IT-Dienste im Versicherungsgewerbe

Analysen für Telematik-Tarife rechtssicher outsourcen

30.11.2018
Von  , und  IDG ExpertenNetzwerk


Dr. Yannick Eckervogt berät Versicherer und sonstige Unternehmen in versicherungsrechtlichen Fragestellungen. Er hat sich dabei auf das Versicherungsaufsichtsrecht sowie auf die Beratung von (Rück-)Versicherungsunternehmen bei M&A- und sonstigen Transaktionen spezialisiert. Er promivierte zum Thema „Die Innenhaftung des hauptamtlichen Leitorgans einer Krankenkasse – Die Business Judgement Rule (§ 93 Abs. 1 Satz 2 AktG) und ihre Übertragbarkeit“ an der Westfälischen Wilhelms-Universität Münster.


Ingo Weckmann ist auf die regulatorische Beratung im Versicherungswesen spezialisiert. Auf diesem Gebiet berät er Versicherer, InsurTechs und sonstige Unternehmen im Hinblick auf aufsichts- sowie vertriebsrechtliche Anforderungen. Zusätzlich spezialisiert er sich auf die besonderen regulatorischen Anforderungen an private Krankenversicherungen. Weiterhin berät er (Rück-)Versicherungsunternehmen bei M&A- und sonstigen Transaktionen. Ingo Weckmann studierte in Bayreuth und Münster. 2009 verlieh ihm die Uni Münster den Master of Laws (LL.M.) im Bereich Versicherungsrecht und 2017 promovierte er zu rechtsdienstleistungs- und versicherungsrechtlichen Fragestellungen.


Mareike Christine Gehrmann ist Salary Partner bei der Wirtschaftskanzlei Taylor Wessing und Fachanwältin für Informationstechnologierecht. Sie ist spezialisiert auf die Technologie-Branche und den Bereich Datenschutz. Dort begleitet sie Unternehmen und Behörden bei der erfolgreichen Umsetzung komplexer Digitalisierungsprojekte (u.a. IT-Beschaffung, Agile Softwareprojekte, IT-Sourcing) und berät zu Lizenzmanagement, Datenschutz und Cyber-Security. Zudem verfügt sie über umfangreiche Erfahrungen beim Führen komplexer Gerichts- und DIS-Schiedsverfahren. Seit 2015 ist sie Mitglied im Expertennetzwerk der Computerwoche.
Lagert eine Versicherung die Auswertung von Informationen über deren Kunden an ein Insurtech-Unternehmen aus, sollten rechtssichere Verträge geschlossen werden. Hintergründe und einen genauen Überblick dazu finden Sie in diesem Artikel.
Die analoge Übergabe von Informationen war gestern. Heute werden Daten per Telematik geteilt und verarbeitet.
Die analoge Übergabe von Informationen war gestern. Heute werden Daten per Telematik geteilt und verarbeitet.
Foto: Billion Photos - shutterstock.com

Wie die Wortschöpfung bereits verrät, ist Telematik eine Technik, welche die Bereiche Telekommunikation und Informatik verknüpft. Es ist also die Vernetzung verschiedener IT-Systeme mit Hilfe eines Telekommunikationssystems zur Ermittlung, Speicherung und Verarbeitung von Daten und Informationen.

Diese Technik ist besonders für Versicherungen interessant, um auf diese Weise neue Tarif-Pakete zu gestalten. Dies wird besonders am Beispiel der KfZ-Versicherung deutlich. Der Reiz hieran: Es gilt das "Pay-as-you-drive"-Prinzip. Der Versicherungsnehmer kann Prämien einsparen, wenn er vorausschauend und zurückhaltend fährt. Hierfür muss er jedoch über seine mobilen Endgeräte oder über das Fahrzeug selbst Informationen über sein Fahrverhalten preisgeben. Die Daten erhebt eine im Fahrzeug installierte Blackbox. Dies bedingt zugleich die Verarbeitung personenbezogener Daten.

