Datensouveränität gehört zu den Begriffen, die in Vorstandsrunden viel zitiert und selten präzise definiert werden. Wer in deutschen Versicherungshäusern danach fragt, hört Antworten zu DSGVO, zu Cloud-Nutzungsrichtlinien, zu Standortklauseln. Selten hört man eine Antwort, die das Thema dort verortet, wo es eigentlich entschieden wird: in der Architektur.

Hendrik Fundermann, COO Financial & Professional Services bei der d.velop AG, formuliert genau diesen Anspruch. Datensouveränität ist für ihn eine Frage der Beherrschbarkeit. Wer welche Daten unter welchen Regeln nutzt, wo sie liegen, wie Abhängigkeiten zu Drittanbietern gesteuert werden. Mit DORA, dem EU AI Act und dem seit September 2025 wirksamen Data Act bekommt diese Frage einen regulatorischen Rahmen, der Versicherer zwingt, sie operativ zu beantworten. Im Gespräch mit dem VersicherungsTech Magazin spricht er über die Architektur dahinter und über typische Muster im Tagesgeschäft deutscher Versicherer.

Was versteht d.velop unter Datensouveränität, und warum ist es gerade jetzt so relevant?

Aus unserer Sicht bedeutet Datensouveränität mehr als der bloße Schutz personenbezogener Daten. Es geht darum, dass ein Versicherungsunternehmen jederzeit wirksam steuern kann, wo Daten liegen, wer darauf zugreifen darf, unter welchen Regeln sie verarbeitet werden und wie Abhängigkeiten zu Drittanbietern kontrolliert werden. Gerade jetzt ist das so relevant, weil mit DORA, dem EU AI Act und dem steigenden Cloud- und KI-Einsatz die Frage nicht mehr nur lautet, ob Daten geschützt sind, sondern ob ihre Nutzung, ihr Fluss und ihre Kontrolle auch unter regulatorischem Druck belastbar bleiben.

DORA verlangt seit dem 17. Januar 2025 ein umfassendes ICT-Risikomanagement einschließlich Drittparteiensteuerung, Resilienz und Governance; der EU AI Act verstärkt diese Governance-Perspektive für KI-gestützte Prozesse zusätzlich. Der Unterschied zum klassischen Datenschutz ist deshalb klar: Datenschutz fokussiert primär auf die Rechtmäßigkeit und den Schutz personenbezogener Daten. Datensouveränität geht weiter und umfasst die operative, technische und strategische Beherrschbarkeit von Datenarchitekturen, Plattformen, Schnittstellen und Dienstleisterabhängigkeiten.

Welche konkreten Herausforderungen erleben Ihre Versicherungskunden im Tagesgeschäft?

Wir sehen in der Praxis vor allem drei Muster. Erstens haben viele Versicherer historisch gewachsene Dokumenten- und Prozesslandschaften, in denen Informationen verteilt über Archive, Fachverfahren, Fileshares, E-Mails und Eingangskanäle liegen. Das erschwert Kontrolle, Transparenz und konsistente Governance.

Zweitens steigt die Abhängigkeit von externen Plattformen, Cloud-Diensten und spezialisierten Partnern, ohne dass immer sauber geklärt ist, wie Wechselbarkeit, Nachweisbarkeit und Zugriffssteuerung im Ernstfall funktionieren. Drittens wird KI inzwischen fast überall diskutiert, aber die zugrunde liegenden Daten- und Berechtigungskonzepte sind oft noch nicht auf einem Niveau, das einen wirklich souveränen Einsatz erlaubt.

Typisch ist dabei: Die Häuser haben nicht zu wenig Daten, sondern zu wenig beherrschte Datenräume. Genau dort beginnt das Problem.

„Die Häuser haben nicht zu wenig Daten, sondern zu wenig beherrschte Datenräume. Genau dort beginnt das Problem.“

Hendrik Fundermann · COO Financial & Professional Services · d.velop AG

Vom Datenschutz zur operativen Steuerung

Wie verändert der wachsende Compliance-Druck die Anforderungen an Dokumentenmanagement und Datenarchitektur?

