1 Ziel des Rundschreibens

1 Dieses Rundschreiben gibt Hinweise zur Auslegung der Vorschriften über die Geschäftsorganisation von Einrichtungen der betrieblichen Altersversorgung (EbAV) im Versicherungsaufsichtsgesetz (VAG). Es legt diese Vorschriften für die BaFin verbindlich aus und gewährleistet hierdurch eine konsistente Anwendung gegenüber allen von der BaFin beaufsichtigten EbAV gemäß Rn. 3. Das Rundschreiben ist prinzipienbasiert konzipiert, d.h. es ist den EbAV überlassen, im Rahmen der einzuhaltenden Mindestanforderungen zu entscheiden, welche konkrete Ausgestaltung für sie unter Berücksichtigung des Proportionalitätsprinzips angemessen ist.

2 Das Rundschreiben basiert auf dem Ansatz, dass die Geschäftsleiter einer EbAV die Gesamtverantwortung für eine ordnungsgemäße und wirksame Geschäftsorganisation der EbAV tragen.

2 Anwendungsbereich und Begriffsdefinitionen

3 In den Anwendungsbereich dieses Rundschreibens fallen alle Pensionskassen und Pensionsfonds sowie separate Abrechnungsverbände der öffentlich-rechtlichen Versorgungseinrichtungen, die im Wege der freiwilligen Versicherung Leistungen der Altersvorsorge anbieten, mit Sitz im Inland gemäß § 1 Abs. 1 Nr. 1, § 1 Abs. 1 Nr. 5 und § 2 Abs. 1, § 7 Nr. 33 in Verbindung mit §§ 232, 236 VAG, die von der BaFin beaufsichtigt werden.

4 Im Rahmen dieses Rundschreibens wird einheitlich der Begriff Geschäftsorganisation verwendet. Der Begriff Geschäftsorganisation ist synonym zum Begriff Governance-System.

5 Der Begriff Geschäftsleitung bezieht sich auf den Vorstand einer EbAV. Soweit Abrechnungsverbände von öffentlich-rechtlichen Versorgungseinrichtungen oder EbAV in der Rechtsform der Europäischen Gesellschaft (SE), die in den Anwendungsbereich dieses Rundschreibens fallen, kein Organ mit dieser Bezeichnung besitzen, tritt an die Stelle des Vorstandes das entsprechende Geschäftsführungsorgan. An die Stelle des Aufsichtsrates tritt unter derselben Voraussetzung das entsprechende Überwachungsorgan.

6 Die Begriffe Risikoprofil und Profil unterscheiden sich in ihrer Bedeutung. Profil bezieht sich auf die Gesamtheit der für die EbAV relevanten Proportionalitätskriterien, wie sie sich nach dem Abwägungsprozess in dem Abwägungsergebnis widerspiegeln. Neben Art, Umfang und Komplexität der Tätigkeiten erfasst das Profil der EbAV auch die Größenordnung der Tätigkeiten sowie, soweit diese gesetzlich ausdrücklich erwähnt werden, die Größe und die interne Organisation der EbAV. Mit Risikoprofil wird hingegen auf die Gesamtheit der Risiken im Sinne der §§ 26, 234c und 234d VAG Bezug genommen, denen die EbAV ausgesetzt ist.

3 Verhältnis des Rundschreibens zu anderen BaFin-Veröffentlichungen/Inkrafttreten

7 Bezüglich der Anforderungen an die fachliche Eignung und Zuverlässigkeit von Personen, die eine EbAV tatsächlich leiten oder andere Schlüsselaufgaben wahrnehmen, sowie bezüglich der Anzeige verantwortlicher Personen für Schlüsselaufgaben, wird auf das Merkblatt zur fachlichen Eignung und Zuverlässigkeit von Geschäftsleitern gemäß VAG, das Merkblatt zur fachlichen Eignung und Zuverlässigkeit von Mitgliedern von Verwaltungs- und Aufsichtsorganen gemäß VAG und das Merkblatt zur fachlichen Eignung und Zuverlässigkeit von Personen, die für Schlüsselfunktionen verantwortlich oder für Schlüsselfunktionen tätig sind, gemäß VAG verwiesen.

8 Hinsichtlich der Anforderungen an die eigene Risikobeurteilung wird auf das Rundschreiben zu den aufsichtsrechtlichen Mindestanforderungen an die eigene Risikobeurteilung (ERB) von EbAV gemäß § 234d VAG verwiesen.

9 Spezielle Anforderungen, die die BaFin im Rahmen anderer Veröffentlichungen an die Geschäftsorganisation von EbAV stellt, bleiben von den Anforderungen dieses Rundschreibens unberührt.

10 Dies gilt insbesondere für die Anforderungen an die Geschäftsorganisation gemäß:

• Rundschreiben 11/2018 (VA) – Zusammenarbeit mit Versicherungsvermittlern sowie zum Risikomanagement im Vertrieb,
• Rundschreiben 10/2018 (VA) – Versicherungsaufsichtliche Anforderungen an die IT (VAIT),
• Rundschreiben 11/2017 (VA) – Anlage des Sicherungsvermögens,
• Rundschreiben 8/2017 (VA) – Derivative Finanzinstrumente und strukturierte Produkte,
• Rundschreiben 7/2016 (VA) – Aufstellung und Führung des Vermögensverzeichnisses,
• Rundschreiben 3/2016 (VA) – Treuhänder zur Überwachung des Sicherungsvermögens,
• Auslegungsentscheidung vom 23.10.2013, geändert am 24.04.2014 - Hinweise zur Verwendung externer Ratings und zur Durchführung eigener Kreditrisikobewertungen,
• Auslegungsentscheidung zur Erklärung zu den Grundsätzen der Anlagepolitik gemäß §§ 234i, 239 Abs. 2 VAG (EGA) vom 24.04.2020,
  sowie
• Merkblatt zum Umgang mit Nachhaltigkeitsrisiken vom 20.12.2019, geändert am 13.01.2020.

11 Dieses Rundschreiben tritt am 01.06.2021 in Kraft.

4 Proportionalitätsprinzip

12 Bei der Umsetzung der Anforderungen an die Geschäftsorganisation spielt das Proportionalitätsprinzip eine erhebliche Rolle. Die Anforderungen sind auf eine Weise zu erfüllen, die der Größenordnung, der Art, dem Umfang und der Komplexität der Tätigkeiten der EbAV angemessen ist. Die Größe und die interne Organisation der EbAV sind als zusätzliche Kriterien im Rahmen der §§ 234a Abs. 5 und 234c Abs. 1 Satz 2 VAG zwingend zu berücksichtigen, können jedoch auch außerhalb dieser Normen als Indikatoren in die Proportionalitätserwägungen einbezogen werden.

13 Proportionalität wirkt sich darauf aus, wie Anforderungen erfüllt werden können. So kann ein schwächer ausgeprägtes Profil zu Umsetzungserleichterungen führen, während ein stärker ausgeprägtes Profil die Anforderungen an die Umsetzung wachsen lassen kann.

14 Das bei EbAV regulatorisch zusätzlich eingeführte Kriterium Größenordnung der Tätigkeiten ist unter anderem anhand der Bilanzsumme zu bestimmen (BT-Drs. 19/4673, Seite 61). Dass die Größenordnung der Tätigkeiten für EbAV an erster Stelle genannt wird, bedeutet nicht, dass allein dieses Kriterium maßgebend ist. Vielmehr kann die Entscheidung über das, was proportional ist, nur im Zusammenspiel mit den anderen Kriterien fallen. Bei geringer Größenordnung der Tätigkeiten hat dieses Kriterium jedoch in der Regel besonderes Gewicht.

