Das novellierte Rundschreiben enthält eine Übergangsregelung, die den SII-Unternehmen ausreichend Zeit für die Umsetzung der erforderlichen Anpassungen gibt. Ab dem Zeitpunkt der Veröffentlichung gilt eine Frist von drei Monaten, innerhalb derer die Umstellung erfolgen kann. Erst danach, am 14.10.2025, tritt das neue Rundschreiben in Kraft und das bisherige wird aufgehoben.

Mit der bewussten Verwendung des Begriffs „dem Risikoprofil angemessen” unterstützt das überarbeitete Rundschreiben die Versicherungsunternehmen bereits in terminologischer Hinsicht dabei, jene Bereiche zu identifizieren, in denen aus Sicht der Aufsicht Spielraum für eine proportionale Umsetzung der gesetzlichen Anforderungen besteht. Durch die Formulierung „dem Risikoprofil angemessen“ wird den Unternehmen durchgängig signalisiert, dass sie im jeweiligen Bereich unter Berücksichtigung ihrer individuellen Risikosituation eigenverantwortlich eine angemessene Ausgestaltung festlegen können, um die aufsichtsrechtlichen Anforderungen proportional und prinzipienorientiert zu erfüllen.

Kapitel drei des Rundschreibens enthält einen Hinweis auf das Verhältnis der MaGo zu DORA und KI-VO: Soweit die Erfüllung der spezifischen Regelungen die Einhaltung der Anforderungen an die allgemeine Geschäftsorganisation voraussetzt und die Versicherungsunternehmen auf etablierte Prozesse der Geschäftsorganisation zurückgreifen, bleiben insoweit die Auslegungshinweise der MaGo für SII-VU maßgeblich. Der Abschnitt zu automatisierten Geschäftsabläufen verbindet insofern die allgemeinen nationalen Regelungen zur Geschäftsorganisation mit den spezifischen Anforderungen aus DORA und KI-VO.

Neu ist die Aufnahme kontextbezogener Hinweise zum Umgang mit Nachhaltigkeitsrisiken im gesamten Rundschreiben. Dabei geht es nicht darum, Nachhaltigkeitsrisiken gegenüber anderen Risiken zu überbewerten. Vielmehr sollen die Hinweise die gestiegenen gesetzlichen Anforderungen an den Umgang mit Nachhaltigkeitsrisiken auch im Bereich der Geschäftsorganisation der Versicherungsunternehmen angemessen berücksichtigen.

Ergänzende Präzisierungen finden sich im Kapitel zu den Anforderungen an die Geschäftsorganisation auf Gruppenebene. Hier geht es darum, wesentliche Governance-Elemente, wie beispielsweise die Risikomanagement- und internen Kontrollsysteme sowie das Berichtswesen der in die Gruppenaufsicht einbezogenen Unternehmen, auf Gruppenebene dem Risikoprofil der Gruppe angemessen umzusetzen. Dabei kommt dem obersten Mutterunternehmen der Versicherungsgruppe (OMU) eine besondere Überwachungs- und Steuerungsverantwortung zu. Das bedeutet, dass sich das Gruppenrisikomanagement des OMU auf alle gruppenverbundenen Unternehmen, also auch auf ausländische und Nicht-Versicherungsunternehmen, erstrecken muss. Gleichzeitig stellt das Rundschreiben klar, dass ausländische und Nicht-Versicherungsunternehmen keine versicherungstypische Geschäftsorganisation vorhalten müssen, also etwa keine Schlüsselfunktionen haben.

Das Kapitel zu den wesentlichen Risiken stellt klar, dass es auch außerhalb der Risikokategorien „versicherungstechnisches Risiko“, „Marktrisiko“, „Kreditrisiko“, „Liquiditätsrisiko“ und „operationelles Risiko“ notwendig sein kann, Wesentlichkeitsgrenzen festzulegen. Dies ist immer dann der Fall, wenn sich diese Risiken aus Sicht des Versicherungsunternehmens als wesentlich erweisen. Beispiele hierfür sind Konzentrationsrisiken, politische Risiken, strategische Risiken oder Reputationsrisiken. Der Grund dafür ist einfach, aber wichtig: Wenn sich diese anderen Risiken als wesentlich erweisen, muss das Versicherungsunternehmen in der Lage sein, auch diese Risiken adäquat zu steuern, zu überwachen und darüber zu berichten.

Die Risikokultur bildet die Grundlage für ein wirksames Risikomanagement. Kapitel 7 zur Risikokultur greift diesen Aspekt nun ausdrücklich auf, auch wenn er für Solvency-II-Unternehmen im Kern bereits gilt. Im Rahmen dessen sind unter anderem angemessene Evaluierungsprozesse einzurichten, um Mängel in der Risikokultur frühzeitig zu erkennen. Das Rundschreiben räumt jedoch die Möglichkeit ein, hierfür bereits bestehende Prozesse zu nutzen, die das Unternehmen aufgrund anderer Anforderungen bereits eingerichtet hat.

