Ziel der Überarbeitung des Versicherungsaufsichtsgesetzes ist es, die Versicherungsnehmer besser zu schützen. Andererseits ändert sich in diesem Zusammenhang für die Finanzdienstleister Einiges.Hierzu zählen unter anderem eine umfassende Kontrollmöglichkeit durch die Aufsichtsbehörden auch gegenüber dem IT-Dienstleister, Kooperationspflicht zwischen IT-Dienstleister und Aufsichtsbehörden, konkrete Service Level Agreements sowie die Festlegung einfacher Kündigungsmöglichkeiten und Exit-Szenarien. Zudem gibt es nun eine Unterrichtungspflicht an die Aufsichtsbehörden im Vorfeld der Auslagerungsmaßnahmen.
Paragraphen-Dschungel VAG, EU-Verordnungen und EIOPA-Leitlinien
Für deutsche Versicherungsunternehmen gelten unmittelbar die Regelungen des VAG. Für die IT-Dienstleister ergibt sich daraus eine mittelbare Umsetzungsverpflichtung, da die Versicherungsunternehmen gezwungen sind, die Vorgaben des VAG gegenüber den IT-Dienstleitern durch entsprechende Verträge durchzusetzen. Das VAG selbst gilt nicht unmittelbar für IT-Dienstleister.
Für die Auslegung der Regelungen des VAG sind zusätzlich verschiedene europäische Regelungen heranzuziehen. Hierzu zählt zunächst die Solvency-II-Richtlinie aus dem November 2009, die die Grundlage für die Überarbeitung des VAG bildet, die sogenannten "Delegierten Verordnung" der EU-Kommission, welche die Vorgaben der Solvency-II-Richtlinie ergänzt und konkretisiert, sowie schließlich die EIOPA-Leitlinien der Europäischen Aufsichtsbehörde für das Versicherungswesen und die betriebliche Altersversorgung, welche eine einheitliche Aufsichtspraxis in der EU sicherstellen sollen.
Outsourcing unterliegt der Aufsicht
Bislang war im Versicherungsaufsichtsrecht für die rechtliche Behandlung eines Outsourcing - das Gesetz spricht hier von "Ausgliederung" - eine Unterscheidung zwischen den sogenannten "Funktionsausgliederungen" und den sonstigen Dienstleistungsverträgen notwendig. Denn nur für die erste Gruppe war eine regulatorische Kontrolle vorgesehen. Für IT-Outsourcing bedeutete dies in der Vergangenheit, dass diese oft nicht als Funktionsausgliederung einzuordnen waren und folglich nicht der regulatorischen Kontrolle unterlagen.
Nach der Neuregelung in Paragraf 32 VAG unterfallen nun alle Outsourcings von wichtigen Funktionen und Versicherungstätigkeiten der Aufsicht. Die bisherige Unterscheidung entfällt. Der Begriff der Ausgliederung ist sehr weit gezogen: Darunter fällt jede Tätigkeit, die ein Versicherungsunternehmen normalerweise selbst unternehmen würde, aber nun durch einen dritten Dienstleister erbringen lässt. Hierzu zählt unzweifelhaft der Betrieb der Informationstechnik für das Versicherungsunternehmen, wie dies üblicherweise durch die eigene IT-Abteilung geschieht.
Trotz der weiten Begriffsdefinition gelten die neuen Regelungen nicht ausnahmslos für jede Form der Ausgliederung. Gesteigerte gesetzliche Vorgaben greifen, wenn die Ausgliederung eine "wichtige" Funktion oder Dienstleistung betrifft. Eine "wichtige" Funktion oder Dienstleistung liegt dann vor, wenn die betreffende Leistung für das Unternehmen unverzichtbar ist, da es ohne diese Funktion oder Tätigkeit nicht in der Lage wäre, seine Leistungen für die Versicherungsnehmer zu erbringen. Es liegt auf der Hand, dass die BaFin nach dieser Definition nahezu jeden IT-Outsourcing-Vertrag als Ausgliederung wichtiger Funktionen verstehen wird. Dies liegt auch nahe, denn der zunehmende Einsatz von Informationstechnik führt dazu, dass ein Versicherungsunternehmen die eigenen Aufgaben ohne eine funktionierende IT nicht oder kaum noch erfüllen kann.
Interne Governance und Ausgliederungsbeauftragter
Neu ist auch, dass die Versicherungsunternehmen schriftlich interne Leitlinien zum Outsourcing aufstellen müssen. Diese Leitlinien müssen detaillierte Vorgaben zur Ausgliederung von Funktionen und Tätigkeiten enthalten. Zudem muss darin der Überprüfungsprozess festgelegt sein, der vor der Entscheidung über eine Outsourcing-Vereinbarung durchzuführen ist. Geregelt werden muss auch, wie der externe Dienstleister während des Outsourcings überwacht wird. Der ständigen Kontrolle der Einhaltung der vertraglichen und gesetzlichen Regelungen durch den Dienstleister kommt künftig noch mehr Bedeutung zu.
So ist von dem Versicherungsunternehmen nunmehr auch explizit eine Person zu benennen, welche intern die Gesamtverantwortung für die ausgelagerte Schlüsselqualifikation trägt. Ein solcher Ausgliederungsbeauftragter ist also dann einzusetzen, wenn wichtige Funktionen oder Tätigkeiten ausgegliedert werden, um hierdurch an einer Stelle im Versicherungsunternehmen die Rechte und Pflichten mit Blick auf das Outsourcing zu bündeln.