15 Bei der Bestimmung der Größe ist unter anderem die Mitarbeiterzahl der jeweiligen EbAV maßgeblich (BT-Drs. 19/4673, Seiten 62 und 63). Dabei ist nicht auf die vorhandenen Mitarbeiter abzustellen, sondern auf den tatsächlichen Mitarbeiterbedarf. Dies umfasst auch den Mitarbeiterbedarf, der im Rahmen der Ausgliederung bei einem Dienstleister entsteht. Die interne Organisation bezieht sich unter anderem darauf, wie umfangreich die interne Aufbau- und Ablauforganisation der jeweiligen EbAV ist. Hier kann auf die Hierarchie, die Strukturierung der Prozesse oder die Prozessabläufe abgestellt werden.

16 Die Einschätzung, welche Gestaltung als proportional anzusehen ist, ist nicht statisch, sondern passt sich im Zeitablauf den sich verändernden Gegebenheiten an. In diesem Sinne haben die EbAV bei veränderten Gegebenheiten zu prüfen, ob und wie die vorhandenen Strukturen und Prozesse weiterentwickelt werden können und gegebenenfalls müssen. Allerdings müssen sie das Profil nicht nach einem festgelegten Turnus neu bestimmen, vielmehr wirkt die einmal getroffene Feststellung fort, sofern sich keine Veränderungen ergeben haben.

5 Gesamtverantwortung der Geschäftsleitung

17 Alle Geschäftsleiter sind für eine ordnungsgemäße und wirksame Geschäftsorganisation verantwortlich. Die gesamte Geschäftsleitung ist damit auch dafür verantwortlich, dass die EbAV über ein ihrem Profil angemessenes und wirksames Risikomanagement- und internes Kontrollsystem verfügt. Beziehen sich Anforderungen dieses Rundschreibens ausdrücklich auf die gesamte Geschäftsleitung, kann diese ihre Verantwortung nicht delegieren, auch nicht auf einen oder mehrere Geschäftsleiter.

6 Wesentliche Risiken

18 Der Wesentlichkeitsgrundsatz besagt, dass nur wesentliche Risiken in die Betrachtung einzubeziehen sind. Welche Risiken als wesentlich einzustufen sind, ist prinzipiell unternehmensindividuell zu bestimmen. Ausnahmsweise kann jedoch eine für alle EbAV geltende Festlegung sachgerechter sein als ein unternehmensindividueller Ansatz (siehe die wesentlichen Risiken, die in den in Rn. 30 genannten Bereichen aufgebaut werden).

19 Die gesamte Geschäftsleitung bestimmt anhand geeigneter und nachvollziehbarer Kriterien dem Profil angemessene unternehmensindividuelle Wesentlichkeitsgrenzen. Die Angemessenheit der Wesentlichkeitsgrenzen ist fortlaufend sicherzustellen. Hierfür verschafft sich die gesamte Geschäftsleitung sowohl regelmäßig als auch anlassbezogen einen Überblick über alle Risiken, denen die EbAV tatsächlich oder möglicherweise ausgesetzt ist.

20 Alle EbAV haben separate Wesentlichkeitsgrenzen mindestens auf der Ebene der folgenden Risikokategorien festzulegen: versicherungstechnisches Risiko, Marktrisiko, Kreditrisiko, Liquiditätsrisiko und operationelles Risiko. Darüber hinaus sind gemäß Rn. 19 gegebenenfalls unternehmensindividuell weitere separate Wesentlichkeitsgrenzen festzulegen, unabhängig davon, ob sich die entsprechenden Risiken weiteren Risikokategorien zuordnen lassen (z.B. politische, strategische oder Reputationsrisiken) oder nicht. Dementsprechend können im Einzelfall auch für Konzentrationsrisiken und Nachhaltigkeitsrisiken im Sinne des BaFin-Merkblatts zum Umgang mit Nachhaltigkeitsrisiken separate Wesentlichkeitsgrenzen erforderlich sein.

21 Die Wesentlichkeitsgrenzen dürfen sich nicht ausschließlich an den Auswirkungen im Rahmen der Rechnungslegung oder den Auswirkungen von Rechtsverstößen orientieren.

22 Die Geschäftsleitung stellt sicher, dass die Wesentlichkeitsgrenzen einheitlich angewandt werden.

7 Risikokultur

23 Eine in der EbAV gelebte Risikokultur bildet die Grundlage für ein dem Profil angemessenes und wirksames Risikomanagementsystem. Sie umfasst insbesondere:

• das Herstellen eines einheitlichen Verständnisses über die eigenen Risiken sowie den Umgang mit diesen, welches auf allen Hierarchieebenen sicherzustellen ist und sich in einer gemeinsamen Risikosprache äußert;
• das Festlegen der Verantwortlichkeiten sowohl beim Umgang mit Risiken zumindest für die Personen, die mit dem Aufbau sowie der Identifikation, Bewertung, Überwachung und Steuerung der wesentlichen Risiken betraut sind, als auch im Neuproduktprozess;
• das Prüfen, ob und welche Anreizstrukturen zum Umgang mit Risiken in der EbAV geeignet sind und eingeführt werden;
• das Fördern eines offenen Dialoges aller betroffenen Personen in der EbAV zum Umgang mit Risiken, so dass alle Personen die für sie relevanten Informationen rechtzeitig erhalten.

24 Die Risikokultur muss dem Profil angemessen sein. Sie schlägt sich nieder in den Normen der EbAV sowie den Einstellungen und Verhaltensweisen der Mitarbeiter. Sie wirkt sich auf das Risikobewusstsein, den Risikoappetit, die Risikosteuerung sowie die Risikokontrollen der EbAV aus und spiegelt sich in dessen Dokumentationen und schriftlichen Leitlinien wider.

25 Die gesamte Geschäftsleitung fördert die Risikokultur. Dabei kommt ihr eine Vorbildfunktion zu („Tone at the Top“). Sie sorgt dafür, dass die Risikokultur innerhalb der EbAV kommuniziert, beim Aufbau von Risiken beachtet und mit dem Risikomanagement und den internen Kontrollen verknüpft wird.

8 Allgemeine Anforderungen an die Geschäftsorganisation

8.1 Aufbau- und Ablauforganisation

8.1.1 Allgemeines

26 Die EbAV entscheiden unter Berücksichtigung ihres Profils und im Rahmen der einzuhaltenden Anforderungen, welche konkrete Organisationsstruktur für sie angemessen ist.

8.1.2 Festlegung von Aufgaben, Verantwortlichkeiten und Berichtslinien

27 Eine dem Profil angemessene transparente Aufbauorganisation der EbAV erfordert eine klare Definition und Abgrenzung von Aufgaben und Verantwortlichkeiten. Es ist eindeutig zu regeln, wer in der EbAV für die Aufgaben zuständig ist und für Entscheidungen verantwortlich zeichnet.

28 Neben den Aufgaben und Verantwortlichkeiten sind auch Vertretungsregelungen und Berichtslinien klar festzulegen. Es ist sicherzustellen, dass alle Personen in der EbAV die sie betreffenden Informationen unverzüglich erhalten und ihre Bedeutung erkennen können und eine Wahrnehmung der jeweiligen Aufgabe bzw. Verantwortlichkeit stets gewährleistet ist.

8.1.3 Angemessene Trennung der Zuständigkeiten

29 Die Organisationsstruktur einer EbAV muss eine dem Profil angemessene Trennung der Zuständigkeiten bis auf die Ebene der Geschäftsleitung vorsehen.

