11. März 2022
Die Versicherungsbranche ist eine stark regulierte Branche, weil ein existentielles volkswirtschaftliches Interesse daran besteht, dass Versicherungsunternehmen auf Dauer ihren Verpflichtungen aus allen Versicherungsverträgen – selbst bei ungewöhnlich geballt auftretenden Schadenereignissen – nachkommen können. Versicherungsunternehmen haben deshalb strenge Kapital- und Geschäftsorganisationsanforderungen zu erfüllen. Ein Versicherungsunternehmen darf zudem Tätigkeiten und Funktionen nur durch Dienstleister verrichten lassen, wenn es die jederzeitige Zugriffsmöglichkeit auf die beim Dienstleister vorgehaltenen relevanten Daten – und zwar auch für seine Abschlussprüfer und die Aufsichtsbehörde BaFin – sicherstellt. Der IT-Dienstleister hat als Outsourcing-Partner dem Versicherungsunternehmen in der Ausgliederungsvereinbarung neben erforderlichen Auskunftsrechten auch Weisungsrechte einzuräumen. Die BaFin hat besonders weitgehende Vorgaben in ihrem Rundschreiben 10/2018 „Versicherungsaufsichtsrechtliche Anforderungen an die IT (VAIT)“ formuliert und in einer überarbeiteten Version vom 3. März 2022 weiter konkretisiert.
Im VAIT stuft die BaFin grundsätzlich jede IT-Dienstleistung als Ausgliederung ein. In § 7 Nr. 2 Versicherungsaufsichtsgesetz (VAG) ist die Ausgliederung – wortlautidentisch zu Artikel 13 Nr. 28 der EU-Richtlinie 2009/138/EG (Solvency II“) wie folgt definiert: „eine Vereinbarung jeglicher Form zwischen einem Versicherungsunternehmen und einem Dienstleister, aufgrund derer der Dienstleister direkt oder durch weitere Ausgliederung einen Prozess, eine Dienstleistung oder eine Tätigkeit erbringt, die ansonsten vom Versicherungsunternehmen selbst erbracht werden würde; bei dem Dienstleister kann es sich um ein beaufsichtigtes oder nicht beaufsichtigtes Unternehmen handeln.“
Von der Einstufung als regulierte IT-Ausgliederung ausgenommen wird im VAIT (Ziffer 9.6) lediglich der „isolierte Bezug von Hard- und/oder Software“. Als Ausgliederung eingestuft werden dagegen bereits „Unterstützungsleistungen wie beispielsweise
Der vielfach geäußerten Forderung aus der Praxis, dass Beratungsleistungen und sonstige IT-Dienstleistungen, die der Herstellung oder Instandhaltung der IT-Infrastruktur des Versicherungsunternehmens dienen, generell nicht (mehr) als Ausgliederung eingestuft werden sollten, kommt auch das überarbeitete VAIT-Rundschreiben vom 3. März 2022 nicht nach. Im Gegenteil konkretisiert die BaFin erstmals Anforderungen an die operativen Informationssicherheitsmaßnahmen und -prozesse und an das IT-Notfallmanagement, welche auch von den beauftragten IT-Dienstleistern zu erfüllen sind.
Die BaFin stellt in einer neuen Vorbemerkung Nr. 5 unmissverständlich klar: Versicherungsunternehmen „haben auch bei Ausgliederungen an IT-Dienstleister durch angemessene Regelungen in der Ausgliederungsvereinbarung die Einhaltung der Anforderungen aus diesem Rundschreiben durch den IT-Dienstleister sicherzustellen.“ Der Ausgliederungsvereinbarung zwischen Versicherungsunternehmen und IT-Dienstleister kommt mithin große Bedeutung zu. Insbesondere im Hinblick auf die Nutzung von Cloud-Diensten verlangen die aufsichtsbehördlichen Verlautbarungen der BaFin (zusammen mit der Bundesbank) und der europäischen Aufsichtsbehörde EIOPA bereits ausdrücklich mindestens folgende vertragliche Bestimmungen: