Zum Inhalt springenZur Suche springen
Frontansicht von Schloss Mickeln

Forum Versicherungsrecht am 20.05.2019: Versicherungsaufsichtsrechtliche Anforderungen an die Informationstechnologie von Versicherungsunterunternehmen (VAIT)

Zum zweiten Forum Versicherungsrecht dieses Jahres konnten die Direktoren des Instituts für Versicherungsrecht, Prof. Dr. Dirk Looschelders und Prof. Dr. Lothar Michael, nicht nur Juristen, sondern auch Teilnehmer mit Informatik-Background auf Schloss Mickeln begrüßen. Der interdisziplinäre Charakter der Veranstaltung wurde zudem durch die beiden Referenten verstärkt. Dr. Carsten Kruchen, M.Jur. (Oxford), Rechtsanwalt und Partner der Kanzlei Mutter & Kruchen, Düsseldorf, und Dr. Siegfried Streitz, IT-Sachverständiger und Partner von Streitz, Hoppen & Partner, Brühl, befassten sich mit dem Themenbereich „Versicherungsaufsichtsrechtliche Anforderungen an die Informationstechnologie von Versicherungsunterunternehmen (VAIT)“. Das zu diesem Thema von der BaFin verfasste Rundschreiben 10/2018 (in der Fassung vom 20.03.2019) bildete den Ausgangspunkt beider Redner.

Im ersten Vortrag referierte Herr Dr. Kruchen, der in seiner anwaltlichen Tätigkeit schwerpunktmäßig Versicherungsunternehmen gesellschafts- und versicherungsaufsichtsrechtlich berät, über „IT-Governance, Geschäftsleiterverantwortung und Organhaftung“. Dabei standen seine Ausführungen plakativ unter dem von Spindler (CR 2017, 715, 722) formulierten Leitbild „IT-Sicherheit als Chefsache“. Nach einem Bericht über den Stand der Aufsichtspraxis der BaFin im Bereich Cyberrisiken und den damit verbunden (Rechts-)Grundlagen bildeten Anforderungen an die IT-Strategie und die IT-Governance den Kern von Kruchens Ausführungen. Eine IT-Strategie sei durch einen Geschäftsleitungsbeschluss festzulegen und regelmäßig anzupassen, um Klarheit über die Bedeutung der IT für die Durchführung der Versicherungsgeschäfte zu schaffen. Auf Grundlage dieses Beschlusses seien, ebenfalls durch die Geschäftsleitung, im Rahmen der IT-Governance Regelungen zur IT-Aufbau- und -Ablauforganisation festzulegen. Dabei verlange Tz. 15 der VAIT II implizit, dass sich mit den technischen Vorgaben auch die Geschäftsleitung auseinanderzusetzen habe. Dadurch ergebe sich die Frage nach Delegationsmöglichkeiten und der Notwendigkeit von IT-Kenntnissen der Geschäftsleiter. Die VAIT unterscheide zwischen Aufgaben, die in der Gesamtverantwortung der Geschäftsleitung liegen (VAIT I Tz. 11: IT-Strategie und IT-Governance) und solchen, die zumindest horizontal unter den Geschäftsleitern delegierbar seien (z.B. VAIT II Tz. 24: Informationsrisikomanagement). Da der BaFin allerdings nicht die Kompetenz zukomme, gesellschaftsrechtlich nicht delegierbare Leitungsaufgaben nach § 76 Abs. 1 AktG zu definieren, seien etwaige Delegationsverbote wie in Tz. 11 rein aufsichtsrechtlich zu begreifen; dies bedeute jedoch nicht, dass sich nicht auch gesellschaftsrechtlich eine Leitungszuständigkeit des Gesamtvorstands ergeben könne. Grundkenntnisse über IT, IT-Sicherheit und IT-Risiken seien überdies von allen Geschäftsleitern zu verlangen, da nur so eine entsprechende Kontrolle im Rahmen der Gesamtverantwortung gewährleistet werden könne. Im letzten Teil seiner Ausführungen beschäftigte sich Kruchen mit der Organhaftung nach § 93 Abs. 1 AktG für IT-Sicherheit. Der Haftungsschutz für unternehmerische Entscheidungen durch die Business Judgement Rule erfordere, IT-Sicherheitsrisiken zu erheben und geeignete Maßnahmen zu ergreifen. Im Bereich der Legalitätspflicht würden unbestimmte Rechtsbegriffe – wie „Stand der Technik“ – zu Unsicherheiten führen. Dabei könne sich zwar für eine sorgfaltsgemäße IT-Ausgestaltung an den VAIT orientiert werden; deren Einhaltung sowie etwaige Zertifizierungen von IT-Governance und IT-Sicherheit wirkten jedoch nicht per se haftungsentlastend. Abschließend appellierte Kruchen an Wissenschaft und Praxis, in den zukünftigen Entwicklungen der im Vortrag thematisierten Bereiche einer Überregulierung entgegenzuwirken, um den Organen eine Aufgabenerfüllung nicht unmöglich zu machen.

