Wer im DACH-Raum eine Versicherung, einen Finanzdienstleister oder eine Gesundheitsorganisation führt, kennt den Refrain aus dem eigenen Haus: „KI klingt gut, aber unsere Branche ist zu stark reguliert." Der Satz fällt meist in der Geschäftsführung, und er beendet die Diskussion, bevor sie begonnen hat.
Das ist eine nachvollziehbare Sorge. Und sie ist, in dieser Pauschalität, falsch.
Regulierte Branchen sind nicht weniger bereit für KI. Häufig sind sie bereiter — weil ihre Compliance-Muskulatur bereits trainiert ist, ihre Datenbestände bereits katalogisiert sind (wenn auch selten sauber strukturiert) und ihre Prozesse bereits dokumentiert sind, weil die Aufsicht es seit Jahren verlangt. Was sie haben, ist kein Readiness-Defizit. Es ist eine zusätzliche Dimension: regulatorische Kapazität. Richtig eingesetzt wird sie zum Beschleuniger statt zum Blocker.
Die regulatorische Landschaft: drei Ebenen, keine Nebelwand
Über KI-Compliance wird in regulierten Häusern oft so gesprochen, als sei sie ein undurchdringlicher Nebel. Sie ist es nicht. Drei klar abgegrenzte Ebenen prägen die KI-Readiness regulierter DACH-Unternehmen — und auf jeder lässt sich Klartext sprechen.
Ebene eins: die DSGVO. Jeder Workflow, der personenbezogene Daten verarbeitet — und in Versicherung, Finanz und Gesundheit trifft das auf praktisch jeden zu — muss DSGVO-konform sein: Rechtsgrundlage, Datenminimierung, Zweckbindung, Transparenz und, bei voraussichtlich hohem Risiko, eine Datenschutz-Folgenabschätzung (DSFA). Die DSFA ist der kritische Pfad und zugleich das am meisten missverstandene Element. Sie verlangt eine klare Beschreibung von Verarbeitungszweck, Datenkategorien, Risikobewertung und Gegenmaßnahmen. Wenn Ihr Datenschutzbeauftragter DSFAs für andere digitale Vorhaben durchgeführt hat, kennt er die Methodik. KI verändert sie nicht grundlegend — sie verschiebt nur die Gewichtung auf Themen wie Trainingsdaten, Modelloutputs und automatisierte Entscheidungen nach Art. 22.
Ebene zwei: der EU AI Act. Die Verordnung führt eine risikobasierte Klassifizierung ein, und für regulierte Branchen ist die Kategorie „Hochrisiko" die relevante. Anhang III nennt ausdrücklich KI-Systeme zur Bewertung der Kreditwürdigkeit und Bonität natürlicher Personen sowie Systeme zur Risikobewertung und Tarifierung in der Lebens- und Krankenversicherung. Fällt Ihr erster Use Case hierunter, gelten zusätzliche Pflichten: Risikomanagementsystem, technische Dokumentation, Logging, menschliche Aufsicht, Konformitätsbewertung und — für Betreiber in diesen Kontexten — eine Grundrechte-Folgenabschätzung nach Art. 27. Das sind erhebliche Anforderungen, aber sie sind präzise definiert. Der Text sagt Ihnen, was zu tun ist; es gibt keine Mehrdeutigkeit, durch die Sie sich navigieren müssten.
Wichtig für die Planung 2026: Der Zeitplan hat sich verschoben. Die Hochrisiko-Pflichten waren ursprünglich für den 2. August 2026 vorgesehen. Mit der vorläufigen Einigung zum „Digital Omnibus" vom 7. Mai 2026 verschiebt sich die Anwendung für eigenständige Anhang-III-Systeme — darunter Bonitäts- und Versicherungs-Use-Cases — auf den 2. Dezember 2027, für in Produkte eingebettete Hochrisiko-KI auf den 2. August 2028. Die formale Verabschiedung steht noch aus; behandeln Sie diese Daten als Planungsbasis, nicht als geschriebenes Gesetz. Die praktische Lehre bleibt dieselbe: Mehr Zeit heißt nicht, später zu beginnen, sondern Compliance von Tag eins als Design-Constraint zu behandeln statt als juristische Endabnahme.
