explizite Einwilligung
Art. 13 und 14 Transparenz und Informationspflichten Automatisiertes Claim-Scoring Versicherte wissen nicht, dass KI an der Entscheidung beteiligt ist
Art. 22 Automatisierte Einzelentscheidung Underwriting, Schadenregulierung Vollautomatische Entscheidung ohne menschliche Überprüfung
Art. 25 Privacy by Design und by Default Gesamte KI-Architektur Datenschutz wird nachträglich aufgesetzt
Art. 35 Datenschutz-Folgenabschätzung (DSFA) Jedes neue Hochrisiko-KI-System DSFA fehlt oder ist oberflächlich dokumentiert

 

Besonders häufig unterschätzt wird Artikel 22 DSGVO. Viele Versicherer gehen davon aus, dass eine KI-gestützte Empfehlung, die anschließend von einem Sachbearbeiter geprüft wird, nicht unter Art. 22 fällt. Das trifft aber nur zu, wenn die menschliche Prüfung substanziell ist und dokumentiert wird. Ein pauschales Absegnen durch einen Mitarbeiter, der 200 Fälle am Tag bearbeitet, reicht nicht. Die Aufsichtsbehörden haben in den letzten Jahren klargestellt, dass die menschliche Entscheidung real, qualifiziert und nachvollziehbar sein muss.

Mehr zum Thema automatisierte Entscheidungen in Schadenprozessen findet sich im Artikel zu KI zur Betrugserkennung in Versicherungen.

 

KI-Verordnung und DSGVO: Wie das Zusammenspiel in Versicherungen funktioniert

Die KI-Verordnung ergänzt die DSGVO. Sie ersetzt sie nicht. Es gibt aber Stellen, an denen beide Verordnungen denselben Sachverhalt regeln, teilweise unterschiedlich gewichtet.

Datenqualität. Artikel 10 KI-VO verlangt, dass Trainings-, Validierungs- und Testdatensätze geeignet, relevant und repräsentativ sind. Die DSGVO verlangt in Artikel 5 dieselbe Qualität aus der Datenschutzperspektive, mit Fokus auf Richtigkeit und Zweckbindung. Ein Versicherer, der seine Trainingsdaten sauber dokumentiert, erfüllt beide.

Transparenz. Artikel 13 KI-VO (Informationspflichten gegenüber Betreibern) und Artikel 13 DSGVO (Informationspflichten gegenüber Betroffenen) verlangen beide Offenlegung, adressieren aber unterschiedliche Zielgruppen. Praktisch heißt das: Versicherungsunternehmen brauchen eine Informationsstruktur, die sowohl interne Audit-Funktionen als auch externe Betroffene versteht.

Doppelte Folgenabschätzung. DSFA (Art. 35 DSGVO) und Grundrechtsfolgenabschätzung (Art. 27 KI-VO) haben überlappende, aber nicht identische Inhalte. Die DSFA fokussiert auf Datenschutzrisiken, die Grundrechtsfolgenabschätzung auf breitere Auswirkungen auf Grundrechte wie Diskriminierungsfreiheit, Meinungsfreiheit, Menschenwürde. Die gute Nachricht: Beide können im selben Prozess erledigt werden, wenn die Verantwortlichen das früh strukturieren. Das spart Zeit und verhindert inkonsistente Bewertungen.

Machine Unlearning. Das Recht auf Vergessen aus Artikel 17 DSGVO ist bei trainierten KI-Modellen technisch schwierig. Informationen aus Trainingsdaten wandern in die Modellgewichte und lassen sich nicht einfach löschen. Drei Verfahren haben sich etabliert: vollständiges Retraining (teuer, aber sicher), Influence-Function-basierte Ansätze (präzise, aber aufwendig), und Approximate Unlearning (schnell, aber mit Restrisiko). Versicherer sollten im Anbietergespräch früh klären, welches Verfahren der jeweilige Anbieter unterstützt. Ohne technische Machine-Unlearning-Fähigkeit ist Art. 17 DSGVO bei großen Modellen faktisch nicht erfüllbar.

 

BaFin-Integration: MaRisk VA, VAIT und das Merkblatt Algorithmen

Die BaFin bringt drei Rahmenwerke mit, die für KI in Versicherungen direkt relevant sind.

MaRisk VA behandelt KI als operatives Risiko. Das heißt: Jedes KI-System muss inventarisiert, risikobewertet und in die Notfallvorsorge integriert sein. Wer bereits eine funktionierende MaRisk-Governance hat, muss nur KI-spezifische Kapitel ergänzen.