30 Der Trennungsgrundsatz besagt unter anderem, dass Bereiche, die für den Aufbau von wesentlichen Risikopositionen verantwortlich sind, nicht gleichzeitig mit deren Überwachung und Kontrolle betraut sein dürfen. Ein Aufbau von wesentlichen Risikopositionen findet zumindest in den Bereichen Risikozeichnung, Kapitalanlage und Vertrieb statt. Sofern das Geschäftsmodell einer EbAV die Bereiche Risikozeichnung und Vertrieb nicht aufweist, können diese unberücksichtigt bleiben. Die strikte Trennung kann unter Berücksichtigung des Proportionalitätsprinzips abgeschwächt werden. Voraussetzung dafür ist jedoch, dass möglichen Interessenkonflikten durch begleitende Maßnahmen begegnet wird. Welche begleitenden Maßnahmen zu ergreifen sind, hängt von der Ausprägung des jeweiligen Interessenkonfliktes ab. Beispiel: Bei schwächer ausgeprägtem Profil und bei Vorliegen angemessener und wirksamer begleitender Maßnahmen kann ein Geschäftsleiter sowohl für die Risikozeichnung als auch – allein oder mit den anderen Geschäftsleitern zusammen – für das Risikomanagement zuständig sein. Als begleitende Maßnahmen kommen etwa das Vier-Augen-Prinzip, separate Berichtslinien oder die Einrichtung flankierender Gremien in Betracht.

31 Sind einem Bereich mehrere Aufgaben zugewiesen, darf dies die effektive, objektive, sachgemäße und unabhängige Aufgabenerfüllung nicht beeinträchtigen.

8.1.4 Festlegung ablauforganisatorischer Regelungen

32 Die Ablauforganisation hat sicherzustellen, dass mit Risiken einhergehende Prozesse und deren Schnittstellen angemessen gesteuert und überwacht werden. Dies setzt zunächst voraus, dass alle Prozesse aus Risikosicht beurteilt werden.

33 Prozesse, die mit Risiken einhergehen, bestehen bei allen EbAV zumindest in den in Rn. 30 genannten Bereichen sowie in der Reservierung (nach Handelsgesetzbuch – HGB), im Aktiv-Passiv-Management („Asset-Liability-Management“ – ALM) und im passiven Rückversicherungsmanagement. Um eine angemessene Steuerung und Überwachung der identifizierten, mit Risiken einhergehenden Prozesse zu gewährleisten, sind vor allem die einzelnen Prozessschritte, einschließlich der erforderlichen Kontrollaktivitäten im Sinne des internen Kontrollsystems, und gegebenenfalls die Eskalationsschritte, die prozessspezifischen Zuständigkeiten und Verantwortlichkeiten sowie die Informationsflüsse klar festzulegen.

34 Im Hinblick auf die Kontrollaktivitäten ist es in der Regel nicht erforderlich, nach jedem einzelnen Prozessschritt umfangreiche Kontrollen durchzuführen. In jedem Fall sind jedoch besonders mit Risiken einhergehende Prozessschritte zu identifizieren und regelmäßig zu kontrollieren.

8.1.5 Umsetzung ablauforganisatorischer Regelungen

35 Für die ordnungsgemäße Erfüllung ihrer Aufgaben ist es wichtig, dass alle relevanten Mitarbeiter die sie betreffenden Arbeitsabläufe kennen, das heißt, diesbezüglich informiert und inhaltlich mit diesen vertraut sind.

8.1.6 Dokumentation der Aufbau- und Ablauforganisation

36 Die Dokumentation der Aufbau- und Ablauforganisation ist stets auf aktuellem Stand vorzuhalten. Vorgängerversionen sind mindestens sechs Jahre aufzubewahren. Die grundlegenden ablauforganisatorischen Regelungen sind in schriftlichen Leitlinien darzustellen (siehe auch Rn. 56).

8.1.7 Spezielle Aspekte bei Versicherungsgruppenzugehörigkeit

37 Soweit EbAV einer Versicherungsgruppe angehören, können bei einer Änderung der Gruppenstruktur Anpassungen der Aufbau- und Ablauforganisation sowohl auf Gruppenebene als auch auf Ebene der Einzel-EbAV erforderlich sein. So kann es beispielsweise notwendig sein, Zuständigkeiten und Berichtslinien neu festzulegen.

38 Die Verantwortung für Anpassungen der Aufbau- und Ablauforganisation auf Ebene eines Einzelunternehmens liegt bei der Geschäftsleitung der betreffenden EbAV. Gegebenenfalls sind Vorgaben des für die Erfüllung der Anforderungen auf Gruppenebene zuständigen Unternehmens zu beachten und unternehmensindividuell umzusetzen.

8.2 Geschäftsleitung und Aufsichtsrat

39 Die Geschäftsorganisation umfasst Prozesse zur regelmäßigen und Ad-hoc-Übermittlung von Informationen und Berichten der Organisationseinheiten und Funktionen an die Geschäftsleitung. Auf dieser Basis sowie aufgrund entsprechender Beratung nimmt die Geschäftsleitung ihre Leitungsaufgaben wahr und trifft Entscheidungen. Ebenso wichtig wie Prozesse zur Übermittlung von Informationen und Berichten an die Geschäftsleitung sind Prozesse, die sicherstellen, dass die bearbeitenden Stellen über die getroffenen Entscheidungen so informiert werden, dass diese vollständig umgesetzt werden können.

40 Der Aufsichtsrat nimmt die ihm zur Erfüllung seiner Aufgaben eingeräumten Informations-, Einsichts- und Prüfungsrechte aktiv wahr und berät die Geschäftsleitung unter anderem in strategischen Fragen.

8.2.1 Vier-Augen-Prinzip

41 Die EbAV haben dafür Sorge zu tragen, dass die tatsächliche Leitung der EbAV durch mindestens zwei Personen erfolgt. Dies impliziert, dass an jeder wesentlichen Entscheidung der EbAV mindestens zwei Personen, die die EbAV tatsächlich leiten, beteiligt sind, bevor die betreffende Entscheidung umgesetzt wird.

42 Den EbAV obliegt die erste Einschätzung, ob es neben den Geschäftsleitern andere Personen in der EbAV gibt, die aufgrund ihrer Entscheidungsbefugnisse ebenfalls zu den tatsächlich leitenden Personen zu zählen sind. Dies kommt etwa bei der zweiten Führungsebene in Betracht.

43 Die EbAV legt eigenverantwortlich fest, welche Entscheidungen mit Blick auf das Geschäftsmodell und das individuelle Profil als wesentlich einzustufen sind. Als wesentliche Entscheidungen können solche gewertet werden, die erhebliche Auswirkungen auf die EbAV haben beziehungsweise haben können oder gemessen am regulären Geschäftsbetrieb außergewöhnlich sind. Beispiel: Wesentlich kann eine Entscheidung sein, wenn sie sich nachhaltig negativ auf die Vermögens-, Finanz- oder Ertragslage der EbAV auswirkt oder auswirken kann.

8.2.2 Dokumentation

44 Die Geschäftsleitung hat die von ihr getroffenen Entscheidungen sowie die Art und Weise, wie Informationen aus dem Risikomanagement berücksichtigt werden (siehe Abschnitt 10.1), zu dokumentieren. In derselben Weise sind die für die EbAV wesentlichen Entscheidungen etwaiger Personen zu dokumentieren, die die EbAV tatsächlich leiten.

