Versicherungsaufsichtsgesetz

Neue Regelungen für Versicherer beim IT-Outsourcing

Dr. Michael Rath ist Rechtsanwalt, Fachanwalt für Informationstechnologie-Recht und Partner der Luther Rechtsanwaltsgesellschaft mbH mit Sitz in Köln. Zudem ist er Certified ISO/IEC 27001 Lead Auditor. Seine Beratungsschwerpunkte sind das IT-Recht, Datenschutzrecht und der Gewerbliche Rechtsschutz. Dr. Michael Rath ist u.a. Mitglied in der Deutschen Gesellschaft für Recht und Informatik e.V. (DGRI) und akkreditierter Schlichter für IT-Streitigkeiten bei der Schlichtungsstelle der DGRI.
Christian Kuss ist Rechtsanwalt der Luther Rechtsanwaltsgesellschaft mbH in Köln. Sein Tätigkeitsschwerpunkt liegt auf IT- und Datenschutzrecht.
In das Versicherungsaufsichtsgesetz (VAG) wurden zum 1. Januar 2016 neue Bestimmungen eingefügt, die ihren Ursprung in der sogenannten „Solvency II“-Richtlinie haben. Versicherungsunternehmen und IT-Dienstleister sollten bestehende Verträge kritisch überprüfen und unter Umständen neuverhandeln, da die neuen Regelungen nun erstmalig beinahe jedes IT-Outsourcing greifen und dedizierte Vorgaben für Vertragsinhalte vorsehen.

Ziel der Überarbeitung des Versicherungsaufsichtsgesetzes ist es, die Versicherungsnehmer besser zu schützen. Andererseits ändert sich in diesem Zusammenhang für die Finanzdienstleister Einiges.Hierzu zählen unter anderem eine umfassende Kontrollmöglichkeit durch die Aufsichtsbehörden auch gegenüber dem IT-Dienstleister, Kooperationspflicht zwischen IT-Dienstleister und Aufsichtsbehörden, konkrete Service Level Agreements sowie die Festlegung einfacher Kündigungsmöglichkeiten und Exit-Szenarien. Zudem gibt es nun eine Unterrichtungspflicht an die Aufsichtsbehörden im Vorfeld der Auslagerungsmaßnahmen.

Paragraphen-Dschungel VAG, EU-Verordnungen und EIOPA-Leitlinien

Für deutsche Versicherungsunternehmen gelten unmittelbar die Regelungen des VAG. Für die IT-Dienstleister ergibt sich daraus eine mittelbare Umsetzungsverpflichtung, da die Versicherungsunternehmen gezwungen sind, die Vorgaben des VAG gegenüber den IT-Dienstleitern durch entsprechende Verträge durchzusetzen. Das VAG selbst gilt nicht unmittelbar für IT-Dienstleister.

Viele bestehende Outsourcing-Verträge dürften die neuen Anforderungen (noch) nicht umsetzen und müssen daher überprüft und bei Bedarf angepasst werden.
Viele bestehende Outsourcing-Verträge dürften die neuen Anforderungen (noch) nicht umsetzen und müssen daher überprüft und bei Bedarf angepasst werden.
Foto: bluedesign - Fotolia.com
Studie Sourcing 2016 - Foto: www.BillionPhotos.com - shutterstock.com

Studie Sourcing 2016

Für die Auslegung der Regelungen des VAG sind zusätzlich verschiedene europäische Regelungen heranzuziehen. Hierzu zählt zunächst die Solvency-II-Richtlinie aus dem November 2009, die die Grundlage für die Überarbeitung des VAG bildet, die sogenannten "Delegierten Verordnung" der EU-Kommission, welche die Vorgaben der Solvency-II-Richtlinie ergänzt und konkretisiert, sowie schließlich die EIOPA-Leitlinien der Europäischen Aufsichtsbehörde für das Versicherungswesen und die betriebliche Altersversorgung, welche eine einheitliche Aufsichtspraxis in der EU sicherstellen sollen.

