Serverraum
ServerraumQuelle: Bild von Elias Sch. auf Pixabay 
Politik & Regulierung

Governancefragen der Aufsicht über IT und Cloud-Dienste

Von Meinrad DreherTagesaktuelle Informationen und Neuigkeiten aus der Versicherungsbranche. Alle Nachrichten des Tagesreports auch als Newsletter abonnierbar.
Big Data, KI, Digitalisierung, Blockchain, InsurTechs, Robo-Advice, Finanztechnologie, Cyber und Cloud bilden einige Stichworte des digitalen Zeitalters der Versicherung. Die neuen Herausforderungen beschäftigen die Versicherungswirtschaft ebenso wie die Versicherungsaufsicht. Mehr Klarheit zu etlichen bisher noch offenen Fragen werden die Referate und Diskussionen bei der heutigen Tagung "Versicherungsaufsicht über IT und Cloud-Dienste" bringen.

Die Sicht der BaFin zu den Themen wird Jochen Zengler, BaFin Bonn, darstellen. Mit den VAIT vom Sommer 2018 und dem am 20.03.2019 nachgelieferten KRITIS-Modul sowie zahlreichen Veröffentlichungen zu IT-Themen hat die BaFin reichlich Diskussionsstoff geliefert. Wie die Unternehmenspraxis diese aufsichtsbehördlichen Vorgaben rezipiert, erläutert vor dem Hintergrund sodann Katharina Hartwig, Allianz SE München. Versicherungsunternehmen, die bestimmte Voraussetzungen erfüllen, müssen außer den BaFin-Vorgaben auch diejenigen des Gesetzes über das Bundesamt für Sicherheit in der Informationstechnik und der Verordnung zur Bestimmung kritischer Infrastrukturen erfüllen. Hier gibt es Überschneidungen in den Anforderungen von Versicherungsaufsicht und KRITIS-Aufsicht.

 

Dies hat unter anderem das Schreiben der Präsidenten der BaFin und des Bundesamts für Sicherheit in der Informationstechnik an die Vorstände von Unternehmen der Finanz- und Versicherungsbranche vom August 2018 gezeigt. Dass dieses Schreiben auch die Notwendigkeit einer ordnungsgemäßen Geschäftsorganisation und die Einhaltung der aufsichtsrechtlichen Anforderungen betont hat, zeigt die Bedeutung der KRITIS-Themen. Marc Schober, BSI Bonn, wird daher in einem weiteren Beitrag speziell auf die Anforderungen an kritische Infrastrukturen im Versicherungsbereich eingehen.

 

Schließlich wird der Verfasser dieses Beitrags am Governance-Fragen der Aufsicht über IT und Cloud-Dienste erörtern. Dabei geht es zunächst um die BaFin-VAIT. Sie enthalten entgegen der Selbstzuschreibung als bloße "Hinweise" nämlich zahlreiche neue und konkrete Anforderungen an Versicherungsunternehmen. Dies gilt etwa für die Bestellung von Informationssicherheitsbeauftragten, den Erlass von unternehmensinternen Informationssicherheitsleitlinien und die Zuständigkeit des Vorstands für IT-Themen. Die letztgenannte BaFin-Vorgabe steht zudem in zum Teil unklarem Verhältnis zu den Vorstandszuständigkeiten nach den BaFin-MaGo.

 

Eine herausgehobene Rolle bei den neuen BaFin-Anforderungen hat der Informationssicherheitsbeauftragte. Wie schon der Ausgliederungsbeauftragte ist auch er ein Deus ex Machina auf der aufsichtsbehördlichen Bühne. Seine unternehmensinterne Stellung – die BaFin geht von einer "überwachenden Funktion" aus – bedarf ebenso der Klärung wie etliche Folgefragen. Dies gilt etwa für die Fragen, ob Vorstandsmitglieder Informationssicherheitsbeauftragte sein können und ob diese Funktion auch auf mehrere Personen aufgeteilt werden kann.

 

Themen des Referats zu den Governance-Fragen der IT in Versicherungsunternehmen werden auch die Individual- und Gesamtqualifikation der Vorstandsmitglieder eines Versicherungsunternehmens im Bereich IT sein. Dabei geht es darum, dass das neue BaFin-Geschäftsleitermerkblatt vom Dezember 2018 bei jedem Mitglied des Vorstands eines Versicherungsunternehmens Kenntnisse in dem "Bereich der Informationstechnologie" fordert und Versicherungsunternehmen zunehmend Vorstandsmitglieder bestellen, die ausschließlich oder primär für IT zuständig sein sollen.

 

Schließlich betreffen die Governance-Fragen der IT auch die Forderung der BaFin-VAIT, dass die Versicherungsunternehmen "geeignete Standards" einhalten müssen. Damit stellt sich konkret die Frage der Maßgeblichkeit solcher Standards. Eng verbunden damit ist die weitere Frage der Compliancepflichtigkeit IT-bezogener Standards und damit die Einbindung der Compliancefunktion eines Versicherungsunternehmens in die unternehmensinterne Organisation und Anwendung von IT und Cloud-Diensten.

Auch interessant
Zurück
09.08.2019VWheute
"Versi­che­rungs­auf­sicht über IT und Cloud-Dienste – Solvency II in der Rechts­an­wen­dung" – Tagung des Fach­kreises Versi­che­rungs­recht des Deut­schen Vereins für Versi­che­rungs­wis­sen­schaft Der…
"Versi­che­rungs­auf­sicht über IT und Cloud-Dienste – Solvency II in der Rechts­an­wen­dung" – Tagung des Fach­kreises Versi­che­rungs­recht des Deut­schen Vereins für Versi­che­rungs­wis­sen­schaft
Der Fachkreis Versicherungsrecht veranstaltet in Kooperation mit der …
24.06.2019VWheute
Gene­rali schließt Cloud-Part­ner­schaft mit Google Die Generali will künftig gemeinsam Google Versicherungspolicen entwickeln. Dazu hat der …
Gene­rali schließt Cloud-Part­ner­schaft mit Google
Die Generali will künftig gemeinsam Google Versicherungspolicen entwickeln. Dazu hat der italienische Versicherungskonzern Medienberichten zufolge eine strategische Cloud-Partnerschaft mit dem Technologieriesen geschlossen.
04.06.2019VWheute
"Je mehr Services über das Internet ange­boten werden, desto inter­es­santer ist der Angriff auf diese" Cloud-Lösungen spielen in Unternehmen eine …
"Je mehr Services über das Internet ange­boten werden, desto inter­es­santer ist der Angriff auf diese"
Cloud-Lösungen spielen in Unternehmen eine immer größere Rolle. Oliver von Ameln, Geschäftsführer der adesso insurance solutions GmbH, hält die "Cloud-Technologie neben der …
16.05.2019VWheute
Provin­zial Nord West startet Cloud-Online-Gewer­be­ver­si­cherer Der Versicherer vertraut beim Launch seines neuen digitalen Gewerbeversicherers …
Provin­zial Nord West startet Cloud-Online-Gewer­be­ver­si­cherer
Der Versicherer vertraut beim Launch seines neuen digitalen Gewerbeversicherers andsafe auf die Hilfe von Adesso. Der Dienstleister liefert hierfür die komplette IT-Architektur für das Angebot, das ab sofort …
Weiter