Welche Versicherungs-Mitarbeiter sind von Art. 4 betroffen?

Die Kompetenzpflicht trifft in Versicherungen eine deutlich breitere Gruppe als oft angenommen. Die folgende Matrix gibt einen praktischen Überblick über typische Rollen, ihren KI-Kontakt und die empfohlene Kompetenzstufe.

Versicherungs-Rolle	Typischer KI-Kontakt	Kompetenzstufe	Schulungsumfang Stunden pro Jahr
Kundenberater, Makler	KI-Empfehlungssysteme, Chatbots als Support	Basis	4 bis 6
Schadenbearbeiter, Claims-Handler	Automatische Schadenbewertung, Dokumenten-KI	Anwender	8 bis 12
Underwriter, Risikoprüfer	KI-gestützte Risikobewertung, Tarifierung	Fach	16 bis 24
Actuar, Data Scientist	Modellentwicklung, Validierung	Fach und Entwicklung	40 plus laufende Weiterbildung
Compliance, Datenschutzbeauftragte	Governance, DSFA, Audits	Governance	24 bis 40
IT, Infrastruktur	Deployment, Monitoring, Security	Fach und operativ	16 bis 24
Geschäftsleitung, Vorstand	Strategische Verantwortung nach Art. 4	Governance	4 bis 8 plus Jahres-Briefing

 

Ein Punkt wird in Projekten regelmäßig übersehen: Auch externe Dienstleister fallen unter Art. 4. Wer IT-Dienstleister, Makler-Pools oder Call-Center-Partner einsetzt, muss sicherstellen, dass auch deren Mitarbeitende ausreichend geschult sind. Das geschieht üblicherweise über Vertragsklauseln, die Schulungsnachweise und Auditrechte verankern. Wer Sub-Dienstleister nicht einbindet, lässt eine Compliance-Lücke offen, die bei einer Aufsichtsprüfung auffällt.

 

KI-Kompetenz nach Rolle: Was Versicherungs-Mitarbeitende konkret wissen müssen

Die Kompetenzmatrix entfaltet ihre Wirkung erst, wenn die Inhalte pro Stufe klar sind. Vier Kompetenzstufen haben sich in Projekten etabliert.

Basis-Kompetenz für alle KI-berührten Rollen

Jeder Mitarbeitende, der beruflich mit KI-Systemen in Berührung kommt, braucht ein Grundverständnis: Was ist KI, was ist sie nicht? Welche Grenzen und Risiken bestehen (Halluzinationen, Bias, Black-Box-Verhalten)? Wie gehe ich mit KI-Ergebnissen um, ohne sie blind zu übernehmen? Wann und wie eskaliere ich Zweifel? Und welche Meldepflichten habe ich bei auffälligen Ergebnissen? Der Umfang liegt typischerweise bei 2 bis 4 Stunden, ideal als E-Learning umsetzbar.

Anwender-Kompetenz für Claims, Kundenservice, Operations

Mitarbeitende, die KI täglich aktiv nutzen, brauchen Prompting- und Nutzungs-Best-Practices. Dazu gehört das Erkennen von Halluzinationen in KI-Ausgaben, die Dokumentation der KI-Beteiligung an Einzelfällen, DSGVO-konforme Daten-Eingabe (keine Gesundheitsdaten in ungeprüfte Systeme) und das bewusste Geben von Feedback, damit Modelle verbessert werden können. Umfang: 6 bis 10 Stunden, mit konkreten Praxisübungen.

Fach-Kompetenz für Underwriting, Actuariat, IT

Rollen mit Modell- oder Systemverantwortung brauchen tiefergehendes Wissen: Modellmetriken verstehen (AUC, Precision, Recall, Drift), Risikoklassen der KI-VO anwenden können, Validierungsverfahren und Back-Testing kennen, und technische Gegenmaßnahmen bei Bias oder Drift beherrschen. Umfang: 16 bis 24 Stunden, typischerweise eine Kombination aus Präsenz-Workshop und vertiefender E-Learning-Strecke.

