Regulatorische Anforderungen effizient meistern
Sie sind nur so schnell, wie die Antworten auf Ihre regulatorischen Anforderungen.
Die Geschwindigkeit und Effizienz, mit der Sie regulatorische Vorgaben umsetzen, bestimmt maßgeblich den Erfolg Ihrer Software- und KI-Projekte. Der Aufwand für DORA, MaRisk/MaGo, DSGVO, NIS-2, EU KI Verordnung, etc. im Gesamtprojekt darf nicht unterschätzt werden, da er entscheidend für die rechtliche Sicherheit und Nachhaltigkeit Ihrer Innovationen ist. Leider übertrifft die Klärung regulatorischer Fragestellungen den Zeitraum des eigentlichen Projekts oft deutlich. Damit Sie sich schnell den Potentialen vielversprechender Technologien zuwenden können, helfen wir Ihnen auch mit der rechtlichen Seite: hands-on, versiert und praxisorientiert.
Experteninterview zur DORA-Verordnung
Aufsichtsrechtliche Aspekte und Compliance-Rahmen bei der Einführung von KI
Die Einführung von Künstlicher Intelligenz (KI) in Versicherungsunternehmen erfordert eine sorgfältige Berücksichtigung verschiedener aufsichtsrechtlicher und Compliance‒Aspekte. Fünf zentrale Säulen sind dabei von entscheidender Bedeutung:
1. KI-Klassifizierung (EU AI Act)
• Unterliegt die KI-Anwendung einem Verbot?: Überprüfen Sie, ob die geplante KI-Anwendung regulatorischen Einschränkungen oder Verboten unterliegt.
• Hochrisiko-KI: Handelt es sich um eine Hochrisiko-KI? Dies betrifft insbesondere Anwendungen in den Bereichen HR, Risikobewertung und Preisgestaltung bei natürlichen Personen im Lebens- und Krankenversicherungsbereich.
• Qualität der Ergebnisse: Betrachten Sie nicht nur die aufsichtsrechtlichen Vorgaben, sondern auch die Qualität der Ergebnisse, die die KI liefert.
2. Einstufung der Informationen
Eine korrekte Kategorisierung der Daten ist essenziell, um den Anforderungen der Datenschutz-Grundverordnung (DSGVO) gerecht zu werden. Diese Einstufung bildet die Basis für alle weiteren Datenschutzmaßnahmen und gewährleistet den Schutz personenbezogener Daten.
• Informationsgruppen: Bestimmen Sie, welche Informationsgruppen durch die KI-Anwendung berührt werden.
• Schutzbedarf: Welchem Schutzbedarf unterliegen die behandelten Informationen?
• DSGVO-Konformität: Stellen Sie sicher, dass die Verarbeitung der Daten den Vorgaben der DSGVO entspricht.
3. Dienstleistermanagement (u.a. DORA, DSGVO)
Bei der Nutzung externer Dienstleister, insbesondere Cloud-Anbietern, ist ein gründliches Dienstleistermanagement erforderlich. Dazu gehören die Bewertung von Ausgliederungstatbeständen und die Durchführung umfassender Risikoanalysen, um die Compliance und Sicherheit Ihrer Daten zu gewährleisten.
• Cloudlösungen: Ist der Einsatz einer Cloudlösung geplant? Wenn ja, welche spezifischen Anforderungen müssen erfüllt werden?
• Partnerauswahl: Mit welchen Partnern soll die Lösung umgesetzt werden? Achten Sie auf die Erfüllung der Ausgliederungstatbestände.
• Risikoanalyse: Führen Sie eine gründliche Risikoanalyse durch, um mögliche Risiken zu identifizieren und zu managen.
4. Compliance-konformes Projekt (u.a DORA, DSGVO)
Effektive Compliance-Mechanismen wie das Identity and Access Management (IAM) und interne Kontrollsysteme (IKS) sind unverzichtbar, um die Integrität und Sicherheit Ihrer IT-Systeme zu gewährleisten. Diese Systeme helfen dabei, unbefugten Zugriff zu verhindern und die Einhaltung von Vorschriften sicherzustellen.
• Anforderungsmanagement: Definieren Sie klare Anforderungen und stellen Sie sicher, dass diese während des gesamten Projekts erfüllt werden.
