SDA_SE_Logo_RGB 1
Menu

KI-Verordnung 2026 für Versicherer: Stand & Pflichten

KI-Verordnung
Avatar von Steffen Heilmann

By

Steffen Heilmann

Die EU KI-Verordnung (KI-VO) greift seit Februar 2025 schrittweise. Die entscheidende Stufe folgt am 2. August 2026: Ab diesem Datum gelten die vollen Pflichten für Hochrisiko-KI-Systeme. Für deutsche Versicherer ist das kein abstraktes Gesetzesthema. Es betrifft die Systeme, mit denen heute Tarife berechnet, Schäden bewertet, Risiken geprüft und Betrugsfälle erkannt werden.

Hinzu kommt eine regulatorische Besonderheit: Die KI-Verordnung gilt parallel zur DSGVO und zu bestehenden BaFin-Anforderungen wie MaRisk VA und VAIT. Versicherungsunternehmen müssen also drei Regulierungsebenen gleichzeitig bedienen.

Dieser Leitfaden zeigt, welche Pflichten ab wann greifen, wie die Risikoklassen auf typische Versicherungsfälle angewendet werden, was die BaFin zusätzlich erwartet, und wie ein 90-Tage-Fahrplan zur Umsetzung aussieht. Grundlage sind der Gesetzestext (Verordnung 2024/1689), aktuelle Auslegungen der Bundesnetzagentur und der BaFin sowie Praxiserfahrungen aus KI-Einführungsprojekten.

 

Was ist die EU KI-Verordnung?

Die Verordnung (EU) 2024/1689, kurz KI-Verordnung oder KI-VO, ist das weltweit erste umfassende Regelwerk zum Einsatz künstlicher Intelligenz. Sie verfolgt einen risikobasierten Ansatz: Je nach Risikoklasse eines KI-Systems gelten unterschiedlich strenge Pflichten.

Die Verordnung trat am 1. August 2024 in Kraft, gilt aber gestaffelt. Einzelne Pflichten wurden bereits scharfgeschaltet, andere folgen in mehreren Phasen bis 2027. Sie richtet sich an Anbieter, Betreiber, Einführer und Händler von KI-Systemen. Für Versicherer heißt das konkret: Fast jeder KI-Einsatz in Underwriting, Schadenbearbeitung oder Kundenkommunikation muss neu bewertet werden, auch wenn die Systeme schon länger im Betrieb sind.

Drei Dinge sind für Versicherungsunternehmen besonders relevant:

  • Die Rolle: Versicherer sind in den meisten Fällen Betreiber von KI-Systemen. Wer Systeme selbst entwickelt oder trainiert, ist zusätzlich Anbieter.
  • Die Bewertung: Viele Systeme in Versicherungen fallen in die Kategorie Hochrisiko-KI. Das zieht die umfangreichsten Pflichten nach sich.
  • Der Zeitpunkt: Wer bis zum 2. August 2026 nicht vorbereitet ist, handelt im Zweifel bußgeldrelevant.

Einen vertieften Überblick zum Gesamtthema bietet unser Ratgeber zu KI in der Versicherungsbranche.

Reference Image Website SDA

30 % schnellere Softwareentwicklung mit KI-Agenten in der Versicherungsbranche

In einem groß angelegten Projekt mit ursprünglich 500 Personentagen zeigte sich bereits nach dem ersten Monat, dass der Aufwand höher als geplant sein würde. Der Umstieg auf KI-gestützte Softwareentwicklung hat das Blatt gewendet: Nach einer einmonatigen Vorbereitungsphase wurde das Projekt mit nur 350 Personentagen in fünf Monaten erfolgreich abgeschlossen – und lagen damit nicht nur einen Monat vor dem ursprünglichen Endtermin, sondern auch rund 30 % unter dem geplanten Aufwand.

ZUR FALLSTUDIE

Zeitplan der KI-Verordnung: Was gilt wann für Versicherer?