Abschnitt 9.3 zur internen Überprüfung der Geschäftsorganisation stellt klar, dass hierfür kein gesonderter Prozess eingerichtet werden muss. Vielmehr kann die Bewertung auf vorhandenen Erkenntnissen aufbauen.

Abschnitt 9.4 zu den schriftlichen Leitlinien enthält einen Hinweis auf den risikobasierten Ansatz für die Verabschiedung und Überprüfung solcher Leitlinien, die in § 23 Abs. 3 Satz 2 Versicherungsaufsichtsgesetz (VAG) nicht ausdrücklich erwähnt sind. Für diese Leitlinien können die Versicherungsunternehmen eigenverantwortlich und risikoorientiert festlegen, in welchen Abständen sie zu überprüfen sind und ob und in welcher Form die Geschäftsleitung bei der erstmaligen Verabschiedung oder bei wesentlichen Änderungen einzubinden ist. Ferner stellt der Abschnitt klar, dass schriftliche Leitlinien im Sinne des § 23 Abs. 3 VAG nicht nur in Papierform, sondern auch in einem digitalen Format bereitgestellt werden können.

Das Kapitel 9 zu den allgemeinen Anforderungen an die Geschäftsorganisation wurde um den neuen Abschnitt 9.5 zu automatisierten Geschäftsabläufen ergänzt. Die darin enthaltenen Auslegungshinweise sollen sicherstellen, dass die Mindestanforderungen an die Geschäftsorganisation auch dann erfüllt sind, wenn Unternehmen im Zuge der fortschreitenden Digitalisierung automatisierte, gegebenenfalls KI-gestützte Verfahren zur Umsetzung gesetzlicher Anforderungen einsetzen. Der Abschnitt betont, dass die mit solchen Prozessen verbundenen wesentlichen Risiken identifizierbar und nachvollziehbar sein müssen. Zudem müssen sie einer angemessenen Steuerung und Überwachung unterliegen, denn Sicherheit entsteht dort, wo Technologie auf wirksame Kontrolle trifft.

In Unterabschnitt 10.3.6 des Kapitels zu den Schlüsselfunktionen wird darauf hingewiesen, dass die versicherungsmathematische Funktion (VmF) im Rahmen ihrer Stellungnahme zur Zeichnungspolitik und Rückversicherung auch analysieren soll, ob eine Rückversicherung zu einer stärkeren Reduzierung der Solvabilitätskapitalanforderung führt, als durch die tatsächlich transferierten Risiken gerechtfertigt ist, oder ob neue Risiken entstehen, die bisher nicht in der Solvabilitätskapitalanforderung berücksichtigt wurden.

Die BaFin schließt sich damit den Ausführungen der EIOPA in der „Opinion on the use of risk-mitigation techniques by insurance and reinsurance undertakings“ (S. 4) an. Auch wenn sich die „Opinion“ hier primär an die Anwender der Standardformel richtet, sind die Aussagen laut der EIOPA auch auf die Anwender eines internen Modells übertragbar. Daher ist eine ganzheitliche Stellungnahme sinnvoll und notwendig. Allerdings kann die VmF bei der Verwendung interner Modelle auf die Erkenntnisse aus der Validierung eines internen Modells zurückgreifen, ohne an dieser Stelle gänzlich von einer eigenen Stellungnahme entbunden zu sein.

Eine weitere Ergänzung in Abschnitt 10.2.6 sieht vor, dass die VmF in ihrer Stellungnahme zu Lebensversicherungsverträgen mit langfristigen Zinsgarantien auch darauf eingehen muss, inwieweit das Unternehmen voraussichtlich in der Lage sein wird, die Verpflichtungen aus den Zinsgarantien des Neugeschäfts aus den für die Zukunft erwarteten Erträgen seiner Kapitalanlagen zu erfüllen. Die Laufzeiten kapitalbildender Lebensversicherungen betragen meist mehrere Jahrzehnte. Die Prognoseunsicherheit für die mit den zugrunde liegenden Kapitalanlagen bis zum Vertragsablauf erzielbaren Erträge ist daher besonders hoch. Den Zinsgarantien der Lebensversicherer kommt daher eine große Bedeutung zu, der mit den Hinweisen zur Stellungnahme der VmF angemessen Rechnung getragen wird.

Abschnitt 10.5 zur unabhängigen Risikocontrollingfunktion (URCF) zeigt auf, wie diese bei der Erfüllung ihrer Berichtspflichten entlastet werden kann. Da die gesamte Geschäftsleitung bereits regelmäßig mit dem ORSA-Bericht über wesentliche Risikoexponierungen informiert wird, ist es nicht erforderlich, die darin enthaltenen Informationen im Regelbericht der URCF erneut darzustellen – vorausgesetzt, sie sind aus Sicht der URCF vollständig und als Informationsgrundlage geeignet. Informationen, die bereits an die gesamte Geschäftsleitung adressiert wurden, müssen somit nur dann erneut in den Regelbericht der URCF aufgenommen werden, wenn und soweit sie für das Verständnis der Inhalte im URCF-Bericht erforderlich sind.

