Warum Schulung, Kontrolle und Compliance bei KI-Nutzung entscheidend sind!

Noch vor dem Jahreswechsel berichteten wir darüber, dass man gravierende rechtliche und Reputations-Schäden riskiert, wenn man KI-Ergebnisse ungeprüft übernimmt oder keine KI-Schulungen genossen hat. Zum Nachlesen hier klicken…

Und vorige Woche fragten wir: Wer haftet, wenn ein KI-System Fehler macht? Zum Nachlesen hier klicken…

Und heute bringen wir einen Praxistipp, den Sie beherzigen sollten, um der DSGVO Genüge zu tun und eine gewisse Absicherung zu haben, die die oben beschriebenen Haftungsprobleme im Zusammenhang von Software- und KI-Nutzung betrifft. Das soll eine neue EU-Regelung regeln. Dazu haben wir den auf Datenschutz- und Versicherungsrecht spezialisierten Rechtsanwalt Mag. Stephan Novotny befragt und mit ihm den untenstehenden Beitrag verfasst. Darin wird erläutert, was das für die Finanz- und Versicherungsbranche ganz allgemein und die Berater und Vermittler im Speziellen bedeutet.

KI im Finanz- und Versicherungsbereich: Nutzen Sie TOMs, um Risken und Haftungsfallen zu vermeiden.

Künstliche Intelligenz (KI) ist längst Alltag – auch in der Finanz- und Versicherungswelt. Ob bei der Risikobewertung, Betrugserkennung oder in der Beratung: Algorithmen steuern Prozesse, treffen Entscheidungen und beeinflussen Empfehlungen. Doch mit der wachsenden Bedeutung dieser Technologien steigen auch die Risiken. Die neue EU-Regulierung bringt klare Vorgaben, die Unternehmen und Vermittler kennen müssen.

Unsere bisherigen KI-Beiträge stießen auf reges Interesse. Wir erhielten aber als Rückmeldung, dass wir die tägliche Praxis näher beleuchten sollen. Daher fasst dieser Beitrag nochmals kurz und prägnant die wichtigsten Fakten zusammen (und verlinkt auf Beiträge, wo Sie weitere Details vorfinden) und zeigt, warum Schulung, Kontrolle und Compliance unverzichtbar sind und wie Sie Haftungsfallen vermeiden. Und erinnert als konkreten Praxis-Tipp an die TOMs, die manche womöglich seit Jahren nicht mehr überprüft und aktualisiert haben.

1.    KI-Nutzung muss gelernt sein

Seit Feber 2025 gilt: Wer KI im Beruf einsetzt, muss geschult sein. Die rechtlichen und technischen Grundlagen sind Pflichtwissen. Nicht nur für Entwickler, sondern auch für Berater und Vermittler. Denn Unwissenheit schützt nicht vor Haftung. Unternehmen müssen verpflichtende Schulungen für alle einführen, die mit KI arbeiten. Darin sollte nicht nur die Funktionsweise von KI-Systemen erklärt werden, sondern auch über deren Grenzen und Risiken aufgeklärt werden. Denn Praxisbeispiele zeigen: Fehlentscheidungen entstehen oft durch mangelndes Verständnis der Algorithmen. Eine solide Ausbildung reduziert dieses Risiko erheblich. Man lernt, was KI kann und was nicht. Welche Tools man wie einsetzen darf (nie kostenlose Tools verwenden!), welche Daten geschützt werden müssen, etc. Weitere Details hier…

2. KI-Ergebnisse niemals ungeprüft übernehmen

KI kann „halluzinieren“, also Ergebnisse erfinden, die überzeugend klingen und sogar mit Zitaten versehen sind. Wer solche Inhalte ungeprüft übernimmt, riskiert Fehlentscheidungen und rechtliche Konsequenzen. Beispiele aus der Praxis zeigen: KI kann sich täuschen oder sogar „lügen“. Deshalb gilt: Prüfen Sie jedes KI-Ergebnis kritisch, bevor Sie es verwenden. Implementieren Sie interne Kontrollmechanismen, wie Vier-Augen-Prinzip und Plausibilitätschecks. Dokumentieren Sie die Prüfung, um im Streitfall nachweisen zu können, dass Sie sorgfältig gehandelt haben. Auch das Einsetzen von KI-Verantwortlichen kann eine sinnvolle Maßnahme sein. Diese sind Ansprechpartner bei Fragen und Problemen innerhalb des Unternehmens, prüfen und managen die verwendeten Lizenzen, organisieren Schulungen, etc. Weitere Details hier…

