Digitale Risiken in VU: die Bafin schaut hin

Erst vorige Woche gab der Bafin-Exekutivdirektor Frank Grund auf der BaFin-Jahreskonferenz einen Ausblick auf die Themen, mit denen sich die Bafin in der Versicherungsaufsicht im Jahr 2020 befassen will. Dazu gehört unverändert der digitale Wandel im Versicherungsgeschäft.

„Wir stellen in unserer Beratungspraxis fest, dass die Aufsicht nicht nur im Erlaubnisverfahren bei den Start-up-Unternehmen, den sogenannten Insurtechs, genau hinschaut, bei den turnusmäßigen Audits wird verstärkt die Einhaltung der versicherungsaufsichtsrechtlichen Anforderungen an die IT auch bei den traditionellen Versicherungsunternehmen geprüft.“ 

Seit dem Erlass des Merkblatts „Orientierungshilfe der BaFin und der Deutschen Bundesbank zur Auslagerung an Cloud-Anbieter“ ist genau ein Jahr vergangen und in der Aufsichtspraxis kristallisieren sich inzwischen die unproblematischen Anforderungen und die rechtlichen Knackpunkte heraus: Die geforderte Risikoanalyse der Ausgliederung in die Cloud, die Abbildung in der IT-Strategie und das Führen einer strukturierten Vertragsübersicht wurden von den Unternehmen längst umgesetzt. Auch die Benennung des jeweiligen Ausgliederungsbeauftragten ist erfolgt. Als Herausforderung stellt sich in der Praxis die aufsichtsrechtlich geforderte Vertragsgestaltung mit den betreffenden Cloud Providern dar.

Insbesondere die zwingend mit dem Outsourcing-Partner zu vereinbarenden uneingeschränkten Informations-, Prüfungs- und Weisungsrechte des auslagernden Versicherungsunternehmens und gegebenenfalls dessen Abschlussprüfer sowie der Aufsichtsbehörde bereiten in der Praxis Grund zu viel Diskussion und Abstimmungsbedarf.

Ebenso das vertraglich zu vereinbarende Recht des Versicherungsunternehmens, jederzeitige unverzügliche Rücküberführung der Daten verlangen zu können und auch jederzeit den Verbleib der Daten erfahren zu dürfen – beides Anforderungen, die besondere Cloud-Lösungen erfordern wie z.B. die Private Cloud oder die Community Cloud, die ausschließlich von einem Unternehmen oder einer konkreten Unternehmensgemeinschaft genutzt werden und eine lokale Datenhaltung innerhalb der EU bieten.

Zudem verlangt das Aufsichtsrecht, dass das vertraglich anwendbare Recht das Recht eines EU- oder EWR-Staates sein soll, weil so die Einhaltung insbesondere des hier geltenden strengen Datenschutzrechtsregimes gewährleistet wird. Da viele große Cloud Provider auch US-Unternehmen sind, gibt diese Anforderung ebenfalls Anlass zu Diskussionen. Am 30. September 2019 hat die Eiopa ihre Konsultation über einen Vorschlag für „Guidelines on outsourcing to cloud service providers“ abgeschlossen. Es bleibt abzuwarten, ob und ggf. welche Konkretisierungen die neuen Leitlinien bringen werden.  

Diese und andere Themen werden heute auf dem 16. Taylor Wessing Insurance Day in München diskutiert.

Autorin: Gunbritt Kammerer-Galahn, Leiterin der Praxisgruppe Insurance bei Taylor Wessing und Fachanwältin für Versicherungsrecht