Viele Versicherungsunternehmen und Banken laufen seit Jahrzehnten auf Systemen, die niemand mehr vollständig versteht. COBOL-Kernbanken, proprietäre Bestandssysteme, historisch gewachsene Batch-Pipelines, die quartalsweise Reservierungsdaten produzieren — und bei denen niemand mehr sagen kann, welche Transformationslogik eigentlich hinter bestimmten Ausgabewerten steckt. Diese Systeme laufen. Meistens. Und solange sie laufen, werden sie nicht angefasst.

Bis zu dem Moment, an dem sie es müssen: Hier, an der Schnittstelle zwischen alten Systemen und modernen Anforderungen, entsteht ein wachsender Bedarf an Profilen, die beides können: die Fachtiefe des Aktuariats und die technische Kompetenz, um Migrationsprojekte, Datenintegration und neue Analyseinfrastruktur tatsächlich umzusetzen. Und mittlerweile kommt eine dritte Dimension hinzu, die dieses Spannungsfeld nochmals verschärft: der Druck, KI-Methoden einzusetzen — mit allen regulatorischen Konsequenzen, die das im europäischen Kontext bedeutet.

Das Migrationsproblem – Fachkompetenz allein reicht nicht

Migrationen von Altsystemen sind in Versicherung und Banking alles andere als eine Seltenheit — sie sind strukturelle Daueraufgabe. Jedes Mal, wenn ein Legacy-System abgelöst wird, stellen sich dieselben Fragen: Welche Berechnungslogik steckt in den alten Modulen? Wie waren die Datenfelder historisch codiert? Welche Transformationsschritte sind dokumentiert, welche nur im Wissen weniger Spezialisten gespeichert?

Eine klassische Antwort war, einen Entwickler für die Technik und Aktuare für die Fachseite zusammenzubringen — in der Hoffnung, dass die Kommunikation zwischen beiden ausreicht. In der Praxis funktioniert das selten reibungslos: Die Dokumentation fehlt, der COBOL-Code ist schwer lesbar, und die Aktuare können die technischen Fragen nicht beantworten, weil sie nie Zugang zur Implementierungsebene hatten. Nicht zu vergessen der Wissensverlust durch Verrentung: Systemlogik, die jahrzehntelang nur in den Köpfen einzelner Spezialisten lebte, geht mit deren Ausscheiden unwiederbringlich verloren.

Was in Migrationsprojekten tatsächlich hilft: Aktuare, die Daten nicht nur fachlich interpretieren, sondern auch technisch greifen — die SQL-Abfragen lesen, Transformationspipelines nachvollziehen und Abweichungen zwischen altem und neuem System systematisch analysieren können. Das geht über Spezialkompetenz hinaus und ist Voraussetzung, um in solchen Projekten wirksam zu sein.

KI als Katalysator — und als Problemverstärker

Gleichzeitig verändert KI die Erwartungshaltung an Migrationsprojekte fundamental. Sprachmodelle können COBOL-Code analysieren, kommentieren und in modernere Sprachen übersetzen. Automatische Dokumentationsgeneratoren können das Wissen aus Altsystemen zumindest teilweise extrahieren. Anomaliedetektionsmodelle können Abweichungen zwischen Altdaten und migrierten Beständen systematisch identifizieren.

Auch wenn es nach einer attraktiven Lösung klingt — es ist zunächst eine neue Komplexitätsschicht. Denn wer KI-Methoden in aktuariellen und bankaufsichtlichen Prozessen einsetzen will, bewegt sich sofort in reguliertem Terrain. Modelle müssen erklärbar sein. Entscheidungen müssen nachvollziehbar bleiben. Und die Daten, die in solche Modelle fließen — Schadendaten, Vertragsbestände, Kundenstammdaten — unterliegen der DSGVO.

Das wirft eine konkrete Frage auf, die in vielen Unternehmen noch nicht beantwortet ist: Welcher KI-Anbieter darf diese Daten überhaupt verarbeiten?

Das DSGVO-Problem: Drei Sektoren, ein strukturelles Dilemma

Die leistungsfähigsten KI-Modelle werden von US-amerikanischen Unternehmen betrieben — OpenAI, Anthropic, Google, Meta. Sie sind technisch ausgereift, gut dokumentiert und breit verfügbar. Und sie stellen Compliance-Teams vor ein strukturelles Problem, das über die Wahl des Rechenzentrums hinausgeht.

