Frankfurt /Main
Frankfurt /MainQuelle: Bild von Bruno Glätsch auf Pixabay 
Politik & Regulierung

"Versicherungsaufsicht über IT und Cloud-Dienste – Solvency II in der Rechtsanwendung" – Tagung des Fachkreises Versicherungsrecht des Deutschen Vereins für Versicherungswissenschaft

Von Nikklas-Jens Biller-BomhardtTagesaktuelle Informationen und Neuigkeiten aus der Versicherungsbranche. Alle Nachrichten des Tagesreports auch als Newsletter abonnierbar.
Der Fachkreis Versicherungsrecht veranstaltet in Kooperation mit der Goethe-Universität Frankfurt/M. (Prof. Dr. Manfred Wandt) und der Johannes Gutenberg-Universität Mainz (Prof. Dr. Meinrad Dreher, LL.M.) seit dem Jahr 2009 die Reihe „Solvency II in der Rechtsanwendung“. Die sehr gut besuchte 10. Tagung am 24. 6. 2019 in Frankfurt/M. war dem Thema „Versicherungsaufsicht über IT und Cloud-Dienste“ gewidmet.

Jochen Zengler (Referent der Bundesanstalt für Finanzdienstleistungsaufsicht [BaFin]), eröffnete die Veranstaltung mit einem Vortrag über die Sicht der BaFin zur gegenwärtigen Versicherungsaufsicht über IT und Cloud-Dienste. Der Fokus der BaFin richte sich u. a. aufgrund der digitalen Transformation des Versicherungssektors und InsureTechs verstärkt auf eine IT-Aufsicht. Hierbei sei die Aufsicht über Ausgliederungen in eine Cloud von besonderer Bedeutung. Denn bei Cloud-Anbietern seien die Regelungen der §§ 7 Nr. 2, 34 VAG sowie gegebenenfalls Art. 274 Abs. 4 DVO anwendbar. Für eine aufsichtsrechtlich konforme Ausgliederung habe die BaFin ein Merkblatt zur Orientierungshilfe herausgegeben, welches allerdings nicht verbindlich sei. Das Merkblatt enthalte keine neuen Anforderungen an die Versicherungsunternehmen, sondern solle das Problembewusstsein in den Versicherungsunternehmen schärfen. Ob die Dienstleistung eines Dritten der Ausgliederungskontrolle unterliege, sei jeweils konkret anhand einer Einzelfallprüfung im Rahmen des § 7 Nr. 2 VAG zu ermitteln. Der Vortrag endete mit einem Ausblick auf den kommenden FinTech-Aktionsplan (ESA) als rechtlicher Rahmen für die Überwachung kritischer Dienstleister.

 

Katharina Hartwig (Allianz SE) rückte in ihrem Vortrag aus Sicht der Unternehmenspraxis die Vertragsgestaltung zwischen Versicherungsunternehmen und IT-Dienstleistern sowie Cloud-Anbietern in den Fokus. Insbesondere die Prüfungs- und Weisungsrechte, die sich das Versicherungsunternehmen durch die Drittunternehmen nach § 32 Abs. 4 VAG vertraglich zusichern lassen müsse, bieten Konfliktpotenzial. Die Risikoprüfung der BaFin habe nicht pro (Ausgliederungs-)Vertrag, sondern pro einzelner Dienstleistung durch den Dienstleister zu erfolgen; maßgeblich sei das Abstellen auf die tatsächliche Nutzung. Für global agierende Versicherungsunternehmen seien die unterschiedlichen Jurisdiktionen problematisch, da jede Jurisdiktion häufig eigene aufsichtsrechtliche Anforderungen an die Ausgliederungen vorweise.

 

Marc Schober (Bundesamt für Sicherheit in der Informationstechnik [BSI]), beleuchtete in seinem Vortrag das Thema mit Blick auf kritische Infrastrukturen im Versicherungswesen. Kritische Infrastruktur sei eine solche Infrastruktur, der eine besondere Bedeutung für das Gemeinwesen zukomme. Das BSI sei mit dem Schutz der kritischen Infrastruktur beauftragt. Maßgeblich für das Tätigwerden des BSI seien das BSI-Gesetz und die BSI-KritisV. Die Versicherungsunternehmen seien im Sinne der gesetzlichen Grundlagen stets nur die Betreiber kritischer Infrastrukturen, nicht die kritische Infrastruktur selbst. Das Versicherungsunternehmen treffe als Betreiber solcher Infrastrukturen besondere Sicherheitsmaßnahmen nach § 8a BSIG, die dem BSI gegenüber erstmalig zum 30. 6. 2019 nachzuweisen seien, und Meldepflichten nach § 8b BSIG. Die Sicherheitsmaßnahmen müssen angemessen seien. Der Maßstab für die Angemessenheit sei das Verhältnis des Aufwands der Sicherheitsmaßnahme zur möglichen Folge eines Ausfalls der Infrastruktur für die Allgemeinheit. Die Meldepflicht erstrecke sich nicht nur auf tatsächliche Beeinträchtigungen infolge von Störungen, sondern auch auf Störungen, die zu Beeinträchtigungen hätten führen können, die aber nicht eingetreten sind. Auch Cloud-Infrastruktur könne als kritische Infrastruktur zu klassifizieren sein. Im Vergleich zu anderen Sektoren wie der Bankenbranche seien Angriffe auf die IT-Systeme und Störungen der IT-Systeme in der Versicherungsbranche bisher nur vereinzelt vorgekommen.

