Vertragsportfolio-Audit: KI prüft tausende Policen auf Compliance-Lücken

Das echte Ausmaß des Problems

Das IDD-Umsetzungsgesetz trat im Februar 2018 in Kraft. Die VAG-Reform 2016 setzte neue Anforderungen an Produktgenehmigungsprozesse (POG). Die DSGVO gilt seit Mai 2018. Jede dieser Reformen hat neue Anforderungen an Klauseltexte, Offenlegungspflichten und Vertragsgestaltung geschaffen — für Neuprodukte wurden die Texte angepasst. Was mit den Altvertragsbeständen passierte, ist eine andere Geschichte.

In der deutschen Versicherungswirtschaft wurden in den Jahren 2016 bis 2020 zwar neue Tarifgenerationen eingeführt, aber Millionen Bestandspolicen laufen weiter auf alten Vertragstexten. Eine Analyse der Zeitschrift für Versicherungswesen (2023) schätzt, dass bei mittelgroßen Versicherern 30 bis 50 Prozent des Altbestands Klauselformulierungen enthält, die nach aktueller BGH-Rechtsprechung oder aktuellen BaFin-Anforderungen nicht mehr haltbar sind.

Die Risiken sind konkret: BaFin-POG-Verstöße können nach VAG § 298 Bußgelder in Millionenhöhe nach sich ziehen. Anfechtbare Ausschlussklauseln bedeuten, dass im Schadensfall reguliert werden muss, obwohl der Vertragswortlaut etwas anderes sagt — mit entsprechendem Haftungsrisiko. Und Klauseln, die gegenüber Verbrauchern intransparent sind, können zivilrechtlich nach AGB-Recht (§§ 305 ff. BGB) als unwirksam eingestuft werden.

Das Problem: Kein mittelgroßer Versicherer hat genug juristische Kapazität, um 50.000 Altpolicen manuell durchzusehen. Es bleibt bei Stichproben — und der Hoffnung, dass die kritischen Verträge nicht genau die sind, die gezogen werden.

Mit vs. ohne KI — ein ehrlicher Vergleich

Einschätzung auf einen Blick

Zeitersparnis — niedrig (2/5) Ein Vertragsportfolio-Audit spart keine Arbeitszeit im Tagesgeschäft. Er schaltet stattdessen etwas frei, das sonst schlicht unmöglich wäre: die vollständige Prüfung eines Altbestands. Die eigentliche Arbeit — Entscheidung über Sanierungsmaßnahmen, Kommunikation mit Kunden, Anpassung von Produktdokumentationen — bleibt menschliche Aufgabe und fällt nicht weg.

Kosteneinsparung — hoch (4/5) Der Wert liegt in der Risikominimierung: BaFin-Bußgelder nach VAG § 298 können in die Millionen gehen. Prozesskosten bei systematisch anfechtbaren Ausschlussklauseln akkumulieren über viele Einzelfälle. Und eine externe Kanzlei, die 50.000 Altverträge manuell prüft, kostet je nach Umfang 400.000 Euro oder mehr. Der KI-Audit ist günstiger und umfassender.

Schnelle Umsetzung — niedrig (2/5) Das ist kein Wochenendprojekt. Die Klauseldatenbank muss aufgebaut werden, ein Regelwerk für die relevanten Compliance-Anforderungen muss juristische Qualitätsprüfung bestehen, und die Pipeline muss an die Dokumentenablage angebunden werden. Realistisch: 4 bis 9 Monate vom Beschluss bis zum ersten vollständigen Prüfdurchlauf.

ROI-Sicherheit — sehr hoch (5/5) Das ist das stärkste Argument für diesen Use Case in der gesamten Branche: Compliance ist keine Option. BaFin-POG-Pflichten nach IDD Art. 25 sind gesetzliche Anforderungen, keine Best-Practice-Empfehlungen. Die Frage ist nicht ob ein Versicherer seinen Altbestand prüfen muss — sondern wann und mit welchem Aufwand. KI macht diesen unvermeidbaren Prozess effizienter.

