Drei Regelwerke, ein Geschäftsprozess
Am 9. Juni 2026 hat der Branchenverband Bitkom e. V. den Leitfaden „DORA, DS-GVO und KI-VO als einheitlicher Compliance-Rahmen für Versicherungsunternehmen“ veröffentlicht. Das Dokument adressiert eine Lage, die in deutschen Versicherungshäusern seit Inkrafttreten von DORA am 17. Januar 2025 sichtbar wurde: Drei umfangreiche EU-Verordnungen greifen parallel auf dieselben Geschäftsprozesse, Datenbestände, IKT-Systeme und Dienstleister zu – mit unterschiedlichen Terminologien, Risikokategorien und Meldepflichten.
Laut Bitkom-Publikation zwingt diese Mehrfach-Regulierung Versicherer dazu, Compliance nicht länger in Silos zu denken. Der Leitfaden propagiert einen integrierten Ansatz, der entlang gemeinsamer Prozess-, Daten-, System- und Risikologiken strukturiert ist. Drei Leitgedanken bilden das Fundament: Geschäftsprozesse als gemeinsamer Anknüpfungspunkt, eine bessere Abstimmung von Begriffen und Meldepflichten sowie eine Umsetzung nach den Prinzipien Proportionalität, menschliche Kontrolle und prüfbare Governance.
DORA (Verordnung (EU) 2022/2554) gilt seit dem 17. Januar 2025 unmittelbar für Versicherungs- und Rückversicherungsunternehmen (Art. 2 Abs. 1 DORA). Die DSGVO (Verordnung (EU) 2016/679) ist seit Mai 2018 in Kraft, die KI-Verordnung (Verordnung (EU) 2024/1689) wird in einem gestuften Modell wirksam – die für Versicherer besonders relevanten Hochrisiko-Pflichten greifen ab August 2026.
Die Schnittmenge ist konkret und nicht abstrakt: Wer im Underwriting Lebens- oder Krankenversicherungstarife mit KI-gestützter Risikobewertung kalkuliert, berührt gleichzeitig Anhang III der KI-Verordnung (Hochrisiko-Anwendung), Art. 22 DSGVO (automatisierte Einzelentscheidung) und Kap. II DORA (IKT-Risikomanagement für das verarbeitende System).
Die drei Leitgedanken des Bitkom-Leitfadens
Geschäftsprozesse als Anker
Statt Verordnung für Verordnung umzusetzen, dient ein End-to-End-Prozess (z. B. „Antragsbearbeitung Lebensversicherung") als gemeinsamer Kontrollpunkt für alle drei Regelwerke.
Harmonisierte Begriffe
Risiko-, Vorfall- und Drittparteien-Kategorien aus DORA, DSGVO und KI-VO werden in einem internen Glossar zusammengeführt – inklusive Mapping auf Meldepflichten.
Proportionale Governance
Tiefe und Tempo der Maßnahmen richten sich nach Risiko und Komplexität. Menschliche Aufsicht und prüfbare Dokumentation bleiben verbindlich.
Integrierter Risikoansatz
IKT-Risiken (DORA), Datenschutzrisiken (DSGVO) und KI-Risiken werden in einem gemeinsamen Risikoregister geführt – mit konsistenten Bewertungsmaßstäben.
Beginnen Sie nicht mit den Verordnungstexten, sondern mit Ihrer Prozesslandkarte. Identifizieren Sie die zehn umsatzrelevantesten Geschäftsprozesse und prüfen Sie für jeden, welche der drei Verordnungen wo greift. Erst diese Heatmap zeigt, wo die Mehrfachbetroffenheit am höchsten ist.