45 Ein Mindestniveau der Ausgestaltung der Dokumentation kann nicht pauschal vorgegeben werden. Umfang und Detailtiefe der Dokumentation der Entscheidungen sind vom Zweck der Dokumentation und von den mit der jeweiligen Entscheidung verbundenen Risiken abhängig. Daher ist die Ausgestaltung der Dokumentation im Einzelfall aufgrund einer ganzheitlichen Betrachtung unter den Gesichtspunkten Selbstkontrolle und Nutzen festzulegen. Ein vollständiger Verzicht auf die Dokumentation kommt jedoch nicht in Betracht.

46 Die Dokumentation ist ausreichend, wenn sie so vollständig und exakt und mit den wesentlichen Hintergrundinformationen (z.B. Formeln, Parameter, Entscheidungen unterhalb der Geschäftsleitung, deren wesentlichen Begründungen) angereichert ist, dass eine fachkundige Person die Entscheidung der Geschäftsleitung inhaltlich nachvollziehen und überprüfen kann.

47 Es ist nicht zwangsläufig erforderlich, insgesamt neue Unterlagen zu schaffen. Verweisungen auf vorhandene Unterlagen und deren Beifügung können genügen, solange und soweit diese nachvollziehbar und verständlich sind.

8.3 Interne Überprüfung der Geschäftsorganisation

48 Die gesamte Geschäftsleitung bewertet die Geschäftsorganisation regelmäßig (§ 23 Abs. 2 VAG), wobei der Turnus der Bewertung entsprechend dem Profil festzulegen ist, und sorgt für eine kurzfristige Umsetzung der erforderlichen Änderungen. Die Bewertung einzelner Bereiche der Geschäftsorganisation kann durch das hierfür zuständige Mitglied der Geschäftsleitung erfolgen. Die gesamte Geschäftsleitung muss jedoch im Rahmen der Gesamtverantwortung das Ergebnis dieser Bewertung kennen und die resultierende Umsetzung steuern. Daher muss jeder Geschäftsleiter zumindest die wesentlichen Risiken verstehen, denen die EbAV ausgesetzt ist.

49 Die Bewertung bezieht sich gesamthaft auf die Geschäftsorganisation. Die Bewertung baut auf bereits vorhandenen Erkenntnissen auf, die etwa bei der Überprüfung der Leitlinien, durch die Funktion der internen Revision bei der von ihr durchzuführenden Überprüfung der Geschäftsorganisation oder durch weitere Schlüsselfunktionen bei der Durchführung ihrer Aufgaben gewonnen wurden. Ein gesonderter Prozess ist nicht erforderlich. Werden Erkenntnisse der Funktion der internen Revision bei der Bewertung der Geschäftsorganisation herangezogen, ist zu beachten, dass die Prüfungsperspektive des § 23 Abs. 2 VAG anders ausgerichtet ist als die des § 30 Abs. 1 VAG. Die Geschäftsleitung bewertet insbesondere vorausschauend, ob die Geschäftsorganisation die Ziele der Geschäfts- und der Risikostrategie unterstützt. Die Funktion der internen Revision prüft dagegen, ob zum Prüfungszeitpunkt die Geschäftsorganisation der geprüften Bereiche wirksam und angemessen ist.

50 Die regelmäßige Bewertung der Geschäftsorganisation ist sicherzustellen. Das Ergebnis der Bewertung sowie die Umsetzung notwendiger Änderungen sind zu dokumentieren.

51 Die gesamte Geschäftsleitung legt die Anlässe für außerordentliche Bewertungen der Geschäftsorganisation fest.

8.4 Schriftliche Leitlinien

52 Schriftliche Leitlinien sind ein Instrument der Geschäftsleitung, um sicherzustellen, dass die Organisationseinheiten entsprechend ihrer Aufgaben und Pflichten sowie effektiv und zielgerichtet vorgehen. Schriftliche Leitlinien dienen auch dazu, die prinzipienorientierten gesetzlichen Vorgaben für die EbAV operativ umzusetzen.

8.4.1 Allgemeines

53 In der formalen Ausgestaltung der schriftlichen Leitlinien sind die EbAV frei. Demnach können Organisationsregelungen für Schlüsselfunktionen in den Leitlinien der betreffenden Systeme der Geschäftsorganisation aufgenommen oder in separaten Leitlinien dargestellt werden. So ist es beispielsweise zulässig, in der Leitlinie für das Risikomanagementsystem die Regelungen zur Organisation der unabhängigen Risikocontrollingfunktion abzubilden. Möglich ist es aber auch, für alle Schlüsselfunktionen eine gemeinsame schriftliche Leitlinie zu erstellen.

54 Die praktische Umsetzung der schriftlichen Leitlinien erfolgt durch entsprechende Arbeitsabläufe. Es ist festzulegen, auf welcher Ebene die Verantwortung für diese Arbeitsabläufe liegt.

55 Schriftliche Leitlinien auf Gruppenebene gelten nicht automatisch in den rechtlich selbstständigen Einzelunternehmen. Dies gilt auch, wenn Beherrschungsverträge bestehen. Schriftliche Leitlinien sind daher von den Einzelunternehmen gesondert zu erlassen. Leitlinien der Unternehmensgruppe können nach unternehmensindividueller Anpassung auf das Einzelunternehmen übertragen werden. Enthalten bereits bestehende Dokumente die vorgegebenen Inhalte der Leitlinien, können sie als Leitlinien herangezogen und verwendet werden.

8.4.2 Inhalte der schriftlichen Leitlinien

56 Die schriftlichen Leitlinien müssen die grundlegenden ablauforganisatorischen Regelungen, die Zuständigkeiten, die Befugnisse und die Berichtsverfahren klar darstellen.

57 Um Aufgabenüberschneidungen zu vermeiden, sind auch entsprechende Schnittstellen und Abgrenzungen in den jeweiligen schriftlichen Leitlinien anzugeben.

58 Die schriftlichen Leitlinien der jeweiligen Organisationseinheiten legen fest, welche Informationen für die Schlüsselfunktionen relevant sind und dass solche Informationen an die Schlüsselfunktionen zu übermitteln sind.

59 Die schriftlichen Leitlinien müssen aufeinander und auf die Geschäfts- und die Risikostrategie abgestimmt sein.

8.4.3 Verabschiedung und Überprüfung

60 Die Mindestanforderungen dieses Unterabschnitts 8.4.3 gelten zumindest für die schriftlichen Leitlinien im Sinne des § 23 Abs. 3 Satz 2 i.V.m. § 234a Abs. 3 Satz 1 VAG zur Geschäftsorganisation. Die Mindestanforderungen gelten nicht für die die Leitlinien umsetzenden Arbeitsabläufe.

61 Zur Unterstützung der von ihr festzulegenden Geschäfts- und Risikostrategie hat die gesamte Geschäftsleitung den schriftlichen Leitlinien zumindest bei der Erstverabschiedung sowie bei wesentlichen Änderungen zuzustimmen.

62 Die in § 23 Abs. 3 Satz 2 i.V.m. § 234a Abs. 3 Satz 1 VAG aufgeführten schriftlichen Leitlinien müssen mit dem Profil angemessenen Methoden mindestens einmal alle drei Jahre überprüft werden. Die Anlässe für Ad-hoc-Überprüfungen der einzelnen Leitlinien legt die gesamte Geschäftsleitung fest.

63 Die für die Überprüfung der schriftlichen Leitlinien zuständigen Personen oder Organisationseinheiten sind zu benennen. Bei der Überprüfung ist zu berücksichtigen, dass Änderungen einer schriftlichen Leitlinie direkte Auswirkungen auf die anderen schriftlichen Leitlinien haben können.