VAIT behandelt KI als Teil der IT-Landschaft. Änderungsmanagement, Berechtigungskonzepte, Informationssicherheit, Protokollierung und Dienstleistersteuerung gelten für KI-Systeme genauso wie für klassische IT. Das betrifft besonders externe KI-Plattformen: Wer ein SaaS-Modell nutzt, unterliegt den VAIT-Vorgaben zur Auslagerung.

Merkblatt zum Einsatz von Algorithmen in Entscheidungsprozessen (2021) ist der engste Bezug zur KI-VO. Es verlangt Modellvalidierung, dokumentierte Explainability, Back-Testing, regelmäßige Prüfung und klare Governance-Strukturen. Wer heute nach diesem Merkblatt arbeitet, hat einen großen Teil der KI-VO-Vorarbeit erledigt.

Die zentrale Einsicht: MaRisk-, VAIT- und Merkblatt-konforme Versicherer bringen rund 70 Prozent der KI-VO- und DSGVO-Infrastruktur bereits mit. Die verbleibenden 30 Prozent sind KI-spezifisch: Grundrechtsfolgenabschätzung, Konformitätsbewertung nach KI-VO, spezifische Transparenzmechanismen für Betroffene, Machine-Unlearning-Fähigkeit. Diese Punkte lohnt es systematisch nachzurüsten, statt die bestehende Governance auf den Kopf zu stellen.

 

Die fünf Architekturprinzipien für DSGVO-konforme KI in Versicherungen

Compliance lässt sich mit Prozessen nur bis zu einem gewissen Punkt erreichen. Die tragfähige Antwort ist Architektur. Fünf Prinzipien haben sich in Projekten bewährt.

1. Datenminimierung durch Architektur, nicht durch Prozess.
Wenn ein KI-System technisch nur die Daten sieht, die es für seine Aufgabe braucht, sind Datenschutzverstöße deutlich unwahrscheinlicher. Beispiel: Ein Tarifierungsmodell in der Kfz-Versicherung braucht keine Gesundheitsdaten. Eine Schaden-KI in der Hausratversicherung braucht keine Bonitätsdaten. Die Trennung erfolgt nicht im Prozesshandbuch, sondern in der Systemarchitektur. Service Dominierte Architektur hilft dabei, weil sie Datenflüsse naturgemäß entkoppelt.

2. Pseudonymisierung by Default.
Trainingsdaten sollten so weit wie möglich pseudonymisiert sein, bevor sie das Ursprungssystem verlassen. Anonymisierung ist in hochdimensionalen Datensätzen oft nicht zuverlässig, weil Re-Identifikation über Feature-Kombinationen möglich bleibt. Pseudonymisierung mit klar getrennter Schlüsselverwaltung ist der praktikable Standard.

3. Audit-Trail auf Entscheidungsebene.
Nicht nur das Modell muss dokumentiert sein, sondern jede Einzelentscheidung. Wenn eine Schadenregulierung KI-gestützt erfolgt, muss nachvollziehbar bleiben, welche Eingabedaten zu welchem Output führten. Das dient Artikel 12 KI-VO (Aufzeichnungspflichten) und Artikel 15 DSGVO (Auskunftsrecht) gleichermaßen.

4. Human-in-the-Loop als Architekturmuster.
Menschliche Aufsicht ist nicht nur eine organisatorische Frage, sondern ein technisches Muster. Die Architektur entscheidet, ob die menschliche Aufsicht real wirksam oder nur formal vorhanden ist. Entscheidend: Der Mensch muss die KI-Empfehlung ablehnen oder verändern können, und diese Handlung muss im System erfasst werden. Nur dann ist Artikel 22 DSGVO wirksam bedient. Mehr zum Zusammenspiel von Automatisierung und menschlicher Kontrolle im Artikel KI-Agenten.

5. Machine-Unlearning-Fähigkeit von Anfang an.
Wer ein KI-System aufbaut, sollte die Lösch-Strategie vor dem ersten Training festlegen. Nachträgliches Unlearning ist deutlich teurer. Bei hohen Nutzungsvolumina, wie sie in Versicherungen üblich sind, ist das ein echter Kostenfaktor.

Diese Prinzipien sind architektonisch, nicht organisatorisch. Wer sie beachtet, reduziert die Compliance-Last in späteren Phasen erheblich. Warum viele KI-Projekte in Versicherungen dennoch scheitern, beschreibt der Artikel zu KI-Lösungen in Versicherungen, die scheitern.