3. Neue EU-Vorgaben: KI gilt als Produkt

Die Reform der Produkthaftungsrichtlinie ist ein Wendepunkt: Erstmals werden Software und KI ausdrücklich als Produkte behandelt. Damit gelten dieselben strengen Haftungsregeln wie für physische Waren. Ein fehlerhaftes Update oder eine falsche Datenverarbeitung kann ebenso zu Schadenersatz führen wie eine defekte Bremse im Auto. Besonders brisant: Die Haftung ist verschuldensunabhängig. Es genügt, dass ein Produkt nicht die erwartete Sicherheit bietet und dadurch ein Schaden entsteht. Für Finanz- und Versicherungsunternehmen bedeutet das: Jede KI-basierte Anwendung wird zum potenziellen Haftungsrisiko. Neben finanziellen Schäden droht auch ein massiver Vertrauensverlust bei Kunden. Wissen Sie, in welchen Ihrer Anwendungen sich KI inzwischen verbirgt? Kaum eine neue Software oder ein neues ? kommt ohne den Hinweis auf integrierte KI aus. ChatGPT und Microsoft Copilot sind bekannte Beispiele. Doch auch im Office-365-Paket, in diversen PC-Tools und sogar im verwendeten Browser: Nahezu überall wird mit neuen KI-Funktionen geworben. Doch was passiert tatsächlich, wenn Sie diese Anwendungen nutzen? Arbeiten die Systeme zuverlässig? Wohin gehen Ihre Anfragen? Nutzt man Ihre Inputs, um die KI weiter zu schulen? Weitere Details hier…

Praktisches Beispiel: Ein KI-gestütztes Beratungstool empfiehlt eine tatsächlich ungeeignete Versicherungslösung. Der Kunde erleidet dadurch einen finanziellen Nachteil. Selbst wenn der Vermittler sorgfältig gearbeitet hat, kann das Unternehmen haften, wenn die Software als Produkt mangelhaft war.

Zu beachten ist allerdings, dass reine Vermögensschäden im Rahmen der Produkthaftung weiterhin nicht ersatzfähig sind. Ersatzfähig sind gem. Art 6 Produkthaftungsrichtlinie nur Personen- und Sachschäden sowie – neu (!) – Schäden aufgrund von Vernichtung oder Beschädigung von Daten, die nicht beruflich verwendet werden. Die Mitgliedstaaten haben nun bis 09.12.2026 Zeit, die Richtlinie in nationales Recht umzusetzen.

4. Schutz vor Haftung: Nutzen Sie die TOMs

Eine wirksame Verteidigungslinie sind die „Technischen und Organisatorischen Maßnahmen“ (kurz TOMs), die uns die DSGVO auferlegt. Sie dokumentieren, dass Sie alles getan haben, um Daten zu schützen und Risiken zu minimieren. TOMs sind daher kein lästiger Mehraufwand, sondern ein Instrument, um sich vor ungerechtfertigten Schadenersatzforderungen zu schützen. Also ein Hilfsmittel, um sich „im Notfall freibeweisen“ zu können.