Der Compliance-Druck verschiebt Dokumentenmanagement von einer Effizienzfrage zu einer Steuerungs- und Nachweisfrage. Versicherer müssen heute nicht nur Dokumente verwalten, sondern bestenfalls revisionssicher belegen können, wie Informationen entstehen, verarbeitet, weitergegeben, archiviert und im Krisenfall wiederhergestellt werden. DORA macht deutlich, dass ICT-Risiken, Drittparteienrisiken, Business Continuity und Nachvollziehbarkeit zusammen gedacht werden müssen; der EU AI Act verschärft diese Anforderungen, sobald KI in sensible oder regulierte Prozesse hineinwirkt.

Die größten Lücken sehen wir meist in drei Bereichen: erstens fehlende Durchgängigkeit zwischen Dokumentenwelt und Fachverfahren, zweitens zu geringe Transparenz über Daten- und Dokumentenflüsse über Systemgrenzen hinweg und drittens unzureichende Governance für externe Plattformen, KI-Komponenten und Dienstleister. Viele Versicherer sind technisch modernisierungsbereit, aber architektonisch noch nicht konsequent genug.

Viele Versicherer setzen auf Public-Cloud-Lösungen großer US-Anbieter. Inwiefern ist das mit dem Anspruch auf Datensouveränität vereinbar?

Public Cloud und Datensouveränität schließen sich nicht per se aus. Entscheidend ist nicht die Schlagwortfrage „Cloud ja oder nein“, sondern ob ein Versicherer seine Datenflüsse, Dienstleister, Verträge, Sicherheitsmechanismen und Exit-Optionen tatsächlich beherrscht. DORA verlangt genau diese integrierte Sicht auf ICT-Drittparteienrisiken. Gleichzeitig bleibt bei Transfers in Drittländer beziehungsweise bei Drittlandbezug die datenschutzrechtliche Bewertung anspruchsvoll; der EDPB hat nach Schrems II deshalb ausdrücklich auf zusätzliche Schutzmaßnahmen und eine sorgfältige Prüfung der Rechtslage und Praxis in Drittländern hingewiesen.

Unsere Empfehlung ist daher in aller Regel eine hybride und risikoadäquate Architektur: Public Cloud dort, wo Skalierung und Standardisierung sinnvoll sind, europäische oder „souveränere“ Cloud-Optionen dort, wo regulatorische oder geschäftskritische Anforderungen höher sind, und On-Prem beziehungsweise Private-Cloud-Modelle dort, wo maximale Steuerbarkeit benötigt wird. Souveränität entsteht nicht durch Ideologie, sondern durch Architekturdisziplin.

Welche Rolle spielen EU-Datenstrategie und Data Act für Versicherungsunternehmen?

Der Data Act ist für Versicherer vor allem deshalb relevant, weil er den europäischen Trend hin zu mehr Nutzbarkeit, Portabilität, Teilbarkeit und Wechselbarkeit von Daten verstärkt. Das betrifft nicht nur IoT-nahe Felder, sondern ganz grundsätzlich die Frage, wie Unternehmen Daten zugänglich machen, mit Partnern teilen und Abhängigkeiten zu Plattformen reduzieren. Seit September 2025 gilt der Data Act in der EU und stärkt unter anderem die Kontrolle von Nutzern über Daten aus vernetzten Produkten sowie die Wechselbarkeit von Cloud-Diensten.

Viele Versicherer sind darauf konzeptionell noch nicht ausreichend vorbereitet. Sie denken Datenstrategie oft noch entweder aus Datenschutzsicht oder aus analytischer Sicht. Der europäische Regulierungsrahmen verlangt inzwischen aber eine dritte Perspektive: steuerbare Datennutzung im Binnenmarkt unter klaren Governance- und Souveränitätsbedingungen.

Wie lässt sich KI-Nutzung mit Datensouveränität in Einklang bringen?

KI und Datensouveränität lassen sich sehr gut verbinden, aber nur, wenn man KI nicht als losgelöste Modellfrage versteht, sondern als Teil einer kontrollierten Daten- und Prozessarchitektur. Versicherer brauchen dafür klare Rollen- und Zugriffskonzepte, saubere Dokumentation, begrenzte und erklärbare Use Cases sowie Transparenz darüber, welche Daten in welches Modell fließen und wofür sie verwendet werden. Der EU AI Act folgt genau dieser risikobasierten Governance-Logik; parallel betont die EU-Digital-Identity- und Datenstrategie immer stärker Nutzerkontrolle, Zweckbindung und vertrauenswürdige digitale Infrastrukturen.

