Immer häufiger kooperieren InsurTechs mit Versicherungsunternehmen als Outsourcing-IT-Dienstleister. Hierbei ist stets zu beachten, dass die von der BaFin beaufsichtigten Versicherungsunternehmen bestimmte Anforderungen an ihre Geschäftsorganisation gemäß § 23 Versicherungsaufsichtsgesetz (VAG) zu erfüllen haben. Im Rahmen des geforderten Risikomanagements sind insbesondere operationelle Risiken, zu denen der Einsatz von Informationstechnik (IT gehört, zu analysieren und zu steuern. Diesbezüglich plant die BaFin ein neues Rundschreiben mit dem Titel „Versicherungsaufsichtliche Anforderungen an die IT (VAIT)“.

Konsultation des geplanten BaFin-Rundschreibens

Im März 2018 startete die BaFin eine Konsultation zu ihrem Entwurf des VAIT-Rundschreibens, und die Konsultation endete am 20. April 2018. Insbesondere wurde seitens der Versicherungswirtschaft kritisiert, dass die Anforderungen nach dem Entwurf des VAIT-Rundschreibens zum Teil eine Verschärfung des BaFin-Rundschreibens 2/2017 (VA), den Mindestanforderungen an die Geschäftsorganisation von Versicherungsunternehmen (MaGo), enthielten. Dies gelte insbesondere für die Anforderungen an die Ausgliederung von IT-Dienstleistungen.

Der aktuell vorliegende Entwurf des geplanten VAIT-Rundschreibens enthält Konkretisierungen der BaFin-Anforderungen an die IT in Versicherungsunternehmen zu insgesamt acht Anforderungsbereichen: 1. IT-Strategie, 2. IT-Governance, 3. Informationsrisikomanagement, 4. Informationssicherheitsmanagement, 5. Benutzerberechtigungsmanagement, 6. IT-Projekte, Anwendungsentwicklung (inkl. durch Endbenutzer in den Fachbereichen), 7. IT-Betrieb (inkl. Datensicherung) und schließlich 8. Ausgliederungen von IT-Dienstleistungen und sonstige Dienstleistungsbeziehungen im Bereich IT-Dienstleistungen sowie isolierter Bezug von Hart- und/oder Software. Für die Zusammenarbeit zwischen InsurTechs und Versicherungsunternehmen (zu den Beispielen in den Bereichen Telematik, Big Data und Artificial Intelligence lesen Sie bitte den Beitrag von Yannick Eckervogt und den Beitrag von Ingo Weckmann) ist insbesondere der letztgenannte Anforderungsbereich von besonderer Relevanz:

Anforderungen an IT-Dienstleistungen

Gemäß § 32 Abs. 1 VAG bleibt ein Versicherungsunternehmen, das Funktionen oder Versicherungstätigkeiten ausgliedert, für die Erfüllung aller aufsichtsrechtlichen Vorschriften und Anforderungen verantwortlich. Zu diesem Zweck haben Versicherungsunternehmen sicherzustellen, dass das Unternehmen selbst, seine Abschlussprüfer und auch die BaFin weiterhin auf alle Daten zugreifen können, dass der betreffende Dienstleister mit der BaFin zusammenarbeitet und dass die BaFin Zugangsrechte zu den Räumen des betreffenden Dienstleisters erhält, die sie selbst oder durch Dritte ausüben kann (§ 32 Abs. 2 VAG). Zudem hat sich das ausgliedernde Versicherungsunternehmen die erforderlichen Auskunfts- und Weisungsrechte gegenüber dem IT-Dienstleister durch diesen vertraglich zusichern zu lassen. Eine Ausgliederung im Sinne des § 32 VAG liegt stets vor, wenn ein Versicherungsunternehmen versicherungstypische Funktionen oder Tätigkeiten ausgliedert.

