Versicherungen und Finanzdienstleister gehören zu den ersten echten Anwendern von KI-Systemen im unternehmerischen Alltag. Doch was heißt das praktisch, wie geht man mit der Verlagerung von Arbeitsschwerpunkten um und was ist mit der großen Macht amerikanischer Konzerne in dem Bereich? Johannes Rath vom deutschen Versicherer Signal Iduna, der als Vorstandsmitglied „Kunde, Service & Transformation“ neben der Betriebsorganisation auch für den Bereich Digitalisierung zuständig ist, spricht im Interview mit heise online über die praktische KI-Verwendung bei einem solchen Konzern – und die Bedenken der Mitarbeiter.

heise online: Lassen Sie uns mit dem Elefanten im Raum anfangen: Trump, Zölle, geopolitische Risiken. Ihr Unternehmen nutzt für seine internen KI-Dienste Google Gemini sowie Google Cloud. Der Internetriese ist bekanntlich eine US-Firma – macht Ihnen das Sorgen?

Johannes Rath: Nein. Wir haben von Anfang an – in der Partnerschaft und in der Art, wie wir Googles Dienste nutzen – sehr viel Wert darauf gelegt, dass alles kompromisslos auf dem hohen Regulierungsniveau unserer Branche stattfindet.

Zum Beispiel: Es gibt keinen Zugriff auf personenbezogene Kundendaten. Die KI-Lösungen basieren ausschließlich auf internen, pseudonymisierten Daten, die sicher innerhalb unserer technischen Infrastruktur verarbeitet werden. Wir sind strategischer Partner von Google Cloud – so wie etwa auch die der Deutsche Bank oder die Deutsche Telekom. Daher gibt es für mich auch keinen Elefanten im Raum.

Was macht eine Versicherung wie Signal Iduna konkret mit Google Cloud?

Google ist unser Transformationspartner im Sinne unserer Cloud-Strategie. Wir migrieren eine Reihe von Anwendungen in die Google Cloud. Inhaltlich sind wir inmitten zweier großer Themen – einmal horizontal und einmal vertikal.

Horizontal heißt: Im Oktober 2025 haben wir als eines der ersten Unternehmen in Europa für unsere gesamte Unternehmensgruppe Googles Gemini Enterprise eingeführt. Das heißt, jeder Mitarbeitende arbeitet nun zentral mit der KI-Plattform und wird auch in die Lage versetzt, eigenständig KI-Agenten zu entwickeln, die dann auch in der gesamten Organisation zum Einsatz kommen können.

Vertikal heißt: Wir haben schon im Jahr 2023 in der Krankenversicherung angefangen, einen sehr spezifischen Agenten aufzubauen.

Zunächst intern?

Genau, für unsere Belegschaft. Hintergrund: Es gab in den letzten Jahren eine hohe Steigerung von Leistungsabrechnungen in der Krankenversicherung. Sowas führt natürlich auch zu einem entsprechend erhöhten Serviceaufkommen bei den Versicherungen. Was daran am meisten Geld und Nerven kostete, war das Suchen und Warten: Kundinnen und Kunden hingen dann zum Beispiel immer länger in der Warteschleife. Und landeten vielleicht noch bei jemandem, der das Anliegen nicht vollständig lösen konnte. Bei hunderten verschiedenen Versicherungstarifen und tausenden Vertragsdokumenten kann das passieren.

Darum haben wir begonnen, einen eigenen Agenten mit unseren Krankenversicherungsdaten zu entwickeln und trainieren – über alle 600 Tarife hinweg. Das war enorme Arbeit, weil es auch um die Input-Qualität der Daten ging. Wir haben beispielsweise noch Tarife aus den Siebzigerjahren, die zwar als gescannte PDF vorliegen, aber maschinell nicht lesbar sind – und diese Tarife möchten Menschen heute noch behalten. Die Datenqualität der Scans war teilweise so schlecht, dass wir entschieden haben, Studierende zu engagieren, die die ältesten PDFs abgeschrieben haben.

Was bringt ein solcher Wissensagent für die Krankenversicherung überhaupt messbar?

