Benimm-Regeln
Mit dem Rundschreiben „Aufsichtsrechtliche Mindestanforderungen an die Geschäftsorganisation von kleinen Versicherungsunternehmen“ vom 6. März erhalten kleine Versicherer spezielle Governance-Regeln.
Grundsätzlich ist die Geschäftsorganisation eines Unternehmens seine eigene Angelegenheit und sollte daher auch nicht von außen beeinflusst werden. Da aber aus einigen Branchen eine beträchtliche Ausstrahlwirkung auf andere Wirtschaftsbereiche ausgeht, unterliegen sie der staatlichen Aufsicht. Und die geht inzwischen so weit, Banken, Altersvorsorgeeinrichtungen und Versicherungen Vorschriften für ihre Aufbau- und Ablauforganisation zu machen, um eine „gute Governance“ zu gewährleisten.
MaGo für kleine VU
In Deutschland veröffentlicht die BaFin sogenannte „Aufsichtsrechtliche Mindestanforderungen an die Geschäftsorganisation“ (MaGo) für die einzelnen Segmente. Zuletzt waren die „kleinen Versicherungsunternehmen“ an der Reihe. Am 6. März 2020 wurde das Rundschreiben „Aufsichtsrechtliche Mindestanforderungen an die Geschäftsorganisation von kleinen Versicherungsunternehmen nach § 211 Versicherungsaufsichtsgesetz (VAG)“ veröffentlicht. Der Kurzname lautet „MaGo für kleine VU“; in Kraft getreten sind sie am 1. April 2020. Vor der Veröffentlichung wurde bereits ein erster Entwurf mit Vertretern der betroffenen Branchenverbände sowie der Landesaufsichtsbehörden im Rahmen eines Workshops diskutiert. Der daraufhin erstellte Entwurf wurde bis Anfang Dezember 2019 öffentlich konsultiert.
Die MaGo für kleine VU gilt für alle von der BaFin beaufsichtigten Erstversicherungsunternehmen, die als „kleine Versicherungsunternehmen“ gelten. Das sind Versicherer, die weniger als fünf Millionen Euro Bruttoprämieneinnahmen jährlich vereinnahmen beziehungsweise über weniger als 25 Millionen Euro versicherungstechnische Rückstellungen verfügen und weitere Bedingungen erfüllen. Pensionskassen, Pensionsfonds und Sterbekassen gehören nicht dazu. Für Pensionskassen und -fonds ist eine spezifische MaGo in Arbeit – die MaGo für EbAVs. „Sterbekassen fallen nicht unter die MaGo für kleine VU; für sie gelten noch die MARisk nach § 64a VAG a. F. Sterbekassen können sich allerdings freiwillig der MaGo für kleine VU unterwerfen“, erklärt Paul Wessling, Vorsitzender des Verwaltungsrates des Deutschen Sterbekassenverbandes.
Mit dem Rundschreiben bündelt die BaFin ihre Erwartungen an die Ausgestaltung wichtiger Bereiche der Geschäftsorganisation gemäß §§ 23 ff. VAG. Damit werde „eine konsistente Anwendung der Anforderungen an die Geschäftsorganisation gegenüber allen kleinen Versicherungsunternehmen beabsichtigt“, schreibt die BaFin im Begleittext zum Rundschreiben.
Ein Sprecher des Gesamtverbandes der Deutschen Versicherungswirtschaft (GDV) erklärt gegenüber Institutional Money: „Wenngleich die grundsätzliche Notwendigkeit und der Zeitpunkt der Veröffentlichung des Rundschreibens aus Sicht des Verbandes hinterfragt werden können, sind im Vergleich zur Konsultationsfassung wesentliche Verbesserungen durch die BaFin vorgenommen worden.“ Positiv sieht der Verband, dass der Vertrieb nicht mehr grundsätzlich als Treiber für den Aufbau wesentlicher Risiken bei kleinen Versicherungsunternehmen angesehen wird und dass als Regelvermutung gilt, dass eine angemessene Trennung der Zuständigkeiten herrscht. Als nützlich wertet der Verband auch, dass kein gesonderter Prozess zur Überprüfung der Geschäftsorganisation mehr erforderlich ist und dass der Anwendungsbereich der Ausgliederungsvorschriften eingegrenzt wurde.
