Ziel der Überarbeitung des Versicherungsaufsichtsgesetzes ist es, die Versicherungsnehmer besser zu schützen. Andererseits ändert sich in diesem Zusammenhang für die Finanzdienstleister Einiges.Hierzu zählen unter anderem eine umfassende Kontrollmöglichkeit durch die Aufsichtsbehörden auch gegenüber dem IT-Dienstleister, Kooperationspflicht zwischen IT-Dienstleister und Aufsichtsbehörden, konkrete Service Level Agreements sowie die Festlegung einfacher Kündigungsmöglichkeiten und Exit-Szenarien. Zudem gibt es nun eine Unterrichtungspflicht an die Aufsichtsbehörden im Vorfeld der Auslagerungsmaßnahmen.
Paragraphen-Dschungel VAG, EU-Verordnungen und EIOPA-Leitlinien
Für deutsche Versicherungsunternehmen gelten unmittelbar die Regelungen des VAG. Für die IT-Dienstleister ergibt sich daraus eine mittelbare Umsetzungsverpflichtung, da die Versicherungsunternehmen gezwungen sind, die Vorgaben des VAG gegenüber den IT-Dienstleitern durch entsprechende Verträge durchzusetzen. Das VAG selbst gilt nicht unmittelbar für IT-Dienstleister.
Für die Auslegung der Regelungen des VAG sind zusätzlich verschiedene europäische Regelungen heranzuziehen. Hierzu zählt zunächst die Solvency-II-Richtlinie aus dem November 2009, die die Grundlage für die Überarbeitung des VAG bildet, die sogenannten "Delegierten Verordnung" der EU-Kommission, welche die Vorgaben der Solvency-II-Richtlinie ergänzt und konkretisiert, sowie schließlich die EIOPA-Leitlinien der Europäischen Aufsichtsbehörde für das Versicherungswesen und die betriebliche Altersversorgung, welche eine einheitliche Aufsichtspraxis in der EU sicherstellen sollen.
Outsourcing unterliegt der Aufsicht
Bislang war im Versicherungsaufsichtsrecht für die rechtliche Behandlung eines Outsourcing - das Gesetz spricht hier von "Ausgliederung" - eine Unterscheidung zwischen den sogenannten "Funktionsausgliederungen" und den sonstigen Dienstleistungsverträgen notwendig. Denn nur für die erste Gruppe war eine regulatorische Kontrolle vorgesehen. Für IT-Outsourcing bedeutete dies in der Vergangenheit, dass diese oft nicht als Funktionsausgliederung einzuordnen waren und folglich nicht der regulatorischen Kontrolle unterlagen.
Nach der Neuregelung in Paragraf 32 VAG unterfallen nun alle Outsourcings von wichtigen Funktionen und Versicherungstätigkeiten der Aufsicht. Die bisherige Unterscheidung entfällt. Der Begriff der Ausgliederung ist sehr weit gezogen: Darunter fällt jede Tätigkeit, die ein Versicherungsunternehmen normalerweise selbst unternehmen würde, aber nun durch einen dritten Dienstleister erbringen lässt. Hierzu zählt unzweifelhaft der Betrieb der Informationstechnik für das Versicherungsunternehmen, wie dies üblicherweise durch die eigene IT-Abteilung geschieht.
- Tim Weickert, EOS
Tim Weickert ist seit Mitte Juli 2017 neuer Managing Director beim Inkassounternehmen EOS Holding GmbH in Hamburg und in der Geschäftsführung zuständig für die IT. Die EOS Holding ist ein Konzernunternehmen der Otto Group. Zuletzt war Weickert CIO bei der Flexperto GmbH, einem Berliner Startup für digitale Vertriebskooperationen. - Carsten Soßna
Carsten Soßna, seit 2015 Bereichsleiter IT von MLP, übernimmt zum 1. September 2023 als Vorstand die Verantwortung für das neu geschaffene IT-Ressort. - Oliver Reindl
Oliver Reindl ist seit April 2019 CIO/Bereichsleiter IT-Management & Organisation bei der Kölner abcfinance GmbH, eine Tochter der Werhahn KG. Sie betreibt Leasing- und Factoring für den Mittelstand. Beim Finanzdienstleister richtet er die IT auf das schnelle Wachstum der Firma aus. Reindl war zuvor CIO der Flughafen Köln-Bonn GmbH. - Alena Kretzberg
Zum 1. März 2023 wechselt Alena Kretzberg von der Commerzbank zu Volkswagen Financial Services. Die neue IT-Vorständin folgt auf Mario Daberkow. - Thomas Sutter
Thomas Sutter ist seit September 2017 Geschäftsführer der Volkswagen Financial Services Digital Solutions GmbH und dort verantwortlich für den Geschäftsbereich IT. Zuvor hat er als Abteilungsleiter der Abteilung „Core Finance Solutions“ der Volkswagen Financial Services AG gearbeitet. - Christoph Böhm
