00:25DanaHallo zusammen — wir steigen heute direkt ein, der Stichtag drückt. Mario, vor zwei Wochen hast du gesagt: Aus IT-Resilienz wird in dem Moment eine Beratungssituation, in dem ein Kunde fragt, was gerade passiert. Ist dieser Moment eingetreten?
00:39MarioDiese Woche. Wörtlich. Ein Makler-Geschäftsführer fragte mich nicht, was unser System kostet, sondern: Ist es überhaupt vorstellbar zu wechseln — und wie lange würde das dauern? „Wie komme ich wieder raus?" Das war seine erste Frage. Und genau darum geht es heute: um eine Frist, die in vier Wochen greift, um die Exit-Frage unter DORA, um einen Aufschub beim AI Act, der keiner ist — und um eine BaFin-Botschaft, die IT zur Eigenkapitalfrage macht.
01:06DanaDann fangen wir bei der Frist an. § 212 VVG — das war doch schon das Thema der letzten Folge?
01:19MarioStimmt, und das ist bewusst so. Vor zwei Wochen ging es um die drei Szenarien, die der Paragraf öffnet — die Prozesslücke. Heute geht es um die Mechanik dahinter, die Frist, und um die Frage, wer sie verantwortet. Vier Wochen vor einem gesetzlichen Stichtag ist das keine Wiederholung — das ist Begleitung entlang des Countdowns.
01:44MarioAm 1. Juli tritt das erweiterte Fortsetzungsrecht in Kraft — Teil des BRSG II. Beschäftigte können innerhalb von drei Monaten nach Ende einer entgeltlosen Zeit verlangen, dass ihre arbeitnehmerfinanzierte Versorgung zu den alten Konditionen weiterläuft: Elternzeit, Pflege, Langzeiterkrankung, Sabbatical. Und jetzt das Entscheidende — ein Rechenbeispiel, ausdrücklich als Illustration: Endet die Elternzeit am 15. Juli, läuft die Frist tagesgenau bis zum 15. Oktober. Eine Systemlogik, die auf Monatsende rundet, statt tagesgenau zu rechnen, verschiebt diese Frist — und kann den Anspruch verfehlen.
02:26DanaEin Rundungsfehler als Haftungsfrage?
02:29MarioGenau das. Bei einem gesetzlichen Anspruch kann das Haftungsfragen auslösen. Wer das händisch über HR-Postfächer steuert, verlässt sich auf Aufmerksamkeit. Wer es über einen Prozess steuert, verlässt sich auf Nachweisbarkeit. Und deshalb sage ich seit Monaten denselben Satz: In der bAV brauchen wir bei der Fristenberechnung 100 Prozent Sicherheit, keine 98 Prozent Wahrscheinlichkeit. Das ist kein Versprechen technischer Perfektion, sondern ein Anspruch an den Prozess. Bei einer gesetzlichen Frist sind 98 Prozent keine Prozessqualität, sondern ein Restrisiko. Ein wahrscheinlichkeitsbasiertes Modell darf die Frist vorbereiten — auslösen und verantworten muss sie ein deterministischer, revisionssicherer Prozess.
03:19DanaDer Satz sitzt.
03:21MarioUnd er muss sitzen. Denn die Frist läuft pro Einzelfall, nur auf Verlangen — und sie verzeiht keinen Rundungsfehler. Die konkrete Berechnung im Einzelfall bleibt eine fachliche Prüfung, aber die Systemfrage — tagesgenau oder Monatsende — kann jeder heute stellen.
03:37DanaZurück zur Eingangsfrage des Geschäftsführers: Wie komme ich wieder raus? Was sagt die Regulatorik dazu?
