IT-Sicherheit als Ausgliederung nach MaGo und § 32 VAG

Laut § 7 Nr. 2 VAG definiert sich eine Ausgliederung daraus, dass der jeweilige Prozess herkömmlicherweise von der Versicherung selbst erbracht werden würde. Ausgliederungen entsprechen in der Versicherungsindustrie damit dem Outsourcing. Setzt ein Dienstleister zur Bereitstellung der ausgegliederten Prozesse seinerseits einen Dienstleister ein, spricht man von einer Sub-Delegation.

Mehr Informationen zu Lösungen von Myra Security für die Versicherungsindustrie

Mehr erfahren

Auf einen Blick

1. Zentrale Elemente für die Ausgliederungen nach MaGo und § 32 VAG
2. Wichtige Funktionen oder Versicherungstätigkeiten vs sonstige Aktivitäten
3. Zentrale Punkte in der Ausgliederungsvereinbarung

Zentrale Elemente für die Ausgliederungen nach MaGo und § 32 VAG

1.1

Risikoanalyse als Basis jeder Ausgliederung

Grundlage einer jeden Ausgliederung bildet eine Risikoanalyse, die unter anderem klären soll, ob das geplante Outsourcing in die Definition der Ausgliederung fällt und ob es sich dabei um eine wichtige Funktion oder Versicherungstätigkeit handelt. Bei der Grundentscheidung für oder gegen die Ausgliederung müssen Risikogesichtspunkte eine angemessene Rolle spielen. Zu den einschlägigen Risikokategorien zählen das strategische, das operationelle oder auch das Reputationsrisiko.

Grundsätzlich lassen sich unter Beachtung der Compliance-Vorgaben sämtliche Prozesse innerhalb einer Versicherung ausgliedern – mit Ausnahme von originären Leitungsaufgaben einschließlich der Verantwortlichkeit für Einrichtung und Weiterentwicklung des Risikomanagementsystems und des internen Kontrollsystems.

1.2

Verantwortlichkeit und Bedeutung des Europäischen Wirtschaftsraums

Trotz der Ausgliederung bleibt das Versicherungsunternehmen stets für die Erfüllung aller aufsichtsrechtlichen Vorschriften und Anforderungen verantwortlich. Aus dieser Vorgabe ergeben sich hinsichtlich der Kontrollmöglichkeiten der BaFin weitere Regelungen. So müssen etwa Dienstleister außerhalb des Europäischen Wirtschaftsraums (EWR) ebenso dem Kontrollrahmen unterstehen wie lokale Anbieter. Kontrolloptionen von der BaFin und dem Versicherungsunternehmen selbst dürfen zudem nicht durch außereuropäische Aufsichtsbehörden oder die dortige Rechtsprechung eingeschränkt werden.

1.3

Kategorisierung: Wichtige Funktion und Versicherungstätigkeit oder sonstige Aktivität

Generell ist beim Outsourcing eigenverantwortlich zwischen wichtigen Funktionen und Versicherungstätigkeiten auf der einen und sonstigen Aktivitäten auf der anderen Seite zu unterscheiden. Dies betrifft auch Teilausgliederungen. Solche können ebenfalls für sich gesehen wichtig sein. Generelle Vorgaben dazu gibt es nicht, die Entscheidung ist jeweils für den Einzelfall zu treffen. Das Ausgliedern von wichtigen Funktionen und Versicherungstätigkeiten muss immer im Vorfeld von der Geschäftsleitung genehmigt werden.

Schlüsselfunktionen und selbst definierte Schlüsselaufgaben sind immer als wichtig einzustufen. Des Weiteren zählen zumeist folgende Bereiche zu wichtigen Funktionen oder Versicherungstätigkeiten: Vertrieb, Bestandsverwaltung, Leistungsbearbeitung, Berechnung der versicherungstechnischen Rückstellungen nach Solvabilität II und nach HGB, Rechnungswesen, Vermögensanlage und -verwaltung, Elektronische Datenverarbeitung im Hinblick auf ihrerseits wichtige versicherungstypische Tätigkeiten.

