Benimm-Regeln

Grundsätzlich ist die Geschäftsorganisation eines Unternehmens seine eigene Angelegenheit und sollte daher auch nicht von außen beeinflusst werden. Da aber aus einigen Branchen eine beträchtliche Ausstrahlwirkung auf andere Wirtschafts­bereiche ausgeht, unterliegen sie der staat­lichen Aufsicht. Und die geht ­inzwischen so weit, Banken, ­Altersvorsorgeeinrichtungen und Versicherungen Vorschriften für ihre Aufbau- und Ablauforganisation zu machen, um eine „gute Governance“ zu gewährleisten.

 

 

In Deutschland veröffentlicht die BaFin sogenannte „Aufsichtsrechtliche Mindestanforderungen an die Geschäfts­organisation“ (MaGo) für die einzelnen Segmente. Zuletzt waren die „kleinen Versicherungsunternehmen“ an der Reihe. Am 6. März 2020 wurde das Rundschreiben „Aufsichtsrechtliche Mindestanforderungen an die Geschäftsorganisation von kleinen Versicherungsunternehmen nach § 211 Versicherungsaufsichtsgesetz (VAG)“ veröffentlicht. Der Kurzname lautet „MaGo für kleine VU“; in Kraft getreten sind sie am 1. April 2020. Vor der Veröffentlichung wurde bereits ein erster Entwurf mit Vertretern der betroffenen Branchenverbände sowie der Landesaufsichtsbehörden im Rahmen eines Workshops diskutiert. Der daraufhin erstellte Entwurf wurde bis Anfang Dezember 2019 öffentlich konsultiert.

 

Die MaGo für kleine VU gilt für alle von der BaFin beaufsichtigten Erstver­sicherungsunternehmen, die als „kleine Versicherungsunternehmen“ gelten. Das sind Versicherer, die weniger als fünf Millionen Euro Bruttoprämieneinnahmen jährlich vereinnahmen beziehungs­weise über weniger als 25 Millionen Euro versicherungstechnische Rückstellungen verfügen und weitere Bedingungen erfüllen. Pensionskassen, Pensionsfonds und Sterbekassen gehören nicht dazu. Für Pensionskassen und -fonds ist eine spezifische MaGo in Arbeit – die MaGo für EbAVs. „Sterbekassen fallen nicht unter die MaGo für kleine VU; für sie gelten noch die MARisk nach § 64a VAG a. F. Sterbekassen können sich allerdings freiwillig der MaGo für kleine VU unterwerfen“, erklärt Paul Wessling, Vorsitzender des Verwaltungsrates des Deutschen Sterbekassenverbandes.

 

Mit dem Rundschreiben bündelt die ­BaFin ihre Erwartungen an die Ausgestaltung wichtiger Bereiche der Geschäftsorganisation gemäß §§ 23 ff. VAG. Damit werde „eine konsistente Anwendung der Anforderungen an die Geschäftsorganisation gegenüber allen kleinen Versicherungsunternehmen beabsichtigt“, schreibt die BaFin im Begleittext zum Rundschreiben.

 

Ein Sprecher des Gesamtverbandes der Deutschen Versicherungswirtschaft (GDV) erklärt gegenüber Institutional Money: „Wenngleich die grundsätzliche Notwendigkeit und der Zeitpunkt der Veröffentlichung des Rundschreibens aus Sicht des Verbandes hinterfragt werden können, sind im Vergleich zur Konsultationsfassung wesentliche Verbesserungen durch die BaFin vorgenommen worden.“ Positiv sieht der Verband, dass der Vertrieb nicht mehr grundsätzlich als Treiber für den Aufbau wesentlicher ­Risiken bei kleinen Versicherungsunternehmen angesehen wird und dass als Regelvermutung gilt, dass eine angemessene Trennung der Zuständigkeiten herrscht. Als nützlich wertet der Verband auch, dass kein gesonderter Prozess zur Überprüfung der Geschäftsorganisation mehr erforderlich ist und dass der Anwendungsbereich der Ausgliederungsvorschriften eingegrenzt wurde.