Nachdem der Agent in die Anwendung gebracht wurde, reduzierte sich die Weiterleitungsrate – von einem Kundendienstmitarbeiter zum nächsten – von 27 Prozent auf 3 Prozent. Gleichzeitig ist die Bearbeitungsgeschwindigkeit um 37 Prozent gestiegen.

Die Ergebnisse waren richtig spürbar: Unser Net Promoter Score, eine Messgröße für die Kundenzufriedenheit, haben wir in dieser Phase Zeit verdoppelt. Das war das erste Mal, dass wir bei einem vertikalen Thema so einen deutlichen Effekt gesehen haben.

Und sind die Ergebnisse des Agenten zuverlässig – oder sehen Sie auch Halluzinationen?

Wir haben mittlerweile eine sehr gute Antwortqualität erreicht. Es bleibt wichtig, dass unsere eigenen Mitarbeitenden den Agenten trainieren und wir die Antwortqualität kontinuierlich verbessern.

Wie hoch ist die tatsächlich?

Mittlerweile bei mehr als 85 Prozent über alle Anfragen (einfach und komplex) hinweg. Wir haben stets einen „Human in the Loop“ im Prozess – also ein Mitarbeiter überprüft die Antwort der KI.

Interessant ist: Ohne den KI-Agenten ist die Antwortqualität bei sehr spezifischen Fragen oft noch deutlich schlechter – da sucht jemand gern auch mal 15 Minuten.

Unser Fazit: Künstliche Intelligenz übernimmt zunehmend Tätigkeiten, aber ersetzt nicht den Menschen selbst. Entscheidend bleiben weiterhin Erfahrung, Verantwortung und Urteilsvermögen. Und gerade in unserem Bereich: Fingerspitzengefühl und Ansprechbarkeit.

Sieht der Kunde schon etwas von der KI?

Nein. Den Agenten nutzen aktuell unsere Mitarbeitenden, um schneller Fragen zu beantworten, die Kundinnen und Kunden stellen.

Es geht also dann um Tarifdetails in ihren Verträgen? Also beispielsweise: „Wie viele Stunden Psychotherapie sind in meinem Tarif enthalten“?

Meist ist es komplizierter, aber ja. Normalerweise müssen Menschen dafür quer durch Dokumente suchen – das ist aufwendig und kostet Zeit, gerade bei komplexen Themen.

Kommen wir zum Thema Claims, also den Ansprüchen an einen Versicherer. Nutzen Sie KI schon für die Entscheidung im Schadensfall?

KI ist bereits heute integraler Bestandteil unserer Schadenregulierung. So setzen wir KI unterstützend in der Schadensaufnahme, -bearbeitung oder Betrugserkennung ein. Unser KI-Assistent liefert die datenbasierte Grundlage, der Mensch trifft die finale Entscheidung.

Für dieses Jahr haben wir uns das klare Ziel gesetzt, die KI-Integration weiter voranzutreiben auf dem Weg zu unserer langfristigen Vision: der ‚Zero-Touch Claim‘ mit einer vollautomatisierten Schadenabwicklung für das Service-Erlebnis in Echtzeit.

Stichwort Input – wo hakt es denn beispielsweise bei Rechnungen, die die Kunden einreichen?

Versicherung ist ein papierintensives Geschäft. Aber: Bei uns kommen mittlerweile mehr als 60 Prozent der Krankenversicherungsrechnungen digital rein. Die Input-Qualität entscheidet: Entweder läuft der Prozess anstandslos automatisiert durch oder es muss manuell nacherfasst werden. In Deutschland gibt es keinen Standard, wie eine Krankenversicherungsrechnung auszusehen hat. Wenn etwas manuell nacherfasst werden muss, dauert es länger: Dann ist ein Vorgang nicht an einem Tag abgeschlossen, sondern eher in einer Woche.

Liegt das auch schlicht an schlechten Scans?

Eher an der Unterschiedlichkeit der Dokumente. Deswegen haben wir für die bessere Input-Qualität KI nach vorn gesetzt. Entscheidend ist: Je besser die Datenqualität, desto besser laufen die KI-Agenten. In diesem Bereich steckt aus meiner Sicht noch sehr viel Potenzial.

