Seit Februar 2025 gilt die KI-Kompetenzpflicht nach Art. 4 des EU AI Act. Seit dem gleichen Monat dokumentieren laut einer Bitkom-Umfrage gerade einmal 6 Prozent der deutschen KMU ihren KI-Einsatz schriftlich. In einem Maklerbüro mit fünf Mitarbeitern heißt das: Wahrscheinlich nutzen zwei oder drei ChatGPT und Co., oft ohne dass der Inhaber davon weiß. Eine Richtlinie existiert nicht.

Das ist kein Randproblem. Es ist eine regulatorische Lücke, die sich mit wenig Aufwand schließen lässt. Was Sie brauchen, passt auf ein DIN-A4-Blatt.

6 %
der deutschen KMU dokumentieren ihren KI-Einsatz schriftlich
Bitkom, 2025
Art. 4
EU AI Act: KI-Kompetenzpflicht gilt seit 2. Februar 2025
Art. 50
EU AI Act: Transparenzpflicht greift ab 2. August 2026

Warum eine KI-Richtlinie nicht optional ist

Drei Rechtsrahmen greifen gleichzeitig, sobald Ihr Büro KI-Tools einsetzt.

DSGVO: Jedes Tool, das Kundendaten verarbeitet, braucht einen Auftragsverarbeitungsvertrag (AVV) nach Art. 28. Ohne AVV fehlt die Rechtsgrundlage. Das Büro haftet als Verantwortlicher, nicht der Mitarbeiter, der den Prompt eingetippt hat.

EU AI Act: Art. 4 verlangt, dass alle Mitarbeiter, die KI einsetzen, über ausreichende KI-Kompetenz verfügen. Dokumentiert. Nachweisbar. Das betrifft auch ein Drei-Personen-Büro. Ab dem 2. August 2026 kommt Art. 50 hinzu: Wer KI im Kundenkontakt nutzt (Chatbots, KI-formulierte E-Mails, automatisierte Meldungen), muss Kunden darüber informieren.

IDD und §63 VVG: Die Versicherungsvertriebsrichtlinie fordert organisatorische Vorkehrungen zum Schutz von Kundeninformationen. §63 VVG macht den Makler persönlich haftbar für die Qualität seiner Beratung. Wenn eine KI-gestützte Deckungsempfehlung falsch ist, hilft es nicht, auf das Tool zu zeigen.

Eine interne KI-Richtlinie ist der einfachste Nachweis, dass Sie diese Pflichten ernst nehmen. Kein Gutachten, kein Compliance-Projekt. Ein klares Dokument, das regelt, wer was mit welchen Tools tun darf.

Fünf Bausteine, die eine KI-Richtlinie braucht

Der AfW-Bundesverband Finanzdienstleistung hat 2025 einen Praxisleitfaden KI-Governance veröffentlicht. Die folgenden fünf Bausteine orientieren sich an dessen Empfehlungen, heruntergebrochen auf die Realität eines kleinen Maklerbüros.

1. Geltungsbereich. Für wen gilt die Richtlinie? Für alle Mitarbeiter, Auszubildende und freie Mitarbeiter, die im Auftrag des Büros arbeiten. Auch auf privaten Geräten, wenn dort Kundendaten verarbeitet werden. Ein Satz reicht: „Diese Richtlinie gilt für jede Person, die im Rahmen ihrer Tätigkeit für [Firmenname] KI-Tools einsetzt."

2. Freigegebene Tools mit Einsatzzweck. Listen Sie konkret auf, welche Tools erlaubt sind und wofür. Nicht „ChatGPT ist erlaubt", sondern: „ChatGPT Team (AVV vorhanden, kein Modelltraining) für Formulierungshilfe bei internen Dokumenten und anonymisierten Recherchen. Microsoft Copilot (über bestehenden M365-Vertrag) für E-Mail-Entwürfe und Zusammenfassungen." Jedes Tool braucht einen abgeschlossenen AVV, bevor es auf die Liste kommt. Wenn Sie unsicher sind, welche Anbieter einen AVV bieten: ChatGPT Team/Enterprise, Microsoft Copilot (über M365) und Claude (über die Anthropic API mit EU-Datenresidenz-Option) gehören zu den gängigsten.

3. Verbotene Datentypen. Zwei klare Regeln. Nie in KI-Tools eingeben: Kundennamen, Geburtsdaten, Vertragsnummern, Schadensschilderungen, Gesundheitsdaten, Kontodaten. Ohne Einschränkung nutzbar: allgemeine Bedingungswerk-Fragen ohne Kundenbezug, Formulierungshilfe für Marketing-Texte, interne Prozessdokumentation, allgemeine Branchenrecherche.