Paul Wessling ist der Meinung, dass einige der Anforderungen trotzdem eine große Last für die Unternehmen darstellen: „Nehmen Sie einen kleinen Sachversicherer. Der hat vielleicht nur wenige Leute, aber das Geschäft läuft seit Jahrzehnten solide. Die Geschäftsleitung organisiert zwar das Tagesgeschäft, muss sich jetzt aber erstmals dezidiert Gedanken über die Geschäftsorganisation und sämtliche Prozesse machen, die Risiken identifizieren, Kontrollsysteme erstellen und Notfallpläne festlegen. Das Ganze ist zu dokumentieren, natürlich mit einheitlichen Begrifflichkeiten in der gesamten Dokumentation.“ 

 

Gerade in der Erstdokumentation sei das ein enormer Aufwand. Hier hätte Wessling es hilfreich gefunden, wenn die BaFin mit der MaGo auch eine Musterdokumentation oder Formulierungshilfen zur Verfügung gestellt hätte. „Ich vergleiche das mit der Situation der Ärzte. Es wird Situationen geben, in denen mehr Zeit mit der Dokumentation als mit der eigentlichen Aufgabe verbracht wird.“

 

 

Das BaFin-Rundschreiben enthält zum Beispiel konkrete Anforderungen an eine angemessene Risikokultur. So soll ein einheitliches Verständnis über die unternehmenseigenen Risiken sowie den Umgang mit ihnen hergestellt werden. Außerdem müssen die Unternehmen die Verantwortlichkeiten beim Umgang mit Risiken fest­legen. Dazu sind die Personen zu benennen, die mit dem Aufbau sowie der Identifikation, Bewertung, Überwachung und Steuerung der wesentlichen Risiken betraut sind.

 

Die Unternehmen müssen auch prüfen, ob und welche Anreizstrukturen zum Umgang mit Risiken im Unternehmen geeignet sind und eingeführt werden. Insgesamt sei „ein offener Dialog aller betroffenen Per­sonen im Unternehmen zum Umgang mit Risiken zu fördern, sodass alle Personen die für sie relevanten Informationen rechtzeitig erhalten“, fordert die BaFin.

 

Die Leitlinien zum Risikomanagement, aber auch zum internen Kontrollsystem und zur Ausgliederung sind schriftlich zu dokumentieren und mindestens einmal jährlich zu überprüfen. Allerdings schreibt die BaFin auch: „Die Überprüfung kann bei schwächer ausgeprägtem Risikoprofil und stabilem Geschäftsmodell sehr einfach und ­unbürokratisch erfolgen.“ Wichtig ist der BaFin, „dass die Risikokultur auch gelebt, im Unternehmen kommuniziert und beim Aufbau von Risiken beachtet wird“. Das seien wichtige Voraussetzungen für eine wirksame und ordnungsgemäße Geschäftsorganisation. Dazu soll die gesamte Geschäftsleitung die Risikokultur fördern. Ihr käme dabei eine wichtige Vorbildfunktion zu („Tone at the Top“).

 

Einen ähnlichen Abschnitt über die Risikokultur will die BaFin auch den Solvency-II-regulierten Versicherungsunternehmen ins Heft schreiben, wenn die Abschlussarbeiten des Solvency-II-Reviews anstehen. 

 

 

Neben dem großen Block Risikomanagement enthält das Rundschreiben auch Auslegungen über die Anforderungen an die Geschäftsorganisation, die in den Paragrafen 23 ff. des VAG umschrieben sind. 

 

Dazu soll die Aufbauorganisation dem Risikoprofil des Unternehmens angemessen sein und transparent gemacht werden. Das erfordert klare Definitionen und Abgrenzungen von Aufgaben und Verantwortlichkeiten. So ist eindeutig zu regeln, wer im Unternehmen für die Aufgaben zuständig ist und für Entscheidungen verantwortlich zeichnet. Auch Vertretungsregelungen und Berichtslinien sind klar festzulegen.

 

Die Unternehmen seien „angehalten zu prüfen, ob eine Anpassung ihrer Geschäftsorganisation notwendig ist und gegebenenfalls wie diese Anpassung in einer dem Risi­koprofil angemessenen Weise erfolgen soll“, schreibt die BaFin im Begleittext.

 

Für die ordnungsgemäße und wirksame Geschäftsorganisation des Unternehmens tragen die Geschäftsleiter von kleinen Versicherungsunternehmen die Gesamtverantwortung. „Die gesamte Geschäftsleitung ist damit auch dafür verantwortlich, dass das Unternehmen über ein dem Risikoprofil angemessenes und wirksames Risikomanagement- und internes Kontrollsystem verfügt“, so die BaFin. Auch die Kontrollfunktionen des Aufsichtsrates werden angesprochen. „Der Aufsichtsrat nimmt die ihm zur Erfüllung seiner Aufgaben eingeräumten Informations-, Einsichts- und Prüfungsrechte aktiv wahr und berät die Geschäftsleitung unter anderem in strategischen Fragen“, heißt es in dem Rundschreiben.

 

 

Der Ausgliederung von Funktionen und Versicherungstätigkeiten ist ein gesonderter Abschnitt des Rundschreibens gewidmet. Geregelt wird, dass Ausgliederungsvereinbarungen grundsätzlich schriftlich zu formulieren sind und die Ausgliederung der Behörde anzuzeigen ist. Außerdem müssen die ausgegliederte Funktion oder Versicherungstätigkeit in das Risikomanagement und die internen Kontrollsys­teme einbezogen werden. So soll sichergestellt sein, dass auch für die ausgegliederten Funktionen die gesetzlichen Anforderungen, etwa Datenschutzvorschriften, beachtet werden.