Die Auslegungshinweise im neuen Unterabschnitt 11.2.2 „Risikomanagementleitlinien für Rückversicherung und andere Risikominderungstechniken” im Kapitel zum Risikomanagementsystem tragen der Tatsache Rechnung, dass Rückversicherung und andere Risikominderungstechniken wichtige Instrumente zur Steuerung und Absicherung von Risiken sind. Fehler bei ihrem Einsatz können zu strukturellen Risiken für das Versicherungsunternehmen führen, deren Vermeidung durch Risikomanagementmaßnahmen unterstützt wird. Durch die Integration von Rückversicherung und anderen Risikominderungstechniken in das Risikomanagementsystem werden alle Risiken in ihrer Gesamtheit betrachtet und Schwachstellen im Risikomanagementprozess frühzeitig beseitigt.

Randnummer 182 des Rundschreibens gibt Hinweise zum Umgang mit Risiken, die aus einem bedeutenden Risikotransfer an einen Rückversicherer entstehen können. Die Unternehmen sollten bereits im Vorfeld mögliche Beendigungen oder Verschlechterungen der Rückversicherungsbeziehung einplanen. Insbesondere bei Rückversicherungen, die für die Solvabilität oder Risikotragfähigkeit von Bedeutung sind, sind frühzeitig konkrete Maßnahmen zu definieren, etwa durch risikobegrenzende Diversifikation auf mehrere Rückversicherer.

Im Zusammenhang mit der Ausgliederung enthält Abschnitt 13.1 eine Präzisierung durch Streichung der Formulierung „versicherungstypisch“. Stattdessen stellt die Überarbeitung in Anlehnung an die Legaldefinition in § 7 Nr. 2 VAG darauf ab, ob die Funktion oder Tätigkeit ansonsten vom Versicherungsunternehmen selbst erbracht werden würde. Die neue Formulierung ist präziser, da sie nicht zu Wertungswidersprüchen führt, wie es bei der bisherigen Bezugnahme auf „versicherungstypische Tätigkeiten“ der Fall war. So ist die Kapitalanlage für ein Versicherungsunternehmen beispielsweise keine sich unmittelbar aus dem Gesetz ergebende versicherungstypische Tätigkeit per se. Dennoch unterfällt die externe Wahrnehmung der Kapitalanlagetätigkeit unstreitig dem versicherungsaufsichtsrechtlich relevanten Begriff der Ausgliederung. Dies allerdings nicht, weil es sich insoweit um eine versicherungstypische Tätigkeit handelt. Vielmehr wird die Kapitalanlage auch von anderen Unternehmen als Versicherungsunternehmen durchgeführt. Die Neuformulierung ermöglicht somit eine widerspruchsfreiere Einordnung dieses und weiterer Sachverhalte, ohne dass die BaFin die Maßstäbe ihrer bisherigen Verwaltungspraxis in materieller Hinsicht aufgibt. Die Kriterien dafür, wann eine externe Beauftragung als versicherungsaufsichtsrechtlich relevante Ausgliederung anzusehen ist und wann nicht, bleiben auch mit der neuen Formulierung dieselben.

Im Zuge der Überarbeitung wurde das Rundschreiben insgesamt gestrafft. Einzelne Themenbereiche wurden aus den MaGo für SII-VU herausgelöst und in eine separate Veröffentlichung überführt. Dadurch fokussiert sich das Rundschreiben stärker auf die zentralen Aspekte der Geschäftsorganisation und ist übersichtlicher, kompakter und nutzerfreundlicher geworden.

So wurde beispielsweise das bisherige Kapitel 11 zu den „Anforderungen an die Geschäftsorganisation in Bezug auf die Eigenmittel” unverändert in das zeitgleich mit der überarbeiteten MaGo für SII-VU veröffentlichte Merkblatt „Anforderungen an die Geschäftsorganisation in Bezug auf Eigenmittel“ übertragen.

Ebenso wurden einige Unterabschnitte, die Hinweise zu den Anforderungen an Leitlinien für bestimmte Risikobereiche enthielten – wie beispielsweise „Risikomanagementleitlinien für das Aktiv-Passiv-Management“, „Risikomanagementleitlinien für das Anlagerisiko“ und „Risikomanagementleitlinien für das Liquiditätsrisiko“ –, aus dem Kapitel zum Risikomanagementsystem herausgenommen. Die entsprechenden Inhalte sind nun im neu veröffentlichten PPP-Rundschreiben der BaFin enthalten.

Schließlich wurden die bisher separat zum Rundschreiben aufgeführten FAQs in das Rundschreiben integriert, sodass die Versicherungsunternehmen es künftig nur noch mit einem statt bisher zwei Dokumenten zu tun haben.