Der US CLOUD Act erlaubt amerikanischen Behörden, auf Daten zuzugreifen, die von US-Unternehmen verwaltet werden — unabhängig davon, ob diese Daten auf europäischen Servern liegen.[¹] Ein EU-Rechenzentrum allein schafft keine DSGVO-Sicherheit, wenn der Betreiber amerikanischem Recht unterliegt. Die Wahl der Server-Region ändert nichts an der Jurisdiktion des Anbieters.[¹¹]

Was auf den ersten Blick wie ein Nischenproblem wirkt, betrifft in Wirklichkeit drei der größten regulierten Sektoren in Europa — und alle drei aus demselben Grund:

Öffentliche Verwaltung und Strafverfolgung haben keine Wahl. Sicherheitsbehörden wie Polizei und Verfassungsschutz arbeiten mit hochsensiblen Daten, die per Gesetz nicht in externe Clouds ausgelagert werden dürfen. On-Premise ist hier keine Präferenz, sondern rechtliche Pflicht. KI-Projekte in Behörden sind deshalb von Anfang an auf souveräne, lokal betriebene Infrastruktur angewiesen — unabhängig davon, wie leistungsfähig kommerzielle Cloud-Angebote wären.

Versicherungsunternehmen stehen in einem strukturell ähnlichen Umfeld. Kundendaten, Schadenshistorien, Gesundheitsinformationen und versicherungsmathematische Grundlagen fallen unter strenge Datenschutzvorgaben. Solvency II verlangt auditierbare, nachvollziehbare Modelle.[²] Die BaFin erwartet, dass Risikoprozesse erklärbar und kontrollierbar bleiben.[³] Auch hier ist der Einsatz eines extern gehosteten, intransparenten Modells regulatorisch schwer begründbar.

Banken sind durch MaRisk,[⁴] DORA[⁵] und die laufende Umsetzung des EU AI Acts[⁶] ähnlich eingegrenzt. Kritische Systeme müssen resilient, prüfbar und ausfallsicher sein — Anforderungen, die mit einer Abhängigkeit von US-Hyperscalern strukturell kollidieren.

Das Muster ist dasselbe: Alle drei Sektoren brauchen KI — aber in allen drei gilt, dass Daten, Modelle und Infrastruktur unter eigener Kontrolle bleiben müssen. Der bequeme Weg über kommerzielle APIs scheidet aus.

Die naheliegende Alternative ist Self-Hosting: HuggingFace stellt tausende Modelle bereit, viele davon offen lizenziert und lokal ausführbar. Das klingt nach Ausweg — bis man die Infrastrukturfrage stellt. Leistungsfähige Sprachmodelle brauchen GPUs, und GPUs brauchen Rechenzentrum, Betrieb, Wartung und IT-Personal, das das alles verantwortet. Was als kostengünstige Open-Source-Lösung beginnt, endet als internes Infrastrukturprojekt mit erheblichem Aufwand.[¹²] Günstig wird es nicht. Einfach wird es nicht. Und genau das ist der Punkt: Die Marktlücke ist nicht nur die fehlende europäische Modellalternative — es fehlt das vollständige, compliance-fähige Gesamtpaket aus Modell, Hosting, Support und rechtlicher Absicherung, das regulierte Organisationen tatsächlich einsetzen können.

Dass dieses Thema längst Führungsebene erreicht hat, zeigt eine aktuelle Gartner-Erhebung: 61 % der CIOs in Westeuropa planen, ihre Abhängigkeit von nicht-europäischen Cloud-Anbietern zu reduzieren — getrieben von Souveränitätsbedenken und regulatorischem Druck.[¹³] Das ist kein Nischenphänomen, sondern ein struktureller Marktumbau.

Ernstzunehmende europäische Alternativen existieren, decken den Bedarf aber nicht annähernd ab. Mistral AI aus Frankreich bietet die derzeit stärksten Modelle mit EU-nativem Hosting und unterliegt nicht dem CLOUD Act — für den API-Betrieb im Unternehmenskontext eine solide Option, auch wenn Detailfragen projektspezifisch zu klären bleiben.[⁷] Aleph Alpha aus Heidelberg fokussiert sich mit seiner PhariaAI-Plattform auf souveräne, erklärbare KI für Unternehmen und Behörden — mit BSI-C5-Zertifizierung und vollständig deutschem Rechtsrahmen, aber mit Abstrichen bei der Modellstärke.[⁸] Beide zusammen schließen die Lücke nicht.

Frankreich hat im Februar 2025 Investitionen von 109 Milliarden Euro in KI-Infrastruktur angekündigt.[⁹] Auch Deutschland hat reagiert: Die Bundesregierung plant bis 2030 eine Verdopplung der Rechenzentrumskapazität und ein 100.000-GPU-Programm.[¹⁴] Dass gleichzeitig 70 Prozent aller deutschen Cloud-Daten bei US-amerikanischen Anbietern liegen — das räumte ein CDU-Abgeordneter im Bundestag selbst ein.[¹⁵] Investitionsversprechen sind keine fertigen Produkte. Der Abstand zwischen Ankündigung und Realität bleibt das eigentliche Problem.

