Die Versicherungsbranche ist eine stark regulierte Branche, weil ein existentielles volkswirtschaftliches Interesse daran besteht, dass Versicherungsunternehmen auf Dauer ihren Verpflichtungen aus allen Versicherungsverträgen – selbst bei ungewöhnlich geballt auftretenden Schadenereignissen – nachkommen können. Versicherungsunternehmen haben deshalb strenge Kapital- und Geschäftsorganisationsanforderungen zu erfüllen. Ein Versicherungsunternehmen darf zudem Tätigkeiten und Funktionen nur durch Dienstleister verrichten lassen, wenn es die jederzeitige Zugriffsmöglichkeit auf die beim Dienstleister vorgehaltenen relevanten Daten – und zwar auch für seine Abschlussprüfer und die Aufsichtsbehörde BaFin – sicherstellt. Der IT-Dienstleister hat als Outsourcing-Partner dem Versicherungsunternehmen in der Ausgliederungsvereinbarung neben erforderlichen Auskunftsrechten auch Weisungsrechte einzuräumen. Die BaFin hat besonders weitgehende Vorgaben in ihrem Rundschreiben 10/2018 „Versicherungsaufsichtsrechtliche Anforderungen an die IT (VAIT)“ formuliert und in einer überarbeiteten Version vom 3. März 2022 weiter konkretisiert.
Weiter zu den Details.
Im VAIT stuft die BaFin grundsätzlich jede IT-Dienstleistung als Ausgliederung ein. In § 7 Nr. 2 Versicherungsaufsichtsgesetz (VAG) ist die Ausgliederung – wortlautidentisch zu Artikel 13 Nr. 28 der EU-Richtlinie 2009/138/EG (Solvency II“) wie folgt definiert: „eine Vereinbarung jeglicher Form zwischen einem Versicherungsunternehmen und einem Dienstleister, aufgrund derer der Dienstleister direkt oder durch weitere Ausgliederung einen Prozess, eine Dienstleistung oder eine Tätigkeit erbringt, die ansonsten vom Versicherungsunternehmen selbst erbracht werden würde; bei dem Dienstleister kann es sich um ein beaufsichtigtes oder nicht beaufsichtigtes Unternehmen handeln.“
Von der Einstufung als regulierte IT-Ausgliederung ausgenommen wird im VAIT (Ziffer 9.6) lediglich der „isolierte Bezug von Hard- und/oder Software“. Als Ausgliederung eingestuft werden dagegen bereits „Unterstützungsleistungen wie beispielsweise
- die Anpassung der Software an die Erfordernisse des Unternehmens,
- die entwicklungstechnische Umsetzung von Änderungswünschen (Programmierung),
- das Testen, die Freigabe und die Implementierung der Software in die Produktionsprozesse beim erstmaligen Einsatz und bei wesentlichen Veränderungen, insbesondere von programmtechnischen Vorgaben,
- Fehlerbehebung gemäß der Anforderungs-/Fehlerbeschreibung des Auftraggebers oder Herstellers,
- sonstige Unterstützungsleistungen, die über die reine Beratung hinausgehen, (…).“
Der vielfach geäußerten Forderung aus der Praxis, dass Beratungsleistungen und sonstige IT-Dienstleistungen, die der Herstellung oder Instandhaltung der IT-Infrastruktur des Versicherungsunternehmens dienen, generell nicht (mehr) als Ausgliederung eingestuft werden sollten, kommt auch das überarbeitete VAIT-Rundschreiben vom 3. März 2022 nicht nach. Im Gegenteil konkretisiert die BaFin erstmals Anforderungen an die operativen Informationssicherheitsmaßnahmen und -prozesse und an das IT-Notfallmanagement, welche auch von den beauftragten IT-Dienstleistern zu erfüllen sind.
Die BaFin stellt in einer neuen Vorbemerkung Nr. 5 unmissverständlich klar: Versicherungsunternehmen „haben auch bei Ausgliederungen an IT-Dienstleister durch angemessene Regelungen in der Ausgliederungsvereinbarung die Einhaltung der Anforderungen aus diesem Rundschreiben durch den IT-Dienstleister sicherzustellen.“ Der Ausgliederungsvereinbarung zwischen Versicherungsunternehmen und IT-Dienstleister kommt mithin große Bedeutung zu. Insbesondere im Hinblick auf die Nutzung von Cloud-Diensten verlangen die aufsichtsbehördlichen Verlautbarungen der BaFin (zusammen mit der Bundesbank) und der europäischen Aufsichtsbehörde EIOPA bereits ausdrücklich mindestens folgende vertragliche Bestimmungen:
- Spezifizierung des Leistungsgegenstands (Service Levels, Support, Updates, Standort der Rechenzentren, Zeitraum der Auslagerung) und Verpflichtung des IT-Dienstleisters auf eine angemessene personelle, finanzielle und sonstige Ressourcenausstattung,
- Informations- und Prüfungsrechte des auslagernden Versicherungsunternehmens, dessen Abschlussprüfer und der BaFin (§ 32 Abs. 2 Satz 2 Nrn. 1 bis 3 VAG),
- Weisungsrechte des auslagernden Versicherungsunternehmens (§ 32 Abs. 4 Satz 1 VAG) insbesondere im Hinblick auf Löschung, Sperrung und Berichtigung von Daten einschließlich des Rechts auf unverzügliche Rücküberführung von Daten,
- Maßnahmen der Datensicherheit, Kompatibilität der Systeme und IT-Notfallmanagement je nach Ergebnis der vorab durch das Versicherungsunternehmen durchzuführenden Risikoanalyse,
- Kündigungsmodalitäten einschließlich eines Sonderkündigungsrechts, falls die BaFin eine Vertragsbeendigung verlangt, sowie betreffende Nachleistungspflichten des IT-Dienstleisters,
- Informationspflicht des Outsourcing-Partners im Hinblick auf Störungen (aktive Bringschuld des IT-Dienstleisters, Zugriff auf fortlaufendes elektronisches schwarzes Brett über eine Schnittstelle nicht ausreichend) und auf Maßnahmen Dritter (Pfändungen, Beschlagnahmen u.ä.) sowie
- Vereinbarung des Rechts eines EU-/EWR-Staates (einschließlich des betreffenden Datenschutzrechts und in Deutschland der Anforderungen der BSI-KRITIS-Verordnung).
