Compliance-ready KI-Hosting für einen Lebensversicherer

Ausgangslage

Ein deutscher Lebensversicherer wollte eine KI-Plattform für die Fallbearbeitung in seinen Betrieb integrieren. Die regulatorische Ausgangslage war komplex: DORA verlangt IKT-Risikomanagement für ausgelagerte Dienste, die BaFin-Aufsichtspraxis fordert nachgewiesene Cloud-Governance, der EU AI Act stellt Anforderungen an Audit Trail und Human Oversight, und Art. 9 DSGVO bestimmt die Architektur für medizinische Daten. Die zentrale Frage war nicht nur technisch — sondern regulatorisch: Welches Betriebsmodell erfüllt alle fünf Frameworks gleichzeitig, ohne den Time-to-Market zu gefährden?

Was wir getan haben

Wir haben drei Betriebsmodelle für die KI-Plattform evaluiert: externes Rechenzentrum, dedizierte Cloud-Umgebung und kundeneigener Cloud-Tenant. Für jedes Modell wurde eine vollständige Bewertung über fünf regulatorische Frameworks erstellt — DORA, BSI C5, DSGVO, EU AI Act und ISO 27001. Kernergebnis war eine Compliance-Inheritance-Analyse: eine systematische Darstellung, welche Nachweispflichten durch die Infrastrukturplattform abgedeckt werden und welche Eigenverantwortung beim Versicherer und beim Betreiber verbleibt. Dazu kamen Hosting-Empfehlung, Kostenstruktur und eine Abgrenzung der Verantwortlichkeiten im Shared-Responsibility-Modell. Team: 2 Personen über 6 Wochen. Disziplinen: Cloud-Architektur, regulatorische Analyse, Compliance-Dokumentation.

Ergebnisse

Was wir dabei gelernt haben

Die meisten Versicherer unterschätzen, wie viel regulatorische Vorarbeit durch eine durchdachte Infrastrukturwahl entfällt. Compliance-Inheritance ist kein Marketing-Begriff — es ist ein operativer Hebel: Wer die richtige Plattform wählt, reduziert den Scope seiner eigenen Nachweispflichten um 60–70% auf Infrastrukturebene. Die regulatorische Letztverantwortung bleibt — aber die Beweislast verschiebt sich.