Ausgliederungen wichtiger Funktionen und Versicherungstätigkeiten müssen nach § 47 Nr. 8 VAG mitsamt Vorlage des Vertragsentwurfs den Aufsichtsbehörden angezeigt werden. Die Anzeige umfasst: der Name des Dienstleisters, die Anschrift des Dienstleisters, eine Beschreibung des Umfangs der Ausgliederung, die Gründe für die Ausgliederung und im Falle der Ausgliederung einer Schlüsselaufgabe, insbesondere einer der fest definierten Schlüsselfunktionen (Interne Revision, Compliance-Funktion, Risikomanagementfunktion, Versicherungsmathematische Funktion), der Name der hierfür zuständigen Person beim Dienstleister.

1.4

Der Ausgliederungsbeauftragte

Ob ein verantwortlicher Ausgliederungsbeauftragter eingesetzt wird, liegt im Ermessen des ausgliedernden Unternehmens. Die Ausgliederung von Schlüsselfunktionen und selbst definierten Schlüsselaufgaben erfordert jedoch immer einen Ausgliederungsbeauftragten, der der BaFin anzuzeigen ist.

Person alleine in einem Besprechungsraum

1.5

Ausgliederung innerhalb von Versicherungsgruppen oder Konzernen

Auch gruppeninterne oder konzerninterne Ausgliederungen haben sich an die bisher beschriebenen Anforderungen zu halten. Hier müssen dieselbe Sorgfalt und intensive Überwachung erfolgen wie bei herkömmlichen Dienstleistern. (Erleichterungen sind jedoch in Einzelfällen etwa in Form von SLAs möglich, die Rechte und Pflichten beider Parteien in Bezug auf die Ausgliederung regeln. Die Überprüfung eines gruppeninternen Dienstleisters vor der Ausgliederung kann zudem weniger detailliert erfolgen.)

Vermittlungssachverhalte (ohne Abschluss- oder Schadenregulierungsvollmacht) unterliegen nicht den Ausgliederungsanforderungen. Die Übertragung dieser Prozesse auf Versicherungsvermittler stellt hingegen immer eine Ausgliederung wichtiger Funktionen oder Versicherungstätigkeiten dar – in diesem Punkt besteht keine individuelle Bewertungsmöglichkeit.

Gehende Person mit einem Aktenkoffer in der Hand

1.6

Ausgliederungsleitlinien

In den verbindlich aufzustellende Ausgliederungsleitlinien werden alle erforderlichen Verfahrens- und Qualitätsstandards sowie Berichts- und Überwachungspflichten von Beginn bis Ende der Ausgliederung festgelegt. Auch mögliche Auswirkungen auf den Geschäftsbetrieb sind hier zu berücksichtigen.

Die Ausgliederungsleitlinien umfassen darüber hinaus einen Überprüfungsprozess für den Dienstleister, der mindestens folgende Punkte abdeckt: finanzielle Leistungsfähigkeit des Dienstleisters, technische Fähigkeit des Dienstleisters, Kapazität des Dienstleisters, Kontrollrahmen und etwaige Interessenkonflikte.

In den Leitlinien sind ferner Notfallpläne und Maßnahmen für das Exit-Management zu definieren, um die ungeminderte Qualität der ausgegliederten Funktionen und Versicherungstätigkeiten auch bei einem Providerwechsel oder einer Rückführung der Ausgliederung ins Unternehmen sicherzustellen.

1.7

Sub-Delegation

Generell sind Sub-Delegationen möglich. Auch für solche Sub-Deligationen sind die Bedingungen in schriftlichen Leitlinien festzulegen. Handelt es sich bei der Sub-Delegation um eine wichtige Funktion oder Versicherungstätigkeit muss diese von der gesamten Geschäftsleitung der Versicherung oder zumindest vom zuständigen Geschäftsleiter vorab genehmigt werden.