Die KI-Verordnung greift nicht auf einen Schlag. Sie führt ihre Pflichten in klar definierten Stufen ein. Für Versicherer ist diese Staffelung wichtig, weil Hochrisiko-Systeme, die den Kern vieler Versicherungsprozesse ausmachen, erst ab August 2026 vollständig reguliert sind.

Datum Was greift Konkrete Auswirkung für Versicherer
02.02.2025 Verbot unzulässiger KI-Praktiken (Art. 5) Keine Social-Scoring-Systeme, keine KI-gestützte Emotionsmanipulation in Kundenkommunikation
02.02.2025 KI-Kompetenz-Pflicht (Art. 4) Alle Mitarbeitenden, die mit KI arbeiten, müssen geschult werden
02.08.2025 GPAI-Regeln Pflichten für Anbieter generativer Modelle, auch wenn Versicherer eigene Modelle trainieren
02.08.2026 Hochrisiko-Pflichten Scoring, Underwriting, Schadenbearbeitung mit KI: volle Konformitätsbewertung
02.08.2027 Vollständige Compliance Alle KI-Systeme, auch in eingebetteten Produkten

 

Der kritische Termin ist der 2. August 2026. Ab diesem Datum müssen Hochrisiko-KI-Systeme vollständig dokumentiert, risikogemanagt, auditiert, menschlich beaufsichtigt und transparent gestaltet sein. Wer dort nicht vorbereitet ist, riskiert Bußgelder von bis zu 35 Millionen Euro oder 7 Prozent des weltweiten Jahresumsatzes (je nachdem, welcher Betrag höher ist).

 

Die Risikoklassen der KI-Verordnung: Was für Versicherer gilt

Die KI-Verordnung klassifiziert jedes KI-System nach Risiko. Die richtige Einordnung entscheidet, welche Pflichten gelten. Für Versicherer ist diese Einordnung oft komplex, weil typische Anwendungen wie Underwriting oder Schadenbearbeitung meist als Hochrisiko gelten.

Risikoklasse Definition Typische Versicherungs-Use-Cases Pflichten
Unzulässig Verbotene Praktiken Social Scoring, Emotionsmanipulation Verbot
Hochrisiko KI in kritischen Sektoren Risikobewertung für Lebens- und Krankenversicherung, automatisierte Schadenentscheidungen, Betrugserkennung mit automatischer Folgewirkung Konformitätsbewertung, CE-Kennzeichnung, Risikomanagementsystem, Datenqualitäts-Governance, Aufzeichnungspflichten, menschliche Aufsicht
Begrenztes Risiko Transparenzpflichten Chatbots im Kundenservice, Deepfake-Erkennungs-Assistenten Kennzeichnungspflicht gegenüber Nutzerinnen und Nutzern
Minimales Risiko Keine spezifischen Pflichten Spam-Filter, interne Textzusammenfassungen Freiwilliger Code of Conduct

 

Besonders relevant ist die Kategorie Hochrisiko-KI, weil sie den Großteil wertschöpfender KI in der Versicherung betrifft.

Risikobewertung in Personenversicherungen
KI-Systeme, die Beitragshöhe, Annahmewahrscheinlichkeit oder Versicherbarkeit auf Basis personenbezogener Daten berechnen, gelten regelmäßig als Hochrisiko. Das betrifft insbesondere Kranken- und Lebensversicherungen.

Automatisierte Schadenbearbeitung
Systeme, die Schadensummen entscheiden oder vollautomatisch Regulierungsentscheidungen treffen, fallen ebenfalls unter Hochrisiko. Klassische Betrugserkennung mit automatischer Ablehnung gehört dazu. Mehr zu diesem Bereich im Artikel KI zur Betrugserkennung in Versicherungen.

Dokumentenprüfung mit Rechtsfolge
KI-Systeme, die Dokumente lesen und auf deren Basis Auszahlungen freigeben oder Vertragsbestandteile verändern, können als Hochrisiko eingestuft werden. Siehe dazu KI zur Dokumentenprüfung in Versicherungen.