1 Seite
So kurz kann eine wirksame KI-Richtlinie sein. Entscheidend ist nicht der Umfang, sondern dass sie gelebt wird. Der AfW empfiehlt: lieber kurz und verstanden als lang und in der Schublade.

4. Prüfpflicht vor Versand. Alles, was von einem KI-Tool kommt und an Kunden geht, muss ein fachkundiger Mitarbeiter prüfen. Das betrifft E-Mails, Deckungsvorschläge, Beratungsprotokolle und Schadenmeldungen. In einem kleinen Büro heißt das oft: Der Inhaber gibt frei. Das ist keine zusätzliche Bürokratie, sondern genau das, was §63 VVG ohnehin verlangt. KI ändert daran nichts.

5. Regelmäßige Überprüfung. Einmal pro Quartal, 30 Minuten. Drei Fragen: Welche Tools nutzt das Team tatsächlich (nicht nur die freigegebenen)? Haben sich AVV-Bedingungen oder Anbieter geändert? Gibt es neue Tools, die auf die Freigabeliste gehören? Dokumentieren Sie das Ergebnis mit Datum. Der AfW-Praxisleitfaden enthält eine Vorlage dafür.

Wie die Richtlinie ins Team kommt

Die häufigste Fehlerquelle ist nicht die Richtlinie selbst, sondern die Einführung. Drei Prinzipien, die in kleinen Büros funktionieren.

Zeigen, nicht verbieten. Führen Sie die Richtlinie ein, indem Sie in einer Teamrunde demonstrieren, wie ein zugelassenes Tool konkret bei einer Alltagsaufgabe hilft. Zum Beispiel: eine anonymisierte Schadenmeldung zusammenfassen lassen, eine Formulierung für ein Anschreiben prüfen. Wer sieht, dass die Richtlinie Arbeit erleichtert statt erschwert, hält sich daran.

Unterschrift statt Ablage. Jeder Mitarbeiter unterschreibt die Richtlinie. Das wirkt formaler als nötig, aber es schafft zwei Dinge: Verbindlichkeit und Nachweis. Wenn die IHK oder die Datenschutzbehörde fragt, haben Sie ein datiertes Dokument mit Unterschriften.

Kein Überwachungssystem. In einem Büro mit drei bis zehn Mitarbeitern brauchen Sie keine Software, die den KI-Einsatz überwacht. Sie brauchen eine offene Gesprächskultur, in der jemand fragt: „Darf ich diesen Text durch ChatGPT laufen lassen?" Die Antwort steht in der Richtlinie.

Was sich ab August 2026 ändert

Am 2. August 2026 greifen die Transparenzpflichten nach Art. 50 des EU AI Act. Wenn Sie KI im direkten Kundenkontakt einsetzen, müssen Sie das offenlegen. Das betrifft KI-generierte E-Mails, Chatbots auf Ihrer Webseite und automatisierte Schadenmeldungen. Bei Verstößen drohen Bußgelder bis 15 Millionen Euro oder 3 Prozent des weltweiten Jahresumsatzes.

Für die Richtlinie heißt das: Ergänzen Sie einen Abschnitt, der regelt, wie und wo Sie Kunden über den KI-Einsatz informieren. Ein Hinweis in der E-Mail-Signatur oder ein kurzer Satz im Beratungsprotokoll kann ausreichen. Die genauen Anforderungen wird die Durchführungsverordnung klären, aber wer die Richtlinie jetzt schon vorbereitet, muss im August nur einen Absatz ergänzen.

Wichtig: Die BaFin-Orientierungshilfe zu KI-Risiken (Dezember 2025) richtet sich an Kreditinstitute und Solvency-II-Versicherer. DORA nimmt Versicherungsvermittler, die KMU sind, in Art. 2 Abs. 3 lit. e ausdrücklich aus. Die KI-Aufsicht über §34d-Makler wird voraussichtlich bei den IHKs liegen. Es gelten andere Regeln, aber es gelten Regeln.

Besser kurz und gelebt als lang und ignoriert

Eine KI-Richtlinie für ein kleines Maklerbüro muss kein 20-seitiges Compliance-Dokument sein. Ein DIN-A4-Blatt mit fünf Abschnitten reicht. Entscheidend ist, dass das Dokument existiert, dass jeder es unterschrieben hat und dass einmal im Quartal jemand draufschaut, ob es noch zur Realität passt.

Wer sich nicht sicher ist, wo im eigenen Büro bereits KI-Tools im Einsatz sind und welche Lücken die Richtlinie schließen muss: Genau dafür gibt's die unabhängige KI-Potenzialanalyse. Eine Bestandsaufnahme, bevor Sie Regeln für etwas aufstellen, das Sie noch nicht vollständig überblicken. Und wer sich erst orientieren will, findet in den weiteren Ratgeber-Artikeln mehr Einordnung nach Branche.