00:00DanaWillkommen bei Regulatorik und Realität, dem Podcast der Regulatorik aus dem Maschinenraum betrachtet. Mein Name ist Dana. Ich sitze heute zusammen mit Mario Pustan, Vorstand der IT Warehouse AG in Hamburg.
00:14DanaMario, bevor wir einsteigen: Wir sollten gleich am Anfang klarmachen, was die Hörerinnen und Hörer jetzt gerade tatsächlich hören.
00:22MarioAbsolut! Meine Stimme hier ist ein KI-Clone, trainiert aus einer Aufnahme meiner echten Stimme.
00:33DanaBeides kennzeichnen wir bewusst — nicht nur weil Artikel 50 der KI-Verordnung das verlangt, sondern weil ich es für die richtige Haltung halte. Wenn wir in diesem Podcast über KI-Compliance sprechen, sollte auch transparent sein, womit wir sprechen. Genau darum geht es heute: drei Entwicklungen, die Versicherer, Makler und bAV-Träger in den nächsten drei Monaten beschäftigen werden.
00:58DanaErstens: Die neue BaFin-Orientierungshilfe zu KI-Risiken. Zweitens: Die EU-KI-Verordnung — deren Hochrisikopflichten werden am 2. August vollwirksam! Und drittens: DORA — neunzehn globale Hyperscaler stehen seit November unter direkter europäischer Aufsicht. Mario, fangen wir vorne an. Die BaFin hat im Dezember ein wichtiges Dokument veröffentlicht. Was steht drin und was bedeutet es?
01:28MarioDie BaFin hat im Dezember ihre Orientierungshilfe zu KI-Risiken veröffentlicht. Formal unverbindlich — praktisch der Rahmen, an dem sich beaufsichtigte Versicherer ab sofort messen lassen müssen. Die Kernbotschaft: KI-Systeme werden nicht separat reguliert — sie werden in den bestehenden DORA-Rahmen eingebettet. Lifecycle-Ansatz: Daten, Modellentwicklung, Betrieb, Monitoring, Decommissioning — jede Phase fällt unter bekannte DORA-Pflichten.
02:00MarioWas heißt das konkret? Drei Dinge. Erstens: Wer KI in kritischen Funktionen einsetzt, braucht eine dedizierte KI-Strategie — keinen Absatz in der IT-Strategie, ein eigenes Dokument. Zweitens: KI-Anbieter wie OpenAI oder Anthropic sind aufsichtsrechtlich IKT-Drittdienstleister. Vertrag, Register, Exit-Strategie gelten analog. Drittens: Die Verantwortung bleibt beim beaufsichtigten Unternehmen. Outsourcing entbindet von nichts!
02:33MarioDie Orientierungshilfe ist der erste Moment, in dem die oft gestellte Frage «Müssen wir KI überhaupt in unser IKT-Register aufnehmen?» eine klare Antwort hat: Ja — und in die Exit-Strategie und in die Incident-Response-Logik. Drei Selbstfragen für jeden Hörer: Ist eure KI-Strategie ein eigenes Dokument oder ein Absatz in der IT-Strategie? Kennt euer CISO die KI-Tools der Fachbereiche, oder kommt ihm da gerade Shadow-AI hoch? Habt ihr den KI-Anbieter im IKT-Register inklusive Kritikalitätsbewertung? Drei Nein — dann hat sich diese Folge schon gelohnt.
03:22DanaAm zweiten August werden die Hochrisikopflichten der EU-KI-Verordnung voll anwendbar — heute sind das noch neunundneunzig Tage. Mario, was genau passiert an diesem Stichtag?
03:35MarioAb dem 2. August müssen Unternehmen, die KI-Systeme in Hochrisikokategorien einsetzen, die vollen Pflichten erfüllen. Für die Versicherungs- und bAV-Welt ist Anhang III relevant. Drei Kategorien stechen heraus: KI-Systeme zur Risikobewertung und Preisfindung in Lebens- und Krankenversicherung, KI zur Bonitätsprüfung, und KI im HR-Bereich für Bewerberscreening oder Leistungsbewertungen — alle drei: Hochrisiko.
