Was Versicherer und IT-Dienstleister jetzt wissen sollten

Die Gesprächspartner

Der BaFin-Leitfaden im Überblick

Die folgende Infografik zeigt die Struktur der BaFin-Orientierungshilfe – ein Rahmenwerk, das Versicherern und Dienstleistern als Kompass dient:

Element	Bedeutung
Dach: Governance & Strategie	Das tragende Fundament – ohne Governance stürzt alles zusammen
Linke Säule	Gesamtverantwortung der Geschäftsleitung für KI-Strategie und Kompetenzen
Rechte Säule	Integration in das bestehende IKT-Risikomanagement nach DORA
Mittlere Ebene	Der KI-Lebenszyklus in drei Phasen: Entwickeln, Betrieb, Stilllegung
Untere Ebene	Vier Querschnittsthemen als durchgängige Aufgaben

Governance als tragendes Fundament

Die zentrale Botschaft der BaFin ist unmissverständlich: Kein KI-Start ohne Governance. Das Tempelgebäude in der Grafik macht es anschaulich – Governance bildet das schützende Dach über allem.

„Das Bild des Tempels ist treffend gewählt. Governance ist das tragende Dach – ohne dieses Dach stürzt alles andere zusammen. Die BaFin macht unmissverständlich klar: Kein Start ohne Governance. Bevor technische Implementierungen beginnen, müssen geeignete Governance- und Organisationsstrukturen stehen. Bei der IT Warehouse AG haben wir das früh erkannt und bereits umfassende KI-Richtlinien implementiert, die unsere Versicherungskunden bei Audits vorlegen können."

— Mario Pustan, Vorstand IT Warehouse AG

Die linke Säule der Grafik zeigt einen entscheidenden Punkt: Die Geschäftsleitung trägt persönliche Verantwortung. Die KI-Verordnung und DORA machen das Leitungsorgan direkt verantwortlich für die Definition der KI-Strategie und die Sicherstellung der notwendigen Kompetenzen.

„Die linke Säule in der Grafik zeigt die ‚Gesamtverantwortung der Geschäftsleitung'. Das ist ein entscheidender Punkt. Die KI-Verordnung und DORA machen die Geschäftsleitung persönlich verantwortlich. Die Befürchtungen vieler Unternehmer sind nachvollziehbar, weil niemand so genau weiß, was auf ihn zukommt. Aber: Ein Grund zur Panik ist das sicherlich nicht – mit pragmatischen Lösungen lässt sich das strukturiert angehen."

— Dietmar Niehaus, Geschäftsführer IDD GmbH

DORA als bestehender Rahmen für KI-Compliance

Die rechte Säule des Tempels trägt die Überschrift „Integration in das IKT-Risikomanagement". Die gute Nachricht: Unternehmen müssen keine komplett neue Compliance-Architektur aufbauen.

„Die BaFin sagt deutlich: KI-Systeme müssen in den bestehenden DORA-Rahmen für Risikomanagement eingebettet werden. Das ist ein pragmatischer Ansatz, denn DORA bietet bereits den notwendigen Rahmen, um KI sicher zu betreiben. Wir müssen keine komplett neue Compliance-Architektur aufbauen, sondern unser bestehendes IKT-Risikomanagement konsequent auf KI-Systeme anwenden. Das spart Zeit und Ressourcen."

— Mario Pustan

Der KI-Lebenszyklus: Risiken in jeder Phase

Die mittlere Ebene der Infografik zeigt den KI-Lebenszyklus mit spezifischen Risiken in jeder Phase:

„Die BaFin verfolgt einen lebenszyklusorientierten Ansatz – und das aus gutem Grund. In jeder Phase lauern spezifische Risiken. Viele unterschätzen, wie viel die KI-Systeme bereits in der Trainingsphase über ihre Anwender erfahren. Die Folge können gravierende Haftungsrisiken sein, die ein Unternehmen langfristig belasten."

— Dietmar Niehaus

„Phase 2 – Betrieb und Überwachung – ist für uns als SaaS-Anbieter besonders relevant. Die kontinuierliche Überwachung zur Früherkennung von Anomalien und Sicherstellung der Leistung ist keine einmalige Aufgabe, sondern ein laufender Prozess. Bei smart!bAV haben wir Monitoring-Systeme implementiert, die Abweichungen in Echtzeit erkennen."

— Mario Pustan

Die vier Querschnittsthemen

Die untere Ebene der Grafik zeigt vier Themen, die den gesamten Lebenszyklus durchziehen:

1. Cyber- und Datensicherheit

„In vielen Unternehmen scheint die simple Tatsache nicht bekannt zu sein, dass die Diebe heute nicht mehr durch die Haustür, sondern über die Webseite hereinkommen. Viele KI-Tools wie zum Beispiel ChatGPT speichern sämtliche Eingaben, werten sie aus und erstellen umfangreiche Nutzerprofile. Datenrechte liegen oft bei den Plattformen und können sogar an Dritte weitergegeben werden."

