KI für Versicherungsmakler 2026.
Was DSGVO-konform wirklich erlaubt ist.

Die DSGVO verbietet keine KI. Sie stellt drei Anforderungen, die sich in der Praxis als harter Filter für Provider und Architektur erweisen. Wer diese drei Regeln ignoriert, betreibt Russisch-Roulette mit Abmahnungen — und bei Versicherungsmaklern kommt die Aufsicht der BaFin als Zusatz-Risiko dazu. Dieser Artikel zeigt, worauf es 2026 ankommt und welche Setups du direkt aussortieren kannst.

Drei Regeln, die nicht verhandelbar sind

Regel 1 — Datenverarbeitung in EU oder EWR

Seit dem Schrems-II-Urteil (EuGH, 16.07.2020) ist der Datentransfer in die USA ohne zusätzliche Garantien rechtswidrig. Das EU-US Data Privacy Framework von 2023 hat das entschärft, aber Juristen raten weiterhin zur EU-Region, wo möglich. Für einen Makler-Chatbot heißt das konkret: API-Aufrufe müssen an einen europäischen Endpoint gehen — nicht an api.openai.com (US), sondern an eu.api.anthropic.com, eu.openai.azure.com oder api.mistral.ai.

Regel 2 — Auftragsverarbeitungsvertrag (Art. 28 DSGVO)

Sobald du Kundendaten (Name, Adresse, Anfrage-Inhalt) an eine KI schickst, wird der Provider zum Auftragsverarbeiter. Ein AVV ist Pflicht — formlos als E-Mail reicht nicht. Alle seriösen Provider stellen einen standardisierten AVV zum Download bereit. Wer keinen AVV anbietet, scheidet aus. Punkt.

Regel 3 — Auskunft, Berichtigung, Löschung

Deine Kunden haben Anspruch auf Auskunft, welche Daten wo gespeichert sind — und auf Löschung. Das betrifft auch die KI: Wenn ein Kunde sagt „Löschen Sie meine Daten", musst du sie auch aus Chatlogs, Embeddings-Vektordatenbanken und Trainingsdatensätzen entfernen können. Provider, bei denen deine Prompts zum Modelltraining verwendet werden (Consumer-Tarife von OpenAI, Gemini Free), können das nicht garantieren.

Welche Provider passen 2026

Nach diesen drei Regeln bleibt ein überschaubares Feld. Hier die Praxis-Bewertung nach Setups, die ich für Makler-Kunden tatsächlich gebaut habe:

Anthropic Claude via AWS Bedrock (EU-Region)

Mein Default für Makler-Chatbots. Claude läuft auf AWS Frankfurt, AWS stellt einen umfangreichen AVV („Data Processing Addendum") bereit, und Bedrock-Requests werden nicht zum Training verwendet. Performance ist bei deutschem Fach-Jargon (Haftpflicht, GKV, BU-Klauseln) deutlich besser als bei OpenAI — vermutlich bessere Trainingsdaten im Bereich Recht & Versicherung.

Azure OpenAI Service

Wenn dein Kunde schon Microsoft 365 nutzt, ist Azure OpenAI die saugmäßigste Integration. EU-Region Frankfurt oder Schweden, ausführlicher AVV über das Microsoft DPA, Prompts fließen nicht ins Training. Teurer als Claude, aber wenn die IT-Abteilung ohnehin auf Azure sitzt, spart das Koordination.

Mistral AI (Frankreich)

Der einfachste DSGVO-Case: Unternehmen sitzt in Paris, Rechenzentren in Frankreich, AVV nach französischem Recht (das gleiche wie DSGVO). Das Modell „Mistral Large" ist bei deutschem Fachvokabular etwas schwächer als Claude, aber bei einfachen FAQ-Szenarien völlig ausreichend.

Lokale Modelle (Llama 3, Mixtral, Phi-4)

Für wer ist das interessant: Kanzleien mit extrem sensiblen Daten (z. B. Rechtsanwälte, die nebenbei Versicherung vermitteln), die keinen externen Dienstleister wollen. Infrastruktur-Kosten: ab € 200 / Monat für eine brauchbare GPU-Instanz. Qualität: Llama 3 70B ist auf Deutsch überraschend gut, aber 15 – 20 % unter Claude bei Fach-Kontext.

Was du 2026 nicht nutzen solltest

• ChatGPT (Consumer-Tarif) — Prompts werden für Training verwendet, kein AVV.
• OpenAI API ohne EU-Endpoint — läuft Default in den USA.
• Google Gemini Free — Daten werden zum Training verwendet.
• Perplexity — kein Business-AVV für Deutschland verfügbar (Stand April 2026).

Der konkrete Workflow für einen Makler-Chatbot

Als Beispiel: Haftpflicht-Chatbot auf der Website. Datenfluss Schritt für Schritt:

1. Kunde tippt im Chat-Widget. Nachricht wird über TLS an deinen Server gesendet (Hetzner Nürnberg). IP wird für Rate-Limiting geloggt — nach 7 Tagen anonymisiert.
2. Dein Server ruft Claude via AWS Bedrock (Frankfurt) auf. Request enthält die Nutzer-Frage und einen System-Prompt mit deiner Fachbasis (RAG-Setup).
3. Claude antwortet innerhalb 1 – 3 Sekunden. Response wird nicht gespeichert, sondern direkt an den Nutzer zurückgegeben.
4. Ein qualifizierter Lead wird in deinem CRM (Notion, HubSpot, etc.) erstellt. Mit allen Pflichtfeldern: Einwilligungstext, Zeitstempel, Session-ID.

Wichtig: Opt-out vom Training bei Anthropic aktivieren. Das geht per Flag im API-Header und ist für Business-Accounts Default — aber prüfen schadet nicht.

Die 6-Punkte-Compliance-Checkliste

1. EU-Region konfiguriert — API-Endpoint in der EU, nicht in US.
2. AVV unterzeichnet — vom Provider, Kopie im Datenschutz-Ordner.
3. Training-Opt-out aktiv — Flag gesetzt, schriftlich bestätigt.
4. Einwilligung im Chat-Widget — Hinweis auf KI-Verarbeitung + Link zur DSE.
5. Logs anonymisiert nach 7 Tagen — Retention-Policy konfiguriert.
6. Löschprozess dokumentiert — wie du auf Art.-17-Anfragen reagierst.

Zusammengefasst

KI-Einsatz im Maklerbüro ist 2026 keine Grauzone mehr — wenn du Claude auf AWS Frankfurt, Azure OpenAI oder Mistral nutzt, AVV vorliegt und Training-Opt-out aktiv ist. Die Provider, die du vergessen kannst, sind die gratis-Consumer-Tools. Für alles andere gilt: Schriftliche Freigabe vom DSB, Dokumentation im Verfahrensverzeichnis, fertig.