03:44MarioAufsichtsrechtlich ist die Frage längst entschieden. Sobald eine bAV-Plattform eine kritische oder wichtige Funktion stützt, gilt sie unter DORA als IKT-Drittdienstleister. Das ist eine Wesentlichkeitsbewertung, die jedes Haus selbst vornimmt — aber wenn sie greift, reichen Funktion und Preis nicht mehr. Dann verlangt Artikel 28 eine Exit-Strategie: dokumentiert, getestet, regelmäßig geprüft. Artikel 30 verlangt Datenrückgabe — sicher und vollständig, in leicht zugänglichem Format. Und Artikel 29 die Vorabprüfung, ob der Anbieter nicht ohne Weiteres ersetzbar ist.
04:25DanaDu zitierst dazu gerne eine Zahl — 6,5 Prozent. Aber die betrifft doch die Registermeldungen, nicht eine Migration. Ist das nicht Panikmache?
04:35MarioVollkommen richtig eingegrenzt — und genau so meine ich sie. Die Zahl stammt aus dem sektorweiten Probelauf der europäischen Aufsichtsbehörden: über tausend teilnehmende Finanzunternehmen, nur 6,5 Prozent bestanden alle Datenqualitätsprüfungen für ihre eigenen Informationsregister. Das betrifft die Register, nicht die Migration — kein Kausalschluss, aber ein Prüfanlass. Und der führt zu einer unbequemen Frage: Wenn die Daten schon im Normalbetrieb nicht sauber sind, wie sicher und vollständig liefe dann ein Wechsel unter Druck?
05:12DanaUnd warum trifft das gerade jetzt einen Nerv?
05:14MarioWeil Plattformkosten gerade spürbar steigen. Und wo Kosten steigen, ist echte Wechselfähigkeit der einzige Hebel am Verhandlungstisch. Deshalb ist die Frage des Geschäftsführers die richtige Frage zur richtigen Zeit — und sie ist längst keine reine Maklerfrage mehr. Beim Versicherer-Vorstand lautet sie nur anders: Könnten wir die Exit-Fähigkeit im Ernstfall gegenüber der Aufsicht nachweisen? Die Antwort entscheidet sich nicht im Vertragsordner. Exit-Fähigkeit ist kein Dokument im Ordner — sie ist eine getestete Fähigkeit. Oder Fiktion.
05:55DanaDas werden wir gleich im Self-Check wieder hören. Themenwechsel: Der AI Act ist doch verschoben — also Thema erledigt?
06:07MarioDas ist die gefährlichste Lesart des Jahres. Am 7. Mai haben sich Rat und EU-Parlament auf den Digital Omnibus geeinigt — die Hochrisiko-Fristen rücken nach hinten, je nach Kategorie auf Ende 2027 beziehungsweise August 2028. Wichtige Einschränkung: Das ist eine politische Einigung, noch nicht im Amtsblatt — als Planungsgrundlage nutzbar, unter Vorbehalt der formalen Annahme.
06:32DanaUnd was bleibt unverändert?
06:34MarioDrei Dinge. Erstens: Die Kennzeichnungspflicht für KI-Outputs nach Artikel 50 greift unverändert zum 2. August 2026 — in acht Wochen. Zweitens: Artikel 14, wirksame menschliche Aufsicht, bleibt inhaltlich bestehen. Drittens: Die Governance-Erwartung der BaFin an Versicherer gilt ohnehin technologieunabhängig. Wer aus dem Omnibus ein „dann erst nächstes Jahr" liest, irrt.
07:01DanaHast du ein Beispiel, was menschliche Aufsicht konkret heißt?
07:04MarioLetzte Woche schickte mir ein Makler einen KI-Prüfbericht. Zwölf Seiten, jede Abweichung sauber markiert, drei kritische Punkte, neun Fußnoten. Das Modell hatte zuverlässig alles gefunden — aber nichts gewichtet. Welcher der drei Punkte das Mandat gefährdet und welcher eine Formalie ist? Das stand nirgends.
07:24DanaGenau darin liegt der Wert — und die Grenze — zugleich: Erkennung ist die Stärke der Maschine, Gewichtung und Verantwortung bleiben menschlich.