Outsourcing unterliegt der Aufsicht

Bislang war im Versicherungsaufsichtsrecht für die rechtliche Behandlung eines Outsourcing - das Gesetz spricht hier von "Ausgliederung" - eine Unterscheidung zwischen den sogenannten "Funktionsausgliederungen" und den sonstigen Dienstleistungsverträgen notwendig. Denn nur für die erste Gruppe war eine regulatorische Kontrolle vorgesehen. Für IT-Outsourcing bedeutete dies in der Vergangenheit, dass diese oft nicht als Funktionsausgliederung einzuordnen waren und folglich nicht der regulatorischen Kontrolle unterlagen.

Nach der Neuregelung in Paragraf 32 VAG unterfallen nun alle Outsourcings von wichtigen Funktionen und Versicherungstätigkeiten der Aufsicht. Die bisherige Unterscheidung entfällt. Der Begriff der Ausgliederung ist sehr weit gezogen: Darunter fällt jede Tätigkeit, die ein Versicherungsunternehmen normalerweise selbst unternehmen würde, aber nun durch einen dritten Dienstleister erbringen lässt. Hierzu zählt unzweifelhaft der Betrieb der Informationstechnik für das Versicherungsunternehmen, wie dies üblicherweise durch die eigene IT-Abteilung geschieht.

Trotz der weiten Begriffsdefinition gelten die neuen Regelungen nicht ausnahmslos für jede Form der Ausgliederung. Gesteigerte gesetzliche Vorgaben greifen, wenn die Ausgliederung eine "wichtige" Funktion oder Dienstleistung betrifft. Eine "wichtige" Funktion oder Dienstleistung liegt dann vor, wenn die betreffende Leistung für das Unternehmen unverzichtbar ist, da es ohne diese Funktion oder Tätigkeit nicht in der Lage wäre, seine Leistungen für die Versicherungsnehmer zu erbringen. Es liegt auf der Hand, dass die BaFin nach dieser Definition nahezu jeden IT-Outsourcing-Vertrag als Ausgliederung wichtiger Funktionen verstehen wird. Dies liegt auch nahe, denn der zunehmende Einsatz von Informationstechnik führt dazu, dass ein Versicherungsunternehmen die eigenen Aufgaben ohne eine funktionierende IT nicht oder kaum noch erfüllen kann.

Interne Governance und Ausgliederungsbeauftragter

Neu ist auch, dass die Versicherungsunternehmen schriftlich interne Leitlinien zum Outsourcing aufstellen müssen. Diese Leitlinien müssen detaillierte Vorgaben zur Ausgliederung von Funktionen und Tätigkeiten enthalten. Zudem muss darin der Überprüfungsprozess festgelegt sein, der vor der Entscheidung über eine Outsourcing-Vereinbarung durchzuführen ist. Geregelt werden muss auch, wie der externe Dienstleister während des Outsourcings überwacht wird. Der ständigen Kontrolle der Einhaltung der vertraglichen und gesetzlichen Regelungen durch den Dienstleister kommt künftig noch mehr Bedeutung zu.

So ist von dem Versicherungsunternehmen nunmehr auch explizit eine Person zu benennen, welche intern die Gesamtverantwortung für die ausgelagerte Schlüsselqualifikation trägt. Ein solcher Ausgliederungsbeauftragter ist also dann einzusetzen, wenn wichtige Funktionen oder Tätigkeiten ausgegliedert werden, um hierdurch an einer Stelle im Versicherungsunternehmen die Rechte und Pflichten mit Blick auf das Outsourcing zu bündeln.