Governance-Kompetenz für Compliance, DSB, Vorstand

Governance-Funktionen müssen Art. 4 mit DSGVO und BaFin MaRisk VA konsolidiert denken. Dazu gehören DSFA und Grundrechtsfolgenabschätzung, Audit-Fähigkeit, Eskalationsprozesse und das Management von Bußgeld- und Reputationsrisiken. Der Vorstand trägt die Verantwortung nach Art. 4 zwar delegiert, aber nicht abwälzend. Ein Jahres-Briefing ist Mindeststandard.

 

BaFin MaRisk VA und Art. 4 KI-VO: Gemeinsame Trainings-Governance nutzen

Wer in Versicherungen Art. 4 umsetzt, sollte nicht bei null anfangen. Die BaFin-Rahmenwerke enthalten bereits verwandte Anforderungen, die sich gut integrieren lassen.

MaRisk VA AT 7.1 fordert eine angemessene personelle Ausstattung. Für KI-Systeme greift diese Anforderung jetzt explizit über Art. 4. Wer bereits ein rollen-basiertes Schulungskonzept für IT- oder Compliance-Themen hat, kann das Konzept um KI-Module erweitern statt eine separate Struktur zu schaffen.

VAIT 8 verlangt Schulungen zu IT-Sicherheit. KI-Sicherheit gehört dort hinein, insbesondere die Themen Prompt Injection, Datenexfiltration über Chatbots und Modellmanipulation. Diese Inhalte sind für Anwender und IT-Rollen gleichermaßen relevant.

Merkblatt Algorithmen (2021). Das Merkblatt adressiert bereits Dokumentation, Modellvalidierung und Governance. Es ist die operative Brücke zur KI-VO. Wer heute nach dem Merkblatt arbeitet, hat die Governance-Kompetenz-Basis für Compliance-Funktionen bereits geschaffen.

Die BaFin-Erwartung zur Art. 4-Umsetzung lässt sich aus diesen Rahmenwerken ableiten. Zentral sind vier Punkte: Regelmäßigkeit der Schulungen (mindestens jährlich), Risikoorientierung (Hochrisiko-KI-Nutzer häufiger und tiefer geschult), dokumentierte Teilnahme mit Zeitstempel und Inhaltsbezug, und Erfolgskontrolle durch Wissenstests, nicht nur Teilnahme-Bestätigungen. Der praktische Weg: bestehende MaRisk-Schulungsstrukturen nutzen und mit KI-spezifischen Modulen ergänzen.

 

Die fünf Schulungs-Module für Art. 4-konforme KI-Kompetenz in der Versicherung

Ein strukturiertes Curriculum deckt die Anforderungen effizient ab. Die folgenden fünf Module haben sich in Versicherungsprojekten bewährt und lassen sich rollenbasiert kombinieren.

Modul 1: KI-Grundlagen für Versicherer (2 bis 4 Stunden)

Was ist KI? Was sind Narrow AI, Machine Learning und generative KI? Wie funktioniert ein KI-System praktisch? Welche Beispiele gibt es aus dem Versicherungsalltag? Dieses Modul adressiert alle Mitarbeitenden mit KI-Kontakt und bildet die Basis-Kompetenzstufe ab. Gut als E-Learning umsetzbar.

Modul 2: Regulatorischer Rahmen, KI-VO und DSGVO und BaFin (3 bis 4 Stunden)

Was regelt die KI-Verordnung? Wo überschneidet sie sich mit der DSGVO? Was erwartet die BaFin zusätzlich? Welche Rollen haben Datenschutzbeauftragte und KI-Officer? Dieses Modul richtet sich an Anwender, Fach- und Governance-Rollen, mit unterschiedlicher Tiefe.

Modul 3: KI-Risiken erkennen und managen (4 bis 6 Stunden)

Halluzinationen, Bias, Modell-Drift. Deepfakes und KI-Betrug in Schadenmeldungen. Cybersicherheit bei KI-Systemen. Prinzipien des Human-in-the-Loop und wann sie angewendet werden. Dieses Modul ist für Anwender, Fach- und Governance-Rollen gleichermaßen relevant. Mehr zum Deepfake-Kontext im Artikel zu KI-Betrugserkennung in Versicherungen.

