Die BaFin kündigt 2026 verstärkte Prüfung des Governance-Rahmens an. Versicherer, die KI ohne dokumentierte Kontrollen nutzen, haben ein Aufsichtsrisiko.

Mar 30, 2026
Recht
Die Aufsicht macht Ernst
Die deutsche Finanzaufsicht hat angekündigt, den Governance-Rahmen der Versicherer verstärkt zu prüfen, gerade im Hinblick auf den Einsatz von KI. Was lange als allgemeine Erwartung im Raum stand, wird damit zur konkreten Prüfungspraxis. Versicherer, die KI einsetzen, müssen damit rechnen, dass die Aufsicht genau hinschaut, wie sie diesen Einsatz steuern und kontrollieren. Die Zeit, in der man KI einsetzen konnte, ohne auf die Governance zu achten, ist vorbei.
Die Aufsicht legt dabei einen klaren Schwerpunkt auf den Governance-Rahmen, also auf die Strukturen, Prozesse und Kontrollen, mit denen ein Versicherer den Einsatz von KI steuert. Es geht ihr weniger um die einzelne technische Lösung als um die Frage, ob der Versicherer den Einsatz der KI im Griff hat: ob er weiß, welche Modelle er einsetzt, ob er ihre Risiken kennt, ob er sie kontrolliert und ob er die Verantwortung klar zugeordnet hat. Genau hier liegt der Prüfungsfokus.
Was ein Aufsichtsrisiko begründet
Ein Versicherer, der KI ohne dokumentierte Kontrollen einsetzt, begründet damit ein Aufsichtsrisiko. Denn wenn die Aufsicht prüft und feststellt, dass der Versicherer seine KI nicht ausreichend steuert und kontrolliert, kann sie Maßnahmen verlangen, Mängel feststellen und im Extremfall den Einsatz beanstanden. Das ist nicht nur unangenehm, sondern kann den Einsatz der KI gefährden und den Versicherer in Erklärungsnot bringen.
Das eigentliche Risiko liegt dabei oft nicht in der KI selbst, sondern in der fehlenden Dokumentation. Ein Versicherer mag seine KI durchaus verantwortungsvoll einsetzen, aber wenn er das nicht dokumentieren kann, kann er es gegenüber der Aufsicht nicht belegen. Die Aufsicht prüft, was dokumentiert ist, und was nicht dokumentiert ist, gilt im Zweifel als nicht vorhanden. Die Dokumentation der Kontrollen ist deshalb nicht eine bürokratische Beigabe, sondern der Kern dessen, was die Aufsicht sehen will.
Was ein guter Governance-Rahmen leistet
Ein guter Governance-Rahmen für KI beginnt mit einem Überblick: Der Versicherer muss wissen, welche KI-Modelle er einsetzt, wofür, und welche Risiken damit verbunden sind. Dieser Überblick, oft in Form eines Modellinventars, ist die Grundlage für alles Weitere. Ohne ihn kann ein Versicherer seine KI nicht steuern, weil er nicht einmal weiß, was er steuern müsste. Das Modellinventar ist deshalb der erste Baustein eines tragfähigen Governance-Rahmens.
Auf den Überblick folgen die Kontrollen. Für jedes Modell muss klar sein, wie es validiert wurde, wie seine Leistung überwacht wird, wer für es verantwortlich ist und wie eingegriffen wird, wenn es Probleme gibt. Diese Kontrollen müssen dokumentiert sein, damit sie gegenüber der Aufsicht belegt werden können. Ein guter Governance-Rahmen sorgt dafür, dass diese Kontrollen für alle Modelle bestehen und dokumentiert sind, sodass der Versicherer jederzeit belegen kann, dass er seine KI im Griff hat.
Die Erklärbarkeit der Modelle
Ein besonderer Aspekt ist die Erklärbarkeit der Modelle. Die Aufsicht erwartet, dass ein Versicherer erklären kann, wie seine Modelle zu ihren Ergebnissen kommen, zumindest in den Grundzügen. Ein Modell, dessen Funktionsweise völlig undurchschaubar ist, ist aus Sicht der Aufsicht ein Problem, weil sich seine Risiken nicht beurteilen lassen. Die Erklärbarkeit ist deshalb ein wichtiger Bestandteil der Governance, besonders bei Modellen, die wichtige Entscheidungen beeinflussen.