64 Die Überprüfungen der schriftlichen Leitlinien müssen dokumentiert werden. Die Ergebnisse der Überprüfung und der sich daraus gegebenenfalls ergebende Änderungsbedarf werden an die Geschäftsleitung berichtet.

65 Im Falle eines festgestellten wesentlichen Änderungsbedarfs einer schriftlichen Leitlinie wird der gesamten Geschäftsleitung berichtet, die ihre entsprechende Entscheidung kurz, aber nachvollziehbar begründet. Die Entscheidung einschließlich der Begründung ist zu dokumentieren. Andernfalls reicht eine Kenntnisnahme durch den zuständigen Geschäftsleiter aus, die zu dokumentieren ist.

8.4.4 Kenntnis und Einhaltung schriftlicher Leitlinien

66 Die Mitarbeiter müssen über die sie betreffenden aktuellen schriftlichen Leitlinien informiert werden.

67 Die EbAV führen interne Kontrollen ein, die sicherstellen, dass entsprechend den schriftlichen Leitlinien gehandelt wird bzw. Verstöße zeitnah bekannt werden.

8.5 Automatisierte Geschäftsabläufe

68 Im Kontext der im Rundschreiben 10/2018 (VA) definierten aufsichtlichen Anforderungen an die IT, die unberührt bleiben, hat die Aufbau- und Ablauforganisation sicherzustellen, dass mit Risiken einhergehende automatisierte Geschäftsabläufe, zu denen auch die automatisierte Risikozeichnung, die automatisierten Einzelfallentscheidungen bei der Bearbeitung von Schadens- und Leistungsfällen sowie die automatisierte Bestandsverwaltung gehören, angemessen gesteuert und überwacht und die Anforderungen an die Geschäftsorganisation erfüllt werden. Dies setzt neben der Beurteilung der automatisierten Geschäftsabläufe aus Risikosicht insbesondere voraus, dass alle automatisierten Geschäftsabläufe identifizierbar und nachvollziehbar sind und sichergestellt wird, dass die gesamte Geschäftsleitung in Grundzügen über die Einrichtung, die Ausgestaltung und die Funktionsfähigkeit der automatisierten Geschäftsabläufe informiert ist.

9 Schlüsselfunktionen

9.1 Allgemeine Anforderungen und Stellung im Unternehmen

69 Der Begriff „Schlüsselfunktion“ umfasst die folgenden drei Funktionen: Funktion der internen Revision, unabhängige Risikocontrollingfunktion (URCF) und versicherungsmathematische Funktion (VmF). Der Begriff „Schlüsselfunktion“ ist vom weiteren Begriff „Schlüsselaufgabe“ zu unterscheiden; die EbAV können neben den Schlüsselfunktionen weitere Schlüsselaufgaben bestimmen (siehe Merkblatt zur fachlichen Eignung und Zuverlässigkeit von Personen, die für Schlüsselfunktionen verantwortlich oder für Schlüsselfunktionen tätig sind, gemäß VAG).

70 Die Schlüsselfunktionen stehen gleichrangig und gleichberechtigt nebeneinander. Die für eine Schlüsselfunktion intern verantwortliche Person (siehe Abschnitt 9.1.1) unterliegt, sofern es sich nicht um einen Geschäftsleiter handelt, bezüglich der Wahrnehmung der Schlüsselfunktion nur den Weisungen der Geschäftsleitung. Dies gilt auch dann, wenn die Schlüsselfunktion organisatorisch nicht unmittelbar der Geschäftsleitungsebene nachgeordnet ist. Die gesamte Geschäftsleitung bildet die Eskalationsinstanz im Falle von Kontroversen zwischen den Schlüsselfunktionen, die nicht zwischen den jeweils verantwortlichen Geschäftsleitern gelöst werden können, und im Falle von Kontroversen zwischen Schlüsselfunktionen, für die derselbe Geschäftsleiter verantwortlich ist.

71 Die Schlüsselfunktionen müssen in angemessener Weise unter Berücksichtigung ihres jeweiligen Zwecks und des Proportionalitätsprinzips eingerichtet werden. Neben zentralen oder stabsstellenartigen kommen auch dezentrale oder integrierte Gestaltungen in Betracht (zur Ausgliederung siehe Abschnitt 12.6 und 12.7).

72 Interessenkonflikte sind zu vermeiden. Die Schlüsselfunktionen müssen jederzeit frei von Einflüssen sein, die eine objektive, faire und unabhängige Aufgabenerfüllung verhindern könnten. Besonders bei integrierten Ansätzen zur Organisation einer Schlüsselfunktion kommt es auf eine eindeutige und transparente Aufgabendefinition und Aufgabenzuweisung an. Diese muss in schriftlichen Leitlinien festgehalten werden.

73 Hinsichtlich der Interessenkonflikte, die dadurch entstehen können, dass die für eine Schlüsselfunktion intern verantwortliche Person der EbAV gleichzeitig eine ähnliche Aufgabe im Trägerunternehmen ausübt, siehe Rn. 141 ff. und 250 ff.

74 Neben ausreichenden Ressourcen und Befugnissen bedarf es einer hervorgehobenen Stellung der Schlüsselfunktionen innerhalb der EbAV (siehe Rn. 70). Diese muss in den schriftlichen Leitlinien verankert werden.

75 Auch in Gruppen haben die Unternehmen alle Schlüsselfunktionen auf Einzelebene einzurichten.

9.1.1 Intern verantwortliche Person für Schlüsselfunktionen

76 In allen – auch dezentralen – Gestaltungsformen muss es ungeachtet der Verantwortung der gesamten Geschäftsleitung eine natürliche Person geben, die die Verantwortung dafür trägt, dass die jeweilige Schlüsselfunktion ihre Aufgaben ordnungsgemäß erfüllt. Bei einer unternehmensinternen Einrichtung einer Schlüsselfunktion handelt es sich um die für diese Funktion „intern verantwortliche Person“ (zur Ausgliederung siehe Abschnitte 12.6 und 12.7). Es ist nicht zulässig, diese Verantwortung ganz oder teilweise mehreren natürlichen Personen zuzuordnen. Personen, die für eine Schlüsselfunktion tätig sind, kann es hingegen viele geben.

77 Ein Geschäftsleiter kann nur im Einzelfall zugleich intern verantwortliche Person für eine Schlüsselfunktion sein (zur Ausgliederung siehe Abschnitt 12.6 und 12.7), insbesondere wenn diese Gestaltung dem Profil der EbAV angemessen ist. § 23 Abs. 1 Satz 3 VAG ist anwendbar, so dass eine dem Profil der EbAV angemessene Trennung der Zuständigkeiten bestehen muss, auch im Verhältnis der Aufgaben als intern verantwortliche Person und als Geschäftsleiter. Die EbAV haben gemäß § 234b Abs. 1 VAG zu gewährleisten, dass die Zuweisung weiterer Aufgaben die intern verantwortliche Person nicht daran hindert oder zu hindern droht, ihre Aufgaben effektiv, objektiv, sachgemäß und unabhängig auszuüben. Dies setzt unter anderem ausreichende zeitliche Kapazitäten voraus. Im Übrigen wird auf das Merkblatt zur fachlichen Eignung und Zuverlässigkeit von Personen, die für Schlüsselfunktionen verantwortlich oder für Schlüsselfunktionen tätig sind, gemäß VAG verwiesen.