 

Gerade die Ausgliederungsvorschriften hält Wessling für herausfordernd: „Dienstleistungen, die man wiederholt abruft – beispielsweise IT-Leistungen – gelten als Ausgliederung. Dazu braucht man jetzt einen Auslagerungsbeauftragten. Die Auslagerung ist anzuzeigen und jährlich zu überprüfen. Das ist viel Aufwand, insbesondere wenn der Dienst­leister auch in die Notfallplanung integriert werden muss oder Vertragsan­passungen erfolgen müssen!“ Aus der Verantwortung kommt die Geschäftsleitung nicht: Auch bei Ausgliederungen „bleibt die Letztverantwortung der gesamten Geschäftsleitung immer bestehen“, heißt es im Rundschreiben. Insbesondere bei der Ausgliederung „wichtiger Funktionen oder Versicherungstätigkeiten“ muss vorab eine Genehmigung der gesamten Geschäftsleitung vorliegen.

 

Originäre Leitungsaufgaben einschließlich der Verantwortung für die Einrichtung und die Weiterentwicklung des Risikoma­nagementsystems und des internen Kontrollsystems sind nicht ausgliederbar. In ­diesen Bereichen können Dienstleister ­lediglich unterstützend und beratend tätig werden. Der BaFin ist wichtig, dass auch bei einer Ausgliederung auf eine angemessene Zuständigkeitstrennung geachtet wird, und zwar sowohl auf Seiten des Dienstleis­ters als auch auf Seiten des Unternehmens.

 

Das Rundschreiben fordert auch ein ange­messenes Notfallmanagement. Hier geht es darum, die Widerstandsfähigkeit von Bereichen und Prozessen im Unternehmen zu erhöhen. Dadurch sollen „in mög­lichen Krisensituationen die Verfügbarkeit wesentlicher Daten und Funktionen sowie die Fortführung der Geschäftstätigkeit durch im Vorfeld definierte Verfahren“ gewähr­leistet werden.

 

Die Wahrung des Proportionalitätsprinzips war den beaufsichtigten Unternehmen wichtig. Die BaFin ist der Meinung, dass ihr Rundschreiben dem Proportionalitätsprinzip entspricht und für kleine Versicherungsunternehmen „vielfältige Erleichterungen im Vergleich zu Solvency-II-Unternehmen“ vorsieht. „Darüber hinaus ermöglicht das Proportionalitätsprinzip gerade auch den kleinen Versicherungsunternehmen die flexible und angemessene Umsetzung der ­Anforderungen an die Geschäftsorganisa­tion“, schreibt die BaFin im Begleittext zum Rundschreiben. Dazu gehört etwa,  dass die kleinen Versicherer als Regelvermutung ­immer den Funktionstrennungsgrundsatz einhalten. Das stellt allerdings auch eine ­Erschwernis dar, wenn von zwei Vorständen einer lange Zeit ausfällt. Solvency-II-regulierte Versicherungsunternehmen können hingegen ihre Aufbauorganisation so gestalten, dass die Verantwortlichkeiten zwischen allen wichtigen Funktionen wie Geschäftsleitung, Risikocontrolling, interner Revision und den operativen Geschäftsbereichen jederzeit strikt voneinander getrennt sind. Die internen Abläufe müssen möglichst stan­dardisiert dokumentiert und in schriftlichen Leitlinien festgehalten werden, um Inter­essenkonflikte und Machtmissbrauch zu vermeiden. „Für eine kleine Sterbekasse mit nur einem Vorstand und einem Mitarbeiter wäre das sportlich“, meint Wessling. 

 

 

Bestimmte Anforderungen des Rundschreibens beziehen sich nicht auf sämt­liche, sondern nur auf wesentliche Risiken. Die Geschäftsleitung bestimmt ­dabei, welche Kriterien geeignet sind, um die wesentlichen Risiken zu bestimmen. Insbesondere das versicherungstechnische und das Marktrisiko sollen hierunter fallen. Kleine Versicherungsunternehmen erhalten eine Erleichterung, weil angenommen wird, dass sie aufgrund ihres Geschäftsmodells im ­Vertrieb regelmäßig keine wesentlichen Risiken aufbauen. Pauschale Übergangsfristen enthält das Rundschreiben nicht, da einzelne Unternehmen bisher möglicherweise von einer abweichenden Auslegung des VAG ausgegangen sind und daher umfangreichere Anpassungen vornehmen müssen. Die BaFin werde dies „im Einzelfall im Dialog mit dem jeweiligen Unternehmen klären“.

 

Anke Dembowski