Die Erklärbarkeit zu gewährleisten ist anspruchsvoll, gerade bei komplexen Modellen. Es gibt jedoch Verfahren, die helfen, die Entscheidungen eines Modells nachvollziehbar zu machen, und ein Versicherer sollte diese Verfahren einsetzen, um die Erklärbarkeit zu sichern. Das ist nicht nur eine Anforderung der Aufsicht, sondern auch im eigenen Interesse, denn ein Modell, dessen Entscheidungen man versteht, lässt sich besser steuern und kontrollieren als eines, das eine undurchschaubare Blackbox bleibt.
Governance ist mehr als Dokumentation
Es wäre ein Missverständnis, die KI-Governance auf die Dokumentation zu reduzieren. Zwar ist die Dokumentation wichtig, weil sie das ist, was die Aufsicht sieht, aber sie ist nur die Spitze. Darunter liegt die eigentliche Governance: die tatsächlichen Strukturen, Prozesse und Kontrollen, die den Einsatz der KI steuern. Eine Dokumentation, die schöne Prozesse beschreibt, die in Wirklichkeit nicht gelebt werden, hilft nicht weiter, sondern schafft ein falsches Bild, das bei näherer Prüfung zusammenfällt.
Die Governance muss deshalb echt sein, nicht nur dokumentiert. Die Kontrollen müssen tatsächlich wirken, die Verantwortlichkeiten müssen tatsächlich wahrgenommen werden, und die Prozesse müssen tatsächlich gelebt werden. Die Dokumentation hält fest, was geschieht, aber sie ersetzt nicht das Geschehen. Ein Versicherer, der eine echte Governance aufbaut und sie dokumentiert, ist auf der sicheren Seite. Einer, der nur die Dokumentation aufhübscht, ohne die Substanz zu schaffen, täuscht sich selbst und früher oder später auch die Aufsicht nicht mehr.
Die Verantwortung des Vorstands
Die KI-Governance ist eine Aufgabe des Vorstands, nicht eine Sache, die sich an eine technische Abteilung delegieren ließe. Denn der Einsatz der KI berührt zentrale Fragen des Geschäfts, der Risiken und der Verantwortung, und diese Fragen gehören auf die Ebene, die für das Geschäft verantwortlich ist. Die Aufsicht erwartet entsprechend, dass der Vorstand sich mit der KI befasst, ihre Risiken kennt und die Verantwortung für ihren Einsatz übernimmt.
Das bedeutet nicht, dass der Vorstand jedes technische Detail verstehen muss. Aber er muss verstehen, welche KI eingesetzt wird, welche Risiken damit verbunden sind und wie diese Risiken kontrolliert werden. Er muss in der Lage sein, die richtigen Fragen zu stellen und die Antworten zu beurteilen. Ein Vorstand, der die KI als technisches Thema betrachtet, das ihn nicht angeht, vernachlässigt eine Verantwortung, die die Aufsicht ihm zuweist, und schafft damit ein Aufsichtsrisiko an der Spitze des Unternehmens.
Der Lebenszyklus eines Modells
Eine gute Governance begleitet ein Modell über seinen gesamten Lebenszyklus, von der Entwicklung über den Einsatz bis zur Ablösung. In der Entwicklung muss das Modell sorgfältig gebaut und validiert werden. Im Einsatz muss seine Leistung laufend überwacht werden, denn ein Modell, das anfangs gut funktioniert, kann mit der Zeit schlechter werden, wenn sich die Verhältnisse ändern. Und wenn ein Modell nicht mehr taugt, muss es abgelöst werden, statt es aus Trägheit weiter zu betreiben.
Diese Begleitung über den Lebenszyklus ist anspruchsvoll, aber sie ist notwendig. Ein Modell, das einmal eingeführt und dann sich selbst überlassen wird, ist ein Risiko, weil niemand bemerkt, wenn es schlechter wird oder unerwünschte Effekte zeigt. Die laufende Überwachung und die Bereitschaft, ein Modell anzupassen oder abzulösen, gehören deshalb zur Governance dazu. Die Aufsicht erwartet, dass der Versicherer seine Modelle nicht nur einführt, sondern über ihren gesamten Lebenszyklus steuert und kontrolliert.