— Dietmar Niehaus

„Deshalb setzen wir bei IT Warehouse auf eine eigene, selbst gehostete Infrastruktur mit TÜV-Zertifizierung nach TSI Level 3. So behalten unsere Kunden die volle Kontrolle über ihre Daten."

— Mario Pustan

2. Management von Cloud-Risiken

Die BaFin hat erkannt, dass viele KI-Systeme faktisch nur noch auf Cloud-Basis betrieben werden können. Das schafft massive Abhängigkeiten. Die Forderungen:

• Umfassende Risikobewertung vor Vertragsabschluss
• Klare Vertragsgestaltung mit IKT-Drittdienstleistern
• Exit-Strategien definieren: Was passiert bei Ausfall oder Preiserhöhungen?

„Die Forderung nach Exit-Strategien ist absolut berechtigt: Was passiert, wenn der Cloud-Anbieter ausfällt oder die Preise drastisch erhöht? Wir haben uns bewusst für einen anderen Weg entschieden – unsere smart!Cloud Services AG betreibt eigene Rechenzentren in Deutschland, vollständig unter unserer Kontrolle."

— Mario Pustan

„Eine schlechte Idee ist, die Sache auf die lange Bank zu schieben, denn es drohen Sanktionen, die richtig ins Geld gehen. Mit einer schlanken, pragmatischen Herangehensweise lassen sich Lösungen schaffen, die den individuellen Bedürfnissen entsprechen."

— Dietmar Niehaus

3. Meldepflicht bei Vorfällen

Schwerwiegende IKT-bezogene Vorfälle bei KI-Systemen müssen zeitnah gemeldet werden – keine Empfehlung, sondern Pflicht nach DORA.

„Viele Unternehmen haben noch keine funktionierenden Prozesse dafür. Dabei kann sich jeder leicht vorstellen, was ein Verlust von Kundendaten für das Image eines Unternehmens bedeutet. Den Unternehmen ist zudem nicht klar, dass ein mangelnder Datenschutz häufig zu Anzeigen führt, die von der Konkurrenz oder einem ehemaligen Angestellten ausgelöst werden."

— Dietmar Niehaus

„Als jahrelanger, erfahrener Dienstleister namhafter Versicherer wissen wir: Sie verlangen von uns lückenlose Nachweise zur Incident Response. Wir haben daher einen strukturierten Meldeprozess implementiert, der DORA-konform ist und regelmäßig getestet wird. Mein Rat an Versicherer: Prüfen Sie, ob Ihre Dienstleister solche Prozesse haben. Und an Dienstleister: Investiert jetzt in diese Strukturen – das wird zum Wettbewerbsvorteil."

— Mario Pustan

4. Drittparteien-Management

Die Ex-ante-Risikobewertung und Due-Diligence vor Vertragsabschluss, die DORA fordert, wird oft unterschätzt. Unternehmen müssen wissen, wie abhängig sie von einem IKT-Drittdienstleister sind und welche Risiken aus der Vertragsbeziehung entstehen können.

Fazit: Die Grafik als Checkliste nutzen

„Die Grafik zeigt das Gesamtbild: Governance als Dach, der KI-Lebenszyklus als strukturierter Prozess und Querschnittsthemen wie Datensicherheit und Cloud-Risiken als durchgängige Aufgaben. DORA bietet den Rahmen – wir müssen ihn konsequent auf KI anwenden. Bei IT Warehouse und smart!Cloud Services AG sind wir bereit: mit zertifizierten Systemen, geschulten Mitarbeitern und einem pragmatischen Ansatz, der Compliance mit Kundennutzen verbindet. Wer jetzt handelt, schafft sich einen echten Wettbewerbsvorteil."

— Mario Pustan

„Datenschutz wird oft ignoriert oder übertrieben – beides ist nicht zielführend. Wir stehen für das Nötige: minimaler Aufwand, maximaler Nutzen. Die BaFin-Orientierungshilfe ist ein guter Kompass, auch wenn sie unverbindlich ist. Wer sich jetzt nicht konsequent um das Thema kümmert, wird bald mit den Folgen einer mangelhaften Compliance zu kämpfen haben. Mein Appell: Nutzen Sie diese Grafik als Checkliste. Prüfen Sie jeden Bereich – Governance, Lebenszyklus, Querschnittsthemen – und schließen Sie die Lücken. Transparenz schafft Vertrauen und Rechtssicherheit."

— Dietmar Niehaus