Wichtig ist: Die Einstufung hängt nicht allein vom technischen System ab, sondern von seiner Wirkung. Ein KI-Modell, das nur eine Empfehlung generiert, die ein Sachbearbeiter prüft, ist anders einzuordnen als dasselbe Modell, das autonom entscheidet.

 

Art. 4 KI-Verordnung: Was Versicherer bei der Mitarbeiter-Schulung beachten müssen

Artikel 4 der KI-Verordnung verlangt, dass alle Personen, die mit KI-Systemen arbeiten, über ausreichende KI-Kompetenz verfügen. Diese Pflicht ist bereits seit 2. Februar 2025 scharf. Für Versicherer gilt sie quer durch die Organisation: Underwriter, Schadenbearbeiter, Kundenservice, Data Scientists, IT und Compliance sind gleichermaßen betroffen, nicht nur Entwickler.

„Ausreichend“ ist bewusst offen formuliert. In der Auslegung zählen drei Dimensionen:

  • Rolle: Ein Schadenbearbeiter braucht anderes Wissen als ein Data Scientist oder ein Vorstand.
  • Tiefe: Grundverständnis ist Pflicht für alle, technische Tiefe nur für bestimmte Rollen.
  • Nachweisbarkeit: Die Pflicht gilt nicht als erfüllt, wenn sie nicht dokumentiert ist.

In der Praxis bewährt sich dieser Fünf-Punkte-Ansatz:

  1. Rollen-Mapping: Wer in der Organisation arbeitet mit welchen KI-Systemen?
  2. Kompetenzraster definieren: Basis, Anwender, Entwickler, Aufsicht.
  3. Schulungsinhalte entwickeln oder einkaufen, rollenbasiert zugeschnitten.
  4. Teilnahme dokumentieren, audit-fähig und zeitlich nachvollziehbar.
  5. Jährliches Refresher-Konzept verankern, inklusive Anpassung bei neuen KI-Systemen.

Die BaFin erwartet diese Dokumentation bereits heute implizit über MaRisk VA. Wer die Schulungs-Governance aus der MaRisk-Welt auf KI-Systeme erweitert, deckt Art. 4 und BaFin-Anforderung in einem Aufwasch ab.

 

DSGVO und KI-Verordnung: Das Zusammenspiel in Versicherungen

Die KI-Verordnung ersetzt die DSGVO nicht. Beide gelten parallel. Für Versicherungen, die fast ausschließlich personenbezogene Daten verarbeiten, bedeutet das: Jedes Hochrisiko-KI-System muss gleichzeitig DSGVO und KI-VO bedienen.

Artikel 10 KI-VO (Datenqualität) trifft auf DSGVO Art. 5, 6, 9.
Die KI-VO verlangt, dass Trainings-, Validierungs- und Testdatensätze geeignet, relevant und ausreichend repräsentativ sind. Die DSGVO verlangt Rechtmäßigkeit, Zweckbindung und, bei Gesundheitsdaten, eine explizite Rechtsgrundlage. In der Praxis heißt das: Wer ein KI-Modell für Krankenversicherungs-Underwriting trainiert, braucht eine saubere Rechtsgrundlage pro Verarbeitungszweck und eine dokumentierte Datenqualitäts-Governance.

Artikel 22 DSGVO (automatisierte Einzelentscheidung) bleibt anwendbar.
Wenn ein KI-System allein über einen Vertragsabschluss oder eine Schadenregulierung entscheidet, greift Art. 22 DSGVO. Betroffene haben ein Recht auf menschliche Intervention, Darlegung des eigenen Standpunkts und Anfechtung. In Versicherungen führt das regelmäßig zu einem Human-in-the-Loop-Design: Die KI bereitet vor, der Mensch entscheidet oder überprüft.

Doppelte Folgenabschätzung.
Art. 35 DSGVO verlangt eine Datenschutz-Folgenabschätzung (DSFA) für Verarbeitungen mit hohem Risiko. Art. 27 KI-VO fordert zusätzlich eine Grundrechtsfolgenabschätzung. Die gute Nachricht: Beide können im selben Prozess bearbeitet werden, wenn die Verantwortlichen das früh strukturieren.