Governance als Wettbewerbsvorteil
Die KI-Governance wird oft als lästige Pflicht gesehen, die die Aufsicht auferlegt. Doch diese Sichtweise verkennt ihren Wert. Eine gute Governance ist nicht nur eine Antwort auf die Aufsicht, sondern ein Wettbewerbsvorteil, weil sie den Versicherer befähigt, KI sicher und in größerem Umfang einzusetzen. Wer seine KI im Griff hat, kann sie mutiger einsetzen, weil er ihre Risiken kontrolliert. Wer sie nicht im Griff hat, muss vorsichtig bleiben, weil er die Risiken nicht beherrscht.
So wird die Governance vom Hemmschuh zum Ermöglicher. Sie schafft die Grundlage, auf der der Versicherer die Chancen der KI nutzen kann, ohne ihre Risiken zu fürchten. Ein Versicherer mit einer starken Governance kann die KI in mehr Bereichen und in größerem Umfang einsetzen als einer, der ihre Risiken nicht kontrolliert. Die Governance ist deshalb keine Bremse für den Einsatz der KI, sondern die Voraussetzung dafür, ihn sicher auszuweiten. Wir helfen Ihnen, diese Governance aufzubauen. Beginnen Sie mit einem Workshop.
Das Modellinventar als Ausgangspunkt
Der praktische Ausgangspunkt jeder KI-Governance ist das Modellinventar, also ein vollständiges Verzeichnis aller eingesetzten Modelle. Erstaunlich viele Versicherer haben dieses Verzeichnis nicht und wissen nicht genau, welche Modelle in ihrem Haus im Einsatz sind, wofür sie verwendet werden und welche Risiken sie bergen. Ohne dieses Wissen ist eine Governance unmöglich, denn man kann nicht steuern, was man nicht kennt.
Das Modellinventar zu erstellen ist deshalb der erste und grundlegende Schritt. Es verlangt, alle Modelle zu erfassen, auch die, die in einzelnen Abteilungen entstanden sind, ohne dass die zentrale Stelle davon weiß. Oft fördert diese Erfassung Überraschungen zutage, etwa Modelle, von deren Existenz der Vorstand nichts wusste. Genau diese Überraschungen sind das Risiko, das die Aufsicht im Blick hat, und das Modellinventar macht sie sichtbar und damit steuerbar.
Die Validierung der Modelle
Ein zentraler Bestandteil der Governance ist die Validierung der Modelle. Bevor ein Modell eingesetzt wird, muss geprüft werden, ob es das tut, was es soll, ob es zuverlässig funktioniert und ob es unerwünschte Effekte zeigt, etwa eine systematische Benachteiligung bestimmter Gruppen. Diese Validierung muss dokumentiert werden, damit sie gegenüber der Aufsicht belegt werden kann, und sie muss von einer Stelle durchgeführt werden, die unabhängig genug ist, um das Modell kritisch zu prüfen.
Die Validierung endet nicht mit der Einführung des Modells. Ein Modell muss auch im laufenden Betrieb immer wieder validiert werden, denn seine Leistung kann sich ändern, wenn sich die Verhältnisse ändern, auf die es angewendet wird. Ein Modell, das bei der Einführung gut funktionierte, kann mit der Zeit schlechter werden, ohne dass es jemand bemerkt, wenn die laufende Validierung fehlt. Die wiederholte Validierung über den Lebenszyklus ist deshalb ein wesentlicher Bestandteil einer Governance, die die Aufsicht überzeugt.
Die klare Zuordnung der Verantwortung
Die Aufsicht legt großen Wert auf eine klare Zuordnung der Verantwortung. Für jedes Modell muss klar sein, wer dafür verantwortlich ist, wer es überwacht und wer eingreift, wenn es Probleme gibt. Eine diffuse Verantwortung, bei der sich am Ende niemand zuständig fühlt, ist ein Governance-Mangel, den die Aufsicht beanstandet. Die klare Zuordnung sorgt dafür, dass die Modelle nicht in einer Grauzone der Unzuständigkeit verschwinden, in der sie unbeaufsichtigt vor sich hin laufen.