Skalierbarkeit — hoch (4/5) Einmal aufgebaut, läuft das System über den gesamten Altbestand — ob 5.000 oder 500.000 Verträge, der Betriebsaufwand wächst nicht proportional. Nach einer Gesetzesänderung reicht ein Regelwerk-Aktualisierung; kein vollständiger Neuaufbau. Das ist der entscheidende Unterschied zur manuellen Stichprobenprüfung.

Richtwerte — stark abhängig von Dokumentationsqualität des Altbestands, Anzahl der Produktversionen und regulatorischem Scope.

Was das System konkret macht

Schritt 1 — Vollständiger Dokumenten-Scan des Altbestands Alle Policen-Dokumente, Allgemeinen Versicherungsbedingungen (AVB) und Nachtrags-Dokumente werden in digitaler Form eingelesen. Das NLP-System extrahiert alle Klauselabschnitte und ordnet sie strukturiert in Kategorien ein: Deckungsumfang, Ausschlüsse, Obliegenheiten, Kündigungsrechte, Offenlegungspflichten, Prämienregelungen.

Schritt 2 — Regelwerk-Engine mit regulatorischem Anforderungsprofil Das Regelwerk enthält für jeden relevanten Klauseltyp die aktuell gültigen Anforderungen. Beispiele:

• IDD Art. 20 verlangt eine verständliche Produktinformationsdarstellung. Klauseln, die nach AGB-Recht intransparent formuliert sind, werden markiert.
• VAG § 23 und § 294 definieren Anforderungen an die Produktgestaltung. Veraltete Mindestlaufzeiten oder Kündigungsfristen aus der Zeit vor der VAG-Reform werden erkannt.
• BGH-Urteile zu anfechtbaren Ausschlussformulierungen (insbes. zur sog. „Beweislastumkehr” bei Ausschlussklauseln) sind als Muster hinterlegt.
• DSGVO-Konformität: Fehlen von Einwilligungsklauseln oder Hinweisen auf Betroffenenrechte in älteren Policentexten wird erkannt.

Schritt 3 — Priorisierter Sanierungsbericht Der Output ist keine endlose Liste aller Abweichungen — sondern eine nach Risikopotenzial priorisierte Sanierungsempfehlung: Welche Vertragsversionen betreffen wie viele Verträge? Wie hoch ist das Rechtsrisiko je Klauseltyp? Welche Produktgenerationen müssen als erstes überarbeitet werden?

Schritt 4 — Versionierter Compliance-Nachweis Jeder Prüfdurchlauf wird dokumentiert: Prüfdatum, eingesetztes Regelwerk, Prüfergebnis je Vertragsversion. Das ist der BaFin-taugliche Nachweis, dass eine laufende Produktüberwachung stattfindet.

Rechtliche Besonderheiten

BaFin Product Oversight Governance (POG) — IDD Art. 25, VAG § 23: Der Gesetzgeber verlangt, dass Versicherungsunternehmen ihre Produkte nicht nur bei der Zulassung, sondern laufend auf Übereinstimmung mit den Interessen der Zielkunden überwachen. Ein Altvertragsbestand, der nie systematisch auf aktuelle Anforderungen geprüft wurde, ist eine konkrete POG-Schwachstelle. Die BaFin hat in Prüfungsberichten (zuletzt 2023/2024) explizit moniert, dass Versicherer keine nachvollziehbaren POG-Dokumentationen für den Altbestand vorhalten.

VAG §§ 48c und 294 — Produktgenehmigungsprozess: Der Produktgenehmigungsprozess nach VAG gilt nicht nur für Neuprodukte, sondern auch bei wesentlichen Produktänderungen. Eine Frage, die Compliance-Teams oft unterschätzen: Was gilt als „wesentliche Änderung”? Wenn durch Gesetzesänderungen (z.B. IDD) Klauseltexte inhaltlich nicht mehr korrekt sind und weiter verwendet werden, ist das regulatorisch problematisch — auch wenn der Vertragswortlaut formal unverändert bleibt.