Was das für das Aktuar-Profil bedeutet

In diesem Umfeld verschieben sich die Anforderungen an Aktuare deutlich. Gefragt sind Profile, die drei Dinge zusammenbringen: die fachliche Tiefe für Reservierung, Risikomodelle und regulatorische Anforderungen; die technische Kompetenz für Migrationen, Datenpipelines und moderne Analyseinfrastruktur; und ein realistisches Bild davon, wo KI-Methoden im regulierten Umfeld einsetzbar sind — und wo nicht.

Das letzte Punkt ist dabei vielleicht das seltenste. Technischen Enthusiasmus für KI gibt es genug. Was fehlt, sind Fachleute, die den Einsatz von KI im Kontext von DSGVO, BaFin-Anforderungen und Solvency II nüchtern einschätzen können — und die wissen, welche Methoden sich für welche Anwendungsfälle unter welchen Bedingungen eignen.

Die Perspektive der Deutschen Aktuarvereinigung

Die DAV hat auf diesen Wandel reagiert. Mit der Spezialisierung „Aktuar Data Science“ (ADS) wurde ein formaler Rahmen geschaffen, der Data-Science-Methoden in den aktuariellen Qualifikationsweg integriert.[¹⁰] Das Curriculum umfasst unter anderem maschinelles Lernen, Python-basierte Analyse und Erklärbarkeit von Modellen im regulierten Umfeld.

Das ist kein Zufall. Die DAV beobachtet seit Jahren, dass Unternehmen zunehmend Profile suchen, die Aktuariat und moderne Datenanalyse verbinden — und dass klassisch ausgebildete Aktuare ohne technische Weiterentwicklung in Migrationsprojekten und KI-Initiativen an Grenzen stoßen.

Fazit

Data-Science-Kompetenz ersetzt das klassische Aktuar-Handwerk nicht — sie erweitert es in eine Richtung, die der Markt dringend braucht. Migrationen von Altsystemen sind keine rein technische Aufgabe. KI-Einsatz im regulierten Umfeld ist keine rein rechtliche Frage. Und die DSGVO-konforme Nutzung leistungsfähiger Modelle ist ein strukturell ungelöstes Problem — nicht für eine Branche, sondern für alle, die mit sensiblen Daten arbeiten und Entscheidungen verantworten.

Profile, die an dieser Schnittstelle arbeiten können, sind selten. Der Bedarf ist groß.

Quellen

[¹] Clarifying Lawful Overseas Use of Data Act (CLOUD Act), U.S. Congress, 2018 — Volltext

[²] Europäische Kommission: Solvency II Directive (2009/138/EG), konsolidierte Fassung — EUR-Lex

[³] BaFin: Rundschreiben 11/2010 (VA) — Aufsichtsrechtliche Mindestanforderungen an das Risikomanagement (MaRisk VA) — BaFin

[⁴] BaFin: Rundschreiben 10/2021 (BA) — Mindestanforderungen an das Risikomanagement (MaRisk) — BaFin

[⁵] Verordnung (EU) 2022/2554 — Digital Operational Resilience Act (DORA), in Kraft seit Januar 2025 — EUR-Lex

[⁶] Verordnung (EU) 2024/1689 — EU AI Act, verabschiedet August 2024, stufenweise Anwendung bis 2026 — EUR-Lex

[⁷] WAIMAKERS: Mistral AI GDPR Compliance Guide, März 2026 — waimakers.com

[⁸] Aleph Alpha: PhariaAI — Sovereign Full Stack AI Suite — aleph-alpha.com

[⁹] AI Action Summit Paris, Februar 2025: Frankreich kündigt 109 Mrd. Euro KI-Investitionen an — reuters.com

[¹⁰] Deutsche Aktuarvereinigung (DAV): Spezialisierung Aktuar Data Science (ADS) — aktuar.de

[¹¹] Lyceum Technology: EU Data Residency for AI Infrastructure, Februar 2026 — „A common misconception is that using a European region of a US-based hyperscaler satisfies residency requirements. It does not.“ — lyceum.technology

[¹²] Tech Monitor / Western Digital (Nigel Edwards): How EU regulations are reshaping firms‘ AI infrastructure strategies, Dezember 2025 — techmonitor.ai

[¹³] Gartner CIO & IT Leader Survey 2025, zitiert in: Scalefocus, Why Sovereign AI Is Europe’s Next Industrial Revolution — scalefocus.com

[¹⁴] CDU: Zukunftstechnik — Deutschland muss wieder vorangehen, Oktober 2025 — KI-Offensive mit 100.000-GPU-Programm (AI2510 Gigafactory); Digitalminister Wildberger: Rechenzentrumskapazität bis 2030 verdoppeln — cdu.de

[¹⁵] Deutscher Bundestag, Haushaltsberatung BMDS, September 2025 — Ralph Brinkhaus (CDU/CSU): „70 Prozent aller Cloud-Daten liegen bei US-amerikanischen Anbietern“ — bundestag.de