• IT-Projektsteuerung: Nutzen Sie bewährte Methoden der IT-Projektsteuerung, um eine reibungslose Umsetzung zu gewährleisten.
• IAM und IKS: Implementieren Sie ein effektives Identity and Access Management (IAM) und interne Kontrollsysteme (IKS), um die Integrität und Sicherheit Ihrer Systeme sicherzustellen.
• Laufender Betrieb: Sorgen Sie für einen kontinuierlichen Betrieb und integrieren Sie z.B. operative Risiken (OpRisk) in Ihre Compliance-Strategie.
5. Rechtliche und branchenspezifische Parameter
(u.a. EU AI Act, MaRisk/MaGo)
Die Berücksichtigung rechtlicher und branchenspezifischer Parameter ist entscheidend für die erfolgreiche Umsetzung von KI-Projekten. Diese Parameter umfassen unter anderem spezifische Anforderungen der Versicherungsbranche und allgemeine rechtliche Vorgaben, die den Einsatz von KI regeln.
Welche rechtlichen, regulatorischen Vorgaben sind für Versicherungen zu beachten?
1. DORA (Digital Operational Resilience Act)
DORA zielt darauf ab, die digitale Betriebsresilienz im Finanzsektor weiter zu stärken, sowie die bisherigen rechtlichen Vorgaben zu vereinheitlichen und stärker miteinander zu vernetzen. Insbesondere müssen Versicherungsunternehmen sicherstellen, dass ihre KI-Systeme robust und widerstandsfähig gegen Cyberangriffe und Betriebsstörungen sind. Darüber hinaus werden die regulatorischen Vorgaben für die Auslagerung von Daten und Prozessen an Drittdienstleister verschärft. Dies umfasst die Implementierung von Sicherheitsmaßnahmen und die kontinuierliche Überwachung der Systeme.
2. VAG ( Versicherungsaufsichtsgesetz) & VVG (Versicherungsvertragsgesetz)
Das VAG regelt die aufsichtsrechtlichen Anforderungen an Versicherungsunternehmen. Das VVG regelt die Vertragsbeziehungen zwischen Versicherern und Versicherungsnehmern. Beim Einsatz von KI müssen die Versicherer sicherstellen, dass die Vertragsgestaltung transparent und fair bleibt. Insbesondere die Nutzung von Algorithmen zur Prämienberechnung oder Schadenregulierung muss nachvollziehbar und diskriminierungsfrei sein.
3. EU-DSGVO (EU-Datenschutz-Grundverordnung)
Die EU-DSGVO setzt strenge Vorgaben für den Schutz personenbezogener Daten. Auch KI-Systeme, die große Mengen an Daten verarbeiten, müssen den Datenschutzprinzipien der DSGVO entsprechen. Dazu gehören Datensparsamkeit, Transparenz, Zweckbindung und die Sicherstellung von Betroffenenrechten.
4. EU AI Act
Der EU AI Act reguliert den Einsatz von KI-Systemen in der EU. Versicherungsunternehmen müssen die Kategorisierung ihrer KI-Systeme nach Risikoklassen beachten und entsprechende Anforderungen an Transparenz, Sicherheit und ethische Grundsätze umsetzen. Hochrisiko-KI-Systeme unterliegen besonders strengen Vorschriften.
5. NIS2-Richtlinie
Die NIS2-Richtlinie erweitert die Anforderungen an die Netz- und Informationssicherheit. Versicherungsunternehmen müssen sicherstellen, dass ihre KI-Infrastrukturen gegen Cyberbedrohungen geschützt sind und dass es klare Verantwortlichkeiten und Meldepflichten gibt.
6. MaRisk / MaGO (Mindestanforderungen an das Risikomanagement)
Es muss ein internes Risikomanagementsystem aufgebaut werden. Dazu gehören Risikostrategie, Steuerungs- und Kontrollprozesse, Risikotragfähigkeitssystem, internes Kontrollsystem (IKS), Berichtsystem und Kommunikationprozesse.
Die Praxis: Phasen der Umsetzung
Unser Ansatz umfasst drei zentrale Phasen, um die rechtlichen Vorgaben pragmatisch und sicher umzusetzen:
Check-up