Vertrieb ist für Versicherungen wichtig. Nutzen Sie KI auch dafür, passende Tarife zu finden?

Ja – der gesamte Vertrieb kann seit Beginn unsere KI-Lösungen nutzen. So können sich Vermittler mit diesen Tools besser auf Kundengespräche vorbereiten oder Tarifvergleiche anfertigen – wie zum Beispiel bei der Einführung unseres neuen Krankenversicherungs-Produktes. Wir reduzieren mit KI also Vorbereitungszeiten, damit sich unsere Vermittler um den Kunden kümmern können.

KI kann nicht nur Dokumente. Haben Sie Sprachgenerierungssysteme auf Kundenseite im Einsatz?

Wir machen gerade die ersten Proof-of-Concept-Fälle. Das halte ich für eines der spannendsten Produkte für die Versicherungs- und Finanzindustrie.

Proof of Concept ist ein wichtiges Stichwort. Bei KI wird viel experimentiert, was auch teuer ist. Die Frage ist dann, was letztlich an Anwendungsfällen im Alltag einer Firma bleibt.

Es wird viel über Use Cases geredet. Ich glaube, entscheidend ist aber tatsächlich der „Use“. Unser Ansatz ist: First Use, then Case. Das ist meiner Meinung nach die richtige Verwendung von KI in Unternehmen. Die KI-Plattform der Signal Iduna auf Basis von Gemini Enterprise haben wir „Co SI“ genannt. Unsere Mitarbeitenden können es auch nutzen, um E-Mails zusammenzufassen, Fragen zu beantworten – wie man ein GPT eben nutzt.

Das heißt – jemand muss jetzt erstmal im Unternehmen ständig schauen, was die Leute mit KI machen?

Genau. Wir beobachten, um zu verstehen, wie Mitarbeitenden diese Technologie nutzen. Das ist recht faszinierend, denn daraus entstehen die Cases, die wir später skaliert umsetzen. Hierfür haben wir über 110 „KI-Champions“ etabliert, die dezentral dabei helfen, KI zu nutzen und die richtigen Cases zu identifizieren. Man muss der Organisation also die Möglichkeit geben, KI-Fähigkeiten aufzubauen, ihren Wert zu erkennen und dann gezielt KI-Agenten zu bauen.

Dabei achten wir darauf, dass KI in der Breite genutzt wird – bevor aber ein KI-Agent entwickelt und skaliert wird, muss ein entsprechender Business Case vorliegen.

Sehen Sie in Ihrer Belegschaft auch Angst vor KI? Also dass Beschäftigte denken, dass man ihnen den Job wegnimmt?

In den kommenden zehn Jahren werden unser Unternehmen rund 30 Prozent der Mitarbeitenden altersbedingt verlassen. Wir sind demnach angehalten, zu handeln. Und das kommunizieren wir aktiv in unserer Belegschaft. Gleichzeitig haben wir eine Betriebsvereinbarung geschlossen, die bis Ende 2028 zusichert, dass wir keine betriebsbedingten Kündigungen in Verbindung mit der Implementierung von generativer KI aussprechen werden.

Um bei praktischen Anwendungen zu bleiben – welche KI-Agenten wollen Sie bauen?

Vertikal werden wir weitere „Spartenagenten“ bauen – in den Bereichen Krankenversicherung oder Autoversicherung beispielsweise – also dort, wo wir sehr spezifisch arbeiten. Und wir werden KI-Agenten bauen, die Friktion aus dem System nehmen: kleine Agenten, die die Arbeit insgesamt effizienter machen – zum Beispiel dort, wo Bürokratie Reibung erzeugt. Bei mühsamen und lästigen Aufgaben reduzieren wir mit aller Entschiedenheit. Also: Vertikales Wissen aufbauen und verbreiten – und horizontale Friktion abbauen.

Als letzte Frage – wo nutzen Sie persönlich KI, beruflich und privat?

Ich probiere immer wieder Produkte aus, um ein Gefühl dafür zu bekommen, wie KI funktioniert. Darunter natürlich Gemini, aber auch Perplexity und You.com. Aber ich nutze auch Eleven Labs, um besser zu verstehen, wie KI in Zukunft das Thema „Voice“ besetzen wird.