Neuer CIO und COO der Deutsche Börse AG ist seit November 2018 Christoph Böhm. Er kommt von der SAP AG, wo er als Senior Vice President, Global Cloud Services, arbeitet. Der promovierte Elektroingenieur Böhm war von April 2011 bis Oktober 2014 CIO bei Vodafone. Er kam damals als CEO von der Active Billing GmbH & Co. KG, einer Tochtergesellschaft der Deutschen Telekom. Davor arbeitete er in führenden Positionen bei der Signal Iduna-Gruppe, der Deutschen Post AG und AT&T. - Markus Strehle
Markus Strehle übernahm zum 1. Oktober 2019 die Verantwortung des Vorstandsressorts "IT und Organisation" der Deutschen Leasing und erweitert den bisher vierköpfigen Vorstand. Strehle soll laut Unternehmensangaben die IT modernisieren und die Entwicklung von digitalen Kundenlösungen vorantreiben. - Michael Takada
Michael Takada wechselt innerhalb des Daimler-Truck-Konzerns den CIO-Posten. Er löst Johan Swart als IT-Leiter der Finanztochter ab. - Stephan Nasterlack
Stephan Nasterlack verantwortet seit März 2022 die IT beim Finanzdienstleister Union Investment. - Michael Sonne
Neuer CIO beim Immobiliendienstleister PlanetHome Group in Unterföhring bei München ist seit Mai 2018 Michael Sonne. Die Position des CIOs wurde neu geschaffen. Seit 2010 war er CIO der Interhyp.
Trotz der weiten Begriffsdefinition gelten die neuen Regelungen nicht ausnahmslos für jede Form der Ausgliederung. Gesteigerte gesetzliche Vorgaben greifen, wenn die Ausgliederung eine "wichtige" Funktion oder Dienstleistung betrifft. Eine "wichtige" Funktion oder Dienstleistung liegt dann vor, wenn die betreffende Leistung für das Unternehmen unverzichtbar ist, da es ohne diese Funktion oder Tätigkeit nicht in der Lage wäre, seine Leistungen für die Versicherungsnehmer zu erbringen. Es liegt auf der Hand, dass die BaFin nach dieser Definition nahezu jeden IT-Outsourcing-Vertrag als Ausgliederung wichtiger Funktionen verstehen wird. Dies liegt auch nahe, denn der zunehmende Einsatz von Informationstechnik führt dazu, dass ein Versicherungsunternehmen die eigenen Aufgaben ohne eine funktionierende IT nicht oder kaum noch erfüllen kann.
Interne Governance und Ausgliederungsbeauftragter
Neu ist auch, dass die Versicherungsunternehmen schriftlich interne Leitlinien zum Outsourcing aufstellen müssen. Diese Leitlinien müssen detaillierte Vorgaben zur Ausgliederung von Funktionen und Tätigkeiten enthalten. Zudem muss darin der Überprüfungsprozess festgelegt sein, der vor der Entscheidung über eine Outsourcing-Vereinbarung durchzuführen ist. Geregelt werden muss auch, wie der externe Dienstleister während des Outsourcings überwacht wird. Der ständigen Kontrolle der Einhaltung der vertraglichen und gesetzlichen Regelungen durch den Dienstleister kommt künftig noch mehr Bedeutung zu.
So ist von dem Versicherungsunternehmen nunmehr auch explizit eine Person zu benennen, welche intern die Gesamtverantwortung für die ausgelagerte Schlüsselqualifikation trägt. Ein solcher Ausgliederungsbeauftragter ist also dann einzusetzen, wenn wichtige Funktionen oder Tätigkeiten ausgegliedert werden, um hierdurch an einer Stelle im Versicherungsunternehmen die Rechte und Pflichten mit Blick auf das Outsourcing zu bündeln.
Kontrolle des Dienstleisters: Outbound Due Diligence
Bei der Outbound Due Diligence muss die Versicherung auch überprüfen, ob der Dienstleister überhaupt über die erforderlichen finanziellen Mittel verfügt, um die zusätzlichen Aufgaben zu erfüllen. Weiterhin muss geprüft werden, dass auch alle Mitarbeiter des Dienstleisters, die mit der ausgelagerten Funktion oder Tätigkeit befassen, ausreichend qualifiziert und zuverlässig sind. Mehr als zuvor ist daher auch die Auswahl des Dienstleisters und die Dokumentation des Auswahlprozesses sowie das kontinuierliche Monitoring des externen Dienstleisters entscheidend. Denn der Dienstleister muss über die Fähigkeiten, Kapazitäten und gegebenenfalls gesetzlichen Genehmigungen verfügen, die erforderlich sind, um die Outsourcing-Leistungen erbringen zu können. Ferner dürfen durch das IT-Outsourcing keine datenschutzrechtlichen Bestimmungen verletzt werden. Zudem muss der Dienstleister mit Blick auf Sicherheit und Vertraulichkeit den gleichen Standards unterliegen wie das Versicherungsunternehmen selbst.