Machine Unlearning.
DSGVO Art. 17 (Recht auf Vergessen) ist bei trainierten Modellen technisch anspruchsvoll. Einfaches Löschen aus dem Ausgangsdatensatz reicht oft nicht, weil Informationen im Modellgewicht verbleiben können. Versicherer sollten im Vorfeld klären, mit welchen Verfahren (Retraining, Influence Functions, Approximate Unlearning) ihr Anbieter diese Pflicht erfüllt.

Eine vertiefte Perspektive auf das Zusammenspiel beider Verordnungen und die Architekturfrage bietet unser Schwesterartikel zur DSGVO-konformen KI in Versicherungen.

 

BaFin-Anforderungen zur KI-Verordnung: Was deutsche Versicherer zusätzlich beachten

Die BaFin ist in Deutschland die für Versicherer zuständige Marktüberwachungsbehörde im Sinne der KI-VO. Sie bringt eigene Anforderungen mit, die sich über Jahre etabliert haben und nun mit der KI-VO verschränkt werden.

MaRisk VA: KI als Operational Risk
Die Mindestanforderungen an das Risikomanagement von Versicherungsunternehmen behandeln KI-Systeme als operatives Risiko. Damit unterliegen sie denselben Grundsätzen wie andere kritische Prozesse: Inventarisierung, Risikobewertung, Notfallvorsorge, regelmäßige Prüfung.

VAIT: KI als Teil der IT-Landschaft
Die Versicherungsaufsichtlichen Anforderungen an die IT gelten für KI-Systeme genauso wie für jede andere IT-Komponente. Das betrifft Änderungsmanagement, Berechtigungen, Informationssicherheit, Protokollierung, Dienstleistersteuerung.

Merkblatt zum Einsatz von Algorithmen in Entscheidungsprozessen (2021)
Dieses Merkblatt ist die operative Brücke zwischen BaFin-Welt und KI-Verordnung. Es verlangt Modellvalidierung, Dokumentation, Erklärbarkeit, Back-Testing und eine klar verankerte Governance. Wer heute nach diesem Merkblatt arbeitet, hat rund 70 Prozent der KI-VO-Vorarbeit erledigt.

Praxisfolge für die Governance
Die BaFin erwartet für Hochrisiko-KI in Versicherungen unter anderem einen dokumentierten Modellvalidierungsbericht, eine nachvollziehbare Trainingsdaten-Governance, halbjährliche Back-Test-Reports, einen dokumentierten Human-in-the-Loop-Prozess und ein Betriebsrisiko-Assessment. Diese fünf Artefakte sollten ab Anfang 2026 für jedes Hochrisiko-System vorliegen. Sie sind zugleich die Basis der Konformitätsbewertung nach KI-VO.

Wichtig: Die MaRisk- und VAIT-Prozesse sind der Anker. Die KI-VO ergänzt sie, sie ersetzt sie nicht.

 

KI-Verordnung umsetzen: Ein 90-Tage-Fahrplan für Versicherer

Die Umsetzung der KI-VO scheitert selten an der Technik. Sie scheitert meistens am Fehlen eines strukturierten Vorgehens. Der folgende 90-Tage-Plan hat sich in Projekten als tragfähig erwiesen.

Tage 1 bis 30: KI-Inventur und Klassifizierung

Ziel ist ein vollständiges Bild aller KI-Systeme im Haus. Das umfasst auch die „versteckten“ Systeme: KI-Funktionen in bestehender SaaS-Software, Plug-ins in Office-Tools, Machine-Learning-Komponenten in Fraud- oder Dokumenten-Systemen.

  • Inventarliste aufbauen, inklusive Anbieter, Zweck, Datenbasis, Schnittstellen.
  • Rolle klären: Ist das Unternehmen Anbieter, Betreiber, beides?
  • Risikoklasse bestimmen pro System (Hochrisiko, Begrenztes Risiko, Minimal).
  • Gap-Analyse gegen bestehende MaRisk- und VAIT-Dokumentation.