Person schreibt auf einem Notizbuch und ein Laptop steht vor ihm

Wichtige Funktionen oder Versicherungstätigkeiten vs sonstige Aktivitäten

Die Kategorisierung und Unterscheidung von wichtigen Funktionen oder Versicherungstätigkeiten sowie sonstiger Aktivitäten ist für das jeweilige Unternehmen von entscheidender Bedeutung, da damit verschiedene aufsichtsrechtliche Pflichten und Verordnungen einhergehen.

§32 Abs. 3 VAG und ebenso Art. 274 Abs. 5 DVO gelten nur für die Ausgliederung wichtiger Funktionen oder Versicherungstätigkeiten. Damit gehen besondere Anforderungen einher. U.a. Prüfung des Risikomanagementsystems und der Notfallplanung des Dienstleisters, Bonitätsprüfung des Dienstleisters, Prüfung aller Mitarbeiter in Bezug auf fachliche Eignung und Zuverlässigkeit, Einbeziehung in das eigene Risikomanagement.
Ausgliederungen wichtiger Funktionen oder Versicherungstätigkeiten sind anzeigepflichtig bei der BaFin.
Ausgliederungen wichtiger Funktionen oder Versicherungstätigkeiten erfordern Zustimmung der Geschäftsleitung.

Zentrale Punkte in der Ausgliederungsvereinbarung

Im Outsourcing-Vertrag, der sogenannten Ausgliederungsvereinbarung, müssen die regulatorischen Vorgaben verbindlich und exakt für beide Parteien formuliert sein. Zu den zentral hier aufzuführenden Themen zählen:

Inhaltliche Gestaltung muss darauf ausgerichtet sein, dass durch die Ausgliederung weder die ordnungsgemäße Ausführung der ausgegliederten Prozesse, noch die Steuerungs- und Kontrollfähigkeiten des Vorstands oder die Prüf- und Kontrollrechte der BaFin eingeschränkt werden (§ 32 Abs. 2 S. 1 VAG). So ist etwa sicherzustellen, dass ein kompletter Datenzugriff für das Versicherungsunternehmen selbst, seine Abschlussprüfer und die Aufsicht besteht. Außerdem ist die Zusammenarbeit des Dienstleisters mit der Aufsicht verpflichtend, was auch Zugangsrechte zu den Räumen des Dienstleisters miteinschließt.
Vertraglich zu sichern sind außerdem die erforderlichen Auskunfts- und Weisungsrechte.
Eindeutige Festlegung der Pflichten und Zuständigkeiten beider beteiligter Parteien. (Leistungsbeschreibung muss nicht im Rahmenvertrag selbst definiert sein, sondern kann auch in Anlagen übermittelt werden.)
Für den Dienstleister besteht sofortige Informationspflicht, um unverzüglich jede Entwicklung zu kommunizieren, die zu wesentlichen Beeinträchtigungen bei den ausgegliederten Prozessen führen könnten.
Ausreichend dimensionierte Kündigungsfristen ermöglichen Providerwechsel und Alternativlösungen.
Außerordentliche Kündigungsrechte für wichtige Gründe wie etwa eine auf Verlangen der BaFin Beendigung der Ausgliederung.
Ferner ist die Zulässigkeit einer Sub-Delegation zu klären. Falls ja, müssen die Pflichten und Zuständigkeiten des Dienstleisters von der Sub-Delegation unberührt bleiben.

Mehr Informationen

Sie wollen mehr über unsere Lösungen, Anwendungsbeispiele und Best Practices zur Angriffsabwehr erfahren? In unserem Downloadbereich finden Sie Product Sheets, Fact Sheets, Whitepaper und Case Studies.

Zum Download-Bereich

Responsible Disclosure Impressum Datenschutz Privatsphäre-Einstellungen AGB