Zum Hauptinhalt springen
4 Regelwerke, eine Doku-Logik

KI-Dokumentation für Makler: AI Act + DSGVO + GoBD im Zusammenspiel

Wer KI im Maklerbüro einsetzt, berührt vier Regelwerke gleichzeitig: KI-VO, DSGVO, GoBD und (wenn nicht KMU-befreit) DORA. Die gute Nachricht: die Dokumentations-Logik überlappt sich stark. Mit einem strukturierten Compliance-Ordner decken Sie alle vier ab.

Vier Regelwerke im Überblick

Jedes Regelwerk hat einen eigenen Fokus, aber die zugrunde- liegenden Daten sind oft identisch. Eine sauber geführte KI-Inventur deckt deshalb alle vier mit minimalem Mehraufwand ab.

RegelwerkFokusRelevante ArtikelPflicht-Dokumentation
KI-VO (Verordnung EU 2024/1689)KI-System (Risiko, Transparenz, Kompetenz)Art. 4, 26, 50, 99; Anhang IIIKI-Verzeichnis, Schulungsnachweise, Selbsteinschätzung Hochrisiko
DSGVO (Verordnung EU 2016/679)Personenbezogene DatenArt. 5, 6, 13/14, 22, 30, 32, 35, 82VVT mit KI-Einträgen, AVV, DSFA wenn Profiling, TOM-Beschreibung
GoBD (Steuerrelevante Aufzeichnungen)Revisionssicherheit, NachvollziehbarkeitBMF-Schreiben 28.11.2019Verfahrensdokumentation für KI-gestützte Buchungs-/Belegprozesse, Protokollierung
DORA (Verordnung EU 2022/2554)Digital Operational ResilienceArt. 5-15, KMU-AusnahmenIKT-Risikomanagement, Incident-Register, Drittparteien-Liste (sofern nicht KMU-befreit)

Quellen: Verordnung EU 2024/1689, DSGVO, BMF-Schreiben GoBD, Verordnung EU 2022/2554. Stand: Mai 2026.

Das KI-Verzeichnis - Herzstück der Dokumentation

Ein KI-Verzeichnis ist kein in der KI-VO ausdrücklich verlangtes Dokument - aber faktisch die einzige Möglichkeit, im Prüfungsfall belastbar Auskunft zu geben. Inhalt pro Eintrag:

  • Tool-Name (z.B. ChatGPT Enterprise, M365 Copilot)
  • Anbieter und Hauptniederlassung (DSGVO-Vertragspartner)
  • Zweck der Verarbeitung (z.B. Mail-Vorformulierung, Recherche)
  • Datenkategorien (Kundennamen, Vertragsdaten, Gesundheitsdaten?)
  • Rechtsgrundlage (Art. 6 Abs. 1 lit. b/f DSGVO)
  • Empfänger / Drittlandsübermittlung
  • Löschfristen / Aufbewahrungsdauer
  • TOM (technisch-organisatorische Maßnahmen)

Format: Excel oder Notion-Tabelle reicht völlig. Wichtig ist die Aktualität - pro neuem Tool ein Eintrag, pro stillgelegtem Tool Status "archiviert" mit Datum. Eine Vorlage inkl. Beispiel-Eintragungen liefert das Bundle unten.

Verarbeitungsverzeichnis (DSGVO Art. 30) erweitern

Das VVT ist nach Art. 30 DSGVO bereits Pflicht. Mit KI kommen Einträge dazu - oder bestehende Einträge werden erweitert. Wichtige Punkte für KI-Einträge:

  • Rechtsgrundlage: typischerweise Art. 6 Abs. 1 lit. b (Vertragsdurchführung) oder lit. f (berechtigtes Interesse). Bei Gesundheitsdaten (KV-Beratung) zusätzlich Art. 9.
  • Drittlandsübermittlung: OpenAI/Anthropic Server-Standort prüfen. EU-Region wählen wenn möglich, sonst Standardvertragsklauseln und Schrems-II- Prüfdokumentation.
  • Profiling-Hinweis: Wenn die KI Daten zu Risiko- oder Empfehlungs-Profilen verarbeitet, Art. 22 DSGVO prüfen.
  • TOM: technisch-organisatorische Maßnahmen konkret beschreiben - Zugriffsbeschränkung, Kunden-Daten-Tabu im Prompt, Schulung des Personals.

GoBD-Protokollierung: wenn KI Buchhaltungs-relevant ist

Die GoBD (Grundsätze ordnungsmäßiger Buchführung) greifen, sobald KI an Belegerfassung, Rechnungsstellung oder steuer- relevanten Aufzeichnungen mitwirkt. Drei Punkte:

  • Verfahrensdokumentation: schriftliche Beschreibung, wie der KI-gestützte Prozess abläuft - was die KI vorschlägt, wer prüft, wer freigibt.
  • Protokollierung: nachvollziehbar machen, wann welcher Beleg/Vorgang von KI bearbeitet wurde - mind. 10 Jahre Aufbewahrung.
  • Änderbarkeit: keine nachträgliche stille Manipulation von KI-Outputs in Buchungs-relevanten Belegen.

Im typischen Maklerbüro greift GoBD bei Provisionsabrechnungen und Rechnungsstellung. Wenn Ihr DATEV-Bridge-Tool oder Pool- System KI einsetzt, gehört das in die Verfahrensdokumentation.

BaFin und DORA-Verzahnung

Die BaFin ist Versicherungsvermittler-Aufsicht (IDD/MaGo). Sie prüft im Rahmen von Vor-Ort-Prüfungen und Anlassmeldungen, wie Sie Ihr Geschäft organisieren. KI-Einsatz ist potenzielles Prüfthema, weil er Beratungsqualität berührt.