Das Unternehmen hat selbst zu entscheiden und festzulegen, ob eine an einen Dienstleister herausgegebene Tätigkeit eine versicherungstypische Aktivität ist (z.B. nicht der Betrieb der Unternehmenskantine), und ob angesichts des Umfangs und der Dauer sowie der Häufigkeit der Inanspruchnahme des Dienstleisters eine Ausgliederung vorliegt (z.B. nicht bei Einzelberatungen). Weiterhin hat das Versicherungsunternehmen zu entscheiden, ob es sich bei der herausgegebenen versicherungstypischen Funktion um eine wichtige oder um eine sonstige Aktivität handelt, da bei wichtigen versicherungstypischen Funktionen noch strengere Anforderungen an eine Ausgliederung gelten: Die gesamte Geschäftsleitung muss diese vorab genehmigen und die Absicht der BaFin mitsamt Entwurf der Ausgliederungsvereinbarung anzeigen (§ 47 Nr. 8 VAG), und es ist sicherzustellen, dass keine gesetzlichen Regeln verletzt werden. Neben den gesetzlich definierten Schlüsselaufgaben gehören folgende Bereiche typischerweise zu den wichtigen versicherungstypischen Funktionen: Vertrieb, Bestandsverwaltung, Leistungsbearbeitung, Berechnung der versicherungstechnischen Rückstellungen nach Solvency II und nach HGB, Rechnungswesen, Vermögensanlage und -verwaltung sowie die elektronische Datenverarbeitung im Hinblick auf ihrerseits wichtige versicherungstypische Tätigkeiten (s. Abschnitt 13 MaGo, Rz. 256 und 257).

Der aktuelle Entwurf des geplanten VAIT-Rundschreibens beschränkt sich nicht auf Regelungen zur Ausgliederung von IT-Dienstleistungen, sondern verschriftet weitergehende BaFin-Anforderungen bezüglich sonstiger IT-Dienstleistungsbeziehungen: Demnach sollen Versicherungsunternehmen, selbst wenn keine Ausgliederung im Sinne des § 32 VAG vorliegt, trotzdem jedenfalls vorab eine Risikoanalyse durchführen. Die aus einer solchen Risikoanalyse in Bezug auf sonstige IT-Dienstleistungsbeziehungen abgeleiteten Maßnahmen sollen dann angemessen in der Gestaltung des Dienstleistungsvertrags mit dem IT-Dienstleister berücksichtigt werden. Weiterhin haben die Versicherungsunternehmen eine vollständige, strukturierte Vertragsübersicht vorzuhalten. Die Risikoanalyse soll zudem regelmäßig und anlassbezogen überprüft werden, was durchaus eine Verschärfung gegenüber den Bestimmungen der MaGo darstellt, wonach die Versicherungsunternehmen den Überprüfungsprozess selbst in schriftlichen Leitlinien festlegen.

Schließlich sollen neuen Anforderungen an sonstige IT-Dienstleistungsbeziehungen, welche keine Ausgliederung darstellen, sogar für den isolierten Bezug von Hard- und/oder Software gelten: Als Beispiele werden genannt die Anpassung von Software an Erfordernisse des Unternehmens, die entwicklungstechnische Umsetzung von Änderungswünschen (Programmierung) oder das Testen, die Freigabe und die Implementierung von Software. In diesem Zusammenhang will die BaFin klarstellen, dass Unterstützungsleistungen beim isolierten Bezug von Hard- und/oder Software in der Regel aber sogar als Ausgliederung einzustufen sein werden, wenn sie sich auf Software beziehen, die zur Identifizierung, Bewertung, Überwachung und Steuerung der Risiken sowie zur Berichterstattung über diese Risiken eingesetzt wird oder die für die Durchführung anderer versicherungstypischer Tätigkeiten von Bedeutung sind. Insbesondere der Gesamtverband der deutschen Versicherungswirtschaft hat in seiner Stellungnahme gefordert, dass das VAIT-Rundschreiben keine solchen Verschärfungen im Vergleich zu der MaGo enthalten sollte. Man darf gespannt sein, welche Änderungen die BaFin letztlich noch vornehmen wird.

Ausblick

Eines steht schon jetzt fest: Die Kooperation zwischen Versicherungsunternehmen und IT-Dienstleistern unterliegt stets der Beachtung der aufsichtsrechtlichen und -behördlichen Anforderungen. Und auch wenn sowohl in § 32 VAG als auch in der MaGo eindeutig festgelegt ist, dass die Letztverantwortung bei der Geschäftsleitung des Versicherungsunternehmens liegt, haben auch die IT-Dienstleister, also ggf. auch InsurTechs, aufgrund der zwingend vorgeschriebenen Regelungsinhalte in der betreffenden Ausgliederungsvereinbarung erhebliche vertragliche Pflichten gegenüber dem Versicherungsunternehmen einzugehen und zu erfüllen, dies insbesondere auch, wenn der IT-Dienstleister an einen Subunternehmer delegieren will. Die Player im Markt haben bei der Vertragsanbahnung also jeweils entsprechend Zeit einzuplanen, um im Vorfeld die aufsichtsrechtlichen Anforderungen sorgfältig und einvernehmlich zu klären und vertraglich festzulegen.