Paul Wessling ist der Meinung, dass einige der Anforderungen trotzdem eine große Last für die Unternehmen darstellen: „Nehmen Sie einen kleinen Sachversicherer. Der hat vielleicht nur wenige Leute, aber das Geschäft läuft seit Jahrzehnten solide. Die Geschäftsleitung organisiert zwar das Tagesgeschäft, muss sich jetzt aber erstmals dezidiert Gedanken über die Geschäftsorganisation und sämtliche Prozesse machen, die Risiken identifizieren, Kontrollsysteme erstellen und Notfallpläne festlegen. Das Ganze ist zu dokumentieren, natürlich mit einheitlichen Begrifflichkeiten in der gesamten Dokumentation.“
Gerade in der Erstdokumentation sei das ein enormer Aufwand. Hier hätte Wessling es hilfreich gefunden, wenn die BaFin mit der MaGo auch eine Musterdokumentation oder Formulierungshilfen zur Verfügung gestellt hätte. „Ich vergleiche das mit der Situation der Ärzte. Es wird Situationen geben, in denen mehr Zeit mit der Dokumentation als mit der eigentlichen Aufgabe verbracht wird.“
Angemessene Risikokultur
Das BaFin-Rundschreiben enthält zum Beispiel konkrete Anforderungen an eine angemessene Risikokultur. So soll ein einheitliches Verständnis über die unternehmenseigenen Risiken sowie den Umgang mit ihnen hergestellt werden. Außerdem müssen die Unternehmen die Verantwortlichkeiten beim Umgang mit Risiken festlegen. Dazu sind die Personen zu benennen, die mit dem Aufbau sowie der Identifikation, Bewertung, Überwachung und Steuerung der wesentlichen Risiken betraut sind.
Die Unternehmen müssen auch prüfen, ob und welche Anreizstrukturen zum Umgang mit Risiken im Unternehmen geeignet sind und eingeführt werden. Insgesamt sei „ein offener Dialog aller betroffenen Personen im Unternehmen zum Umgang mit Risiken zu fördern, sodass alle Personen die für sie relevanten Informationen rechtzeitig erhalten“, fordert die BaFin.
Die Leitlinien zum Risikomanagement, aber auch zum internen Kontrollsystem und zur Ausgliederung sind schriftlich zu dokumentieren und mindestens einmal jährlich zu überprüfen. Allerdings schreibt die BaFin auch: „Die Überprüfung kann bei schwächer ausgeprägtem Risikoprofil und stabilem Geschäftsmodell sehr einfach und unbürokratisch erfolgen.“ Wichtig ist der BaFin, „dass die Risikokultur auch gelebt, im Unternehmen kommuniziert und beim Aufbau von Risiken beachtet wird“. Das seien wichtige Voraussetzungen für eine wirksame und ordnungsgemäße Geschäftsorganisation. Dazu soll die gesamte Geschäftsleitung die Risikokultur fördern. Ihr käme dabei eine wichtige Vorbildfunktion zu („Tone at the Top“).
Einen ähnlichen Abschnitt über die Risikokultur will die BaFin auch den Solvency-II-regulierten Versicherungsunternehmen ins Heft schreiben, wenn die Abschlussarbeiten des Solvency-II-Reviews anstehen.
Gesamtverantwortung
Neben dem großen Block Risikomanagement enthält das Rundschreiben auch Auslegungen über die Anforderungen an die Geschäftsorganisation, die in den Paragrafen 23 ff. des VAG umschrieben sind.
Dazu soll die Aufbauorganisation dem Risikoprofil des Unternehmens angemessen sein und transparent gemacht werden. Das erfordert klare Definitionen und Abgrenzungen von Aufgaben und Verantwortlichkeiten. So ist eindeutig zu regeln, wer im Unternehmen für die Aufgaben zuständig ist und für Entscheidungen verantwortlich zeichnet. Auch Vertretungsregelungen und Berichtslinien sind klar festzulegen.
Die Unternehmen seien „angehalten zu prüfen, ob eine Anpassung ihrer Geschäftsorganisation notwendig ist und gegebenenfalls wie diese Anpassung in einer dem Risikoprofil angemessenen Weise erfolgen soll“, schreibt die BaFin im Begleittext.
Für die ordnungsgemäße und wirksame Geschäftsorganisation des Unternehmens tragen die Geschäftsleiter von kleinen Versicherungsunternehmen die Gesamtverantwortung. „Die gesamte Geschäftsleitung ist damit auch dafür verantwortlich, dass das Unternehmen über ein dem Risikoprofil angemessenes und wirksames Risikomanagement- und internes Kontrollsystem verfügt“, so die BaFin. Auch die Kontrollfunktionen des Aufsichtsrates werden angesprochen. „Der Aufsichtsrat nimmt die ihm zur Erfüllung seiner Aufgaben eingeräumten Informations-, Einsichts- und Prüfungsrechte aktiv wahr und berät die Geschäftsleitung unter anderem in strategischen Fragen“, heißt es in dem Rundschreiben.