Anwendungsbereiche: Wo sich die Regelwerke überlappen
Der Bitkom-Leitfaden adressiert fünf konkrete Praxisszenarien, in denen alle drei Verordnungen aufeinandertreffen. Die folgende Tabelle skizziert die regulatorischen Anker je Szenario.
| Anwendungsbereich | DORA | DSGVO | KI-VO |
|---|---|---|---|
| KI-Underwriting | IKT-Risikomanagement (Art. 5–16) | Art. 22 (autom. Entscheidung), Art. 35 (DSFA) | Anhang III Nr. 5 (Hochrisiko) |
| Automatisierte Schadenbearbeitung | Operational Resilience für Kernprozess | § 37 BDSG (Ausnahme PKV) | Transparenz- & Aufsichtspflichten |
| Digitale Kundenkommunikation | IKT-Verfügbarkeit der Frontends | Art. 13/14 (Informationspflichten) | Art. 50 (Chatbot-Kennzeichnung) |
| Drittanbietersteuerung | Art. 28–30 (TPP-Risikomanagement) | Art. 28 (Auftragsverarbeiter) | Pflichten für Anbieter & Betreiber |
| Vorfallmanagement | Art. 17–23 (Major-ICT-Incidents) | Art. 33/34 (Data-Breach-Notification) | Schwere Vorfälle bei Hochrisiko-KI |
Ein einziger IT-Sicherheitsvorfall in einem KI-Underwriting-System kann gleichzeitig drei Meldepflichten auslösen: an die BaFin (DORA), an die zuständige Aufsichtsbehörde für den Datenschutz binnen 72 Stunden (Art. 33 DSGVO) und ggf. an die nach KI-VO zuständige Marktüberwachungsbehörde. Ohne harmonisierten Incident-Response-Plan drohen Meldeverzögerungen und widersprüchliche Sachverhaltsdarstellungen.
Umsetzungspfad: Vom Status-quo zum integrierten Rahmen
Wer DORA, DSGVO und KI-VO als gemeinsames Compliance-Programm aufsetzt, bewegt sich entlang eines pragmatischen Pfads. Der folgende Ablauf orientiert sich an den Leitgedanken des Bitkom-Dokuments und an den parallel laufenden Fristen, insbesondere dem Geltungsbeginn der Hochrisiko-Pflichten der KI-VO ab August 2026.
Ablauf in sechs Schritten
- 1Prozess-Inventur: Top-10-Geschäftsprozesse identifizieren und mit Datenflüssen, IKT-Systemen und KI-Komponenten kartieren.
- 2Verordnungs-Mapping: Je Prozess prüfen, welche DORA-, DSGVO- und KI-VO-Pflichten ausgelöst werden – inkl. Hochrisiko-Klassifikation nach Anhang III KI-VO.
- 3Glossar & Risikoregister konsolidieren: Begriffe (Vorfall, Risiko, Drittpartei) und Risikokategorien aus den drei Regelwerken zusammenführen.
- 4Governance harmonisieren: Verantwortlichkeiten (CISO, DSB, KI-Officer, Risk-Owner) entlang RACI für jeden Prozess festlegen.
- 5Incident-Response vereinheitlichen: Ein Meldeprozess, der DORA-Major-Incident, Art. 33 DSGVO und KI-VO-Vorfälle parallel triggern kann.
- 6Drittparteien-Audit: Verträge und Dienstleister gegen alle drei Verordnungen prüfen – Auftragsverarbeitung, IKT-Drittparteien und KI-Anbieter überlappen häufig.
Aus operativer Sicht hilft eine konsolidierte Sicht auf die Asset- und Vorfall-Inventare. Wer bereits eine ITIL- oder ServiceNow-basierte CMDB führt, kann zusätzliche Felder für DSGVO-Verarbeitungstätigkeiten und KI-VO-System-IDs aufnehmen, statt eine vierte Datenhaltung aufzubauen.