Modul 4: KI in Use-Cases der Versicherung (4 bis 8 Stunden rollenabhängig)

Konkrete Anwendungsfälle: Betrugserkennung in Claims, Dokumenten-KI in Operations (siehe KI-Dokumentenprüfung), Kundenanalyse in Marketing und Risk, generative KI in Service und Underwriting-Support. Das Modul ist rollenbezogen strukturiert. Schadenbearbeiter lernen Claims-Anwendungen, Underwriter lernen Tarifierungs-Anwendungen.

Modul 5: Governance, Audit und Dokumentation (4 bis 8 Stunden)

Nachweispflichten und Aufzeichnungsstandards. DSFA und Grundrechtsfolgenabschätzung. Notfall- und Eskalationsprozesse. Dieses Modul adressiert Compliance, DSB und Vorstand. Der Vorstand benötigt die kompakte Variante (4 Stunden Jahres-Briefing), die Fachrollen die vertiefte Version.

Format-Empfehlung: Basis-Module als E-Learning, Vertiefungen in Präsenz-Workshops mit konkreten Versicherungs-Cases. Das E-Learning sichert die flächige Abdeckung, die Präsenzformate verankern die Inhalte in der täglichen Arbeit.

 

Art. 4 KI-VO auditfähig dokumentieren

Nicht dokumentierte Schulung gilt als nicht durchgeführte Schulung. Sechs Artefakte halten eine BaFin-Prüfung oder Aufsichtsanfrage stand.

1. Kompetenzmatrix. Übersicht über alle Rollen, die erforderliche Kompetenzstufe und den zugeordneten Schulungsumfang. Aktualisiert bei Organisationsänderungen.
2. Schulungs-Katalog. Curriculum pro Modul mit definierten Lernzielen, Inhalten, Methoden und Prüfungsformat.
3. Teilnahme-Nachweise. Rollenscharf, datiert, mit Bezug zum jeweiligen Modul und mit Ergebnis eines Wissenstests oder einer Abschlussaufgabe.
4. Auffrischungs-Kalender. Jährliche Refresher-Pflicht mit Anpassungen, wenn neue KI-Systeme eingeführt werden oder rechtliche Änderungen greifen.
5. Schulungsnachweise externer Dienstleister. Über Vertragsauflagen eingeholt und in einem zentralen System abgelegt.
6. Schulungs-Gap-Reporting. Quartalsbericht an Vorstand und Compliance zu offenen Schulungen, geplanten Rollouts und Abdeckungsgrad.

Diese sechs Artefakte sind das Mindestset. Wer sie in einem Learning-Management-System oder einer gleichwertigen Struktur ablegt, hat den Dokumentations-Teil von Art. 4 solide abgedeckt.

 

Was passiert, wenn ein Versicherer Art. 4 ignoriert?

Die direkten Konsequenzen sind in Art. 99 KI-VO geregelt: Bußgelder bis 15 Millionen Euro oder 3 Prozent des weltweiten Jahresumsatzes bei Verstößen gegen Art. 4. Das ist der Rahmen. In der Praxis kommen indirekte Folgen hinzu, die oft schwerer wiegen.

BaFin-Beanstandungen. Ohne KI-Kompetenz-Nachweis ist auch die MaRisk VA-Pflicht zur angemessenen personellen Ausstattung verletzt. Die Aufsicht kann beide Ebenen parallel prüfen.

Haftung bei KI-Fehlentscheidungen. Wenn ein Schadenbearbeiter eine KI-Empfehlung unreflektiert übernimmt und die Entscheidung anfechtbar ist, fragen Gerichte nach dem Schulungsnachweis. Ohne dokumentierte Kompetenz gerät die Organisation in eine schwächere Position, mit denkbarer Beweislast-Umkehr bei Fahrlässigkeitsvorwürfen.