Ausgliederung
Der Ausgliederung von Funktionen und Versicherungstätigkeiten ist ein gesonderter Abschnitt des Rundschreibens gewidmet. Geregelt wird, dass Ausgliederungsvereinbarungen grundsätzlich schriftlich zu formulieren sind und die Ausgliederung der Behörde anzuzeigen ist. Außerdem müssen die ausgegliederte Funktion oder Versicherungstätigkeit in das Risikomanagement und die internen Kontrollsysteme einbezogen werden. So soll sichergestellt sein, dass auch für die ausgegliederten Funktionen die gesetzlichen Anforderungen, etwa Datenschutzvorschriften, beachtet werden.
Gerade die Ausgliederungsvorschriften hält Wessling für herausfordernd: „Dienstleistungen, die man wiederholt abruft – beispielsweise IT-Leistungen – gelten als Ausgliederung. Dazu braucht man jetzt einen Auslagerungsbeauftragten. Die Auslagerung ist anzuzeigen und jährlich zu überprüfen. Das ist viel Aufwand, insbesondere wenn der Dienstleister auch in die Notfallplanung integriert werden muss oder Vertragsanpassungen erfolgen müssen!“ Aus der Verantwortung kommt die Geschäftsleitung nicht: Auch bei Ausgliederungen „bleibt die Letztverantwortung der gesamten Geschäftsleitung immer bestehen“, heißt es im Rundschreiben. Insbesondere bei der Ausgliederung „wichtiger Funktionen oder Versicherungstätigkeiten“ muss vorab eine Genehmigung der gesamten Geschäftsleitung vorliegen.
Originäre Leitungsaufgaben einschließlich der Verantwortung für die Einrichtung und die Weiterentwicklung des Risikomanagementsystems und des internen Kontrollsystems sind nicht ausgliederbar. In diesen Bereichen können Dienstleister lediglich unterstützend und beratend tätig werden. Der BaFin ist wichtig, dass auch bei einer Ausgliederung auf eine angemessene Zuständigkeitstrennung geachtet wird, und zwar sowohl auf Seiten des Dienstleisters als auch auf Seiten des Unternehmens.
Das Rundschreiben fordert auch ein angemessenes Notfallmanagement. Hier geht es darum, die Widerstandsfähigkeit von Bereichen und Prozessen im Unternehmen zu erhöhen. Dadurch sollen „in möglichen Krisensituationen die Verfügbarkeit wesentlicher Daten und Funktionen sowie die Fortführung der Geschäftstätigkeit durch im Vorfeld definierte Verfahren“ gewährleistet werden.
Die Wahrung des Proportionalitätsprinzips war den beaufsichtigten Unternehmen wichtig. Die BaFin ist der Meinung, dass ihr Rundschreiben dem Proportionalitätsprinzip entspricht und für kleine Versicherungsunternehmen „vielfältige Erleichterungen im Vergleich zu Solvency-II-Unternehmen“ vorsieht. „Darüber hinaus ermöglicht das Proportionalitätsprinzip gerade auch den kleinen Versicherungsunternehmen die flexible und angemessene Umsetzung der Anforderungen an die Geschäftsorganisation“, schreibt die BaFin im Begleittext zum Rundschreiben. Dazu gehört etwa, dass die kleinen Versicherer als Regelvermutung immer den Funktionstrennungsgrundsatz einhalten. Das stellt allerdings auch eine Erschwernis dar, wenn von zwei Vorständen einer lange Zeit ausfällt. Solvency-II-regulierte Versicherungsunternehmen können hingegen ihre Aufbauorganisation so gestalten, dass die Verantwortlichkeiten zwischen allen wichtigen Funktionen wie Geschäftsleitung, Risikocontrolling, interner Revision und den operativen Geschäftsbereichen jederzeit strikt voneinander getrennt sind. Die internen Abläufe müssen möglichst standardisiert dokumentiert und in schriftlichen Leitlinien festgehalten werden, um Interessenkonflikte und Machtmissbrauch zu vermeiden. „Für eine kleine Sterbekasse mit nur einem Vorstand und einem Mitarbeiter wäre das sportlich“, meint Wessling.
Proportionalitätsprinzip
Bestimmte Anforderungen des Rundschreibens beziehen sich nicht auf sämtliche, sondern nur auf wesentliche Risiken. Die Geschäftsleitung bestimmt dabei, welche Kriterien geeignet sind, um die wesentlichen Risiken zu bestimmen. Insbesondere das versicherungstechnische und das Marktrisiko sollen hierunter fallen. Kleine Versicherungsunternehmen erhalten eine Erleichterung, weil angenommen wird, dass sie aufgrund ihres Geschäftsmodells im Vertrieb regelmäßig keine wesentlichen Risiken aufbauen. Pauschale Übergangsfristen enthält das Rundschreiben nicht, da einzelne Unternehmen bisher möglicherweise von einer abweichenden Auslegung des VAG ausgegangen sind und daher umfangreichere Anpassungen vornehmen müssen. Die BaFin werde dies „im Einzelfall im Dialog mit dem jeweiligen Unternehmen klären“.
Anke Dembowski