04:11MarioWas viele unterschätzen: Es geht nicht nur um die eine KI, die wir letztes Jahr eingekauft haben. Es geht auch um KI-Features, die schleichend in bestehenden Systemen aktiviert wurden. Jeder automatisierte Bonitätscheck in einem Antragsprozess, jedes Empfehlungsmodul in einem bAV-Beratungsportal, jedes Recruiting-Scoring in Workday oder SAP SuccessFactors — alles Hochrisiko. Und jeder Verstoß kann bis zu 35 Millionen Euro kosten oder sieben Prozent vom weltweiten Jahresumsatz, je nachdem was höher ist.
05:06MarioSeit November stehen neunzehn globale IKT-Drittanbieter unter direkter europäischer Aufsicht als Critical Third-Party Providers, kurz CTPPs. Darunter: AWS, Google Cloud, Microsoft, SAP, Deutsche Telekom — nicht mehr nur über ihre Kunden erfasst, sondern direkt adressiert. Mängel-Anordnungen, im Extremfall Nutzungsbeschränkungen. Und parallel der ernüchternde Befund Ende Januar: Versicherer sind nicht vollständig DORA-ready. TLPT-Vorbereitung schleppend. IKT-Drittparteiregister lückenhaft. Exit-Strategien ungetestet.
05:51MarioWas das für die bAV-Ebene bedeutet: Beitragszusagenverwaltung in US-Cloud ist nicht per se verboten — aber sie wird erklärungspflichtig. Datenfluss, Subprocessing, Zugriffslogik, Exitplan. KI auf US-Cloud hat damit zwei Baustellen: erstens der KI-Lifecycle aus der BaFin-Orientierungshilfe, zweitens das IKT-Drittparteiregister. Genau aus diesem Grund ist «Made in Germany» für uns kein reiner Marketing-Satz — bei smart!BRV heißt es konkret: lokale KI-Verarbeitung in Hamburg, veröffentlichte KI-Richtlinie, Human in the Loop, BSI-Grundschutz-Zertifikat bis März 2027.
07:00MarioDie Frage, die ich jedem bAV-Vorstand stelle: Wo werden eure bAV-Daten verarbeitet? Und wissen das eure Compliance-Officer auswendig?
07:10DanaDrei Themen, ein roter Faden. Regulatorik ist in diesem Jahr kein Hintergrundrauschen mehr, sondern Betriebsinfrastruktur. Mario, du hast das aus deinem eigenen Maschinenraum heraus eingeordnet — was sollten die Hörer konkret diese Woche tun?
07:28MarioDrei Dinge. Erstens: KI-Tools inventarisieren — jedes Tool, das in einem Beratungs- oder HR-nahen Prozess läuft, kommt auf die Liste. Zweitens: Kritikalität und Datenflüsse prüfen — welches Tool fällt unter Anhang III der KI-Verordnung? Wo liegen die Daten? Wer verarbeitet mit? Drittens: Exit-Optionen dokumentieren — pro KI-Anbieter, pro Cloud-Drittdienstleister, schriftlich im IKT-Register. Drei Tage Arbeit — spart euch die Nachtschicht im Juli!
08:08DanaEine kurze Einladung noch: Wenn euch das Format etwas gebracht hat, abonniert den Podcast. Den schriftlichen Newsletter findet ihr auf LinkedIn unter demselben Titel. In der nächsten Folge sprechen wir über BSI Grundschutz++ und über das Sozialpartnermodell. Wenn ihr eine konkrete Frage aus eurem eigenen Maschinenraum habt, schreibt Mario auf LinkedIn. Gute Fragen nehmen wir in kommende Ausgaben auf — bis in zwei Wochen!
