KI-Governance für Schweizer Versicherer: Von FINMA-Konformität zum strategischen Vorteil
KI ist in der Versicherungsbranche angekommen. Die Governance vielerorts noch nicht.
Der Einsatz von Künstlicher Intelligenz bei Schweizer Versicherern hat in den letzten Jahren deutlich zugenommen. Ob in der Schadenbearbeitung, im Pricing, im Underwriting oder in der Kundeninteraktion, KI-Anwendungen sind heute in vielen Häusern Teil des operativen Alltags. Die FINMA-Umfrage von Anfang 2025 unterstreicht diese Entwicklung deutlich. [1]
Mit der zunehmenden Verbreitung steigt jedoch auch der Handlungsdruck. Bei vielen Versicherern halten Governance, Risikomanagement und Verantwortlichkeiten mit der technologischen Entwicklung noch nicht Schritt. Datenschutz- und Datenthemen werden oft bereits adressiert, zentrale Modellrisiken wie unzureichende Robustheit und Korrektheit, Bias, mangelnde Stabilität und Erklärbarkeit oder laufende Überwachung hingegen noch nicht durchgängig über den gesamten Lebenszyklus gesteuert. So entsteht eine Lücke zwischen technologischem Fortschritt und institutioneller Kontrolle – die zugleich die systematische Einführung und Nutzung von KI zu hemmen droht. [2]
Was diese Lücke besonders relevant macht: generative KI ist keine inkrementelle Weiterentwicklung bestehender Systeme. Sie bringt fundamental neue, transversale Risiken mit sich, die klassische Silos sprengen und gleichzeitig technologische, regulatorische und reputationsbezogene Dimensionen berühren. In der Praxis zeigt sich das etwa darin, dass KI-Anwendungen im Pilot verbleiben, statt in die Linie zu skalieren, oder dass unzureichend abgesicherte KI-Systeme selbst zur Angriffsfläche werden, wie jüngste Vorfälle leidvoll zeigen. [7]
Die FINMA konkretisiert ihre Erwartungen. Sie ist damit nicht allein.
Mit der Aufsichtsmitteilung 08/2024 hat die FINMA im Dezember 2024 erstmals konkrete Erwartungen an Governance und Risikomanagement beim Einsatz von Künstlicher Intelligenz formuliert. Die Mitteilung richtet sich an alle beaufsichtigten Institute und damit auch an Versicherer. [2]
Im Zentrum stehen sieben Beobachtungsfelder:
Die Mitteilung ist kein statisches Regelwerk, sondern ein erster Orientierungsrahmen. Die FINMA hat klar gemacht, dass sie ihre Erwartungen auf Basis der Marktentwicklung und internationaler Standards weiterentwickeln wird. [2] Aufsichtsbehörden in der EU, in Grossbritannien und den USA entwickeln KI-Governance-Erwartungen parallel und in zunehmendem Masse konkret. Der EU AI Act klassifiziert KI-Systeme zur Risikoanalyse und Tarifierung in der Lebens- und Krankenversicherung explizit als Hochrisikoanwendungen. Ab August 2026 (mit vorgezogenen und nachgelagerten Anwendungsdaten) greift das Enforcement-Regime. [3] In New York verpflichtet die Aufsichtsbehörde NYDFS Versicherer bereits heute zu einer prüfungsreifen Governance für KI-gestütztes Underwriting und Pricing. [4] Die britische FCA wiederum hat gezeigt, wie datengestütztes Pricing im Versicherungsmarkt von der Marktbeobachtung über Remedies bis hin zu verbindlichen Attestierungspflichten eskaliert. [6] Das Muster ist konsistent: Aufsichtsinstanzen bewegen sich von Prinzipien zu durchsetzbaren Pflichten. Wer heute eine belastbare Governance aufbaut, positioniert sich nicht nur für FINMA-Konformität, sondern auch für die regulatorische Anschlussfähigkeit in einem sich verschärfenden internationalen Umfeld. |
Drei Bausteine für eine tragfähige KI-Governance
Aus unserer Projekterfahrung lassen sich drei Bausteine ableiten, die für den systematischen Aufbau einer belastbaren KI-Governance entscheidend sind.
1. Governance und Verantwortlichkeiten organisatorisch verankern
Der erste Baustein ist die organisatorische Verankerung. KI-Governance ist kein isoliertes IT-Thema, sondern eine Führungsaufgabe, die Fachbereiche, Risiko, Compliance, Technologie und Geschäftsleitung gleichermassen betrifft.
