Zurück zum Blog

Datenschutz-Folgenabschätzung KI-Chat: Pflicht für Makler?

Wann ein Maklerbüro für den KI-Chat eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO braucht – und wie du sie in der Praxis durchführst.

6 min lesezeit

Braucht ein Maklerbüro eine Datenschutz-Folgenabschätzung für den KI-Chat?

In den meisten Fällen ja: Sobald ein KI-Chat sensible Gesundheits- oder Bonitätsdaten verarbeitet oder automatisiert Entscheidungen über Kunden trifft, verlangt Art. 35 DSGVO eine Datenschutz-Folgenabschätzung (DSFA), bevor die Verarbeitung beginnt. Für ein reines Kontaktformular ohne besondere Datenkategorien ist meist keine DSFA nötig – für einen KI-Chat, der etwa Vorerkrankungen im Rahmen einer BU- oder PKV-Beratung abfragt, in aller Regel schon.

Diese Unsicherheit gehört zu den häufigsten offenen Fragen, wenn Maklerbüros einen KI-Chat einführen – und sie lässt sich mit einem klaren Prüfschema in wenigen Schritten beantworten.

Was eine Datenschutz-Folgenabschätzung überhaupt ist

Eine Datenschutz-Folgenabschätzung ist ein strukturiertes Prüfverfahren, das die Risiken einer geplanten Datenverarbeitung für die Rechte und Freiheiten betroffener Personen bewertet – bevor die Verarbeitung startet, nicht danach. Sie ist in Art. 35 DSGVO verankert und immer dann verpflichtend, wenn eine Verarbeitung "voraussichtlich ein hohes Risiko" für Betroffene birgt. Anders als der Auftragsverarbeitungsvertrag (AVV), der die vertragliche Beziehung zum KI-Anbieter regelt, bewertet die DSFA das inhaltliche Risiko der Verarbeitung selbst. Welche Punkte beim AVV mit dem KI-Anbieter zu klären sind, beschreibt unser Beitrag zur AVV-Checkliste für KI-Anbieter.

Wann ein KI-Chat im Maklerbüro eine DSFA auslöst

Drei Kriterien lösen in der Praxis regelmäßig eine DSFA-Pflicht aus:

  1. Verarbeitung besonderer Kategorien personenbezogener Daten (Art. 9 DSGVO): Gesundheitsdaten sind in der Versicherungsberatung besonders relevant – etwa bei BU-, PKV-, Krankenzusatz- oder Pflegeversicherungsberatung, wo der Chat gezielt nach Vorerkrankungen oder Gesundheitszustand fragt.
  2. Systematische, umfangreiche Bewertung persönlicher Aspekte: Wenn der Chat automatisiert Risikoeinschätzungen oder Tarifempfehlungen ableitet, die ohne menschliche Prüfung an den Kunden weitergegeben werden.
  3. Neue Technologie in großem Umfang: Der Einsatz von KI-Sprachmodellen zur automatisierten Verarbeitung von Kundendaten gilt aufsichtsrechtlich grundsätzlich als Einsatz neuer Technologie mit erhöhtem Prüfbedarf.

Trifft mindestens eines dieser Kriterien zu, ist die DSFA nicht optional. Bei einem KI-Chat, der ausschließlich allgemeine Kontaktdaten und den groben Anlass abfragt (etwa "Interesse an Kfz-Versicherung"), ohne Gesundheits- oder Bonitätsdaten zu verarbeiten, ist die Schwelle dagegen oft nicht erreicht – eine dokumentierte Kurzprüfung reicht dann meist aus.

Wie eine DSFA für den KI-Chat in der Praxis abläuft

Eine vollständige DSFA für einen KI-Chat im Maklerbüro umfasst typischerweise fünf Elemente:

  1. Systematische Beschreibung der Verarbeitung: Welche Daten erhebt der Chat, wofür, und wie lange werden sie gespeichert?
  2. Bewertung der Notwendigkeit und Verhältnismäßigkeit: Werden wirklich nur die Daten erhoben, die für die Beratung nötig sind, oder fragt der Leitfaden mehr ab als erforderlich?
  3. Risikobewertung für Betroffene: Was passiert im schlimmsten Fall bei einem Datenleck oder einer Fehlverarbeitung – etwa bei versehentlich offengelegten Gesundheitsdaten?
  4. Maßnahmen zur Risikominderung: Verschlüsselung, Zugriffsbeschränkungen, Löschfristen, und die vertragliche Absicherung über den AVV mit dem KI-Anbieter.
  5. Dokumentation und Freigabe: Das Ergebnis wird schriftlich festgehalten und ist bei einer Prüfung durch die Aufsichtsbehörde vorzulegen.
SchrittKernfrageTypisches Ergebnis im Maklerkontext
Verarbeitung beschreibenWelche Daten, wofür, wie lange?Anlass, Sparte, ggf. Gesundheitsangaben, Speicherdauer laut Löschkonzept
Notwendigkeit prüfenWird nur das Nötige erhoben?Leitfaden auf tatsächlich beratungsrelevante Fragen begrenzen
Risiko bewertenWas ist der Worst Case?Offenlegung sensibler Gesundheitsdaten bei einem Sicherheitsvorfall
Maßnahmen festlegenWie wird das Risiko gesenkt?Verschlüsselung, Zugriffskonzept, AVV mit dem KI-Anbieter
DokumentierenIst alles nachvollziehbar?Schriftliche DSFA, abrufbar bei Kontrolle

Warum das Thema für Makler an Dringlichkeit gewinnt

KI-Einsatz im Versicherungsvertrieb ist längst keine Ausnahme mehr. Laut der Bitkom-Studie "Künstliche Intelligenz in Deutschland 2026" nutzen bereits 41 Prozent der Unternehmen ab 20 Beschäftigten aktiv KI-Anwendungen, weitere 48 Prozent planen den Einsatz oder befinden sich in der Diskussionsphase. Mit steigender Verbreitung steigt auch die Wahrscheinlichkeit, dass Aufsichtsbehörden gezielt nach dokumentierten Folgenabschätzungen fragen – nicht nur nach dem AVV.