(bsc)

Klein ist sie, die Mini SSD: Sie misst gerade einmal 17 × 15 mm, etwa anderthalb mal so viel wie eine MicroSD-Karte. Bei der Geschwindigkeit orientiert sie sich jedoch an den ersten M.2-SSDs mit PCIe 3.0: Rund 3,5 GByte/s soll die SSD in der Spitze beim Lesen schaffen, beim Schreiben etwas weniger.

Noch gibt es kein Gerät mit einem passenden Steckplatz im Handel. Biwin zeigte die SSD auf der Elektronikmesse CES im Januar mit einem Vorserienmodell des Gaming-Tablets OneXPlayer und gab der SSD dort auch einen Namen: CL100. Es sollen Versionen mit 512 GByte sowie 1 und 2 TByte erscheinen. Für den Test lieferte Biwin einen USB4-Reader mit.

Alle Kontakte der SSD liegen auf der Unterseite, damit erinnert sie an eine übliche SIM-Karte. Der Reader führt das Design fort: Die SSD passt in eine kleine Schublade, die man mit dem bekannten SIM-Karten-Werkzeug oder einer aufgebogenen Büroklammer aus dem Reader herausschiebt.

Das war die Leseprobe unseres heise-Plus-Artikels „Biwin Mini SSD im Test: Schneller Flash-Speicher im Kleinstformat“.
Mit einem heise-Plus-Abo können Sie den ganzen Artikel lesen.

Eine minderjährige Schülerin kann einen juristischen Erfolg gegen die Microsoft Corporation verbuchen: Die österreichische Datenschutzbehörde hat einer Beschwerde des Kindes aus dem Jahr 2024 stattgegeben. Anlass ist, dass Microsoft in der von der Schule für die Kinder gemieteten Software Microsoft 365 Education personenbezogene Cookies platziert. Diese Cookies könnten dazu genutzt werden, das Online-Verhalten der Kinder für Werbezwecke zu verfolgen. Die Speicherung erfolgt ohne Zustimmung, was laut Datenschutzbehörde rechtswidrig ist. Das österreichische Bildungsministerium und die Schule wollen von der Datenernte nichts gewusst haben.

„Laut Microsofts eigener Dokumentation analysieren (die Cookies) das Nutzungsverhalten, sammeln Browserdaten und werden für Werbung verwendet”, schildert die Datenschutzorganisation Noyb, welche die Schülerin im Verfahren vertreten hat. Microsoft hingegen hat im Verfahren argumentiert, die Cookies bloß pseudonymisiert für statistische Zwecke auszuwerten. Und dafür seien die Cookies technisch notwendig.

Tatsächlich erfolgt die Pseudonymisierung erst, nachdem die personenbezogenen Daten zu Microsoft gelangt sind. Und diese Datenübertragung fällt laut Bescheid unter die Datenschutzgrundverordnung (DSGVO), unabhängig von etwaiger nachfolgender Pseudonymisierung. Und dass die Cookies für Reichweitenmessungen erforderlich seien, spiele keine Rolle, weil Reichweitenmessungen selbst nicht notwendig sind.

Somit stellt die Behörde fest, dass die Microsoft Corporation „gegen die Rechtmäßigkeit der Verarbeitung sowie den Grundsatz der Rechtmäßigkeit und Treu und Glauben verstoßen hat, indem sie ohne erforderlichen Erlaubnistatbestand des Art 6 Abs 1 DSGVO personenbezogene Daten der Beschwerdeführerin im Zusammenhang mit dem Einsatz von Cookies beim Produkt ‚Microsoft 365 Education‛ verarbeitet hat.” Das bedeutet, dass Microsoft keine Zustimmung eingeholt hat und sich auch auf keine andere Rechtsgrundlage für die Verarbeitung der personenbezogenen Daten stützen kann.