# Eintrag im integrierten Risikoregister asset_id: UW-LV-CORE-01 asset_type: KI-Underwriting (Lebensversicherung) business_process: Antragsannahme & Tarifierung classification: dora_icctier: critical # DORA Art. 8 IKT-Asset-Inventar gdpr_data_categories: [health, financial] # DSGVO Art. 9 ai_act_risk: high # KI-VO Anhang III Nr. 5 controls: human_oversight: required # KI-VO Art. 14 art_22_safeguards: yes # DSGVO Art. 22 Abs. 3 resilience_tier: T1 # DORA Kap. IV Tests incident_routing: - bafin_dora_major_incident - dsb_art_33_breach_notification - market_surveillance_ai_act review_cycle_days: 90
Typische Fallstricke und Risiken
Der Bitkom-Leitfaden warnt explizit vor einer Compliance, die nebeneinander statt miteinander aufgebaut wird. In der Praxis beobachten wir regelmäßig dieselben Muster, die für Versicherer teuer werden können.
Silo-Projekte: Drei getrennte Programmstränge (DORA, DSGVO, KI-VO) mit eigenen Sponsorinnen, eigenen Risikoregistern und eigenen Toolings produzieren widersprüchliche Klassifikationen für dasselbe System.
Begrifflicher Drift: „Vorfall“ bedeutet je nach Stab etwas anderes – ein Major-ICT-Incident nach DORA Art. 18 wird nicht als Art. 33-DSGVO-Vorfall erkannt, obwohl personenbezogene Daten betroffen sind.
Vergessene KI-Inventur: Versicherer kennen ihre Auftragsverarbeiter und IKT-Drittparteien, haben aber keine vollständige Liste aller KI-Systeme. Die Pflicht zur Registrierung von Hochrisiko-KI nach KI-VO Art. 49 trifft sie unvorbereitet.
Hinzu kommt die Drittparteien-Dimension: Ein einzelner Cloud-Provider kann gleichzeitig kritischer IKT-Drittdienstleister nach DORA, Auftragsverarbeiter nach DSGVO Art. 28 und Anbieter eines KI-Systems nach KI-VO sein. Ohne integrierte Vertragsklauseln und harmonisierte Auditrechte entsteht eine fragmentierte Steuerung, die im Ernstfall keine belastbaren Forensik-Ergebnisse liefert.
Bewertung und nächste Schritte
Der Bitkom-Leitfaden liefert keinen normativen Mindeststandard, sondern ein Strukturierungsangebot. Sein praktischer Wert liegt in der konsequenten Prozessorientierung: Statt drei Compliance-Programme parallel zu betreiben, definiert man eine Governance-Linie, die alle drei Verordnungen abbildet. Für Versicherer mit knappen Compliance-Budgets ist das der Hebel, mit dem Doppelaufwände reduziert und Audit-Risiken kontrolliert werden.
Die Zeit drängt: Mit dem Geltungsbeginn der Hochrisiko-Pflichten der KI-VO im August 2026 kommen verbindliche Konformitätsbewertungen, technische Dokumentationspflichten und die EU-weite Hochrisiko-Datenbank hinzu. Wer jetzt sein Risikoregister, sein Drittparteien-Inventar und seine Vorfall-Meldeketten konsolidiert, ist im vierten Quartal 2026 handlungsfähig – statt zwischen drei Aufsichten zerrieben zu werden.
1. Heatmap der Top-10-Prozesse erstellen und Mehrfach-Betroffenheit sichtbar machen.
2. Glossar und Risikokategorien aus DORA, DSGVO und KI-VO in einem internen Mapping konsolidieren.
3. Incident-Response-Playbook so erweitern, dass jeder Sicherheitsvorfall automatisch gegen alle drei Meldewege geprüft wird.
Wer eine belastbare Governance-Linie aufsetzen will, beginnt sinnvollerweise mit dem Informationssicherheits-Managementsystem als Klammer – die meisten DORA- und KI-VO-Anforderungen lassen sich daran andocken. Unsere ISMS-Beratung begleitet Sie von der Lückenanalyse bis zur prüffähigen Dokumentation.