Tage 31 bis 60: Prioritäten und Roadmap

Mit dem Inventar entsteht die Priorisierung. Hochrisiko-Systeme zuerst, weil für sie die Deadline 2. August 2026 greift.

  • Technische Maßnahmen definieren: Monitoring, Audit-Trails, Erklärbarkeitskomponenten.
  • Schulungskonzept für Art. 4 rollenbasiert aufsetzen.
  • DSFA plus Grundrechtsfolgenabschätzung für mindestens ein Pilotsystem durchlaufen.
  • Vertragliche Anpassungen mit Anbietern vorbereiten (Auftragsverarbeitung, Haftung, Dokumentationsrechte).

Tage 61 bis 90: Umsetzung starten

Der dritte Block bringt ein System in den vollen konformen Zustand. Daraus entsteht das Template für alle weiteren.

  • Pilot-Hochrisiko-System vollständig compliance-machen: Dokumentation, Validierung, Monitoring, menschliche Aufsicht.
  • Lessons Learned in ein Template überführen.
  • Governance-Board installieren: KI-Officer, Datenschutz, Compliance, Fachbereichsvertretung, Vorstandsmandat.
  • Quartalsweise Statusberichte an die Geschäftsleitung verankern.

Wer in den ersten 90 Tagen diese Basis schafft, hat ab Q1 2026 ausreichend Puffer bis zum Stichtag 2. August 2026. Unser Leitfaden zu typischen Gründen, warum KI-Projekte in Versicherungen scheitern, ergänzt diese operative Perspektive.

 

Praxisbeispiel: KI-VO-Umsetzung bei einem deutschen Versicherer

Wie wirkt ein KI-VO-konformer Rollout in der Realität? Ein Blick auf die Zusammenarbeit von Allianz und Anthropic zeigt, wie ein großer europäischer Versicherer das Thema angeht. Die Allianz setzt KI-Agenten in der Softwareentwicklung ein, also in einem Kontext, der aufgrund seiner Wirkung auf andere Systeme schnell als Hochrisiko eingeordnet werden kann. Die Antwort war keine spätere Compliance-Nachrüstung, sondern ein Architekturdesign, das Dokumentation, Nachvollziehbarkeit und menschliche Aufsicht von Anfang an integriert.

Der Effekt zeigt sich in konkreten Zahlen: Rund 30 Prozent schnellere Projektdurchführung bei einem 500-Personentage-Projekt, bei gleichzeitig vollständiger Dokumentationskette, die einer Aufsichtsprüfung standhält. Die Details dieser Kooperation und ihre Bedeutung für die Branche beschreibt unser Artikel zu Allianz und Anthropic.

Die Botschaft für andere Versicherer: KI-VO-Compliance verlangsamt KI-Projekte nicht, wenn sie als Architekturprinzip gedacht wird. Sie verlangsamt sie erheblich, wenn sie nachträglich aufgesetzt werden muss.

 

FAQ: KI-Verordnung für Versicherer

Was passiert, wenn ein Versicherer die Deadline am 2. August 2026 verpasst?

Bei Hochrisiko-Systemen drohen Bußgelder bis zu 15 Millionen Euro oder 3 Prozent des weltweiten Jahresumsatzes. Parallel sind Beanstandungen durch die BaFin möglich, weil die MaRisk VA eine angemessene KI-Governance voraussetzt. Beides addiert sich.

Fällt ein KI-basiertes Tarifierungsmodell in Personenversicherungen unter Hochrisiko?

In der Regel ja. KI, die über Versicherbarkeit oder Preis auf Basis personenbezogener Daten entscheidet, gilt als Hochrisiko-Anwendung im Sinne von Anhang III der KI-VO. Das gilt besonders für Kranken- und Lebensversicherung.

Müssen Versicherer CE-Kennzeichnung für ihre KI-Systeme beantragen?