07:33MarioDas heißt: Wer den Bericht ungeprüft an den Kunden weiterreicht, hat die Aufsicht nach Artikel 14 faktisch aus der Hand gegeben.
08:03MarioBleibt die BaFin. Auf ihrer Jahrespressekonferenz im Mai hat die Aufsicht den Ton verschärft: Bei einzelnen Versicherern bestehen weiterhin IT-Mängel — mit Folgen bis hin zu Eigenkapitalzuschlägen unter Solvency II. Und BaFin-Präsident Branson legt beim Tempo nach: Schwachstellen müssten künftig binnen Tagen geschlossen werden, weil KI Angriffe drastisch beschleunigt.
08:26DanaWas bedeutet das über die IT-Abteilung hinaus?
08:29MarioGenau das ist der Punkt. Die Aufsicht behandelt IT-Governance nicht mehr als Hygiene, sondern als Solvabilitätsthema. Damit verschiebt sich die Diskussion vom IT-Leiter direkt an den Vorstandstisch.
08:43DanaEigenkapital ist eine andere Sprache als ein Prüfbericht.
08:46MarioEine deutlich teurere. Ein IT-Mangel, der früher ein Maßnahmenplan war, kostet jetzt im Zweifel Solvenzquote — und das liest jeder Aufsichtsrat. Für Makler heißt das: Die Fragen, die heute an Versicherer-Vorstände gehen, kommen morgen als Kundenfragen zurück. Wer KI einsetzt, ohne den Datenfluss zu beherrschen, kauft sich genau das Risiko ein, das die Aufsicht gerade adressiert.
09:11DanaBevor wir rausgehen: der Self-Check. Drei Fragen, drei ehrliche Antworten.
09:17MarioErstens: Rechnet dein Fristprozess für § 212 tagesgenau — oder rundet er auf Monatsende? Zweitens: Ist deine Ausstiegsstrategie ein Dokument im Ordner oder eine getestete Fähigkeit? Drittens: Weißt du heute, welche deiner KI-Outputs ab dem 2. August gekennzeichnet sein müssen?
09:36DanaUnd wenn jemand dreimal Nein sagt?
09:39MarioDrei „Nein"? Dann hat diese Folge sich schon gelohnt.
09:43DanaDie Drei-Dinge-Liste für die Woche?
09:45MarioErstens, der Selbsttest mit der BaFin-Arbeitshilfe zu den DORA-Mindestvertragsinhalten: Nimm einen bestehenden Plattformvertrag und prüfe ihn Zeile für Zeile gegen Artikel 30 — Datenrückgabe, Format, Kündigungsfolgen. Mehr als eine Lücke? Dann hast du dein erstes Projekt fürs dritte Quartal gefunden. Kostet eine halbe Stunde, spart im Ernstfall Monate.
10:11MarioZweitens, die Systemfrage stellen — beim Versicherer oder beim eigenen Verwaltungssystem: Wie wird die Drei-Monats-Frist berechnet, tagesgenau oder Monatsende? Eine E-Mail, eine Antwort, Klarheit.
10:28MarioDrittens, eine Inventur der KI-Werkzeuge im eigenen Haus: Welche erzeugen Outputs, die Kunden erreichen? Das ist die Vorbereitung auf Artikel 50 — und sie kostet nichts außer Ehrlichkeit.
10:42DanaUnd wer das alles schwarz auf weiß will?
10:45MarioIm Newsletter von heute — mit allen Primärquellen. Dort läuft auch die Ein-Wort-Frage: Ist Ausstiegsstrategie bei euch ein Dokument oder getestet? Antwortet mit einem Wort — „Dokument" oder „getestet". Ich greife die Verteilung anonymisiert in der nächsten Ausgabe auf.
11:01DanaUnd in zwei Wochen?
11:03MarioIn der nächsten Folge ziehen wir Halbjahresbilanz: was das erste Halbjahr 2026 wirklich gebracht hat — und wir schauen, wer für den 2. August wirklich bereit ist.
11:19DanaBis dann!