Reputationsrisiken. Bußgelder nach KI-VO werden veröffentlicht. Für Versicherer mit ausgeprägter Vertrauens-Marke ist das ein echtes Risiko.

Versicherbarkeit. D&O-Policen und Cyber-Versicherungen fragen zunehmend Art. 4-Compliance ab. Wer keinen Nachweis liefern kann, zahlt höhere Prämien oder verliert Deckung.

Ein realistisches Szenario: Ein Schadenbearbeiter nutzt KI-Unterstützung, um Schadenersatzhöhen zu bestimmen. Eine Kundin klagt, weil sie die Regulierung für zu niedrig hält. Das Gericht prüft, ob die Entscheidung menschlich ausreichend verantwortet war. Bei fehlendem Schulungsnachweis des Bearbeiters wird das Gericht das als Indiz für Organisationsverschulden werten. Der Schaden für den Versicherer ist nicht der Einzelfall, sondern die Präzedenzwirkung.

 

60-Tage-Fahrplan: Art. 4 KI-VO-Compliance in der Versicherung umsetzen

Die Schulungspflicht lässt sich strukturiert in 60 Tagen etablieren, vorausgesetzt, es existiert bereits eine grundlegende HR- und Compliance-Infrastruktur.

Tage 1 bis 20: Assessment und Matrix

Ziel ist ein belastbares Bild des Ist-Zustands.

• KI-System-Inventur durchführen, inklusive versteckter KI in SaaS.
• Rollen-Mapping: Welche Rollen arbeiten mit welchen Systemen?
• Kompetenzmatrix mit den Soll-Stufen pro Rolle füllen.
• Schulungs-Gap-Analyse gegen bestehende Schulungen.
• Stakeholder-Alignment: HR, Compliance, IT, Datenschutz, BaFin-Ansprechpartner.

Tage 21 bis 40: Curriculum und Rollout-Plan

Aus der Gap-Analyse wird ein konkretes Schulungsprogramm.

• Module-Design: intern entwickeln oder extern einkaufen?
• Piloting mit einer Abteilung, typischerweise Claims oder Underwriting.
• Dokumentations-Templates erstellen (Teilnahme, Wissenstest, Refresher).
• Plattform-Wahl: eigenes LMS, bestehende Akademie-Infrastruktur oder externe Plattform.

Tage 41 bis 60: Rollout und Monitoring

Der Rollout beginnt mit den Basismodulen für alle Betroffenen.

• Basis-Module für alle Mitarbeitenden mit KI-Kontakt.
• Rollen-spezifische Vertiefungen einplanen und kommunizieren.
• Zentrale Dokumentation der Teilnahme in einem auditfähigen System.
• Erstes Reporting an Vorstand mit Abdeckungsgrad, Risiken und nächsten Schritten.

Wer diesen Plan strukturiert durchläuft, kann nach 60 Tagen eine belastbare Art. 4-Compliance vorweisen und nutzt die etablierten Prozesse als Grundlage für die weitergehenden KI-VO-Pflichten, die ab 2. August 2026 greifen. Warum viele KI-Projekte in Versicherungen trotz solcher Pläne scheitern, beschreibt der Artikel zu KI-Agenten aus der Architekturperspektive.

 

FAQ: Art. 4 KI-Verordnung für Versicherer

Gilt Art. 4 auch für Versicherungs-Makler und Vermittler?

Ja, sofern sie mit KI-Systemen arbeiten, die ein Versicherer zur Verfügung stellt oder die sie selbst einsetzen (etwa KI-gestützte Tarifvergleiche oder Lead-Scoring). Der Versicherer ist für seine eigenen Systeme Betreiber, der Makler für seine. Beide fallen unter die Kompetenzpflicht.

Reicht ein einmaliges E-Learning pro Jahr?

Nur für Basis-Kompetenz und auch dort nur in Verbindung mit einem Wissenstest. Für Anwender-, Fach- und Governance-Rollen reichen einmalige E-Learnings nicht aus. Die Pflicht verlangt dauerhafte, wirksame Kompetenz. Ein Mix aus E-Learning, Präsenzformaten und regelmäßigen Auffrischungen ist Standard.