 

DSGVO-konforme KI-Plattformen für Versicherer: Zehn Auswahlkriterien

Die Plattform- oder Vendor-Entscheidung ist in Versicherungsprojekten oft weichenstellend. Diese zehn Kriterien sollten Teil jeder Plattform-Evaluation sein.

  1. EU-Ansässigkeit oder Schrems-II-konformer Drittstaatentransfer. Anbieter außerhalb der EU brauchen Standardvertragsklauseln, ergänzende Schutzmaßnahmen und eine Transfer Impact Assessment.
  2. Trainingsdaten-Governance. Dokumentierte Herkunft, Rechtsgrundlage und Qualitätssicherung für alle verwendeten Trainingsdaten. Keine intransparenten Blackbox-Modelle.
  3. Modell-Transparenz. Explainability-Tools integriert oder zumindest über Schnittstellen nutzbar. Ohne Erklärbarkeit ist Art. 22 DSGVO und Art. 13 KI-VO nicht erfüllbar.
  4. Audit-Trail auf Einzelfallebene. Das System dokumentiert jede Entscheidung mit Input, Output, Modellversion und Zeitstempel.
  5. Human-in-the-Loop-Support. Menschliche Eingriffe sind nicht nur möglich, sondern im Interface aktiv vorgesehen. Dokumentation erfolgt automatisch.
  6. Machine-Unlearning-Funktionalität. Der Anbieter liefert ein nachvollziehbares Verfahren für Löschaufträge aus Art. 17 DSGVO. Je nach Modellgröße: Retraining, Influence Functions oder Approximate Unlearning.
  7. Rollen- und Rechte-Management. Mandantenfähigkeit für Versicherungs-Spezifika: Vertriebsmitarbeiter sehen andere Daten als Schadenbearbeiter oder Underwriter.
  8. BaFin-Reporting-Kompatibilität. Exports in MaRisk- und VAIT-kompatiblen Formaten. Idealerweise mit vorgefertigten Berichtsvorlagen.
  9. Cybersicherheit und Verfügbarkeit. VAIT-konformes Betriebsmodell mit klaren SLAs, Penetrationstests und Incident-Response-Prozess.
  10. Vermeidung von Vendor Lock-in. Offene Standards, Portierbarkeit von Trainingsdaten und Modellartefakten, klare Exit-Prozesse.

Zur Frage Closed-Source gegen Open-Source lohnt sich ein nüchterner Blick. Open-Source-Modelle bieten Architekturkontrolle und Auditierbarkeit, erfordern aber interne Betriebskompetenz. Closed-Source-Modelle sind schneller produktiv, verschieben aber einen Teil der Compliance-Verantwortung zum Anbieter. Für Hochrisiko-KI in Versicherungen kommt meist eine Hybridarchitektur zum Einsatz: proprietäre Modelle für eng definierte Aufgaben, Open-Source oder selbst trainierte Modelle für kritische Kernentscheidungen.

Ein Beispiel dafür, wie ein europäischer Versicherer eine solche Architektur umsetzt, findet sich im Artikel zu Allianz und Anthropic.

 

90-Tage-Fahrplan: DSGVO-konforme KI in der Versicherung einführen

Der folgende Plan ist aus konkreten Versicherungsprojekten abgeleitet. Er setzt voraus, dass MaRisk- und VAIT-Strukturen bereits vorhanden sind.

Tage 1 bis 30: Regulatorische Standortbestimmung

Ziel ist ein klares Bild aller bestehenden KI-Systeme, ihrer regulatorischen Einordnung und ihrer Lücken.

  • KI-Inventar erstellen, inklusive versteckter KI-Funktionen in SaaS-Systemen.
  • Dreifach-Compliance-Check je System: DSGVO, KI-VO, MaRisk und VAIT.
  • Gap-Matrix aufbauen, priorisiert nach Risiko und Bußgeldrelevanz.
  • Stakeholder-Alignment: Datenschutzbeauftragte, IT-Sicherheit, Compliance, BaFin-Ansprechpartner.

Tage 31 bis 60: Architektur-Review und Priorisierung

Die Gap-Matrix bildet die Grundlage für konkrete Maßnahmen. Hochrisiko-KI-Systeme werden zuerst angegangen, weil für sie der 2. August 2026 als Deadline gilt.

  • Architekturbewertung gegen die fünf Prinzipien aus dem vorigen Abschnitt.
  • Vendor-Evaluation gegen die zehn Kriterien aus der Plattform-Checkliste.
  • Budget und Ressourcenplanung, idealerweise mit Rückendeckung aus Vorstand oder Geschäftsleitung.
  • Entscheidung: Welche Systeme werden weiterbetrieben, welche migriert, welche abgeschaltet?