Ebene drei: die Fachaufsicht. Über DSGVO und AI Act hinaus hat jede Branche ihre eigene Aufsicht. Für Banken bündelt die BaFin ihre Erwartungen an maschinelles Lernen mit der 9. MaRisk-Novelle erstmals explizit in einem eigenen Modul — von Kreditrisiko- über Klassifizierungs- bis zu Bewertungs- und Stresstestmodellen. Das zentrale Kriterium ist Erklärbarkeit: Ein Modell gilt als hinreichend erklärbar, wenn sich, in den Worten des Entwurfs, „Wirkungszusammenhänge zwischen Eingangs- und Ausgangsgrößen aufzeigen" lassen. Datenqualität, Prognosegüte und Transparenz stehen gleichrangig daneben. Für Versicherer kommen die Modellrisiko-Anforderungen aus dem Solvency-II-Rahmen hinzu; für Gesundheitsanwendungen die Medizinprodukteverordnung, sobald das System als Medizinprodukt qualifiziert. Diese Ebenen addieren Komplexität. Sie addieren keine Unmöglichkeit.
Warum eine reife Compliance-Funktion KI beschleunigt
Hier das kontraintuitive Argument: Für ein reguliertes Haus beschleunigt eine starke Compliance-Position die KI-Readiness, statt sie zu behindern. Die Begründung ist strukturell — vier Muskeln, die KI-Deployment zwingend braucht und die regulierte Unternehmen längst trainiert haben.
Dokumentationsdisziplin. Reguliert heißt: Prozesse sind beschrieben, weil sie beschrieben sein müssen. Genau die Workflows, die für KI-Automatisierung infrage kommen, sind also bereits dokumentiert, vermessen und überwacht. In unregulierten Mittelständlern lautet der erste Schritt jeder KI-Initiative typischerweise „erst einmal herausfinden, wie der Prozess wirklich läuft." In regulierten Häusern existiert diese Landkarte schon.
Risikobewertungskompetenz. Wer eine Risikofunktion hat, die neue Technologien gegen aufsichtsrechtliche Anforderungen prüft, kann dieselbe Methodik auf KI anwenden. Das Team, das ein neues Schadensystem auf Solvency-II-Konformität abklopft, beurteilt ein KI-gestütztes Schadentriage-System mit demselben Handwerkszeug. Es muss nicht bei null anfangen.
Prüfungsbereitschaft. Audit-Trails sind in regulierten Häusern Pflicht — und KI-Systeme brauchen exakt dasselbe: nachvollziehbare Protokolle über Modellentscheidungen, Datenzugriffe und menschliche Eingriffe. Die Infrastruktur und, wichtiger noch, die organisatorische Gewohnheit dazu sind bereits vorhanden.
Governance. Freigabe-Workflows, Change-Management, Aufsichtsgremien — diese Strukturen sind mitunter langsam, aber sie liefern das Gerüst, an dem KI-Initiativen entlanglaufen können, statt es erst zimmern zu müssen.
Die Unternehmen, die am meisten mit KI-Readiness ringen, sind in unserer Erfahrung nicht die stark regulierten. Es sind die schwach regulierten ohne Prozessdokumentation, ohne Risikomethodik und ohne Governance-Gerüst — die all das von Grund auf aufbauen müssen, bevor der erste produktive Workflow überhaupt in Reichweite kommt.
Die DSFA als Design-Werkzeug, nicht als Endabnahme
Die Datenschutz-Folgenabschätzung ist das am schlechtesten gemanagte Element der KI-Readiness in regulierten Branchen — nicht weil sie schwer ist, sondern weil sie an die falsche Stelle im Ablauf gerät. Behandelt man sie als juristischen Checkpoint, den die Rechtsabteilung produziert, nachdem das technische Team gebaut hat, sind Verzögerung, Nacharbeit und Frust garantiert. Die DSFA gehört nicht ans Ende, sondern an den Anfang.
Richtig eingesetzt ist sie ein Deployment-Design-Werkzeug. Sie beginnt parallel zum technischen Scoping und zwingt das Team, vier Fragen früh zu beantworten, die das System ohnehin besser machen. Erstens: Welche personenbezogenen Daten brauchen Sie wirklich? Die Datenminimierung erzwingt eine Disziplin, die technische Teams gern überspringen — und reduziert nebenbei Engineering-Komplexität und Speicherkosten. Zweitens: Was ist die Rechtsgrundlage? Diese Frage in Woche eins zu klären verhindert die teure Entdeckung in Monat vier, dass für die bereits gebaute Verarbeitung keine tragfähige Grundlage existiert. Drittens: Welche Risiken erzeugt die Verarbeitung? Der Risikoteil benennt Fehlermodi — verzerrte Outputs, Datenlecks, fehlerhafte Entscheidungen —, die das Team ohnehin testen müsste. Viertens: Welche menschliche Aufsicht ist erforderlich? Das definiert die Human-in-the-Loop-Architektur, bevor das System steht, statt sie nachträglich anzuschrauben.