DORA gilt seit Januar 2025. Versicherungsvermittler nach § 34d GewO sind grundsätzlich Adressaten, allerdings mit KMU- Erleichterung: kleine Vermittler (Bilanzsumme unter 2 Mio. EUR, weniger als 15 MA) sind weitgehend befreit von den IKT-Risikomanagement-Anforderungen.

Wenn DORA für Sie greift, kommen drei zusätzliche Themen dazu: IKT-Risikomanagement-Rahmen (Art. 5-15 DORA), Vorfall-Reporting an die nationale Aufsicht, Drittparteien- Risikomanagement (Vendor-Liste mit kritischen Cloud-Anbietern). BaFin-DORA-Seite.

Kostenloser Selbst-Check

AI-Act-Check für Versicherungsmakler

10 Fragen, 4 Minuten. Der Check zeigt dir, wo dein Maklerbüro bei KI-Verzeichnis, VVT-Erweiterung und Anhang-III-Einordnung steht — und liefert die konkreten Lücken im PDF-Report:

  • Compliance-Score 0-100 für dein Büro
  • Auswertung je Pflichtbereich (Art. 4, 50, Anhang III, DSGVO)
  • Personalisierter PDF-Report mit nächsten Schritten
AI-Act-Check starten

Personalisierter Report per Email. Updates bei regulatorischen Änderungen optional per Mail.

Weiterlesen

Pillar: EU AI Act für Makler

Überblick zu allen vier Kernpflichten.

KI-Kompetenz Art. 4

Schulungs-Nachweis als zentrales Doku-Element.

Bußgelder und Haftung

Warum Dokumentation der beste Bußgeld-Schutz ist.

Steuerberater & GoBD

GoBD-Verfahrensdokumentation in der Steuerkanzlei.

Häufige Fragen zur KI-Dokumentation

Fünf Fragen, die uns Maklerbüros beim Aufbau ihres Compliance-Ordners stellen.

Die KI-VO verlangt das nicht explizit über Art. 26-Pflichten hinaus, aber die Praxis zeigt: ein separates KI-Verzeichnis ist die einzige Möglichkeit, im Prüfungsfall Auskunft zu geben. Ohne Verzeichnis sind Sie auf Mitarbeiter-Erinnerung angewiesen. Erfahrungswert: ein Excel mit acht Spalten (Tool, Anbieter, Zweck, Daten, Risiko-Status, Aufsicht, Datum, Verantwortlich) reicht für Büros bis 15 MA völlig.

Ja, sobald KI personenbezogene Daten verarbeitet. Pro KI-Tool ein eigener VVT-Eintrag mit Zweck, Datenkategorien, Empfängern, Löschfristen, Drittlandsübermittlung (bei US-Tools relevant). Achtung Schrems-II: bei OpenAI/Anthropic US-basierte Server prüfen, ob EU-Region wählbar, ggf. Standardvertragsklauseln plus zusätzliche Schutzmaßnahmen.

Drei verschiedene Fristen: KI-VO Art. 12 verlangt für Hochrisiko-Systeme 6 Monate Logging-Aufbewahrung. GoBD verlangt für steuer- und buchhaltungsrelevante Aufzeichnungen 10 Jahre. DSGVO knüpft an den Zweck der Verarbeitung. Praxis: definieren Sie pro Tool eine Aufbewahrungsfrist im VVT, dokumentieren das nachvollziehbar, automatisieren Löschungen wenn möglich.

DORA (Digital Operational Resilience Act) ist seit Januar 2025 anwendbar. Versicherungsvermittler nach § 34d GewO sind grundsätzlich Adressaten, allerdings mit deutlicher KMU-Erleichterung: kleine Vermittler (unter 15 MA und unter 2 Mio. EUR Bilanzsumme) sind weitgehend befreit. Wenn Sie größer sind oder sensible Daten über Cloud verarbeiten, sollten Sie sich DORA anschauen - insbesondere Incident-Reporting und Drittparteien-Risikomanagement.

Mindestens: das KI-Verzeichnis, die Schulungs-Nachweise nach Art. 4, die VVT-Einträge für KI-Tools, AVV-Verträge mit Anbietern, Vendor-Briefe an Pool/Anbieter, eine schriftliche Selbsteinschätzung zur Anhang-III-Risikoklassifizierung. Bei Hochrisiko zusätzlich: Konformitätserklärung, Logging-Auszug, Vorfall-Logbuch. Sammeln Sie das in einem Compliance-Ordner, nicht verteilt über Mailpostfächer.

Hinweis zum Leistungsumfang

Das AI-Act-Compliance-Kit ist eine technisch-organisatorische Hilfestellung zur Umsetzung der KI-Kompetenzpflicht nach Art. 4 der EU-Verordnung 2024/1689 (KI-VO) und ersetzt keine Rechtsberatung. Vorlagen, Schulungsinhalte und Dokumentationen sind redaktionell sorgfältig erstellt, können aber den Einzelfall nicht ersetzen. Für eine rechtsverbindliche Bewertung Ihrer konkreten Situation empfehlen wir die Hinzuziehung einer Rechtsanwältin oder eines Rechtsanwalts mit Schwerpunkt IT- und Versicherungsrecht. Stand der Inhalte: Mai 2026, Quelle: Verordnung (EU) 2024/1689 (KI-VO).

Doku-Setup in einer Woche

Mit dem 5-Vorlagen-Bundle und dem AI-Act-Compliance-Kit haben Sie KI-Verzeichnis, VVT-Erweiterung, Vendor-Briefe und Schulungsnachweis in einem Schritt - inkl. jährlicher Aktualisierung.

Kit-Details ansehen