Tage 61 bis 90: Pilot und Dokumentation

Ein System wird vollständig compliance-fit gebracht. Daraus entsteht das Template für alle weiteren.

  • Pilot-Hochrisiko-System vollständig umgesetzt: Architektur, Dokumentation, Governance.
  • Gemeinsame DSFA und Grundrechtsfolgenabschätzung für den Piloten.
  • BaFin-kompatible Dokumentation in der etablierten MaRisk-Struktur ablegen.
  • Template für die Ausweitung auf alle weiteren Hochrisiko-Systeme finalisieren.
  • Go- oder No-go-Entscheidung für den breiten Rollout.

 

Praxisbeispiel: Generative KI in der Versicherung DSGVO-konform einführen

Ein Beispiel, das viele Versicherer aktuell beschäftigt, ist der Einsatz generativer KI im Kundenservice und in der internen Bearbeitung. Konkret: Ein KI-gestützter Chatbot, der Vertragsfragen beantwortet, Schadenstatus abruft und einfache Anliegen direkt bearbeitet.

Das Ausgangsproblem: Der Chatbot braucht Zugriff auf personenbezogene Daten (Verträge, Schadenakten), darf aber nicht halluzinieren, Zusagen machen, die rechtlich nicht haltbar sind, oder versehentlich Daten preisgeben, die der Anfragende nicht einsehen dürfte.

Die architektonische Antwort, die sich in mehreren Projekten bewährt hat, kombiniert drei Elemente:

Retrieval-Augmented Generation (RAG) mit streng getrennten Datenbeständen. Das Sprachmodell generiert keine Antworten aus seinem eigenen Trainingswissen, sondern nur auf Basis abgerufener Dokumente. Diese Dokumente werden nach Rolle und Berechtigung gefiltert, bevor sie das Modell erreichen.

Vollständiger Audit-Log aller Interaktionen. Jede Anfrage, jeder Datenzugriff und jede Antwort wird protokolliert, inklusive Modellversion und Prompt. Das erlaubt späteres Back-Testing und erfüllt Art. 12 KI-VO.

Menschliche Review-Schleife für sensible Fälle. Der Chatbot gibt keine bindenden Zusagen, sondern leitet kritische Anfragen an einen Sachbearbeiter weiter, der die KI-Empfehlung prüft und freigibt.

Das Ergebnis in einem konkreten Projekt: rund 40 Prozent schnellere Ticket-Bearbeitung bei vollständiger Nachvollziehbarkeit. Wichtig: Der Chatbot wurde nicht als DSGVO-Projekt eingeführt, sondern als Service-Projekt mit DSGVO-Architektur von Tag eins. Das macht den Unterschied zwischen „funktioniert und ist compliant“ und „funktioniert, aber bricht beim ersten Audit zusammen“. Mehr zu ähnlichen Implementierungsmustern im Artikel LLM-Agenten in Versicherungssystemen nutzen.

 

FAQ: DSGVO-konforme KI für Versicherer

Dürfen Versicherer Gesundheitsdaten für KI-Training nutzen?

Ja, unter klaren Bedingungen. Notwendig sind eine explizite Rechtsgrundlage nach Art. 9 DSGVO (in der Regel Einwilligung oder eine spezifische gesetzliche Grundlage), strikte Zweckbindung, Pseudonymisierung und dokumentierte Sicherheitsmaßnahmen. Eine DSFA ist in fast allen Fällen Pflicht.

Ist ChatGPT DSGVO-konform für interne Versicherungsprozesse nutzbar?

Es kommt auf die konkrete Variante an. Die konsumentennahen Versionen sind für interne Versicherungsprozesse meist nicht geeignet, weil Datenverarbeitung und Trainingsnutzung unklar sind. Enterprise- oder API-Varianten mit EU-Hosting und Auftragsverarbeitungsvertrag können eingesetzt werden, wenn die übrigen neun Auswahlkriterien aus diesem Leitfaden erfüllt sind.

Was unterscheidet eine DSFA von einer Grundrechtsfolgenabschätzung?

Die DSFA fokussiert auf Datenschutzrisiken einer Verarbeitung und folgt aus Art. 35 DSGVO. Die Grundrechtsfolgenabschätzung aus Art. 27 KI-VO hat einen breiteren Blick auf alle betroffenen Grundrechte, einschließlich Diskriminierungsfreiheit und Menschenwürde. Beide können in einem Prozess bearbeitet werden.