Eine sauber geführte DSFA für einen ersten, eng geschnittenen Workflow ist kein Zwölf-Monats-Projekt. Sie ist überschaubar in der tatsächlichen Arbeitszeit von DSB und Recht — und liefert am Ende ein Dokument, das zugleich Compliance-Artefakt und Design-Spezifikation ist. Der Hebel liegt nicht im Umfang, sondern im Zeitpunkt: parallel statt nachgelagert.
Streng standardmäßig: wie wir regulierte Branchen bedienen
Unser Ansatz für regulierte Häuser ist nicht „ein Compliance-Modul anflanschen." Er ist streng als Voreinstellung: Jedes Deployment wird so gebaut, als würde es geprüft — unabhängig davon, ob der Kunde reguliert ist. Das senkt den Aufwand für regulierte Kunden, weil die Compliance bereits im Standard steckt.
Konkret heißt das fünf Dinge. Die Datenverarbeitung läuft ausschließlich auf EU-Infrastruktur — keine transatlantischen Transfers, keine Abhängigkeit von Angemessenheitsbeschlüssen, die morgen kippen können. Datenminimierung ist by Design eingebaut: Jeder Workflow wird auf die minimal nötigen Datenkategorien geschnitten, nicht nur weil die DSGVO es verlangt, sondern weil es Komplexität und Deployment-Risiko senkt. Audit-Logs entstehen ab Tag eins — jede Modellentscheidung, jeder Datenzugriff, jeder menschliche Eingriff mit Zeitstempel und Nutzer-Attribution, als architektonische Kernkomponente, nicht als Add-on. Erklärbarkeit ist eingebaut: Wo Entscheidungen Einzelpersonen betreffen — Schaden, Kredit, Tarif — liefert das System menschenlesbare Begründungen neben dem Output und adressiert damit zugleich die Transparenzpflichten des AI Act und die „Wirkungszusammenhänge", auf die die BaFin abstellt. Und Human-in-the-Loop ist Standard: Erste Deployments beinhalten immer menschliche Prüfung der Outputs — weniger aus Misstrauen gegenüber der KI als zum Aufbau organisatorischen Vertrauens und zur Erfüllung aufsichtsrechtlicher Erwartung.
Ein realistischer Pfad zum ersten produktiven Workflow
Ein reguliertes DACH-Unternehmen kann seinen ersten produktiven KI-Workflow in wenigen Monaten in Betrieb nehmen — nicht in einem Jahr Rechtsabteilung. Der Schlüssel ist nicht Tempo um jeden Preis, sondern Parallelität: Compliance und Technik laufen nebeneinander, nicht hintereinander.
Der Ablauf hat vier Phasen. Zuerst Scoping und DSFA-Initiierung gleichzeitig — der Workflow wird eng geschnitten, die Folgenabschätzung beginnt sofort. Dann technischer Build und Compliance-Review im Gleichschritt, sodass jede Compliance-Erkenntnis in Echtzeit in eine Architekturentscheidung zurückfließt, statt sie später zu revidieren. Anschließend Integration, Tests und Aufsichtsdokumentation, die — wo BaFin- oder fachspezifische Nachweise nötig sind — aus der bereits vorhandenen DSFA und technischen Dokumentation entstehen, nicht als separater Arbeitsstrang. Zuletzt ein kontrollierter Rollout mit menschlicher Aufsicht und vollständigem Audit-Logging in der Anfangsphase.
Der regulatorische Aufschlag gegenüber einem unregulierten Deployment ist real, aber überschaubar — er bemisst sich in Wochen, getrieben vor allem durch DSFA und fachspezifische Dokumentation, nicht in Quartalen. Wie sich dieser Mehraufwand finanziell einordnen lässt, beschreiben wir in der KI-Readiness-Checkliste für CFOs. Entscheidend ist: Die Verschiebung der AI-Act-Fristen verschafft regulierten Häusern jetzt ein Zeitfenster, das Vorsprung bedeutet — wenn sie es zum Bauen nutzen und nicht zum Abwarten.
Ein Erstgespräch bildet Ihren konkreten Workflow gegen DSGVO, EU AI Act und Fachaufsicht ab — in 20 Minuten, nicht auf 30 Seiten — und sagt Ihnen, ob der Compliance-Pfad klar genug ist, um zu starten, bevor das Zeitfenster zum Wettbewerbsnachteil wird.
Quellen: Europäischer Rat, „Artificial intelligence: Council and Parliament agree to simplify and streamline rules," 7. Mai 2026 (consilium.europa.eu); EU Artificial Intelligence Act, „Annex III: High-Risk AI Systems" (artificialintelligenceact.eu/annex/3); BaFin, „9. MaRisk-Novelle" — Konsultation zu Anforderungen an maschinelles Lernen, 2026.