Die finanzielle Dimension ist dabei kein Nebenschauplatz: Ein fehlender oder unzureichender Nachweis der erforderlichen Prüfung kann nach Art. 83 DSGVO als eigenständiger Verstoß gewertet werden, mit Bußgeldern von bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes – unabhängig davon, ob im Tagesgeschäft tatsächlich ein Schaden entstanden ist. Für ein Maklerbüro ist eine Höchststrafe zwar unwahrscheinlich, doch schon eine Beanstandung bindet Zeit und beschädigt das Vertrauen von Kunden, die sensible Gesundheits- und Finanzdaten preisgeben.

Wer im Büro die DSFA verantwortet

Die Verantwortung für die DSFA liegt beim Maklerbüro als verantwortliche Stelle, nicht beim KI-Anbieter – der Anbieter kann höchstens zuarbeiten, etwa mit technischen Angaben zur Datenverarbeitung. In der Praxis übernimmt das meist die Geschäftsführung gemeinsam mit einem Datenschutzbeauftragten, sofern einer bestellt ist. Kleinere Büros ohne eigenen Datenschutzbeauftragten sollten die Prüfung dennoch schriftlich dokumentieren, notfalls in Zusammenarbeit mit einem externen Berater – eine mündliche Einschätzung reicht im Zweifel nicht als Nachweis.

Checkliste: DSFA für den KI-Chat vorbereiten

  • Prüfen, ob der Chat Gesundheits-, Bonitäts- oder andere besondere Datenkategorien abfragt
  • Den Gesprächsleitfaden auf tatsächlich notwendige Fragen begrenzen
  • Löschfristen und Speicherorte beim KI-Anbieter klären
  • Risiken schriftlich bewerten, nicht nur im Kopf durchdenken
  • Ergebnis dokumentieren und im Zusammenspiel mit dem AVV ablegen

Mehr zu den rechtlichen Grundpflichten rund um den Einsatz von KI im Vertrieb liefert unser Beitrag zum EU AI Act im Versicherungsvertrieb 2026.

Muss die DSFA regelmäßig aktualisiert werden?

Ja. Eine Datenschutz-Folgenabschätzung ist kein einmaliges Dokument, das man ablegt und vergisst. Ändert sich der Gesprächsleitfaden des KI-Chats – etwa weil neue Sparten oder zusätzliche Gesundheitsfragen ergänzt werden – oder wechselt der KI-Anbieter im Hintergrund, muss die Bewertung erneut durchlaufen werden. In der Praxis empfiehlt sich eine jährliche Routineprüfung, unabhängig davon, ob konkrete Änderungen bekannt sind, damit die Dokumentation nicht in Vergessenheit gerät, während der Chat im Alltag längst weiterläuft.

Unterschied zur allgemeinen Verarbeitungsübersicht

Viele Maklerbüros führen bereits ein Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 DSGVO. Das reicht für die DSFA-Pflicht nicht aus: Das Verzeichnis beschreibt lediglich, welche Verarbeitungen es gibt, während die DSFA konkret bewertet, wie riskant eine einzelne Verarbeitung für die betroffene Person ist und welche Gegenmaßnahmen das Risiko senken. Ein KI-Chat kann im Verzeichnis korrekt aufgeführt sein und trotzdem ohne gültige DSFA laufen – beide Dokumente ergänzen sich, ersetzen sich aber nicht.

FAQ

Muss jedes Maklerbüro mit KI-Chat eine DSFA durchführen? Nicht zwingend jedes. Verarbeitet der Chat ausschließlich allgemeine Kontaktdaten ohne Gesundheits- oder Bonitätsangaben, reicht oft eine dokumentierte Kurzprüfung. Sobald besondere Datenkategorien oder automatisierte Bewertungen im Spiel sind, ist die DSFA nach Art. 35 DSGVO verpflichtend.

Reicht ein AVV mit dem KI-Anbieter nicht schon als Absicherung? Nein. Der AVV regelt die vertragliche Beziehung und die Pflichten des Anbieters als Auftragsverarbeiter. Die DSFA bewertet zusätzlich das inhaltliche Risiko der konkreten Verarbeitung für die betroffenen Kunden – beide Dokumente ergänzen sich, ersetzen sich aber nicht gegenseitig.

Was passiert, wenn ein Maklerbüro trotz Pflicht keine DSFA durchführt? Das fehlende Dokument gilt als eigenständiger DSGVO-Verstoß und kann bei einer Prüfung durch die Aufsichtsbehörde beanstandet werden, unabhängig davon, ob es tatsächlich zu einem Datenschutzvorfall gekommen ist. Das Nachholen einer sauberen DSFA vor dem Produktivbetrieb ist deutlich weniger aufwendig als eine nachträgliche Behebung unter behördlicher Beobachtung.


Wie ein datenschutzkonform konfigurierter KI-Chat in der Praxis aussieht, zeigt die Live-Demo auf safebird.ai – oder wirf einen Blick in unsere FAQ zu häufigen Fragen rund um KI und Datenschutz im Maklerbüro.

Datenschutz auf safebird.ai

Wir verwenden technisch notwendige Cookies für Betrieb und Sicherheit. Optionale Analyse und Performance-Messung laden wir nur mit deiner Zustimmung.

Datenschutzhinweise