Die anschließende Analyse und Auswertung der gewonnenen Informationen über die Versicherten erfolgt jedoch regelmäßig nicht durch die Versicherung selbst, sondern durch InsurTechs, an die dieser Verarbeitungsschritt ausgegliedert wird. Bei einer solchen Ausgliederung sind neben Datenschutz vor allem regulatorische Vorgaben zu beachten. Hierzu möchte dieser Beitrag einen kurzen Überblick geben.

Lesetipp: Wie Insurtech-Firmen die Versicherungen herausfordern

Telematik-Tarife als Resultat des technischen Fortschritts

Aufgrund des anhaltenden digitalen Wandels verfügen Versicherer über eine Vielzahl an neuen - wenn auch noch nicht vollständig ausgereiften - technischen Möglichkeiten zur besseren Analyse ihrer jeweiligen Versicherungsprodukte:

  • Im Bereich der (Risiko-) Lebensversicherung können Versicherer durch so genannte Tracking-Komponenten, wie beispielsweise Smartwatches oder Fitnesstracker, welche sie den Versicherten überlassen, deren jeweilige Vitaldaten erheben.

  • Auf dem Gebiet der Kfz-Haftpflichtversicherung werden regelmäßig GPS-Empfänger, Telematik-Box, Smartphone-App oder Diagnosestecker den Versicherten - gegebenenfalls gegen Entgelt - überlassen, um so Daten über die individuelle Fahrweise zu erhalten.

  • Zusätzlich werden von dem Versicherer zum Teil auch weitergehende Funktionen wie ein automatischer Unfallnotruf oder ein Car-Finder angeboten.

Die von dem Versicherten erhobenen Daten sollen es den Versicherern ermöglichen, flexiblere und risikogerechtere Prämienkalkulationen im Interesse ihrer Versicherungsnehmer vorzunehmen.

Lesetipp: BMW startet CarData-Plattform

Zusammenspiel zwischen Telematik-Tarifen und Outsourcing

In Zusammenhang mit Telematik-Tarifen werden immer häufiger Kooperationen zwischen den Versicherungsunternehmen und InsurTechs geschlossen, die als Outsourcing-IT-Dienstleister tätig werden können. Unter InsurTechs versteht man Versicherungsdienstleister, die mit digitalen Technologien arbeiten. Der Begriff Outsourcing oder Ausgliederung wird weit verstanden, sodass hierunter jede unternehmerische Tätigkeit oder Funktion zu fassen ist, die ein Versicherungsunternehmen normalerweise selbst übernehmen würde, aber nun durch einen dritten Dienstleister erbringen lässt, vgl. § 7 Nr. 2 Versicherungsaufsichtsgesetzes ("VAG").

Konkret werden dabei häufig die Auswertung und Verarbeitung der von den Telematik-Systemen ermittelten und aufgezeichneten Daten an die externen IT-Dienstleister ausgegliedert.

Versicherungsaufsichtsrechtliche Vorgaben

Beim Outsourcing haben Versicherer die Vorgaben der Aufsichtsbehörde, der Bundesanstalt für Finanzdienstleistungsaufsicht ("BaFin"), zu beachten: Gemäß § 32 Abs. 1 VAGbleibt ein Versicherungsunternehmen, das Funktionen oder Versicherungstätigkeiten ausgliedert, für die Erfüllung aller aufsichtsrechtlichen Vorschriften und Anforderungen verantwortlich. Das ausgliedernde Versicherungsunternehmen hat sicherzustellen, dass durch die Ausgliederung die ordnungsgemäße Ausführung der ausgegliederten Funktionen und Versicherungstätigkeiten, die Steuerungs- und Kontrollmöglichkeiten des Vorstands sowie die Prüfungs- und Kontrollrechte der BaFin nicht beeinträchtigt werden.