Genaue Analyse Ihrer spezifischen Ausgangslage für MaGo/MaRisk, ggf. in allen Feldern der KI‒Verordnung und weiteren Bereichen wie DORA und DSGVO.
Profitieren Sie von unserer Erfahrung mit der Regulatorik und dem Umgang mit Prüfern.
Checklistenbasiertes, standardisiertes Vorgehen sichert das Herausarbeiten Ihrer Schwachstellen. Gleichwohl orientiert sich auch die Analyse an der Strategie und dem Geschäftsmodell des jeweiligen Kunden

Konzeption

Erarbeitung eines individuellen Umsetzungsfahrplans zur effizienten Schließung vorhandener Lücken.
Berücksichtigung von Randfaktoren zur Bewältigung der Herausforderungen wie dem Prozessmanagement.
Unterstützung bei der Auswahl unterstützender Tools oder der Erarbeitung von Inhouse‒Lösungen.
Konzeptionelle Begleitung laufender Projekte.

Umsetzung

Schließung aufsichtsrechtlicher Lücken durch Überarbeitung der bestehenden Prozesse und Dokumentation, Erarbeitung neuer Leit‒ und Richtlinien und Initialisierung der Toollösungen.
Anpassung des Rollenmodells wenn nötig, um den neuen Anforderungen gerecht zu werden.
Begleitung laufender Projekte, um eine kontinuierliche Einhaltung der regulatorischen Vorgaben sicherzustellen.

Das können Sie von uns erwarten!
Macros Reply redet nicht nur, sondern packt an. Mit uns erhalten Sie Beratung und direkte Unterstützung in der Umsetzung der relevanten regulatorischen Vorgaben.
Fachkompetente Unterstützung
Wir greifen Ihnen direkt unter die Arme und bringen die Regulatorik dank versierter Volljuristen und Regulatorik-Experten zum Fliegen
100% Menschlichkeit
Unseren Experten sprechen auf Augenhöhe mit Ihnen - egal ob Regulatorik, Fachbereiche, Prozessmanager oder ITler.
Professionelles Onboarding
Unsere Mitarbeiter besitzen ein vertieftes Verständnis für das Geschäftsmodell Versicherung, sodass sich Onboarding-Aufwände verkürzen.
Fazit
Ein Versprechen von uns an Sie!
Unsere Experten unterstützen Sie dabei, maßgeschneiderte Lösungen zu entwickeln, die nicht nur den aktuellen regulatorischen Anforderungen entsprechen, sondern auch zukunftssicher sind. Mit unserer Hands-on Unterstützung durch Volljuristen aus Versicherungen, praxisnaher Beratung und umfassender Umsetzungshilfe stellen wir sicher, dass Ihre IT-Projekte rechtskonform, rechtzeitig und erfolgreich umgesetzt werden.
Über: Consulting der Macros Reply
Seit 1999 Experte für Digitalisierung und Automatisierung
Unternehmen
Rechtsdokumente
Kontakt
Ralf Scheuchl
Geschäftsführung
Macros kontaktieren
© 2024 Macros Reply GmbH. Alle Rechte vorbehalten
Datenschutz
Wenn Sie eine Website besuchen, kann diese Informationen über Ihren Browser abrufen oder speichern. Dies geschieht meist in Form von Cookies. Hierbei kann es sich um Informationen über Sie, Ihre Einstellungen oder Ihr Gerät handeln. Meist werden die Informationen verwendet, um die erwartungsgemäße Funktion der Website zu gewährleisten. Durch diese Informationen werden Sie normalerweise nicht direkt identifiziert. Dadurch kann Ihnen aber ein personalisierteres Web-Erlebnis geboten werden.