Zum Erinnern? Was gehört zu den TOMs? Ein paar Schlagworte: Zutritts-, Zugangs- und Zugriffskontrollen, Verschlüsselung, Backup-Strategien, klare Berechtigungskonzepte und regelmäßige Schulungen. Prüfen Sie, ob Ihre TOM-Dokumentation aktuell ist und ob die Maßnahmen tatsächlich umgesetzt werden. Wer hier nachlässig ist, riskiert hohe Strafen und Reputationsverlust. Weitere Details hier…

5. EU-Regulierung baut auf Bestehendem auf

Die EU verfolgt ein klares Prinzip: Neue Regeln bauen auf bestehenden Vorgaben auf. Wer die DSGVO ignoriert, wird auch mit NIS2, DORA oder FIDA Probleme bekommen. Für alle, die künftig weiter in der Finanz- und Versicherungsvermittlung tätig sein wollen, gilt: Neben IDD, DSGVO und MiFID müssen auch NIS2, DORA und bald FIDA umgesetzt werden. Compliance ist kein „Nice-to-have“, sondern eine Überlebensstrategie.

Praktischer Tipp: Erstellen Sie eine Compliance-Roadmap, die alle relevanten Regulierungen integriert. Schulen Sie Ihre Mitarbeiter regelmäßig und dokumentieren Sie alle Maßnahmen. So sind Sie vorbereitet, wenn neue Vorschriften in Kraft treten.

6. Checkliste: Was jetzt zu tun ist

• zwingende KI-Schulung für alle Mitarbeiter, die KI nutzen.
• Identifizieren Sie, ob bzw. wo bereits KI-Anwendungen im Unternehmen verwendet Studieren Sie deren Nutzungsbedingungen, Datenschutzerklärungen, etc.
• Einstellungen der KI-Produkte möglichst datenschutzfreundlich einstellen (auf Gratis-Versionen verzichten).
• Interne Richtlinie: Welche KI-Tools erlaubt / verboten? Keine Gratis-Versionen erlauben. Verbot, dass Mitarbeiter privat auf Firmengeräten KI nutzen.
• Aufforderung: KI-Ergebnisse müssen geprüft
• Installierung eines KI-Koordinators als 1. Ansprechpartner bei Fragen und Problemen.
• Aktualisierung der TOM-Dokumentation und Umsetzung der Maßnahmen
• Überprüfung des eigenen Versicherungsschutzes (Produkthaftpflicht, Cyber, D&O)
• Erstellung einer Compliance-Roadmap für DSGVO, NIS2, DORA, FIDA

Fazit: KI bleibt ein Motor für Innovation. Aber nur für jene, die rechtlich und organisatorisch vorbereitet sind. Schulung, kritische Prüfung von KI-Ergebnissen, Umsetzung der TOMs und Anpassung der Compliance-Systeme sind die Schlüssel, um Chancen zu nutzen und Haftungsfallen zu vermeiden. Handeln Sie jetzt, um Ihr Unternehmen zukunftssicher zu machen. Denn die EU-Richtlinien einzuhalten ist die Voraussetzung dafür, dass Sie auch künftig noch im Finanz- und Versicherungsbereich tätig sein dürfen.

Beste Grüße von Mag. Novotny und dem IVVA-Team

Beiträge zum Vertiefen:

• https://ivva.at/mag-novotny-wozu-stimmen-sie-zu-bei-nutzung-bei-nutzung-von-chatgpd-und-sonstiger-ki-nl-12-25/
• https://ivva.at/ki-einiges-bereits-verboten-fuer-rest-ist-schulung-noetig-nl-7b-25/
• https://ivva.at/traditionelle-rechtsfallen-und-neue-ki-gefahren-nl-33-25/
• https://ivva.at/ki-beruflich-nur-noch-nutzen-wenn-man-kompetent-genug-ist-nl-3-25/
• https://ivva.at/mag-novotny-praktischer-ki-einsatz-in-der-versicherungsvermittlung-nl-10-25/
• https://ivva.at/nuetzliche-muster-formulare-zur-ki-nutzung-nl-16b-25/
• https://ivva.at/dsgvo-sind-ihre-toms-noch-aktuell-nl-15-21/

https://ivva.at/nuetzliche-leitfaeden-checklisten-it-sicherheit-dsgvo-nl-6b-19/

RA Mag. Stephan Novotny, Foto: Stephan Huger

RA Mag. Stephan Novotny

1010 Wien, Landesgerichtsstraße 16/12

kanzlei@ra-novotny.at

https://www.ra-novotny.at/