78 Eine Person, sei sie Geschäftsleiter oder unterhalb der Geschäftsleitung tätig, kann nur nach Maßgabe des Proportionalitätsprinzips gleichzeitig intern verantwortliche Person für mehrere unterschiedliche Schlüsselfunktionen sein. Die Möglichkeit, intern verantwortliche Person gleichzeitig für mehrere Schlüsselfunktionen zu sein, ist bei EbAV auf die URCF und die VmF beschränkt. In einem solchen Fall müssen die EbAV darlegen, dass diese Gestaltung ihrem Profil angemessen ist. Eine weitere Grenze für die Zuweisung mehrerer Aufgaben an dieselbe Person ergibt sich aus § 234b Abs. 1 VAG (siehe Rn. 77). Bezüglich der Funktion der internen Revision gilt die Besonderheit, dass die für sie intern verantwortliche Person nicht zugleich eine andere Schlüsselfunktion wahrnehmen kann (siehe Abschnitt 9.3).

9.1.2 Informationsfluss und besondere Meldepflichten an Geschäftsleitung und Aufsichtsbehörde

79 Die jeweilige intern verantwortliche Person für eine Schlüsselfunktion (siehe Abschnitt 9.1.1) muss unmittelbar an die gesamte Geschäftsleitung berichten. Dies gilt auch dann, wenn die Schlüsselfunktion organisatorisch nicht unmittelbar der Geschäftsleitungsebene nachgeordnet ist.

80 Die intern für eine Schlüsselfunktion verantwortlichen Personen der EbAV treffen in bestimmten Fällen besondere Meldepflichten gegenüber der gesamten Geschäftsleitung und der Aufsichtsbehörde. Diese besondere Meldepflicht ergibt sich unmittelbar aus § 234b Abs. 4 VAG. Nach Maßgabe des § 234b Abs. 4 VAG berichtet die jeweilige intern verantwortliche Person beim Auftreten eines in ihren Zuständigkeitsbereich fallenden melderelevanten Ereignisses zunächst der gesamten Geschäftsleitung unverzüglich. Die Meldung kann zugleich Empfehlungen – d.h. konkrete Vorschläge zur Ergreifung von geeigneten Maßnahmen – enthalten, über die die gesamte Geschäftsleitung zu entscheiden hat. Erweist sich – je nach Komplexitätsgrad der Feststellung – die Suche nach geeigneten Abhilfemaßnahmen objektiv als zeitaufwendig, so hat die Meldung an die gesamte Geschäftsleitung vorab ohne Empfehlung zu erfolgen. Die Empfehlung ist umgehend nachzuholen, sobald geeignete Maßnahmen zeitnah ermittelt werden. Unterlässt es die gesamte Geschäftsleitung, rechtzeitig – d.h. in einer dem Komplexitätsgrad der Feststellung angemessenen Frist nach Kenntniserlangung – geeignete Maßnahmen anzuordnen, hat die intern verantwortliche Person dies der Aufsichtsbehörde anzuzeigen.

81 Die Meldepflicht des § 234b Abs. 4 VAG ist zweistufig ausgestaltet: In der ersten Meldestufe hat die intern verantwortliche Person zunächst immer die gesamte Geschäftsleitung über relevante Vorkommnisse zu informieren. Eine zweite Meldestufe, in der die Aufsichtsbehörde zu unterrichten ist, entsteht unter Beachtung der Voraussetzungen des § 234b Abs. 4 Satz 3 Nr. 1 und 2 VAG nur dann, wenn die vorinformierte Geschäftsleitung wissentlich untätig bleibt, nicht rechtzeitig die erforderlichen Maßnahmen einleitet oder die ergriffenen Maßnahmen nicht wirksam sind.

82 Die Meldepflicht beschränkt sich auf den eigenen Verantwortungsbereich der intern verantwortlichen Person für die jeweils betroffene Schlüsselfunktion.

83 Ist ein Geschäftsleiter zugleich intern verantwortliche Person, so reicht es für die Erfüllung der Meldepflicht nicht aus, dass er als Geschäftsleiter automatisch Kenntnis von den melderelevanten Tatsachen erlangt. Vielmehr hat er in seiner Funktion als intern verantwortliche Person die gesamte Geschäftsleitung zu informieren.

84 Ist die Schlüsselfunktion ausgegliedert, so geht die Meldepflicht des § 234b Abs. 4 VAG auf den Ausgliederungsbeauftragten über. Ist der Ausgliederungsbeauftragte zugleich Geschäftsleiter, gilt das in Rn. 83 Gesagte entsprechend.

85 Das Meldesystem nach § 234b Abs. 4 VAG besteht parallel und unabhängig von dem allgemeinen Hinweisgebersystem der EbAV nach § 23 Abs. 6 VAG. Meldungen nach § 23 Abs. 6 VAG erfolgen freiwillig, wohingegen für Vorkommnisse nach § 234b Abs. 4 VAG eine Meldepflicht der intern verantwortlichen Person an die gesamte Geschäftsleitung besteht. Aus demselben Grund sind anonyme Meldungen an das Hinweisgebersystem der BaFin nach § 4d FinDAG nicht geeignet, die Meldepflicht der intern verantwortlichen Person gegenüber der Aufsicht nach § 234b Abs. 4 VAG zu erfüllen.

86 Spiegelbildlich zu den Meldepflichten der intern verantwortlichen Person muss die Geschäftsleitung die intern verantwortliche Person für die jeweilige Schlüsselfunktion eigeninitiativ und zeitnah über alle Tatsachen informieren, die für ihre Aufgabenerfüllung erforderlich sein können. Für andere Unternehmenseinheiten gilt diese Informationspflicht gegenüber der intern verantwortlichen Person für die jeweilige Schlüsselfunktion entsprechend.

9.2 Versicherungsmathematische Funktion

9.2.1 Allgemeine Anforderungen an die versicherungsmathematische Funktion

87 Sofern EbAV biometrische Risiken selbst abdecken oder entweder Anlageergebnisse oder eine bestimmte Höhe der Leistungen garantieren, müssen sie eine VmF als Schlüsselfunktion einrichten. So kann auf eine VmF gemäß § 234b Abs. 6 VAG beispielsweise verzichtet werden, wenn eine EbAV ausschließlich reine Beitragszusagen im Sinne von §§ 244a ff. VAG durchführt oder ein Pensionsfonds ausschließlich nicht versicherungsförmige Leistungen erbringt. Neben der VmF ist nach dem VAG weiterhin der Verantwortliche Aktuar vorgesehen (siehe Abschnitt 9.2.6).

9.2.2 Aufgaben der versicherungsmathematischen Funktion

88 Der Aufgabenkatalog der VmF wird in §§ 31 und 234b Abs. 5 VAG definiert.

89 Es ist in der Regel möglich, der VmF auch Aufgaben zuzuweisen, die über den vorgegebenen Aufgabenkatalog hinausgehen, wenn Interessenkonflikte analysiert und geeignete Maßnahmen zum Umgang mit ihnen ergriffen werden.

90 In diesem Zusammenhang können Aufgaben der VmF in der Regel auch vom Verantwortlichen Aktuar wahrgenommen werden (BT-Drs 19/4673, Seite 63), wenn Maßnahmen zur Vermeidung von oder zum Umgang mit gegebenenfalls bestehenden Interessenkonflikten getroffen werden. Zum grundsätzlichen Verhältnis von Verantwortlichem Aktuar und VmF wird auf die Rn. 115 bis 118 verwiesen.