Versicherer müssen KI-Modelle nicht zwingend komplett selbst betreiben, um souverän zu bleiben. Aber sie müssen die entscheidenden Steuerungspunkte selbst kontrollieren: Datenzugriff, Berechtigungen, Logging, Nachweisbarkeit, Modellwahl, Betriebsmodell und Exit-Fähigkeit. Souveränität heißt nicht zwingend Eigenbetrieb. Sie heißt wirksame Beherrschbarkeit.

Viele Versicherer teilen Daten mit InsurTech-Partnern, Rückversicherern oder Vergleichsportalen. Wie behalten sie die Kontrolle?

Die Kontrolle behalten Versicherer nur dann, wenn sie Datenteilung nicht als bloße Schnittstellenfrage behandeln, sondern als Governance-Thema. Das heißt konkret: eindeutige Vertrags- und Rollenlogik, klare Zweckbindung, technische Beschränkung des Zugriffs, saubere Protokollierung und ein Architekturmodell, das jederzeit sichtbar macht, wer welche Daten auf welcher Basis erhält. DORA macht deutlich, dass Drittparteienrisiken integraler Bestandteil des ICT-Risikomanagements sein müssen; genau daran scheitert es in der Praxis oft.

Die häufigsten Fehler sind aus meiner Sicht drei: Erstens zu breite Datenfreigaben ohne klare Minimalprinzipien. Zweitens operative Abhängigkeiten, die vertraglich und architektonisch nicht ausreichend beherrscht werden. Drittens die Annahme, dass ein sauberer Vertrag automatisch schon souveräne Datensteuerung bedeutet. Das tut er nicht.

Was Versicherer priorisieren sollten

Welche technischen und organisatorischen Maßnahmen sollten Versicherer priorisieren?

Quick Wins sind meist nicht spektakulär, aber sehr wirksam: erstens Transparenz über Dokumenten- und Datenflüsse schaffen, zweitens Rollen- und Berechtigungskonzepte konsolidieren, drittens Eingangskanäle, Archive und Fachverfahren sauber miteinander verbinden und viertens Drittparteien- und Auslagerungsbeziehungen nach einheitlichen Kriterien bewerten. Organisatorisch ist entscheidend, dass Datensouveränität nicht allein beim Datenschutz oder bei der IT aufgehängt wird, sondern gemeinsam von Fachbereich, Architektur, Security, Compliance und Betriebsverantwortung getragen wird.

Langfristig geht es dann um die großen Hebel: moderne Dokumenten- und Governance-Architekturen, klar definierte hybride Betriebsmodelle, belastbare AI-Governance, Wechsel- und Exit-Fähigkeit bei Plattformen sowie eine stärkere europäische Souveränitätsstrategie bei kritischen Prozessen und Datenräumen. Der Punkt ist: Datensouveränität entsteht nicht durch ein Einzelprojekt, sondern durch ein konsequentes Betriebsmodell.

Wie unterstützt d.velop Versicherer konkret beim Thema Datensouveränität, und was unterscheidet euch von internationalen Cloud-Anbietern?

Wir unterstützen Versicherer vor allem an der Stelle, an der Datensouveränität in der Praxis entschieden wird: im Zusammenspiel von Dokumenten, Prozessen, Berechtigungen, Integrationen und Betriebsmodellen. Unsere Stärke liegt darin, dass wir Dokumenten- und Governance-Prozesse nicht isoliert betrachten, sondern als Teil einer kontrollierbaren Informationsarchitektur, mit Cloud-, Hybrid- und On-Prem-Optionen, klaren Rollenmodellen und der Anschlussfähigkeit an Fachverfahren.