Der zweite Vortrag wurde von Herrn Dr. Streitz mit einer Nebeneinanderstellung von FAIT und VAIT begonnen. In der seinem Vortragstitel zu entnehmenden Frage „nur ein ausgetauschter Buchstabe oder grundlegend neue Anforderungen für Vorstand und IT-Steuerung?“ sei sich klar zweitgenannter Position anzuschließen. Während sich die FAIT von 2002 auf Funktionen konzentrierten und gut abdeckbar waren, fand in den VAIT ein vollständiger Perspektivwechsel statt, da diese nun ausschließlich Anforderungen an Prozesse enthielten. Einer dieser Prozesse, das Berechtigungsmanagement, wurde von Streitz im Folgenden genau besprochen. Ein gutes Berechtigungsmanagement diene nicht nur dem Datenschutz, sondern auch der Abwehr von Cyberrisiken. Zu diesem Zwecke sei ein umfassendes Konzept zu entwickeln, das ein Zusammenwirken mehrerer Fachbereiche, primär der IT und der Personalabteilung, festlege. Wichtige Aspekte seien insbesondere die Zuordnung jedes Zugangs zu einer natürlichen Person mit den jeweiligen Berechtigungen sowie eine regelmäßige Überwachung und Protokollierung. Die Verantwortung für das Konzept sei – in Übereinstimmung mit dem vorgehenden Vortrag von Kruchen – bei der Geschäftsleitung anzusiedeln. Seinen zweiten Schwerpunkt legte Streitz anschließend auf das Informationsrisikomanagement. Unternehmen müssten für ein vollständiges Risikomanagement-System Identifikations-, Bewertungs-, Überwachungs- und Steuerungsprozesse einrichten. Dabei sei der Schwerpunkt zwar die IT-Sicherheit im Unternehmen, aber auch sonstige IT-Projekte und der Bezug von IT-Dienstleistungen seien entsprechend anzupassen. Als Bilanz seines Vortrages stellte Streitz erhebliche Weiterentwicklungen der Anforderungen an die IT in Aussicht. Als Beleg dafür seien etwa die BAIT 10/2017 (in der Fassung vom 14.09.2018) zu nennen, die im Vergleich zu den nur rund ein Jahr neueren VAIT noch 14 fundamentale Anforderungen weniger enthielten.

Insgesamt rieten beide Referenten, das Thema IT in der Unternehmenspraxis aufmerksam zu verfolgen. Angesichts der rasant fortschreitenden Digitalisierung seien Unternehmen mit stetig neuen Pflichten konfrontiert und eine dem technischen Fortschritt nachkommende Aufsicht sei zu erwarten.

Facetten beider Vorträge ebneten anschließend die weiterführenden Überlegungen und Diskussionen im Plenum. Diese wurden nach einiger Zeit zu einem Buffet verlagert, in dessen Rahmen die Veranstaltung ihren Ausklang fand.

Weitere Informationen und Unterlagen zur Veranstaltung sind hier​​​​​​​ verlinkt.

Verantwortlichkeit: