KI in der Schadensbearbeitung 2026: Was Versicherer rechtssicher dürfen

In Stuttgart sitzt eine Sachbearbeiterin und prüft am Dienstagvormittag den dreizehnten KFZ-Schaden ihres Tages. Foto rein, KI-Triage, Schadensumme geschätzt, Reparaturwerkstatt vorgeschlagen. Was vor zwei Jahren 25 Minuten gedauert hat, läuft jetzt in unter zehn. Allianz, AXA und HDI haben ähnliche Systeme im Echtbetrieb. Und die BaFin schaut genauer hin als vor einem Jahr. Wer 2026 als Versicherer KI in der Schadensregulierung einsetzt, bewegt sich in einem Korridor aus Aufsichtsrecht, EU AI Act, DSGVO und VVG. Dieser Artikel zeigt, wie der Korridor gerade aussieht und wo Sie als Versicherungsunternehmen oder Vermittler die Leitplanken einhalten.

Was deutsche Versicherer 2026 mit KI in der Schadensbearbeitung tatsächlich machen

Drei Anwendungsfälle dominieren den Markt.

KFZ-Schäden mit Foto-Bewertung. Der Kunde lädt Bilder eines Steinschlags, Blechschadens oder Totalschadens hoch. Die KI klassifiziert die Schadensart, schätzt die Reparaturkosten anhand historischer Daten und schlägt einen Werkstatttypen vor. Bei klaren Fällen unter 2.000 Euro entscheiden manche Versicherer schon vollautomatisch. Bei höheren Summen prüft ein Sachbearbeiter den Vorschlag, ehe die Auszahlung läuft.

Hausrat- und Wohngebäude-Triage. Die KI sortiert eingehende Schadensmeldungen nach Komplexität: Glasschaden mit Standardmuster geht in den schnellen Track, Wasserschaden mit Folgeschäden landet bei einem erfahrenen Regulierer, Brandschaden geht direkt in den Sonderbereich. Die Triage spart pro Schaden im Schnitt 8 bis 12 Minuten interne Bearbeitungszeit.

Rechtsschutz mit Anspruchsprüfung. Eingehende Deckungsanfragen werden gegen die Versicherungsbedingungen abgeglichen. Die KI markiert Klauseln, die den Fall ein- oder ausschließen, und schlägt eine Vorab-Einschätzung vor. Endentscheidung trifft ein Volljurist im Haus.

Diese Systeme laufen in Deutschland produktiv. Die Effizienzgewinne sind real, aber sie kommen nicht aus dem Modell allein. Sie kommen aus dem Zusammenspiel von Modell, sauberen historischen Daten, klar definierten Eskalationspfaden und einem geschulten Sachbearbeiterstamm.

Wie der Rechtsrahmen 2026 aussieht

Vier Gesetze laufen hier ineinander.

Erstens das Versicherungsaufsichtsrecht. Die BaFin hat im Juli 2025 das Rundschreiben 09/2025 (VA) MaGo für Solvabilität-II-Versicherer veröffentlicht, das am 14. Oktober 2025 in Kraft getreten ist. Es nennt automatisierte Prozesse und KI explizit als Themen, für die eine angemessene Geschäftsorganisation Pflicht ist. Modell-Risikomanagement, dokumentierte Validierung, interne Audits, Eskalationswege bei Modell-Drift gehören dazu. Wer KI in der Schadensregulierung einsetzt und das nicht in seine MaGo-Dokumentation einarbeitet, hat im nächsten Aufsichtsgespräch ein Problem.

Zweitens der EU AI Act. Schadensregulierung steht selbst nicht explizit in Anhang III der KI-Verordnung. Hochrisiko-Klassifikation greift dort vor allem bei Lebens- und Krankenversicherung-Risikobewertung und Prämienkalkulation (Art. 6 in Verbindung mit Anhang III Nr. 5(b)). Sobald aber eine Schaden-KI praktisch über den Zugang zu wesentlichen Versicherungsleistungen entscheidet, kann das in den Hochrisiko-Bereich rücken. Die KI-Kompetenzpflicht aus Art. 4 KI-VO gilt seit dem 2. Februar 2025 ohnehin für alle Versicherer, die KI nutzen. Die Hochrisiko-Pflichten aus Anhang III greifen ab 2. August 2026.