Zu diesem Zweck hat sich das ausgliedernde Versicherungsunternehmen die erforderlichen Auskunfts- und Weisungsrechte gegenüber dem IT-Dienstleister durch diesen vertraglich zusichern zu lassen sowie gemäß § 23 Abs. 3 VAG für den gesamten Bereich der Ausgliederung vorab schriftliche Leitlinien eigenverantwortlich aufzustellen.
Die internen Leitlinien haben dabei die Auswirkungen von Ausgliederungen auf den Geschäftsbetrieb zu berücksichtigen sowie die zu implementierenden Berichts- und Überwachungspflichten über den gesamten Zeitraum der Ausgliederung festzulegen.
Zudem muss darin, der in einem weiteren Schritt vorzunehmende, Überprüfungsprozess (due Diligence) festgelegt sein, der vor der Entscheidung über den Abschluss einer Ausgliederungsvereinbarung durchzuführen ist.
Die Leitlinien sind mindestens einmal jährlich zu überprüfen sowie bei wesentlichen Änderungen unternehmensinterner oder externer Umstände entsprechend anzupassen. Im Übrigen muss die Geschäftsleitung die Absicht der Ausgliederung der BaFin mitsamt den Entwürfen der Ausgliederungsvereinbarungen gemäß § 47 Nr. 8 VAG anzeigen.

Für die Ausgliederung von Schlüsselfunktionen, namentlich versicherungsmathematische Funktion, Compliance, interne Revision und Risikomanagement, muss stets ein Ausgliederungsbeauftragter bestellt werden. Wobei im Kontext von Telematik-Tarifen und der ausgegliederten Datenverarbeitung vor allem die versicherungsmathematische Funktion betroffen sein dürfte.
Die Aufgabe des Ausgliederungsbeauftragten, als verantwortliche Person einer der genannten Schlüsselfunktionen innerhalb des Unternehmens, besteht vor allem in der Überwachung der Tätigkeitsausübung des jeweiligen externen Dienstleisters. Der Ausgliederungsbeauftragte muss ferner zuverlässig und fachlich geeignet im Sinne des § 24 Abs. 1 VAG sein.

Um der besonderen Bedeutung von IT bei den Versicherungsunternehmen zusätzlich Rechnung zu tragen, hat die BaFin auf Basis des VAG am 02. Juli 2018 das Rundschreiben 10/2018 zu den "Versicherungsaufsichtlichen Anforderungen an die IT" (VAIT) veröffentlicht.
Das Rundschreiben findet Anwendung auf alle Versicherungsunternehmen und Pensionsfonds, die der Aufsicht der BaFin unterliegen. Es enthält Hinweise zur Auslegung der Vorschriften über die Geschäftsorganisation VAG, soweit sie sich auf die technisch-organisatorische Ausstattung der Unternehmen beziehen.
Zentrales Ziel dieses Rundschreibens ist es, dem Management der Unternehmen einen flexiblen und praxisnahen Rahmen für die Ausgestaltung der IT der Unternehmen, insbesondere auch für das Management der IT-Ressourcen und für das IT-Risikomanagement, vorzugeben.

Lesetipp: Risikomanagement - Was Unternehmen beachten müssen

Daneben adressiert das Rundschreiben auchVorgaben für Ausgliederungen von IT-Dienstleistungen und sonstige Dienstleistungsbeziehungen im Bereich IT-Dienstleistungen: Danach müssen Versicherungsunternehmen bei einer Ausgliederungen von IT-Dienstleistungen vorab eine Risikoanalyse durchführen. Dabei ist es unerheblich, ob es sich hierbei um die Hauptdienstleistung oder um eine ergänzende Nebendienstleistung zu einer anderen Hauptdienstleistung handelt. Die aus einer solchen Risikoanalyse in Bezug auf sonstige IT-Dienstleistungsbeziehungen abgeleiteten Maßnahmen sollen angemessen in der Gestaltung des Dienstleistungsvertrags mit dem IT-Dienstleister berücksichtigt werden.

Des Weiteren haben die Versicherungsunternehmen eine vollständige, strukturierte Vertragsübersicht vorzuhalten. Die noch in der Entwurfsfassung im Vergleich zu den Mindestanforderungen an die Geschäftsorganisation von Versicherungsunternehmen ("MaGo") vorgesehene Verschärfung, dass die Risikoanalyse in Bezug auf sonstige Dienstleistungsbeziehungen im Bereich der IT-Dienstleistungen regelmäßig und anlassbezogen überprüft werden soll, wurde entschärft: Die Analyse ist nur noch bei wesentlichen Änderungen des Risikoprofils erneut durchzuführen. Gegegenenfalls sind die Vertragsinhalte anzupassen.