- ICT-Sourcing-Beratung in Deutschland
Die Studie „Der Markt für ICT-Sourcing-Beratung in Deutschland“ legt der Mindelheimer Berater Lünendonk vor. Die Consultants haben dabei mit vier Anbietern kooperiert: Datagroup, ISG Information Services Group, Sepicon und Zelos Management Consultants. Basis der Studie sind Angaben von 28 Anbietern von Outsourcing-Beratung einerseits und 112 Entscheidern aus Unternehmen andererseits. - Themenvielfalt
Externe IT-Sourcing-Beratung suchen CIOs vor allem für die Punkte IT-Sicherheit, Cloud, SAP und Anwendungsentwicklung. - Unterstützung
Unterstützung holen sich Unternehmen vor allem bei der Wahl des Providers und bei der Entwicklung einer Sourcingstrategie. - Budget-Entwicklung
Die Mehrheit der befragten Entscheider will künftig mehr Geld für IT-Sourcing-Berater ausgeben. - Wahl des Service Providers
Viele Unternehmen schreiben nur unter ausgewählten Providern aus. - Anforderungen an den Sourcing-Berater
Bei der Entscheidung für einen IT-Sourcing-Berater spielt dessen Branchenkompetenz die größte Rolle.
Verpflichtende Vertragsinhalte bergen Konfliktpotential
Die Delegierte Verordnung enthält detaillierte Vorgaben, die in IT-Outsourcing-Verträgen umgesetzt werden müssen. Hierunter fallen zum Beispiel die Verpflichtung des Dienstleisters, alle geltenden Rechts- und Verwaltungsvorschriften einzuhalten, proaktiv auf wesentliche Defizite in der Vertragsdurchführung hinzuweisen sowie effektive Kündigungsmöglichkeiten zuzugestehen.
Ferner muss der Dienstleister dazu verpflichtet werden, dem Versicherungsunternehmen, dessen externen Prüfern und den Aufsichtsbehörden effektiven Zugang zu allen Informationen über die ausgelagerten Funktionen und Tätigkeiten zu gewähren. Dies schließt auch Vor-Ort-Kontrollen in den Geschäftsräumen des Dienstleisters ein. Es müssen zwingend auch Regelungen vorgesehen werden, die den Einsatz qualifizierten Personals im ausgelagerten Bereich sicherstellen. Zudem muss der Aufsichtsbehörde ein direktes Frage- und Kontrollrechte gegenüber dem Dienstleister eingeräumt werden.
Viele bestehende Outsourcing-Verträge dürften diese Anforderungen (noch) nicht umsetzen und müssen daher überprüft und bei Bedarf angepasst werden. Doch auch bei Neuverhandlungen mit IT-Dienstleister bergen diese Vorgaben erhebliches Konfliktpotential, verlangen sie von dem IT-Dienstleister doch eine erhebliche Kooperation, die nicht ohne Kostenerstattung gewährt werden dürfte.
Dokumentation ist Pflicht - die Aufsicht hat das letzte Wort
Nach den neuen Vorgaben muss jede Absicht einer Auslagerung zuvor der Aufsichtsbehörde angezeigt werden. Und auch nach Vertragsschluss eingetretenen Änderungen müssen der Aufsichtsbehörde unaufgefordert gemeldet werden. In dem Bericht der Versicherungsunternehmen über ihre Solvabilität und Finanzlage ist nunmehr auch eine Darstellung der Outsourcing-Politik des Versicherungsunternehmens und eine detaillierte Beschreibung der Auslagerung kritischer beziehungsweise wichtiger operativer Funktionen oder Tätigkeiten des Unternehmens aufzunehmen.
Neue Regelungen, aber viele Unklarheiten
Auch wenn nach dem sogenannten "Proportionalitätsgrundsatz" die neuen Vorschriften auf eine Art und Weise anzuwenden sind, die dem Umfang und der Komplexität der Risiken angemessen ist, erhöht sich also der Dokumentationsaufwand. Bis sich belastbare Kriterien zum Umgang der neuen Paragrafen gebildet haben, ist es in jedem Fall sinnvoll, sich bei der Gestaltung der Vertragsinhalte an den bisherigen Anforderungen zu orientieren, welche die MaRisk VA für Funktionsausgliederung und Dienstleistungsverträge aufgestellt hat. (bw)