BGH-Rechtsprechung zu Ausschlussklauseln: Der BGH hat in mehreren Urteilen (u.a. IV ZR 225/19 zur Repräsentantenhaftung, IV ZR 264/22 zu Transparenzgeboten bei Ausschlüssen) Formulierungen für unwirksam erklärt, die in älteren Musterbedingungen noch weit verbreitet waren. Ein Versicherer, der weiß, dass solche Klauseln in seinem Bestand stecken, hat im Schadensfall ein Wissensproblem — KI-gestützte Identifikation schafft Klarheit, bevor der Schaden eintritt.

DSGVO Art. 6 — Rechtsgrundlage für den internen Audit: Die Prüfung der eigenen Altverträge auf Compliance-Tauglichkeit ist durch das berechtigte Interesse gedeckt (Art. 6 Abs. 1 lit. f). Wichtig: Die KI verarbeitet dabei Vertragstexte, nicht personenbezogene Kundendaten. Soweit die Analyse auf anonymisierten oder pseudonymisierten Vertragstexten läuft, entfällt ein Großteil der DSGVO-Komplexität.

EU AI Act — Risikoklassifizierung: Ein internes Compliance-Audit-System ohne direkte Kundenwirkung gilt nach EU AI Act als Low-Risk-System. Die Architektur (KI identifiziert Abweichungen → Jurist bewertet und entscheidet) entspricht dem Anforderungsprofil für nicht-hochriskante KI.

Konkrete Werkzeuge — was wann passt

LEVERTON Die erste Wahl für Versicherungsunternehmen mit Altbeständen in Deutschland. LEVERTON ist speziell auf deutsches Vertragsrecht und deutsche Versicherungsklauseln trainiert, bietet EU-Datenhaltung in Deutschland und ist ISO 27001 zertifiziert. Für Batch-Audits von 10.000 bis 500.000 Verträgen ausgelegt. Enterprise-Pricing auf Anfrage; wirtschaftlich ab ca. 10.000 Verträgen.

Luminance Für Versicherer mit internationalem Portfolio oder wenn die Rechtsabteilung bereits mit Luminance arbeitet: Die Plattform bietet leistungsfähige Klauselerkennung in 80+ Sprachen und kann Compliance-Monitoring als laufenden Prozess abbilden. Wichtig: Datenhosting liegt in UK (Cambridge), kein EU-Rechenzentrum — für datenschutzsensible Bestände muss das bewertet werden.

Custom LLM-Pipeline (Python + Claude API / Azure OpenAI) Für Versicherer mit eigener Data-Engineering-Kapazität und sehr spezifischen Klauseldatenbanken: Eine maßgeschneiderte Pipeline auf Basis von Claude API oder Azure OpenAI ermöglicht die vollständige Kontrolle über Regelwerk und Ausgabeformat. Vorteil: maximale Anpassungsfähigkeit, EU-Datenhaltung konfigurierbar. Nachteil: höherer Initialbauaufwand (3–5 Monate Engineering).

Microsoft 365 Copilot + Azure OpenAI Für Versicherer, die bereits in der Microsoft-Infrastruktur arbeiten: Azure OpenAI mit EU-Datenhaltung ermöglicht eine datenschutzkonforme Klauselanalyse direkt auf bestehenden Dokumentenablagen (SharePoint, Teams-Ablage). Copilot kann bei der Regelwerk-Formulierung und Report-Generierung unterstützen. Keine Out-of-the-Box-Versicherungslösung, aber anpassbar.

Kira Systems Spezialisiertes Vertragsanalyse-Tool aus dem Legal-Tech-Bereich, das auch für Versicherungsunternehmen genutzt wird. Besonders stark in der juristischen Fachsprache und in der strukturierten Extraktion aus OCR-verarbeiteten Papierdokumenten — relevant, wenn der Altbestand noch Papierpolicen enthält, die eingescannt werden müssen. Enterprise-Pricing.