Diese Zuordnung muss bis zur Vorstandsebene reichen. Letztlich trägt der Vorstand die Verantwortung für den Einsatz der KI, und diese Verantwortung muss sich in der Governance widerspiegeln. Der Vorstand muss eine Stelle benennen, die für die KI-Governance zuständig ist, und er muss sich regelmäßig über den Stand berichten lassen. So entsteht eine Verantwortungskette von den einzelnen Modellen bis zur Spitze des Unternehmens, die der Aufsicht zeigt, dass das Haus seine KI im Griff hat.
Die Verhältnismäßigkeit wahren
Bei aller Sorgfalt muss die Governance verhältnismäßig bleiben. Nicht jedes Modell birgt dieselben Risiken, und ein Modell, das eine unkritische Routineaufgabe erledigt, verlangt weniger Aufwand als eines, das wichtige Entscheidungen über Kunden beeinflusst. Eine Governance, die jedes Modell gleich aufwendig behandelt, verschwendet Ressourcen und droht, sich in Bürokratie zu verlieren. Die Verhältnismäßigkeit verlangt, den Aufwand am Risiko auszurichten.
Diese risikoorientierte Abstufung ist auch im Sinne der Aufsicht, die keine pauschale, sondern eine angemessene Governance erwartet. Ein Versicherer, der seine Modelle nach ihrem Risiko einstuft und den Governance-Aufwand entsprechend abstuft, handelt sowohl effizient als auch aufsichtskonform. Er konzentriert seine Aufmerksamkeit auf die risikoreichen Modelle, die sie verdienen, und vermeidet, die unkritischen mit unnötigem Aufwand zu belasten. Diese Abstufung ist das Kennzeichen einer reifen, durchdachten Governance.
Der erste Schritt
Der erste Schritt zu einer tragfähigen KI-Governance ist eine ehrliche Bestandsaufnahme. Welche Modelle sind im Einsatz, wer ist verantwortlich, wie werden sie kontrolliert, und was davon ist dokumentiert? Diese Bestandsaufnahme deckt die Lücken auf, die zwischen dem heutigen Zustand und den Anforderungen der Aufsicht bestehen, und sie zeigt, wo die Governance ansetzen muss. Auf ihrer Grundlage lässt sich ein Governance-Rahmen aufbauen, der die Lücken schließt und der Prüfung standhält.
Wer diesen Schritt jetzt geht, verschafft sich die Zeit, die er für den Aufbau braucht, und begegnet der angekündigten verstärkten Prüfung vorbereitet. Wer wartet, läuft Gefahr, von der Prüfung überrascht zu werden, mit Lücken, die sich dann nur unter Druck schließen lassen. Die Vorbereitung ist der bessere Weg, und sie beginnt mit der ehrlichen Bestandsaufnahme.
Vom Reagieren zum Vorbereiten
Die angekündigte verstärkte Prüfung stellt die Versicherer vor die Wahl, zu reagieren oder sich vorzubereiten. Wer reagiert, wartet, bis die Prüfung kommt, und versucht dann, die Lücken zu schließen, oft unter Zeitdruck und mit dem Risiko, dass die Aufsicht die Mängel bereits festgestellt hat. Wer sich vorbereitet, baut den Governance-Rahmen jetzt auf, sodass er der Prüfung gelassen entgegensehen kann.
Die Vorbereitung ist eindeutig der bessere Weg. Sie verschafft dem Versicherer die Sicherheit, dass er die Anforderungen erfüllt, und sie vermeidet den Stress und das Risiko einer Prüfung, auf die man nicht vorbereitet ist. Zudem ist ein guter Governance-Rahmen nicht nur eine Antwort auf die Aufsicht, sondern auch im eigenen Interesse, weil er den Versicherer befähigt, seine KI sicher und verantwortungsvoll einzusetzen.
Mehr zum Thema: Die BaFin schaut 2026 auf Schaden und KI-Governance. Wer keinen Rahmen hat, fällt auf. und BaFin-Risikobericht 2026: KI ist nicht das Risiko – fehlende Governance ist es.
Wir helfen Ihnen, einen Governance-Rahmen für Ihre KI aufzubauen, der den Anforderungen der Aufsicht genügt und Ihnen die Sicherheit gibt, Ihre KI im Griff zu haben. Aus der Branche, für die Branche. Beginnen Sie mit einem Workshop.
Bei einem digitalen Kaffee klären wir, welche Möglichkeiten für das Projekt sinnvoll sind – unverbindlich, persönlich und mit einem klaren Blick auf die nächsten Schritte.


