Rechtsexperte Meinrad Dreher im Gespräch: “Ausgliederung von IT- und Cloud-Diensten erfolgt nicht im rechtsfreien Raum”

Prof. Dr. Meinrad Dreher, LL.M. Johannes Gutenberg-Universität Mainz. Quelle: privat.

Immer mehr Versicherer wollen ihre IT- und Cloud-Dienste ausgliedern. Das ist schwieriger als es klingt, denn Bafin und EIOPA haben umfangreiche Regeln entwickelt. Das Verständnis der IT- und Cloud-bezogenen versicherungsrechtlichen sowie aufsichtsbehördlichen Anforderungen hat aus diesem Grund einen hohen Praxisnutzen. Prof. Dr. Meinrad Dreher, LL.M. Johannes Gutenberg-Universität Mainz, beschäftigt sich, gemeinsam mit Tobias Gerigk, in seinem Buch “IT- und Cloud-Dienste – Versicherungsaufsicht bei Ausgliederung” ausführlich mit dem Thema. Im Interview spricht er unter anderem über unklare Begriffe, Cloud-Dienste und Datenschutzschwierigkeiten.

VWheute: Warum braucht es diesen Wegweiser?

Meinrad Dreher: Aus tatsächlichen und rechtlichen Gründen. Zum Tatsächlichen: Versicherungstätigkeit ist ohne IT undenkbar. Kosten- und Flexibilitätsüberlegungen sowie Schwierigkeiten bei der Gewinnung von IT-Fachkräften führen immer mehr Versicherungsunternehmen dazu, IT-Leistungen an externe Spezialisten auszugliedern. Konzerne haben dafür vielfach ein gruppeninternes IT-Dienstleistungsunternehmen. Bei kleineren und mittleren Versicherungsunternehmen geht es aber fast immer um ein unabhängiges, spezialisiertes IT-Dienstleistungsunternehmen. Ein ganz großer Treiber des IT-Outsourcing ist schließlich der zunehmende Einsatz von Cloud-Diensten.

VWheute: Und was ist der rechtliche Hintergrund?

Meinrad Dreher: Die Ausgliederung von IT- und Cloud-Diensten erfolgt nicht im rechtsfreien Raum. Im Gegenteil. Schon unabhängig von IT- und Cloud-Diensten enthalten das europäische und deutsche Versicherungsaufsichtsrecht sowie die EIOPA-Governance-Leitlinien und die BaFin-MaGo zahlreiche Vorgaben für Ausgliederungen durch Versicherungsunternehmen. Speziell für IT- und Cloud-bezogene Ausgliederungen fordern die Aufsichtsbehörden zusätzlich die Einhaltung zahlreicher Vorgaben. Sie finden sich zunächst in den umfangreichen EIOPA-Leitlinien zum Outsourcing an Cloud-Anbieter. Diese gelten ab 01.01.2021 und verlangen eine frühzeitige Vorbereitung der Versicherungsunternehmen. Sodann geht es um die BaFin-VAIT und um das BaFin-Merkblatt Orientierungshilfe zu Auslagerungen an Cloud-Anbieter. Hinzu kommen weitere ausgliederungsrelevante Texte wie der Final Report zu den EIOPA-Leitlinien zum Cloud-Outsourcing. Zu erwähnen ist aber auch der bedeutende Bereich des Datenschutzes mit der DSGVO. Wir sprechen hier also allein in Bezug auf die ausgliederungsrelevante Versicherungsaufsicht von etwa 50 Seiten Gesetzes- und Behördentext mit etwa 133 EIOPA-Leitlinien bzw. BaFin-Verlautbarungsnummern.

VWheute: Wer soll das alles in der Versicherungspraxis durchschauen?

Meinrad Dreher: Genau da liegt das Problem: Intransparenz, Redundanz, überschießende untergesetzliche Anforderungen und Begriffsverwirrung. Ein Beispiel: Für die praktisch wichtige Frage von Weiterausgliederungen durch IT-Dienstleistungsunternehmen finden sich im VAG, in den BaFin-MaGo und in den BaFin-VAIT drei unterschiedliche Begriffe… Nur wenige Versicherungsunternehmen haben Spezialisten, die sich um all das kümmern können. Gleichzeitig soll die IT-Abteilung alle Anforderungen beachten, soll diese Abteilung zusammen mit der Rechtsabteilung alles in unternehmensinterne Ausgliederungsleitlinien überführen und sollen die Compliance-Funktion sowie die interne Revision über die Einhaltung der aufsichtsrechtlichen und aufsichtsbehördlichen Anforderungen bei der Auslagerung von IT- und Cloud-Diensten wachen. Denn das ausgliedernde Versicherungsunternehmen bleibt für die Einhaltung aller rechtlichen Anforderungen verantwortlich. Regulatorische Probleme nennen die Unternehmen nach einer neuen Umfrage zur Cloud-Nutzung daher inzwischen sogar öfter als die bisher führenden Sicherheitsthemen.

Vor dem Hintergrund bildet das Buch einen Wegweiser durch diesen Dschungel. Es bereitet die maßgeblichen Fragen ebenso praxisnah wie vertieft auf. Dabei ist jeweils die Gesamtheit der in Betracht zu ziehenden rechtlichen und aufsichtsbehördlichen Vorgaben berücksichtigt.

VWheute: Wie muss man sich das konkret vorstellen? Können Sie abschließend ein paar praktische Beispiele geben?

Meinrad Dreher: Schon die folgenden Stichworte zeigen die Breite und Problematik der Ausgliederung von IT- und Cloud-bezogenen Versicherungstätigkeiten: Definition und Erfassung der aufsichtsrelevanten IT- und Cloud-bezogenen Versicherungstätigkeiten, Auswahl von geeigneten IT-Dienstleistern, Erbringung von Dienstleistungen durch IT-Dienstleistungsunternehmen mit Sitz außerhalb der EU oder des EWR bzw. Erbringung solcher Dienstleistungen von außerhalb dieser Gebiete, IT-Risikomanagement und IT-Strategie, Ausgliederungsverträge mit Sicherung von Zugangs- und Kontrollrechten der Versicherungsunternehmen und der Aufsichtsbehörden, Datensicherheit und Datenschutz, Informations- und Anzeigepflichten im Verhältnis von Versicherungsunternehmen, Aufsichtsbehörden und Dienstleistungsunternehmen, Dokumentationspflichten, Notfallmanagement und Exit- oder Alternativstrategien.

Das Buch IT- und Cloud-Dienste – Versicherungsaufsicht bei Ausgliederung können Sie jetzt im Verlag Versicherungswirtschaft bestellen.

Autor: VW-Redaktion