Zusammenfassung: Wann welcher Ansatz

• Großes Volumen, deutsche Vertragssprache, EU-Datenschutz → LEVERTON
• Internationales Portfolio oder bereits vorhandene Luminance-Lizenz → Luminance
• Maximale Flexibilität, eigene IT-Kapazität vorhanden → Custom LLM-Pipeline
• Microsoft-Infrastruktur bereits im Einsatz → Azure OpenAI + M365
• Altbestand teilweise auf Papier → Kira Systems als ergänzendes Scan-Tool

Datenschutz und Datenhaltung

Policen-Dokumente enthalten personenbezogene Daten. Für den Portfolio-Audit gilt:

Anonymisierung als erster Schritt: Für die Klauselanalyse sind personenbezogene Daten (Name, Adresse, Versicherungsnummer) nicht erforderlich. Eine Pseudonymisierung oder Anonymisierung vor der Analyse reduziert die DSGVO-Anforderungen erheblich — aus einem komplexen AVV-Prozess wird eine rein technische Compliance-Frage.

EU-Datenhaltung: LEVERTON und Azure OpenAI bieten explizit EU-Rechenzentren. Bei Luminance ist Vorsicht geboten: UK-Hosting ist nach aktuellem Angemessenheitsbeschluss legal, aber nicht EU-äquivalent. Für DSGVO-sensible Branchen wie die Versicherungswirtschaft ist EU-Hosting die sicherere Wahl.

Auftragsverarbeitungsvertrag (AVV): Soweit personenbezogene Daten verarbeitet werden, ist ein AVV nach Art. 28 DSGVO Pflicht. LEVERTON und Luminance stellen AVVs standardmäßig bereit. Bei Custom-LLM-Pipelines über Azure OpenAI ist der Microsoft-AVV zu nutzen.

Interne Systeme vs. externe KI-Dienste: Der sicherste Ansatz für hochvolumige Audits ist ein interner Einsatz (Azure OpenAI in der eigenen Tenant-Umgebung oder LEVERTON On-Premise), bei dem keine Vertragsdaten das eigene Rechenzentrum verlassen.

Was es kostet — realistisch gerechnet

Pilotprojekt (2.000–5.000 Verträge, 3 Produktlinien):

• LEVERTON oder Custom-Pipeline: 30.000–60.000 Euro einmalig
• Interne Projektkosten (Legal, Compliance, IT): 30–50 Personentage
• Erwartung: Erste Compliance-Übersicht in 4–6 Monaten, Grundlage für Sanierungsplanung

Vollaudit (gesamter Altbestand 50.000+ Verträge):

• Tool-Kosten: 80.000–200.000 Euro je nach Anbieter und Vertragsgröße
• Interne Projektkosten: 80–150 Personentage
• Laufender Betrieb nach Erstaudit: 1–2 Personentage/Monat für Regelwerk-Pflege
• Erwartete Projektdauer: 6–12 Monate bis vollständiger Compliance-Nachweis

ROI-Beispiel: Versicherer mit 80.000 Altverträgen führt Portfolio-Audit durch. Ergebnis: 12.000 Verträge mit IDD-Offenlegungslücken, 4.500 mit potenziell anfechtbaren Ausschlussklauseln. Durch gezielte Sanierung: Vermeidung von 3 BaFin-POG-Bußgelddurchläufen (geschätzt je 500.000 Euro), Vermeidung von 50 anfechtbaren Schadensregulierungen à 15.000 Euro Mehraufwand. Kalkulatorische Risikovermeidung: 1.500.000–2.250.000 Euro. Projektkosten: 150.000–200.000 Euro.

Fünf typische Einstiegsfehler

1. Mit dem Regelwerk beginnen, ohne die Klauseldatenbank aufzubauen. Das Regelwerk kann nur so präzise sein wie die hinterlegten Klauseltypen. Wer direkt Compliance-Anforderungen formuliert, ohne vorher zu inventarisieren, welche Klauselformulierungen im eigenen Bestand überhaupt vorkommen, prüft an der Realität vorbei. Der erste Schritt ist immer: Klauseldatenbank des eigenen Altbestands erstellen.