9.2.3 Koordinierung und Überwachung der Berechnung der technischen Rückstellungen

91 Die Entscheidung, wer die Berechnung der technischen Rückstellungen durchführt, bleibt der EbAV überlassen.

92 Die Überwachung der Berechnung der technischen Rückstellungen erfolgt durch eine Validierung der nach HGB berechneten technischen Rückstellungen der EbAV. Die Validierung dient der Überprüfung der Angemessenheit der Annahmen und Methoden, die im Rahmen der Berechnung der versicherungstechnischen Rückstellungen verwandt werden. Die Entscheidung, wer die Validierung der Berechnung technischer Rückstellungen durchführt, bleibt ebenfalls der EbAV überlassen. Die Aufgaben der VmF im Sinne von §§ 31 Abs. 1 und 234b Abs. 5 VAG bleiben hiervon unberührt.

93 Soweit der Verantwortliche Aktuar im Rahmen seiner Zuständigkeiten bei Ausübung seiner Kontroll- und Überwachungstätigkeiten auch Feststellungen zur Berechnung der versicherungstechnischen Rückstellungen getroffen hat, können sich hieraus ergebende Erkenntnisse in die Validierung einbezogen werden.

94 Unter Proportionalitätsgesichtspunkten kann es ausreichen, die Validierung der technischen Rückstellungen nur anhand der Feststellungen des Verantwortlichen Aktuars sowie externer Überprüfungsergebnisse – etwa einer Wirtschaftsprüfungsgesellschaft – durchzuführen.

95 Die Berechnung der technischen Rückstellungen und die Validierung werden in der Weise getrennt, dass Interessenkonflikte vermieden werden und insbesondere die Unabhängigkeit der Validierung nicht beeinträchtigt wird. Im Einklang mit dem Proportionalitätsprinzip kann diese Anforderung für EbAV mit schwächer ausgeprägtem Profil bereits erfüllt sein, wenn die Berechnung und die Validierung prozessual getrennt werden. Es kann im Sinne des Proportionalitätsprinzips aber auch eine personelle Trennung von Berechnung und Validierung geboten sein.

96 Für eine EbAV mit schwächer ausgeprägtem Profil, die mitarbeiterlos ist oder aus nur wenigen Mitarbeitern besteht, wird dem Trennungsgrundsatz im Einzelfall bereits durch eine prozessual getrennte Durchführung der Berechnung und Validierung Rechnung getragen.

97 Gegenstand der Validierung sind die verwendeten Berechnungsmethoden, die getroffenen Annahmen und die verwendeten Daten sowie die vollständige Erfassung der zu bewertenden Verpflichtungen. Der Einfluss von Änderungen bei Methoden, Annahmen und Datengrundlagen von einem Berechnungsstichtag zum nächsten ist zu ermitteln.

98 Die VmF gewährleistet im Rahmen ihrer Zuständigkeit, dass eine geeignete Validierung durchgeführt wird. In diesem Kontext erfüllt die VmF die nachfolgend genannten Aufgaben.

99 Die VmF beurteilt, ob die Zusammenhänge zwischen der Methodenwahl, den Annahmen sowie der Datenqualität und -verfügbarkeit beachtet werden. Dabei werden die Quelle und der Verwendungszweck der Daten berücksichtigt.

100 Bei der Prüfung, welche Validierungsverfahren sich am besten eignen, berücksichtigt die VmF die Charakteristika der zu bewertenden Verbindlichkeiten.

101 Die VmF überprüft regelmäßig die Validierungsverfahren und gewährleistet, dass diese gegebenenfalls angepasst werden. Zu diesem Zweck bezieht sie die gewonnenen Erfahrungswerte aus vorangegangenen Validierungen.

102 Die VmF gewährleistet, dass bei der Validierung sowohl quantitative als auch qualitative Aspekte berücksichtigt werden.

9.2.4 Beurteilung der Datenqualität

103 Die in den folgenden Rn. gemachten Ausführungen beziehen sich auf die bei der Bewertung technischer Rückstellungen verwendeten Daten.

104 Für die Beurteilung der Datenqualität bezieht die VmF die Ergebnisse solcher Analysen ein, die im Rahmen externer oder interner Überprüfungen der Datenqualität vorgenommen wurden.

105 Für die Beurteilung der Vollständigkeit der Daten prüft die VmF, ob die Quantität und die Detailtiefe der verfügbaren Daten für die Anwendung der verwendeten Berechnungsmethode ausreicht.

106 Die VmF ermittelt wesentliche Unzulänglichkeiten der Daten sowie deren Ursachen. Hierzu prüft sie auch interne Prozesse und konsultiert bei Bedarf zuständige Mitarbeiter. Sie schlägt der Geschäftsleitung Lösungen zur Behebung der Unzulänglichkeiten vor.

107 Die VmF dokumentiert die wesentlichen Unzulänglichkeiten und deren Ursachen sowie die erfolgten Lösungen. Zudem erläutert sie mögliche wesentliche Auswirkungen dieser Unzulänglichkeiten auf die Berechnung.

108 Die VmF formuliert gegebenenfalls Empfehlungen zur Verbesserung von internen Verfahren im Zuge des Datenmanagements, um zu gewährleisten, dass die EbAV in der Lage ist, die aufsichtsrechtlichen Anforderungen zu erfüllen.

109 Sie prüft, in welchen Fällen zusätzlich externe Daten bzw. Marktdaten benötigt werden. Des Weiteren beurteilt sie die Qualität dieser Daten.

9.2.5 Stellungnahme zur Zeichnungspolitik und Rückversicherung

110 Die VmF unterstützt die Geschäftsleitung, indem sie die Wechselwirkungen zwischen der Zeichnungs- und Annahmepolitik – sofern die EbAV über eine generelle Annahme- und Zeichnungspolitik verfügt –, der Beitrags-/Leistungskalkulation, der Rückversicherungspolitik und den technischen Rückstellungen analysiert. Sie hat die Vereinbarkeit der Zeichnungs- und Rückversicherungspolitik mit dem Profil der EbAV zu beurteilen.

111 Die hierfür notwendige Analyse der Zeichnungs- und Annahmepolitik und Beitrags-/Leistungskalkulation findet in der Regel nicht auf der Ebene einzelner Produkte statt, sondern auf einem geeigneten Abstraktionsniveau.

112 Die Analyse der Rückversicherungspolitik schließt die Wirksamkeit der Rückversicherungsvereinbarungen unter Stressbedingungen ein. Der Analyseumfang richtet sich nach der Bedeutung der Absicherungen. Materiell unbedeutende Absicherungen rechtfertigen unter Berücksichtigung des Profils der EbAV eine weniger umfangreiche Analyse.

113 Die Analysen erfolgen regelmäßig auch quantitativ.

114 Bei Versorgungsverträgen mit langfristigen Zinsgarantien geht die VmF – unabhängig davon, ob die EbAV über eine generelle Zeichnungs- und Annahmepolitik verfügt – in einer Stellungnahme insbesondere auch darauf ein, inwieweit die im Neugeschäft eingenommenen Beiträge im Hinblick auf die Höhe und Art der eingebetteten Zinsgarantien hinlänglich zur Bedeckung künftiger Ansprüche und Aufwendungen sind. Bei den zu Grunde liegenden Analysen ist das individuelle Profil der EbAV zu berücksichtigen. Hierbei ist insbesondere zu betrachten, inwieweit die EbAV voraussichtlich in der Lage sein wird, die Verpflichtungen aus den Zinsgarantien des Neugeschäftes aus den für die Zukunft erwarteten Erträgen ihrer Kapitalanlagen zu erfüllen. Ein pauschaler Verweis darauf, dass der für die Prämienkalkulation verwendete Garantiezins nicht höher als der jeweils geltende Höchstrechnungszins gemäß § 2 DeckRV ist, reicht hierbei nicht aus.