Kontrolle des Dienstleisters: Outbound Due Diligence

Bei der Outbound Due Diligence muss die Versicherung auch überprüfen, ob der Dienstleister überhaupt über die erforderlichen finanziellen Mittel verfügt, um die zusätzlichen Aufgaben zu erfüllen. Weiterhin muss geprüft werden, dass auch alle Mitarbeiter des Dienstleisters, die mit der ausgelagerten Funktion oder Tätigkeit befassen, ausreichend qualifiziert und zuverlässig sind. Mehr als zuvor ist daher auch die Auswahl des Dienstleisters und die Dokumentation des Auswahlprozesses sowie das kontinuierliche Monitoring des externen Dienstleisters entscheidend. Denn der Dienstleister muss über die Fähigkeiten, Kapazitäten und gegebenenfalls gesetzlichen Genehmigungen verfügen, die erforderlich sind, um die Outsourcing-Leistungen erbringen zu können. Ferner dürfen durch das IT-Outsourcing keine datenschutzrechtlichen Bestimmungen verletzt werden. Zudem muss der Dienstleister mit Blick auf Sicherheit und Vertraulichkeit den gleichen Standards unterliegen wie das Versicherungsunternehmen selbst.

Verpflichtende Vertragsinhalte bergen Konfliktpotential

Die Delegierte Verordnung enthält detaillierte Vorgaben, die in IT-Outsourcing-Verträgen umgesetzt werden müssen. Hierunter fallen zum Beispiel die Verpflichtung des Dienstleisters, alle geltenden Rechts- und Verwaltungsvorschriften einzuhalten, proaktiv auf wesentliche Defizite in der Vertragsdurchführung hinzuweisen sowie effektive Kündigungsmöglichkeiten zuzugestehen.
Ferner muss der Dienstleister dazu verpflichtet werden, dem Versicherungsunternehmen, dessen externen Prüfern und den Aufsichtsbehörden effektiven Zugang zu allen Informationen über die ausgelagerten Funktionen und Tätigkeiten zu gewähren. Dies schließt auch Vor-Ort-Kontrollen in den Geschäftsräumen des Dienstleisters ein. Es müssen zwingend auch Regelungen vorgesehen werden, die den Einsatz qualifizierten Personals im ausgelagerten Bereich sicherstellen. Zudem muss der Aufsichtsbehörde ein direktes Frage- und Kontrollrechte gegenüber dem Dienstleister eingeräumt werden.

Viele bestehende Outsourcing-Verträge dürften diese Anforderungen (noch) nicht umsetzen und müssen daher überprüft und bei Bedarf angepasst werden. Doch auch bei Neuverhandlungen mit IT-Dienstleister bergen diese Vorgaben erhebliches Konfliktpotential, verlangen sie von dem IT-Dienstleister doch eine erhebliche Kooperation, die nicht ohne Kostenerstattung gewährt werden dürfte.

Dokumentation ist Pflicht - die Aufsicht hat das letzte Wort

Nach den neuen Vorgaben muss jede Absicht einer Auslagerung zuvor der Aufsichtsbehörde angezeigt werden. Und auch nach Vertragsschluss eingetretenen Änderungen müssen der Aufsichtsbehörde unaufgefordert gemeldet werden. In dem Bericht der Versicherungsunternehmen über ihre Solvabilität und Finanzlage ist nunmehr auch eine Darstellung der Outsourcing-Politik des Versicherungsunternehmens und eine detaillierte Beschreibung der Auslagerung kritischer beziehungsweise wichtiger operativer Funktionen oder Tätigkeiten des Unternehmens aufzunehmen.

Neue Regelungen, aber viele Unklarheiten

Auch wenn nach dem sogenannten "Proportionalitätsgrundsatz" die neuen Vorschriften auf eine Art und Weise anzuwenden sind, die dem Umfang und der Komplexität der Risiken angemessen ist, erhöht sich also der Dokumentationsaufwand. Bis sich belastbare Kriterien zum Umgang der neuen Paragrafen gebildet haben, ist es in jedem Fall sinnvoll, sich bei der Gestaltung der Vertragsinhalte an den bisherigen Anforderungen zu orientieren, welche die MaRisk VA für Funktionsausgliederung und Dienstleistungsverträge aufgestellt hat. (bw)