2. Nur aktuelle Produktdokumente prüfen, nicht Altvertrags-Versionen. Der Sanierungsbedarf liegt in den Verträgen, die tatsächlich mit Kunden laufen — nicht in den aktuellen Produktdokumentationen im Intranet. Wenn alte Vertragsgenerationen aus 2009, 2012 und 2015 jeweils leicht unterschiedliche Klauselformulierungen haben, müssen alle drei Versionen separat analysiert werden.

3. Die Rechtsabteilung zu spät einbinden. Eine KI kann Abweichungen identifizieren — sie kann nicht entscheiden, ob eine Klausel tatsächlich rechtlich problematisch ist. Ohne juristischen Kontrapunkt zum Regelwerk entstehen entweder zu viele False-Positives (Alarmübermüdung) oder zu wenige Treffer (gefährliche Fehlsicherheit). Rechtsabteilung und Compliance müssen von Anfang an am Regelwerk mitarbeiten.

4. Sanierungsplanung ohne Kapazitätsplanung starten. Der Audit zeigt, wo Probleme sind. Was danach kommt — Neuformulierung von Klauseltexten, Kundenkommunikation bei Vertragsänderungen, BaFin-Meldungen — ist erheblicher Aufwand. Wer den Audit startet, ohne gleichzeitig Kapazität für die Sanierungsphase zu reservieren, produziert ein Ergebnis, das in der Schublade bleibt.

5. Regelwerk nach Erstaudit nicht fortschreiben. Gesetzgebung und BGH-Rechtsprechung entwickeln sich weiter. Ein Regelwerk, das den Stand von 2024 abbildet, ist 2026 nicht mehr vollständig. Der Audit ist kein einmaliges Ereignis — er ist der Startpunkt eines kontinuierlichen Compliance-Monitorings. Wer das System nach dem Erstdurchlauf stillstellt, hat den Hauptnutzen noch nicht realisiert.

Was mit der Einführung wirklich passiert — und was nicht

Das Komplexitätsproblem bei der Klauseldatenbank. Altvertragsbestände wachsen historisch: Fusionen, Produktübernahmen, regionalen Sondertarife. In der Praxis finden Teams bei der Klauseldatenbank-Erstellung regelmäßig Produktlinien, von denen niemand mehr weiß, dass sie noch aktiv im Bestand sind. Das ist kein Scheitern — es ist einer der wichtigsten Erkenntnisgewinne des Projekts.

Das Abstimmungsproblem zwischen Legal, Compliance und Produktmanagement. Alle drei Abteilungen haben berechtigte Interessen am Ergebnis — und unterschiedliche Vorstellungen davon, was „kritisch” bedeutet. Legal denkt in Klagrisiken, Compliance in BaFin-Kategorien, Produktmanagement in Sanierungsaufwand und Kundenauswirkung. Diese Perspektiven müssen vor dem Audit in einem gemeinsamen Priorisierungsrahmen geklärt werden, nicht danach.

Das IT-Anbindungsproblem. Altvertragsbestände liegen selten sauber strukturiert in einem System. PDF-Archive, gescannte Papierdokumente, Daten in Legacy-Systemen aus den 1990er Jahren — die Dokumentenbeschaffung ist häufig der aufwendigste Teil des Projekts. Budgetiere dafür explizit Zeit und Kapazität.

Realistischer Zeitplan mit Risikohinweisen

Häufige Einwände — und was dahintersteckt

„Wir haben bei der letzten BaFin-Prüfung kein Problem gehabt.” BaFin-Prüfungen sind Stichprobenprüfungen. Dass bisher keine Beanstandung kam, bedeutet nicht, dass kein Problem vorhanden ist — es bedeutet, dass das Problem bisher nicht gezogen wurde. Die neue Prüfungstiefe im Bereich POG, die BaFin seit 2022/2023 zeigt, deutet auf intensivere Anforderungen in den kommenden Jahren hin. Ein systematischer Nachweis ist besser als die Hoffnung auf eine weitere günstige Stichprobe.