Im Zentrum stehen ein vollständiges und aktuelles KI-Inventar, eine nachvollziehbare Risikoklassifizierung aller Anwendungen sowie klar definierte Rollen und Verantwortlichkeiten über den gesamten Lebenszyklus hinweg. Ebenso zentral sind Dokumentationsstandards, die sowohl die interne Steuerung als auch eine externe Prüfung durch Aufsicht oder Revisionsstelle ermöglichen. [2]
Erfahrungsgemäss bewährt sich ein Hub-and-Spoke-Governance-Modell, das die Verantwortlichkeiten zwischen Divisions- und Gruppenebene wirksam verzahnt. Use Cases werden in den Divisionen entwickelt, vorbereitet und priorisiert – nahe am Business und dort, wo sie später zur Anwendung kommen. In einer ersten Phase werden sie in einem übergreifenden Use-Case-Register erfasst. Damit werden zentrale, gruppenweit definierte Standards und Prozesse frühzeitig geprüft und die Compliance sichergestellt. Gleichzeitig schafft das Register Transparenz, vermeidet Doppelspurigkeit und ermöglicht es, Synergien systematisch zu nutzen. Anschliessend durchlaufen die Anwendungen sowohl den strukturierten Prüf- und Genehmigungsprozess der zentralen Governance als auch die fachlichen Freigaben auf Divisions-Ebene. So entstehen Steuerungsfähigkeit, klare Entscheidungswege und die Voraussetzung für eine skalierbare Umsetzung.
Versicherer, die diese Grundlagen früh schaffen, gewinnen nicht nur regulatorische Sicherheit. Sie gewinnen auch Geschwindigkeit und Steuerungsfähigkeit, weil Entscheidungen zu Einsatz, Weiterentwicklung und Skalierung von KI auf einer belastbaren Basis getroffen werden können.
2. Risikosteuerung entlang des KI-Lebenszyklus professionalisieren
Der zweite Baustein betrifft die operative Steuerung. Wirksame KI-Governance zeigt sich nicht in Policies allein, sondern in der Fähigkeit, Risiken über Entwicklung, Einführung und Betrieb hinweg systematisch zu erkennen, zu bewerten und zu überwachen. Gerade in einem Aufsichtsumfeld, das sich weiter konkretisiert, kommt es darauf an, diese Steuerung frühzeitig belastbar aufzusetzen. Dazu gehören belastbare Anforderungen an Datenqualität, angemessene Tests vor dem Einsatz, laufendes Monitoring im Betrieb sowie eine unabhängige Überprüfung dort, wo Anwendungen wesentlich oder risikosensitiv sind. Entscheidend ist, dass Versicherer Leistungsfähigkeit, Abweichungen und unerwünschte Effekte kontinuierlich im Blick behalten. [2] Dies ist nicht zuletzt eine Führungsaufgabe, die bedingt, dass Managerinnen und Manager mit der Funktionalität generativer KI vertraut sind und die Ergebnisse ihrer Mitarbeitenden, die KI zunehmend in Ihre Arbeit einbeziehen, angemessen überprüfen können. Das gilt besonders für Use Cases mit hohem Risikopotenzial. Pricing- und Underwriting-Modelle im Lebens- und Krankenversicherungsbereich gehören regulatorisch zu den sensibelsten Anwendungen. Bias-Risiken durch Proxy-Variablen, fehlende Erklärbarkeit algorithmischer oder KI-unterstützter Entscheide und unzureichendes Monitoring sind in diesem Bereich nachgewiesene Aufsichtsrisiken. [2][4] Auch in der Schadenbearbeitung entstehen Expositionen. Entscheide, die sich auf Anwendungen generativer KI abstützen und wesentliche Wirkung auf Kundinnen und Kunden haben, können in Europa künftig weitgehende Erklärungs- und Transparenzpflichten auslösen, die über das Datenschutzrecht hinausgehen. [3] Wer diese Steuerungsfähigkeiten systematisch aufbaut, reduziert Rework, beschleunigt Freigaben und schafft Vertrauen in die Skalierbarkeit von KI-Anwendungen im operativen Geschäft. |
3. Internationale regulatorische Anschlussfähigkeit vorausschauend sichern