Kontrolle des Dienstleisters: Outbound Due Diligence
Bei der Outbound Due Diligence muss die Versicherung auch überprüfen, ob der Dienstleister überhaupt über die erforderlichen finanziellen Mittel verfügt, um die zusätzlichen Aufgaben zu erfüllen. Weiterhin muss geprüft werden, dass auch alle Mitarbeiter des Dienstleisters, die mit der ausgelagerten Funktion oder Tätigkeit befassen, ausreichend qualifiziert und zuverlässig sind. Mehr als zuvor ist daher auch die Auswahl des Dienstleisters und die Dokumentation des Auswahlprozesses sowie das kontinuierliche Monitoring des externen Dienstleisters entscheidend. Denn der Dienstleister muss über die Fähigkeiten, Kapazitäten und gegebenenfalls gesetzlichen Genehmigungen verfügen, die erforderlich sind, um die Outsourcing-Leistungen erbringen zu können. Ferner dürfen durch das IT-Outsourcing keine datenschutzrechtlichen Bestimmungen verletzt werden. Zudem muss der Dienstleister mit Blick auf Sicherheit und Vertraulichkeit den gleichen Standards unterliegen wie das Versicherungsunternehmen selbst.
- ICT-Sourcing-Beratung in Deutschland
Die Studie „Der Markt für ICT-Sourcing-Beratung in Deutschland“ legt der Mindelheimer Berater Lünendonk vor. Die Consultants haben dabei mit vier Anbietern kooperiert: Datagroup, ISG Information Services Group, Sepicon und Zelos Management Consultants. Basis der Studie sind Angaben von 28 Anbietern von Outsourcing-Beratung einerseits und 112 Entscheidern aus Unternehmen andererseits. - Themenvielfalt
Externe IT-Sourcing-Beratung suchen CIOs vor allem für die Punkte IT-Sicherheit, Cloud, SAP und Anwendungsentwicklung. - Unterstützung
Unterstützung holen sich Unternehmen vor allem bei der Wahl des Providers und bei der Entwicklung einer Sourcingstrategie. - Budget-Entwicklung
Die Mehrheit der befragten Entscheider will künftig mehr Geld für IT-Sourcing-Berater ausgeben. - Wahl des Service Providers
Viele Unternehmen schreiben nur unter ausgewählten Providern aus. - Anforderungen an den Sourcing-Berater
Bei der Entscheidung für einen IT-Sourcing-Berater spielt dessen Branchenkompetenz die größte Rolle.
Verpflichtende Vertragsinhalte bergen Konfliktpotential
Die Delegierte Verordnung enthält detaillierte Vorgaben, die in IT-Outsourcing-Verträgen umgesetzt werden müssen. Hierunter fallen zum Beispiel die Verpflichtung des Dienstleisters, alle geltenden Rechts- und Verwaltungsvorschriften einzuhalten, proaktiv auf wesentliche Defizite in der Vertragsdurchführung hinzuweisen sowie effektive Kündigungsmöglichkeiten zuzugestehen.
Ferner muss der Dienstleister dazu verpflichtet werden, dem Versicherungsunternehmen, dessen externen Prüfern und den Aufsichtsbehörden effektiven Zugang zu allen Informationen über die ausgelagerten Funktionen und Tätigkeiten zu gewähren. Dies schließt auch Vor-Ort-Kontrollen in den Geschäftsräumen des Dienstleisters ein. Es müssen zwingend auch Regelungen vorgesehen werden, die den Einsatz qualifizierten Personals im ausgelagerten Bereich sicherstellen. Zudem muss der Aufsichtsbehörde ein direktes Frage- und Kontrollrechte gegenüber dem Dienstleister eingeräumt werden.
Viele bestehende Outsourcing-Verträge dürften diese Anforderungen (noch) nicht umsetzen und müssen daher überprüft und bei Bedarf angepasst werden. Doch auch bei Neuverhandlungen mit IT-Dienstleister bergen diese Vorgaben erhebliches Konfliktpotential, verlangen sie von dem IT-Dienstleister doch eine erhebliche Kooperation, die nicht ohne Kostenerstattung gewährt werden dürfte.
Dokumentation ist Pflicht - die Aufsicht hat das letzte Wort
Nach den neuen Vorgaben muss jede Absicht einer Auslagerung zuvor der Aufsichtsbehörde angezeigt werden. Und auch nach Vertragsschluss eingetretenen Änderungen müssen der Aufsichtsbehörde unaufgefordert gemeldet werden. In dem Bericht der Versicherungsunternehmen über ihre Solvabilität und Finanzlage ist nunmehr auch eine Darstellung der Outsourcing-Politik des Versicherungsunternehmens und eine detaillierte Beschreibung der Auslagerung kritischer beziehungsweise wichtiger operativer Funktionen oder Tätigkeiten des Unternehmens aufzunehmen.
Neue Regelungen, aber viele Unklarheiten
Auch wenn nach dem sogenannten "Proportionalitätsgrundsatz" die neuen Vorschriften auf eine Art und Weise anzuwenden sind, die dem Umfang und der Komplexität der Risiken angemessen ist, erhöht sich also der Dokumentationsaufwand. Bis sich belastbare Kriterien zum Umgang der neuen Paragrafen gebildet haben, ist es in jedem Fall sinnvoll, sich bei der Gestaltung der Vertragsinhalte an den bisherigen Anforderungen zu orientieren, welche die MaRisk VA für Funktionsausgliederung und Dienstleistungsverträge aufgestellt hat. (bw)