Müssen Versicherer externe IT-Dienstleister nachweislich schulen?

Der Versicherer muss sicherstellen, dass die Dienstleister ausreichend geschult sind, muss die Schulung aber nicht selbst durchführen. Üblicher Weg: vertragliche Verpflichtung zur Schulung und zum Nachweis, ergänzt durch Audit-Rechte.

Was gilt als „ausreichende“ KI-Kompetenz bei Schadenbearbeitern?

In der Regel die Anwender-Stufe: Umgang mit KI-Empfehlungen, Erkennen von Halluzinationen, DSGVO-konforme Daten-Eingabe, Dokumentation der KI-Beteiligung, Eskalationsprozesse. 6 bis 10 Stunden jährlich mit Wissenstest sind gängig.

Wie oft muss ein Refresher stattfinden?

Jährlich als Mindeststandard. Zusätzlich bei Einführung neuer KI-Systeme oder bei wesentlichen regulatorischen Änderungen. Viele Versicherer setzen für Fach- und Governance-Rollen eine halbjährliche Frequenz an.

Dürfen Versicherer bestehende MaRisk-Schulungen anrechnen?

Ja, soweit die Inhalte KI-Kompetenz-Themen abdecken. MaRisk-Schulungen zu IT-Sicherheit, Datenschutz und Risikomanagement enthalten oft bereits Bausteine, die auch Art. 4 dienen. Die Anrechnung muss aber dokumentiert und nachvollziehbar sein.

Was prüft die BaFin bei einer Ad-hoc-Anfrage zu Art. 4?

Typische Prüfpunkte: Existenz einer Kompetenzmatrix, Schulungsnachweise rollenscharf, Refresher-Plan, Nachweis zur Schulung externer Dienstleister, dokumentierte Erfolgskontrolle. Die BaFin erwartet eine strukturierte Antwort innerhalb weniger Tage, nicht Wochen.

Welche Mindest-Dokumentation brauchen wir?

Die sechs Artefakte aus dem Dokumentations-Abschnitt dieses Leitfadens decken die Mindestanforderungen ab: Kompetenzmatrix, Schulungs-Katalog, Teilnahme-Nachweise, Auffrischungs-Kalender, externe Schulungsnachweise und Quartals-Reporting.

 

Fazit: Art. 4 ist eine Governance-Frage, kein HR-Thema

Die größte Fehleinschätzung zur Schulungspflicht ist, sie als reines HR-Thema zu behandeln. Art. 4 berührt drei Bereiche gleichzeitig: Compliance (gegenüber KI-VO und DSGVO), Aufsichtsrecht (gegenüber BaFin MaRisk VA und VAIT) und Haftung (gegenüber Kundinnen, Kunden und Gerichten). Wer die Pflicht an HR delegiert, ohne Governance-Verankerung, unterschätzt diese Breite.

Der pragmatische Weg ist integriert: bestehende Schulungsstrukturen nutzen, um KI-Module ergänzen, und das Ganze in die MaRisk-Governance einhängen. Das verhindert Doppelarbeit und liefert eine Struktur, die BaFin-Prüfungen, Aufsichtsanfragen und Gerichtsverfahren gleichermaßen standhält.

Für den konkreten Einstieg bietet sich eine Kompetenzmatrix-Vorlage an, die die sieben typischen Versicherungs-Rollen bereits vordefiniert und direkt in HR- und Compliance-Prozesse eingefügt werden kann. Wir stellen eine solche Vorlage als Download zur Verfügung.

---

SDA SE unterstützt Versicherer bei der Art. 4-konformen KI-Schulung und -Governance. Von der Kompetenzmatrix über Curriculum-Design bis zur auditfähigen Dokumentation.

→ Unsere KI-Lösungen für Versicherer
→ KI in der Versicherungsbranche: Der vollständige Ratgeber
→ KI-Verordnung 2026 für Versicherer: Stand und Pflichten
→ DSGVO-konforme KI in Versicherungen: Praxisleitfaden
→ Jetzt unverbindlich beraten lassen