Drittens die DSGVO. Art. 22 DSGVO verbietet ausschließlich automatisierte Entscheidungen mit rechtlicher Wirkung oder ähnlich erheblicher Beeinträchtigung, sofern keine Einwilligung, kein Vertragsbezug oder keine ausdrückliche gesetzliche Erlaubnis greift. Eine vollautomatische Schadenablehnung fällt regelmäßig darunter. Die Folge in der Praxis: Versicherer dokumentieren, dass eine menschliche Letztentscheidung bei abgelehnten oder strittigen Fällen verpflichtend ist. Bilddaten aus Schadensfotos können besondere Datenkategorien nach Art. 9 DSGVO enthalten, sobald Personen oder Gesundheitsmerkmale erkennbar sind. Bei Personenschäden also doppelte Vorsicht.

Viertens das VVG. §6 VVG verlangt eine bedarfsgerechte Beratung. Wenn KI Empfehlungen für Anschluss- oder Folgeprodukte generiert (Stichwort Cross-Selling im Schadensfall), muss diese Empfehlung dokumentiert und überprüfbar sein. Eine reine Black-Box-Empfehlung ohne nachvollziehbare Begründung ist berufsrechtlich angreifbar.

Wo Schadens-KI in der Praxis schiefgeht

Die häufigsten Fehler sehen wir in drei Bereichen.

Trainingsdaten mit Bias. Wer eine Schaden-KI auf historischen Daten trainiert, in denen bestimmte Kundengruppen, Postleitzahlen oder Fahrzeugtypen systematisch schlechter behandelt wurden, baut diese Verzerrung ins Modell ein. Die BaFin schaut bei Aufsichtsgesprächen 2026 zunehmend nach dokumentierter Bias-Prüfung. Wer keine hat, verliert Aufsichtsvertrauen.

Fehlende Eskalationsklarheit. Eine fiktive Beispiel-Versicherung, nennen wir sie Nordlicht Sach AG mit 1.200 Mitarbeitern. Sie führt KI-Triage ein, definiert aber nicht klar, wann ein Fall den automatischen Track verlässt. Drei Monate später beschwert sich ein Kunde mit komplexem Wasserschaden, weil die KI ihn nach einem Standard-Schema reguliert hat. Die Aufsichtsbehörde fragt nach. Die Antwort "die KI hat das so vorgeschlagen" hilft nicht. Der Vorstand haftet, nicht das Modell.

Mandantenkommunikation ohne Transparenz. Wenn der Kunde nicht versteht, dass seine Schadensfotos durch ein KI-System gelaufen sind und welche Folgen das hat, entstehen DSGVO-Auskunftsersuchen, Beschwerden bei Verbraucherzentralen und in Einzelfällen Klagen. Eine klare, kurze Hinweistext-Passage in der Schadenanzeige hilft mehr als drei Seiten Datenschutzhinweise im Kleingedruckten.

In der Praxis sehen wir bei Versicherern, die uns für QCG-Weiterbildungen ihrer Sachbearbeiter ansprechen, einen wiederkehrenden Punkt: Die KI ist da, aber die Belegschaft hat keine dokumentierte KI-Kompetenz nach Art. 4 KI-VO. Wer das unterschätzt, riskiert nicht nur einen formalen Verstoß. Er riskiert vor allem, dass die KI im Tagesbetrieb falsch genutzt wird, weil die Sachbearbeiter nicht wissen, welche Vorschläge sie blind übernehmen dürfen und welche sie hinterfragen müssen.

Was Sie als Versicherer oder Vermittler operativ jetzt tun

Wer 2026 sauber arbeiten will, hat fünf Baustellen.

Modell-Inventar pflegen. Jedes KI-System in der Schadensbearbeitung gehört in ein Verzeichnis: Zweck, Trainingsdaten, Validierungsstand, Eskalationspfad, Verantwortlicher. Das ist sowohl MaGo-Pflicht als auch eine Voraussetzung für ISO 42001 oder spätere KI-Audits. Ohne dieses Inventar finden Sie im Aufsichtsfall keine Auskunft auf Knopfdruck.

Schulungsnachweise dokumentieren. Jeder Sachbearbeiter, der mit KI-Vorschlägen arbeitet, braucht eine dokumentierte Einweisung. Pflicht ist mehr als ein 30-Minuten-Onboarding-Video. Eine strukturierte Weiterbildung mit Prüfung und Zertifikat steht juristisch deutlich besser. Die DigiMan-Weiterbildung deckt das mit AZAV-Maßnahmenzertifikat 723/0097/2026 ab.