Bei Hochrisiko-KI ist eine Konformitätsbewertung und CE-Kennzeichnung vorgesehen. Sie erfolgt über ein definiertes Verfahren, das zum Teil durch Selbstbewertung, zum Teil durch benannte Stellen durchlaufen wird. Die Details hängen vom Systemtyp ab.

Wie verhält sich die KI-VO zur DSGVO?

Beide Verordnungen gelten parallel. Die DSGVO regelt den Schutz personenbezogener Daten, die KI-VO regelt den sicheren Einsatz von KI. In der Praxis bedeutet das eine gemeinsame Folgenabschätzung (DSFA plus Grundrechtsfolgenabschätzung) und ein integriertes Data-Governance-Design.

Was erwartet die BaFin zusätzlich von Versicherern?

Modellvalidierungsberichte, dokumentierte Trainingsdaten-Governance, halbjährliches Back-Testing, klare Human-in-the-Loop-Prozesse und ein Betriebsrisiko-Assessment. Diese Anforderungen ergeben sich aus MaRisk VA, VAIT und dem Merkblatt Algorithmen (2021) und ergänzen die KI-VO-Pflichten.

Welche internen Rollen brauchen Versicherer in der KI-Governance?

Üblich sind ein benannter KI-Officer mit Vorstandsmandat, ein Datenschutzbeauftragter, eine Compliance-Funktion, IT-Security und Fachbereichsvertretung. Diese Rollen bilden das Governance-Board, das KI-Entscheidungen mitträgt und auditfähig dokumentiert. Mehr zu KI-Agenten und ihrer Rolle in diesem Kontext im Artikel KI-Agenten.

 

Fazit: Die KI-Verordnung als Chance, nicht als Hürde

Die KI-Verordnung ist keine reine Belastung. Sie schafft einen klaren Rahmen, der KI in regulierten Branchen berechenbar macht. Für Versicherer, die auf Service Dominierte Architektur setzen, wird sie sogar zum Vorteil: Die Prinzipien der KI-VO (Dokumentation, Human-in-the-Loop, Audit-Fähigkeit, Datenqualität) sind genau die, die moderne Architekturen ohnehin mitbringen.

Wer die Umsetzung jetzt strukturiert angeht, vermeidet das klassische Muster: Compliance-Druck kurz vor dem Stichtag, dann schnelle, teure Nachbesserungen. Wer dagegen den 90-Tage-Fahrplan diszipliniert durchläuft und die Schnittmengen zwischen MaRisk VA, VAIT, DSGVO und KI-VO früh erkennt, kommt mit einem klaren Vorsprung in die heiße Phase ab August 2026.

Die nächsten Regulierungsstufen zeichnen sich bereits ab: DORA gilt seit Januar 2025, der EU Data Act schärft die Rahmenbedingungen für Datenzugang, und EIOPA arbeitet an eigenen Leitlinien zur KI-Governance in Versicherungen. Wer jetzt eine belastbare Governance aufbaut, ist auch für diese Wellen gerüstet.

SDA SE unterstützt Versicherer bei der KI-VO-konformen Einführung von KI. Von der Klassifizierung bestehender Systeme über Architektur-Review bis zur operativen Governance.

→ Unsere KI-Lösungen für Versicherer
→ KI in der Versicherungsbranche: Der vollständige Ratgeber
→ Jetzt unverbindlich beraten lassen

Wie können wir Ihnen helfen?

Beschreiben Sie kurz, wobei wir Sie unterstützen dürfen. Wir melden uns zeitnah und individuell.

    Durch das Ausfüllen dieses Formulars erklären Sie sich damit einverstanden, E-Mail-Kommunikationen von SDA SE Open Industry Solutions zu erhalten. Sie können sich jederzeit von dieser Kommunikationen abmelden

    SDA SE Open Industry Solutions

    Homepage
    Lösungen
    Referenzen
    Über Uns
    Blog
    FAQ

    Kontakt

    Linkedin

    Kununu





     

    Impressum

    Datenschutz

    Nutzungsbedingungen

    Cookie Einstellungen

    SDA_SE_Logo_RGB_white 1