Der dritte Baustein ist die vorausschauende Ausrichtung auf den internationalen regulatorischen Kontext. Für viele Versicherer endet KI-Governance nicht an der Schweizer Grenze. Spätestens wenn Anwendungen in weitere Märkte übertragen, für europäische Geschäftseinheiten genutzt oder in grenzüberschreitende Prozesse eingebunden werden, stellt sich die Frage nach der regulatorischen Anschlussfähigkeit. Das internationale Aufsichtsumfeld lernt aus Marktbeobachtungen und verschärft seine Anforderungen schrittweise. Die FCA hat diesen Mechanismus im Versicherungsmarkt bereits vollständig durchlaufen. Was als Marktanalyse begann, mündete in verbindliche Pricing-Regeln und Attestierungspflichten. [6] NYDFS hat ihre Anforderungen zwischen 2019 und 2024 deutlich ausgeweitet, von der Regulierung externer Datenquellen im Life Underwriting hin zu umfassenden Governance-Anforderungen für den Einsatz von KI und datenbasierten Modellen im Underwriting und Pricing. [4][5] FINMA-Konformität ist in diesem Umfeld eine notwendige, aber keine hinreichende Bedingung. Wer diese Perspektive zu spät einbezieht, schafft Insellösungen und muss Governance, Kontrollen und Dokumentation später mit hohem Aufwand nachrüsten. Vorausschauende Versicherer denken deshalb nicht in isolierten Compliance-Massnahmen, sondern in skalierbaren Governance-Modellen. Genau darin liegt ein wesentlicher strategischer Hebel. |
KI-Governance ist kein Compliance-Thema. Sie ist ein strategischer Vorteil.
Es greift zu kurz, KI-Governance primär als regulatorische Last zu verstehen. In der Praxis zeigt sich das Gegenteil: Versicherer mit robuster Governance setzen KI nicht langsamer, sondern wirksamer ein. Sie schaffen die Voraussetzungen, um Anwendungen kontrolliert zu skalieren, Risiken früh zu begrenzen und gegenüber Aufsicht, Kunden und Partnern glaubwürdig aufzutreten. Gerade in einem regulierten Markt wird Governance damit zu einem Differenzierungsfaktor. Sie erhöht nicht nur die Sicherheit, sondern auch die Umsetzungsfähigkeit. Wer KI sauber steuern kann, überwindet die Pilot-Falle, bringt Anwendungen kontrolliert in die Linie und schafft die Voraussetzungen, um KI dauerhaft in die Wertschöpfung zu überführen. Die entscheidende Frage ist daher nicht mehr, ob Versicherer handeln müssen. Die Frage ist, wie konsequent sie KI-Governance heute als strategische Führungsaufgabe begreifen. |
Wie Horn & Company unterstützt
| Wir begleiten Versicherer und Finanzdienstleister bei der gezielten Einführung und produktiven Nutzung von KI, gestützt auf eine belastbare und FINMA-konforme Governance. Dabei bringen wir nicht nur ein erprobtes Playbook mit, sondern auch die Erfahrung aus der Umsetzung konkreter Use Cases, einschliesslich des Wissens, worauf es bei Risikokontrolle und hochwertigen Prozessen ankommt und wo typische Fallstricke liegen. Von der organisatorischen Verankerung und Risikosteuerung über die Erarbeitung konkreter Use Cases bis zum Reporting als Grundlage für den Aufsichtsdialog sind wir schnell einsatzbereit, arbeiten auf bestehender KI-Infrastruktur und verbinden praktische Implementierungserfahrung mit aktuellem KI-Risikoverständnis. |
Bereit, den nächsten Schritt zu gehen?
Ob erste Gedanken oder konkrete Pläne – wir hören zu, fragen nach und entwickeln gemeinsam weiter. In einem unverbindlichen Erstgespräch klären wir, wo Sie stehen und wie wir Sie unterstützen können.
Quellen
| [1] | https://www.finma.ch/de/news/2025/04/20250424-mm-umfrage-ki/ |
| [2] | https://www.finma.ch/de/~/media/finma/dokumente/dokumentencenter/myfinma/4dokumentation/finma-aufsichtsmitteilungen/20241218-finma-aufsichtsmitteilung-08-2024.pdf?sc_lang=de&hash=7563F62597DA26F0D598B72F60F431FF |
| [3] | https://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=OJ%3AL_202401689 |
| [4] | https://www.dfs.ny.gov/industry-guidance/circular-letters/cl2024-07 |
| [5] | https://www.dfs.ny.gov/industry_guidance/circular_letters/cl2019_01 |
| [6] | https://www.fca.org.uk/publication/market-studies/ms18-1-3.pdf |
| [7] | https://www.bankinfosecurity.com/autonomous-agent-hacked-mckinseys-ai-in-2-hours-a-31007 |