Manuelle Letztkontrolle bei kritischen Fällen festschreiben. Definieren Sie Schwellenwerte: Über welcher Schadensumme greift Pflicht-Mensch? Bei welchen Schadensarten? Bei welchen Kundengruppen? Diese Schwellen gehören in eine Arbeitsanweisung, nicht in eine E-Mail.

Datenschutz-Folgenabschätzung erstellen. Für jede neu eingeführte Schaden-KI mit Bezug zu personenbezogenen Daten ist eine DSFA nach Art. 35 DSGVO faktisch Pflicht. Die DSK-Liste der Datenschutzkonferenz gibt Anhaltspunkte. Die Behörden in NRW und Bayern fragen 2026 verstärkt nach.

Mandantenkommunikation modernisieren. Eine knappe Zeile in der Schadenanzeige reicht: "Wir setzen KI-gestützte Verfahren in der Schadensprüfung ein. Final entscheidet ein Sachbearbeiter. Sie können der KI-gestützten Vorprüfung jederzeit widersprechen, ohne dass Ihnen daraus Nachteile entstehen." Damit erfüllen Sie Transparenzpflichten aus DSGVO und VVG.

Was QCG für Sachbearbeiter und Vermittler praktisch bringt

Sachbearbeiter in der Schadensregulierung sind 2026 in einer doppelten Lage. Der Job verändert sich, gleichzeitig steigen die Compliance-Anforderungen. Hier setzt das Qualifizierungschancengesetz an.

Eine Versicherung mit 800 Mitarbeitern und 60 Sachbearbeitern in der KFZ-Schadenbearbeitung kann die Belegschaft über §82 SGB III in eine vierteljährige berufsbegleitende Weiterbildung schicken. Die Förderquote liegt bei dieser Größenordnung bei rund 50 Prozent der Lehrgangskosten plus bis zu 50 Prozent Lohnzuschuss. Bei Bestand einer einrichtungsbezogenen Tarifvereinbarung steigen die Quoten auf jeweils bis zu 100 Prozent. Bei einem Lehrgang im Wert von 9.662 Euro pro Teilnehmer liegt der echte Arbeitgeberanteil bei rund 4.800 Euro je Mitarbeiter, in Kombination mit TV/BV oft niedriger.

Der praktische Nutzen geht über die Förderung hinaus. Wer DigiMan oder eine vergleichbare Maßnahme macht, hat danach einen prüfungsfesten Schulungsnachweis nach Art. 4 KI-VO. Das ist ein Aktivposten in der nächsten Aufsichtsbegegnung. Vermittler, die als Versicherungsmakler arbeiten und ohne Ausschließlichkeitsbindung beraten, profitieren davon doppelt: Die DSGVO-Pflichten gelten auch für sie als eigene Verantwortliche.

Die Datenschutz- und KI-Compliance-Themen sind eng mit der allgemeinen DSGVO-Praxis bei KI-Tools verknüpft. Wer dort sauber aufgestellt ist, hat in der Schadensregulierung schon viel erledigt.

Welche Tools für Schadens-KI 2026 in Deutschland eine Rolle spielen

Drei Marktbewegungen prägen das Jahr.

Hauseigene Modelle der Großversicherer. Allianz, AXA, HDI und Generali entwickeln und pflegen Schadens-KI in eigenen Data-Science-Teams oder mit Beratungsdienstleistern. Diese Modelle sind nicht öffentlich ausschreibbar.

Spezialisierte Insurtech-Anbieter. Sprout.ai (UK), Tractable (UK), Snapsheet (US) und in Deutschland Anbieter wie wefox bieten Foto-Schadens-Bewertung als Service. Stand Mai 2026 sind die meisten Modelle DPF-zertifiziert oder mit AVV verfügbar.

Allgemeine LLM-Tools mit kanzleitypischer Nutzung. Anthropic Claude Team und Enterprise sowie Microsoft Copilot for Microsoft 365 mit AVV laufen bei Versicherern in der internen Korrespondenz und Schaden-Triage über strukturierte Prompts. Die freien Versionen (ChatGPT Plus, Claude Pro Privat-Account) sind tabu, weil sie keinen AVV bieten und Trainingsdaten generieren.