„Unsere Altverträge sind grandfathered — die gelten nach altem Recht.” Teilweise richtig: Bestehende Vertragsrechte können unter altem Recht weitergelten. Aber: Neue Anforderungen an Transparenz und Offenlegung gelten auch für laufende Verträge, sobald eine Änderung erfolgt. Und die BaFin-POG-Anforderungen betreffen nicht nur Vertragsrecht, sondern die laufende Produktüberwachungspflicht des Unternehmens — das ist unabhängig vom Vertragsabschlussdatum.

„Wir können uns das IT-Projekt gerade nicht leisten.” Der Vergleich ist nicht IT-Projekt vs. nichts. Der Vergleich ist IT-Projekt vs. externe Kanzlei für eine manuelle Stichprobenprüfung alle zwei Jahre. Letzteres kostet bei 50.000 Verträgen mehr und liefert weniger Systematik. Außerdem: Wer das Projekt nicht startet, akkumuliert Haftungsrisiko — still, ohne Budget-Eintrag.

Woran du merkst, dass das zu dir passt

• Euer Altvertragsbestand wurde seit der IDD-Umsetzung (2018) nie systematisch auf Klausel-Compliance geprüft
• Ihr habt Produktlinien aus Fusionen oder Übernahmen übernommen, deren Vertragstexte ihr nie vollständig analysiert habt
• Euer Compliance-Team kann bei BaFin-Prüfungen keinen strukturierten POG-Nachweis für den Altbestand vorlegen
• Ihr erlebt regelmäßig Schadenfälle, bei denen der Regulierer im Nachhinein feststellt, dass eine Ausschlussklausel nicht greift — und es kein System gibt, das ähnliche Klauseln im Bestand systematisch identifiziert

Wann es sich (noch) nicht lohnt: Unter 5.000 Altverträgen ist eine manuelle Prüfung mit klar definierten Stichprobenkriterien effizienter als eine automatisierte Pipeline. Wenn der Altbestand vollständig in einem modernen System ohne Dokumentenanhänge liegt und bereits vor 2018 systematisch migriert wurde, ist der Ausgangsbefund möglicherweise besser als befürchtet — eine manuelle Stichprobe klärt das schneller.

Das kannst du heute noch tun

Exportiere aus eurem Vertragsverwaltungssystem alle aktiven Policen, die vor 2018 abgeschlossen wurden — das ist deine Baseline für den Audit. Ziehe eine Stichprobe von 20 Verträgen aus unterschiedlichen Produktlinien und prüfe sie mit folgendem Prompt auf zwei konkrete Compliance-Fragen.

Quellen & Methodik

• IDD-Umsetzungsgesetz (VersVermV 2018): Bundesgesetzblatt, Verordnung über die Versicherungsvermittlung und -beratung, BGBl. I 2018.
• BaFin-Merkblatt POG 2024: BaFin-Rundschreiben zu Product Oversight and Governance-Anforderungen nach IDD Art. 25 und VAG § 23.
• VAG §§ 23, 48c, 294: Versicherungsaufsichtsgesetz in der Fassung nach der VAG-Reform 2016 — Produktgenehmigungsprozess und laufende Produktüberwachung.
• BGH IV ZR 225/19: Urteil zur Repräsentantenhaftung und Ausschlussformulierungen in der Wohngebäudeversicherung.
• BGH IV ZR 264/22: Transparenzgebot bei Ausschlussklauseln — Anforderungen an verständliche Formulierung für Durchschnittsversicherungsnehmer.
• ZfV (Zeitschrift für Versicherungswesen) 2023: Schätzung zur Klausel-Compliance-Quote in deutschen Altvertragsbeständen.
• DSGVO Art. 6 Abs. 1 lit. f: Berechtigtes Interesse als Rechtsgrundlage für interne Vertragsbestandsanalysen.