Müssen Versicherer einen eigenen KI-Officer bestellen?

Die KI-VO verlangt keine eigene KI-Officer-Rolle per Gesetz. In der Praxis hat sich die Rolle aber etabliert, oft als Erweiterung der Compliance- oder Datenschutz-Funktion. Wichtig ist die Verankerung im Governance-Board, nicht die genaue Rollenbezeichnung.

Wie gehen Versicherer mit Art. 22 DSGVO bei KI-gestützten Schadenentscheidungen um?

Zwei Wege funktionieren in der Praxis: Erstens, substanzielle menschliche Überprüfung vor der Entscheidung, dokumentiert und audit-fähig. Zweitens, explizite Einwilligung der Betroffenen in eine vollautomatisierte Entscheidung, mit klaren Widerspruchs- und Überprüfungsrechten. Der erste Weg ist robuster und wird von Aufsichtsbehörden bevorzugt.

Welche KI-Plattformen sind nachweislich DSGVO-konform?

Keine Plattform ist von Haus aus DSGVO-konform. Konformität entsteht durch die Kombination aus Plattform-Eigenschaften, Architektur-Design und Governance-Prozessen. Die zehn Kriterien aus diesem Leitfaden sind die operative Bewertungsgrundlage.

Was passiert, wenn die BaFin ein KI-System beanstandet?

Die BaFin kann Nachbesserung, Abschaltung oder in Einzelfällen Sanktionen verlangen. Wichtig ist die Dokumentation: Wer bei einer Ad-hoc-Anfrage vollständig auskunftsfähig ist und einen erkennbaren Verbesserungsprozess nachweist, hat eine deutlich bessere Ausgangsposition als ein Unternehmen ohne Governance-Struktur.

Wie oft muss eine DSFA für KI-Systeme aktualisiert werden?

In jedem Fall bei substanziellen Änderungen am Modell, am Datenhaushalt oder am Einsatzzweck. Unabhängig davon empfiehlt sich eine jährliche Aktualisierung. Bei Hochrisiko-KI ist ein halbjährlicher Review gängige Praxis.

 

Fazit: DSGVO-konforme KI ist eine Architekturentscheidung, nicht ein Compliance-Nachlauf

Versicherer, die DSGVO, KI-Verordnung und BaFin-Rahmen als nacheinander abzuarbeitende Hürden verstehen, zahlen doppelt: höhere Kosten und eingeschränkte KI-Leistungsfähigkeit. Versicherer, die Compliance als Architekturprinzip begreifen, bekommen beides: Systeme, die regulatorische Prüfungen bestehen, und Systeme, die in der Fachbereichs-Nutzung performen.

Die nächsten Regulierungsstufen zeichnen sich bereits ab. DORA gilt seit Januar 2025, der EU Data Act schärft die Rahmenbedingungen für Datenzugang, und EIOPA arbeitet an eigenen Leitlinien zur KI-Governance in Versicherungen. Wer jetzt eine belastbare Governance und Architektur aufbaut, ist auch für diese Wellen gerüstet.

Die gute Nachricht: Die Mehrfach-Compliance ist lösbar. Sie verlangt nur einen integrierten Ansatz und die Bereitschaft, Compliance nicht erst am Projektende zu betrachten, sondern als Entwurfsprinzip.

SDA SE baut DSGVO-konforme KI-Architekturen für Versicherer. Von der Klassifizierung bestehender Systeme über die Vendor-Auswahl bis zum operativen Governance-Setup.

→ Unsere KI-Lösungen für Versicherer
→ KI in der Versicherungsbranche: Der vollständige Ratgeber
→ KI-Verordnung 2026 für Versicherer: Stand und Pflichten
→ Jetzt unverbindlich beraten lassen

Wie können wir Ihnen helfen?

Beschreiben Sie kurz, wobei wir Sie unterstützen dürfen. Wir melden uns zeitnah und individuell.

    Durch das Ausfüllen dieses Formulars erklären Sie sich damit einverstanden, E-Mail-Kommunikationen von SDA SE Open Industry Solutions zu erhalten. Sie können sich jederzeit von dieser Kommunikationen abmelden

    SDA SE Open Industry Solutions

    Homepage
    Lösungen
    Referenzen
    Über Uns
    Blog
    FAQ

    Kontakt

    Linkedin

    Kununu





     

    Impressum

    Datenschutz

    Nutzungsbedingungen

    Cookie Einstellungen

    SDA_SE_Logo_RGB_white 1