Berufshaftpflicht-Versicherer wie Allianz, HDI und R+V haben 2025 und 2026 ihre Klauseln zur KI-Nutzung angepasst. Wer KI-generierte Inhalte ohne menschliche Letztkontrolle ausliefert, riskiert Deckungslücken. Die Klauseln sind im Detail unterschiedlich, einen Pauschal-Ausschluss gibt es zumeist nicht. Aber der Pflicht zur Prüfung und Endkontrolle hat sich vertraglich verfestigt.

Häufige Fragen

Brauchen wir als Versicherer eine eigene KI-Compliance-Stelle?

Eine eigene formale Rolle ist nicht gesetzlich vorgeschrieben. In der Praxis bündeln Versicherer mit über 500 Mitarbeitern die KI-Compliance entweder beim Datenschutzbeauftragten, beim Compliance Officer oder in einer neu geschaffenen KI-Beauftragten-Rolle. Wichtig ist, dass eine namentlich benannte Person für KI-Inventar, Schulungsnachweise und Aufsichtsthemen zuständig ist. Ohne benannte Verantwortlichkeit landen Themen zwischen Datenschutz, IT und Fachbereich und werden nicht bearbeitet.

Wie reagieren wir, wenn ein Kunde der KI-Vorprüfung widersprechen will?

Sie haben einen Widerspruchsmechanismus aufzubauen. Praktisch heißt das: Eine zweite Bearbeitungs-Spur ohne KI-Triage muss existieren und für den Kunden niederschwellig erreichbar sein. Ein Vermerk in der Schadenakte dokumentiert den Widerspruch und die alternative Bearbeitung. DSGVO Art. 22 Abs. 3 sieht das ausdrücklich vor.

Sind Foto-Schadensfotos automatisch besondere Datenkategorien?

Nicht automatisch. Ein Foto eines Bleckschadens am parkenden Auto enthält in der Regel keine besonderen Daten. Sobald aber Personen sichtbar sind oder Verletzungen dokumentiert werden (Personenschaden, Hausrat mit Bewohner im Bild), greift Art. 9 DSGVO und damit erhöhte Schutzpflichten. Eine Auto-Erkennung von Personen in Schadensbildern und automatische Verpixelung vor der KI-Verarbeitung wird 2026 zunehmend Standard.

Was passiert, wenn die BaFin im Aufsichtsgespräch nach KI-Governance fragt?

Sie sollten in der Lage sein, in unter 30 Minuten ein Modell-Inventar, Schulungsnachweise der Sachbearbeiter, ein Eskalationskonzept und eine DSFA für jede produktive Schaden-KI vorzulegen. Wer das nicht hat, bekommt eine Auflage und einen Folgetermin. Wer es hat, signalisiert Reife und reduziert das Risiko verschärfter Prüfungen.

Lohnt sich eine ISO-42001-Zertifizierung für Versicherer?

Für Großversicherer ja, weil sie als Anbieter komplexer KI-Produkte zunehmend von Aufsichtsbehörden und Industriekunden ein zertifiziertes KI-Management-System erwartet bekommen. Für mittelständische Vermittler oder Spezialversicherer ist ISO 42001 noch optional, aber ein guter Reifegrad-Nachweis. Die Zertifizierung kostet zwischen 15.000 und 50.000 Euro und braucht 6 bis 12 Monate Vorbereitung.

Über den Autor

Dr. Jens Aichinger ist promovierter Wirtschaftspädagoge und Geschäftsführer von SkillSprinters by Dr. Aichinger, einem DEKRA-zertifizierten Bildungsträger in Bayreuth. Mit der Weiterbildung zum Digitalisierungsmanager qualifizieren wir Sachbearbeiter, Compliance-Verantwortliche und Vermittler in der Versicherungsbranche für den Umgang mit KI-Systemen unter EU AI Act und DSGVO.

QCG-Beratung für Versicherer und Vermittler: Wenn Sie als Versicherungsunternehmen oder Maklerbüro Ihre Belegschaft auf Art. 4 KI-VO und MaGo 2025 vorbereiten wollen, finden Sie unter skill-sprinters.de/termin ein 15-Minuten-Gespräch zur Förderquote in Ihrer Unternehmensgröße. Für einen ersten Eindruck der Inhalte ohne Anmeldebindung gibt es den kostenlosen Schnupperkurs.