Umprogrammieren oder Rechtsmittel

Daher trägt die Datenschutzbehörde Microsoft auf, ihr rechtswidriges Verhalten einzustellen. Konkret soll sie „den Einsatz technisch nicht notwendiger Cookies unterlassen, sofern hierfür kein geeigneter Erlaubnistatbestand (Einwilligung) vorliegt und dadurch personenbezogene Daten der Beschwerdeführerin verarbeitet werden. Als technisch nicht erforderlich gelten jedenfalls die Cookies MC1, FPC, MSFPC, MicrosoftApplicationsTelemetryDeviceId und ai-session.”

Microsoft akzeptiert das nicht. Es meint nach wie vor, alle notwendigen Datenschutzvorgaben einzuhalten. „Microsoft 365 for Education erfüllt alle vorgeschriebenen Datenschutzstandards, Bildungseinrichtungen können es weiter unter Einhaltung der DSGVO einsetzen“, sagte eine Sprecherin zu heise online. Ob Microsoft die Cookies umprogrammieren oder Rechtsmittel ergreifen wird, ist demnach noch nicht entschieden. Für beides hat Microsoft vier Wochen Zeit, gerechnet ab Zustellung des am 21. Jänner erlassenen Bescheides (GZ 2025-0.768.263, D135.026).

Ausrede auf „kundenorientiertes Marketing” zieht nicht

Vergebens hat Microsoft versucht, sich dem österreichischen Verfahren zu entziehen. Einerseits brachte der Konzern vor, für die Datenverarbeitung gar nicht verantwortlich zu sein. Er sei lediglich (Unter-)Auftragnehmer österreichischer Bildungseinrichtungen. Doch geriet Microsofts Eigenmarketing zum Bumerang: Demnach dienen die mit Microsoft 365 Education geernteten Daten allen möglichen Zwecken, von „interner Berichterstattung und Geschäftsmodellierung” bis „Energieeffizienz”.

Diese Zwecke verfolge Microsoft nicht im Auftrag der Schule sondern im eigenen Interesse, hält die Datenschutzbehörde fest, weshalb sie Microsoft für diese Datenverarbeitung verantwortlich macht. Die Ausrede, das „kundenorientierte Marketing-FAQ-Papier“ sei für Feststellungen nicht geeignet, lässt die Behörde nicht gelten.

Keine Ausflucht nach Irland

Andererseits hat die belangte Microsoft Corporation die Zuständigkeit der österreichischen Datenschutzbehörde bestritten. Das Unternehmen habe eine Tochterfirma in Irland, weshalb die dortige Behörde zuständig sei. Dieser wird nachgesagt, besonders datenkonzernfreundlich zu sein.

Die österreichische Datenschutzbehörde weist jedoch darauf hin, dass die wesentlichen Entscheidungen nicht in Irland sondern in der amerikanischen Konzernzentrale getroffen werden. Laut EuGH (Az. CǦ604/22 Rz 62 ff) reicht für die Verantwortung aus, „dass eine Stelle hinsichtlich der Datenverarbeitung Richtlinien, Anweisungen, technische Spezifikationen, Protokolle und vertragliche Verpflichtungen vorgibt”, was zweifelsohne in den USA erfolge. Weil die darauf beruhenden Cookies in Österreich gesetzt werden, könnten österreichische Behörden einschreiten.

Allenfalls könne es gemeinsame Verantwortung der Microsoft Corporation und ihrer irischen Tochterfirma geben. Noyb hat sich aber nur über den Mutterkonzern beschwert, nicht über die irische Tochter, womit diese nicht Verfahrenspartei wurde. Damit sieht die österreichische Behörde keinen Anlass zur Verlagerung des Verfahrens nach Irland.

Zweite Niederlage gegen österreichische Schüler

Für Microsoft ist dies bereits die zweite Niederlage gegen eine von Noyb vertretene Schülerin. Im Oktober hat die österreichische Datenschutzbehörde festgestellt, dass Microsoft geltendes Datenschutzrecht verletzt hat, indem es der Schülerin die erbetene Datenschutzauskunft nicht hinreichend erteilt hat. (GZ 2025-0.477.534, D135.027). Zusätzlich kamen das Gymnasium der Schülerin und das Bildungsministerium zum Handkuss, weil sie die Schülerin nicht vorab über Erhebung und Weitergabe ihrer personenbezogenen Daten aufgeklärt hatten.

(ds)