 

Prof. Dr. Meinrad Dreher, LL.M., referierte zu Governancefragen der Versicherungsaufsicht über IT, die sich im Zusammenhang mit den im BaFin-Rundschreiben 10/2018 niedergelegten „Versicherungsaufsichtlichen Anforderungen an die IT“ (VAIT) stellen. Er richtete seinen Fokus auf die Anforderungen an die fachliche Eignung des Vorstands und eines jeden Vorstandsmitglieds hinsichtlich IT und Cloud-Diensten. Er merkte an, dass die VAIT die fachliche Eignung des Vorstands und eines jeden Vorstandsmitglieds für IT nicht direkt ansprechen. Die VAIT seien in der Zielsetzung verfehlt, da die wesentlichen Aspekte des Rundschreibens bereits zuvor abgedeckt gewesen seien. Im Übrigen privilegiere die Hervorhebung der IT große Versicherungsunternehmen, da diese die Kapazitäten und Mittel hätten, um den Vorstand entsprechend anzupassen, und sogar ein Vorstandsmitglied benennen könnten, dessen Ressort ausschließlich die IT umfasst. Kleineren Versicherungsunternehmen fehlen diese Möglichkeiten häufig. Die BaFin habe keine ausreichende Begründung vorgebracht, die die Zuständigkeit des Vorstands für alle Fragen der IT rechtfertige; dies führe letztlich zu einer Überforderung des Vorstands.

 

Den Vorträgen schloss sich jeweils eine intensive und lebhafte Diskussion an.

Die Vorträge und Diskussionen werden in dem Tagungsband „Versicherungsaufsicht über IT und Cloud-Dienste – Solvency II in der Rechtsanwendung 2019“ in der Frankfurter Reihe des Verlags Versicherungswirtschaft (VVW GmbH) erscheinen.

 

Der Verfasser, Ass. Jur. Nikklas-Jens Biller-Bomhardt, ist Wissenschaftlicher Mitarbeiter am Institut für Versicherungsrecht der Goethe-Universität Frankfurt/M.

BaFin · Rechtssprechung · VersR · Rechtswissenschaft
Auch interessant
Zurück
23.08.2019VWheute
Wegen Miss­brauchs von Minder­jäh­rigen verur­teilter Ex-NPDler addiert Versi­che­rungs­be­trug zum Stra­fen­konto Rechtsradikale argumentieren gerne …
Wegen Miss­brauchs von Minder­jäh­rigen verur­teilter Ex-NPDler addiert Versi­che­rungs­be­trug zum Stra­fen­konto
Rechtsradikale argumentieren gerne mit Moral, Kameradschaft und Ehrlichkeit. Selbst sind sie sittlich flexibel. Ein ehemaliger NPD-Funktionär ist aktuell wegen …
19.08.2019VWheute
KV-Zusatz­ver­si­che­rung: Sach­be­züge bleiben bis 44 Euro steu­er­frei Entgegen der Ankündigungen bleiben Sachbezüge des Arbeitgebers bis zur Grenze…
KV-Zusatz­ver­si­che­rung: Sach­be­züge bleiben bis 44 Euro steu­er­frei
Entgegen der Ankündigungen bleiben Sachbezüge des Arbeitgebers bis zur Grenze von 44 Euro im Monat steuerfrei. Warum Sie das als versicherungsaffiner Mensch interessieren sollte – gut, dass Sie fragen.
24.06.2019VWheute
Gover­nance­fragen der Aufsicht über IT und Cloud-Dienste Big Data, KI, Digitalisierung, Blockchain, InsurTechs, Robo-Advice, Finanztechnologie, Cyber…
Gover­nance­fragen der Aufsicht über IT und Cloud-Dienste
Big Data, KI, Digitalisierung, Blockchain, InsurTechs, Robo-Advice, Finanztechnologie, Cyber und Cloud bilden einige Stichworte des digitalen Zeitalters der Versicherung. Die neuen Herausforderungen beschäftigen die …
12.06.2019VWheute
Verfol­gungs­jagd über drei Auto­bahnen endet auf dem Dach "Ich will Spaß, ich geb Gas". Das dachte sich wohl ein junger Mann in Baden-Württemberg und…
Verfol­gungs­jagd über drei Auto­bahnen endet auf dem Dach
"Ich will Spaß, ich geb Gas". Das dachte sich wohl ein junger Mann in Baden-Württemberg und setzte sein Vorhaben direkt in die Tat um. Die Folge war eine Verfolgungsjagd mit 20 Polizeiwagen und ein Unfall. Angst um seinen…
Weiter