Bafin stellt Ermittlungen gegen Allianz ein und macht Druck auf den nächsten IT-Sünder

Wegen IT-Mängeln hatte die Bafin aufsichtsrechtliche Ermittlungen gegen die Allianz eingeleitet und in einem umfassenden Feststellungskatalog deutliche Verbesserungen eingefordert. Weil der Versicherer den Aufsehern entgegengekommen war, ist der Fall zunächst vom Tisch. Dafür steht nach Axa und Allianz nun ein dritter großer Versicherer am Pranger.

Konkret ging es bei der Allianz um die Bereiche Informationsrisikomanagement und das Identitäts- und Rechtemanagement. „Dazu gehört unter anderem die Verwaltung der Zugriffsberechtigungen von Mitarbeitern auf IT-Anwendungen, die bei einem Wechsel in eine neue Abteilung oder zu einem anderen Unternehmen der Allianz umgehend angepasst werden müssen“, schreibt das Handelsblatt.

Des Weiteren beanstandeten die Aufseher der Bafin auch die Steuerung von IT-Projekten und der Entwicklung neuer Anwendungen. Die Bonner sollen festgestellt haben, dass größere Projekte nicht kohärent abgestimmt waren. Laut Bericht sei die Allianz den Aufforderungen der Bafin zur Behebung der Feststellungen nachgekommen. Zudem gebe es Stimmen, dass die Behörde die Abarbeitung der Mängel eng kontrollieren werde und sich weitere aufsichtsrechtliche Maßnahmen vorbehalte. Einen Kapitalaufschlag für die Allianz SE wird es von der Bafin vorerst nicht geben.

Axa wurde abgestraft, Signal Iduna arbeitet an der Lösung

Bei der Axa Kranken zeigt sich die Bafin weniger gnädig. Am 28. März informierte die Behörde den Versicherer über die Festsetzung eines Kapitalaufschlags auf die Solvabilitätskapitalanforderung. Seit dem 4. Mai sind die Anordnungen bestandskräftig. Der Aufschlag war notwendig geworden, weil die Aufsicht schwerwiegende Mängel im Rahmen einer Prüfung der IT-bezogenen Geschäftsorganisation in der Krankenversicherungseinheit des Versicherers identifizierte. Die Axa verstieß konkret gegen die Anforderungen an eine ordnungsgemäße Organisation im Sinne der §§ 23 ff. Versicherungsaufsichtsgesetz (VAG).

Eine „bestandskräftige Anordnung“ und einen Kapitalaufschlag auf das Solvenzkapital wegen Mängeln in der IT gibt es im Fall der Signal Iduna noch nicht, aber könnte eintreffen, wenn es nicht zu sichtbaren Verbesserungen beim Dortmunder Versicherer kommt. Das berichtete gestern der Versicherungsmonitor und erhielt eine Bestätigung der Signal Iduna, dass es eine VAIT-Prüfung von der Bafin gab.

Der Versicherer gibt sich gerne fortschrittlich, doch beim Kundenservice gibt es erhebliche Defizite und auch die Vermittler sind nicht gut auf das Unternehmen zu sprechen. Zumindest bei den IT-Problemen gibt es Hoffnung, denn diese wird Stefan Lemke bereits ab dem 1. Oktober angehen.

Bafin musste mehrmals bei Allianz mehrmals intervenieren

Im Fall Allianz hat die Bafin gefordert, dass die IT-Verantwortung und Governance bei der Konzernmutter Allianz SE nur an einer Stelle gebündelt werde, damit dort eine umfassende Steuerung und Prüfung stattfinden könne. Zudem soll die Abteilung laut Bericht zentral im Bereich IT und Operations im Ressort von COO Barbara Karuth-Zelle angesiedelt sein. Dem sei die Allianz nachgekommen, heißt es im Handelsblatt. So gab es etwa eine eigenständige IT bei der Allianz Re und für die Bafin ergeben sich für bei zwei IT-Abteilungen innerhalb der SE womöglich Probleme bei der Steuerung und der Compliance.

Allerdings soll die Umsetzung in der Praxis in den vergangenen Monaten „vereinzelt kompliziert“ gewesen sein. Zwar hätte die Allianz schon unmittelbar nach Abschluss der Bafin-Prüfung „umfangreiche Maßnahmen“ ergriffen. Doch die Bafin habe laut Handelsblatt anschließend nochmals interveniert.

In einem Interview letzten Mai räumte Bäte Untersuchungen ein. „Wir hatten eine Bafin-Prüfung in der Allianz SE, unserer Dachgesellschaft. Diese routinemäßige Prüfung bezog sich nicht auf den Versicherungsbetrieb, sondern die versicherungsaufsichtsrechtlichen Anforderungen an die IT. Dabei wurden Feststellungen zu einzelnen Bereichen getroffen, die wir mit der Bafin auch kritisch diskutiert haben“, erklärte der Manager gegenüber der Neuen Zürcher Zeitung (NZZ).

Man sei „dabei, diese Mängel mit einem gezielten Maßnahmenkatalog abzuarbeiten“. so Bäte. „Schon vor dieser Prüfung hatten wir, auch nach den Erkenntnissen aus dem Betrugsfall bei unseren Structured Alpha Fonds in den USA, ein Programm zur Behebung potenzieller IT-Defizite aufgesetzt.“

Eine ehrliche Bestandsaufnahme lieferte auch Bäte selbst bei einer internen Veranstaltung 2022, von der es einen Videomitschnitt gibt. Zu hören ist dort, wie er sagt: Der Versicherer müsse seine neuen Systeme mit dem „alten Crap“ verbinden, was extrem kostspielig sei. Und es dürfe nicht darum gehen, „den Crap zu automatisieren, den wir mehr als 130 Jahre lang entwickelt haben“.

Autor: VW-Redaktion