Der Unterschied zu vielen internationalen Cloud-Anbietern liegt weniger in einzelnen Features als im Grundansatz: Wir kommen aus einem europäischen, regulierten Umfeld und denken Souveränität nicht als nachträgliches Add-on, sondern als Teil der Architektur. Ein konkreter Versicherungsfall ist zum Beispiel die Nutzung unserer Postbox-Lösung für die strukturierte, revisionssichere Korrespondenz mit Versicherten. Dort wird sichtbar, dass es nicht nur um Dokumentenbereitstellung geht, sondern um kontrollierte Interaktion, Zustellung, Nachweisbarkeit und perspektivisch um einen persönlichen, souveränen Interaktionsraum für natürliche Personen, auch für Agent2Agent-Lösungen.

Darüber hinaus sind wir qua Unternehmensstruktur souverän. Wir sind der einzige relevante Anbieter am Markt, der in der Eigentümerstruktur komplett unabhängig von ausländischen Investoren ist. So bestimmen wir völlig eigenständig und souverän unsere Unternehmensstrategie.

Welche Rolle spielen europäische Technologieanbieter und Initiativen wie GAIA-X für die digitale Souveränität der Versicherungsbranche?

Europäische Technologieanbieter spielen eine wichtige Rolle, weil sie oft näher an den regulatorischen, rechtlichen und betrieblichen Anforderungen europäischer Versicherer arbeiten. Das heißt nicht automatisch, dass europäisch immer besser ist. Aber es bedeutet, dass Themen wie Datenstandort, Vertragslogik, Rechtsrahmen, Interoperabilität und Kontrollierbarkeit oft anders und näher an den Bedürfnissen regulierter Häuser gedacht werden.

Initiativen wie GAIA-X sind strategisch wichtig, weil sie die Debatte von der reinen Infrastrukturfrage hin zu vertrauenswürdigen, interoperablen europäischen Daten- und Serviceökosystemen verschieben. Der praktische Erfolg hängt allerdings daran, ob daraus belastbare, anschlussfähige Lösungen entstehen. Für Versicherer ist daher weniger das Label entscheidend als die konkrete Fähigkeit, Kontrolle, Interoperabilität und Wechselbarkeit real umzusetzen.

Wo steht die Versicherungsbranche in Sachen Datensouveränität in fünf Jahren?

Wenn sich der aktuelle Trend fortsetzt, wird die Branche in fünf Jahren deutlich weiter sein als heute, aber nicht automatisch souveräner. Ich erwarte, dass viele Versicherer in der Nutzung von Cloud, KI und datengetriebenen Services deutlich reifer sein werden. Davon gehen auch große Beratungshäuser wie Gartner aus. Gleichzeitig besteht die reale Gefahr, dass sich operative und wirtschaftliche Abhängigkeiten von wenigen Plattformen weiter verfestigen, wenn Souveränität nicht bewusst mitgebaut wird. DORA, der Data Act, der EU AI Act und die europäische Identitätslogik geben der Branche eigentlich genau jetzt den Rahmen, gegenzusteuern.

Damit die Branche nicht weiter in Abhängigkeiten rutscht, braucht es aus meiner Sicht drei Dinge: erstens Architekturentscheidungen mit echter Exit-Fähigkeit, zweitens mehr europäische und hybride Betriebsoptionen bei kritischen Prozessen und drittens eine viel konsequentere Verzahnung von Datenstrategie, KI-Strategie und Governance.

Was ist Ihre wichtigste Botschaft an CTOs und CIOs von Versicherungsunternehmen?

Meine wichtigste Botschaft ist: Behandeln Sie Datensouveränität nicht als Nebenbedingung Ihrer IT-Strategie, sondern als Teil Ihres Geschäftsmodells. Wer heute Daten-, Dokumenten-, Cloud- und KI-Architektur getrennt denkt, baut neue Abhängigkeiten schneller auf, als er sie wieder loswird.

Und zweitens: Denken Sie nicht in Schwarz-Weiß-Kategorien wie „Cloud oder nicht Cloud“. Entscheidend ist, ob Sie Ihre Daten, Prozesse, Partner und Plattformen so aufstellen, dass Sie auch in drei oder fünf Jahren noch Kontrolle, Nachweisbarkeit und Handlungsfreiheit besitzen. Genau das wird über Resilienz, Innovationsfähigkeit und Wettbewerbsstärke entscheiden.