9.2.6 Verhältnis zwischen der für die versicherungsmathematische Funktion verantwortlichen Person und dem Verantwortlichen Aktuar

115 Der Verantwortliche Aktuar nimmt eine Schutzfunktion für die Leistungsempfänger und Versorgungsanwärter wahr. Er achtet auf Gleichbehandlung und die sachgerechte Verwendung von Überschüssen. Außerdem hat er sicherzustellen, dass die Berechnung der handelsrechtlichen Deckungsrückstellung im Einklang mit den dafür einschlägigen Rechtsvorschriften steht und die Prämien so kalkuliert werden, dass eine ausreichend hohe Deckungsrückstellung gebildet werden kann. Dabei überprüft der Verantwortliche Aktuar, ob die dauernde Erfüllbarkeit der sich aus den Versorgungsverträgen ergebenden Verpflichtungen jederzeit gewährleistet ist. Wenn der Verantwortliche Aktuar gleichzeitig die verantwortliche Person für die VmF ist, prüft die EbAV, ob diese Kombination zu Interessenkonflikten führen kann (siehe Rn. 89 und 90).

116 Die Aufgaben des Verantwortlichen Aktuars, im Hinblick auf die Einhaltung der gesetzlichen Vorschriften für handelsrechtliche Rückstellungen und die angemessene geeignete Prämienkalkulation, beeinträchtigen die Rolle der VmF in der Regel nicht so stark, dass eine organisatorische Trennung aufgrund dessen erforderlich erscheint.

117 Es besteht überwiegend Übereinstimmung zwischen den Aufgaben des Verantwortlichen Aktuars und der VmF der EbAV. Beide Tätigkeiten beziehen sich auf die versicherungs- bzw. pensionsfondstechnischen Rückstellungen nach dem HGB.

118 Für ihre Stellungnahme über die Hinlänglichkeit der Beiträge kann die VmF auch auf vorhandene Analysen des Verantwortlichen Aktuars zurückgreifen.

9.2.7 Informationspflichten der versicherungsmathematischen Funktion

119 Die VmF legt der gesamten Geschäftsleitung mindestens einmal jährlich einen schriftlichen Bericht vor, der alle erzielten wesentlichen Ergebnisse enthält (VmF-Bericht). Für Pensionskassen, die mit Zustimmung der BaFin die Deckungsrückstellung nicht jährlich berechnen, enthält der VmF-Bericht Ausführungen zur Deckungsrückstellung abweichend nur in dem Jahr, in dem die Deckungsrückstellung berechnet wird.

120 Der VmF-Bericht benennt klar und deutlich etwaige Mängel und Empfehlungen zur Behebung solcher Mängel. Er enthält auch Angaben zu Veränderungen mindestens in den zugrundeliegenden Annahmen und verwendeten Methoden. Ein allgemeiner Hinweis, dass sich die Situation gegenüber dem Vorjahr nicht geändert hat, ist nicht ausreichend. Konkrete Verweise auf einzelne Aspekte sind im Rahmen der Darstellung jedoch möglich.

121 Der VmF-Bericht kann nicht durch einzelne Teilberichte ersetzt werden. Er muss aus sich heraus für die gesamte Geschäftsleitung verständlich sein.

122 Es steht der VmF frei, zusätzlich zum VmF-Bericht über einzelne Themen gesondert zu berichten. Wesentliche Aspekte aus solchen Berichten sind in den folgenden VmF-Bericht aufzunehmen.

123 Es wird vom Verantwortlichen Aktuar und von der VmF jeweils ein eigener Bericht angefertigt, sofern ein Bericht vorgesehen ist. Dies gilt auch, wenn der Verantwortliche Aktuar gleichzeitig verantwortliche Person für die VmF ist. Sofern es Überschneidungen gibt, etwa in Bezug auf eine Analyse der Datenqualität, kann der VmF-Bericht auch Erkenntnisse aus dem Bericht des Verantwortlichen Aktuars aufgreifen bzw. auf diese verweisen und eigenständig beurteilen.

9.3 Funktion der internen Revision

124 Alle EbAV müssen eine interne Revision einrichten. Ausnahmen hiervon sind nicht möglich.

125 Der Prüfungsauftrag der internen Revision bezieht sich auf die gesamte Geschäftsorganisation einschließlich ausgegliederter Bereiche und Prozesse.

126 Die Einhaltung des Prüfungsplans, also die Erfüllung der Prüffunktion, geht der Beratungsfunktion vor. Die interne Revision schränkt insofern die Beratungstätigkeit gegebenenfalls ein.

127 Die interne Revision unterliegt keinen Einflüssen (Kontrollen, Einschränkungen oder sonstigen Einflüssen), die ihre Unabhängigkeit und Unparteilichkeit bei der Erledigung ihrer Aufgaben beeinträchtigen könnten.

128 Die interne Revision muss von allen Stellen in der EbAV unabhängig sein. Dies gilt für die verantwortliche Person für die Funktion der internen Revision und für alle Personen, die für die interne Revision tätig sind.

129 Die interne Revision darf insbesondere bei der Prüfungsdurchführung, der Wertung der Prüfungsergebnisse und der Berichterstattung über diese Ergebnisse nicht, auch nicht mittelbar, beeinträchtigt sein. Die interne Revision berichtet unmittelbar und ohne vorherige ändernde Einflussnahme der gesamten Geschäftsleitung über ihre Ergebnisse, Erkenntnisse, Bedenken, Verbesserungsempfehlungen etc.

130 Das Weisungsrecht der gesamten Geschäftsleitung in Bezug auf die Prüfungsplanung der internen Revision steht der Unabhängigkeit der internen Revision nicht entgegen. Soweit erforderlich, kann die Funktion der internen Revision Prüfungen durchführen, die nicht im Revisionsplan vorgesehen sind.

131 Die interne Revision muss unabhängig von anderen operativen Funktionen oder Tätigkeiten sein (§ 30 Abs. 2 Satz 1 VAG). Dies gilt für alle EbAV gleichermaßen; Proportionalitätsaspekte spielen insoweit keine Rolle.

132 Eine Kooperation der anderen Schlüsselfunktionen mit der internen Revision ist zulässig. Unangebrachte Einflüsse der anderen Schlüsselfunktionen sind unter anderem durch Festlegung klarer Zuständigkeiten auszuschließen.

133 Die für die Funktion der internen Revision intern verantwortliche Person darf zugleich keine anderen Schlüsselfunktionen innerhalb der EbAV ausüben. Sie darf auch nicht gleichzeitig Ausgliederungsbeauftragter für eine andere ausgegliederte Schlüsselfunktion sein. Das Bündelungsverbot für die intern verantwortliche Person der internen Revisionsfunktion ergibt sich unmittelbar aus § 234b Abs. 2 VAG. Es ist jedoch möglich, dass die für eine andere Schlüsselfunktion intern verantwortliche Person der EbAV gleichzeitig Ausgliederungsbeauftragter für die ausgegliederte Schlüsselfunktion der internen Revision ist (siehe Rn. 240).

9.4 Unabhängige Risikocontrollingfunktion

134 Im Rahmen dieses Rundschreibens wird der Begriff unabhängige Risikocontrollingfunktion (URCF) einheitlich verwendet. Die URCF ist synonym zum Begriff Risikomanagementfunktion zu verstehen.

135 Gemäß § 26 Abs. 8 Satz 1 VAG befördert die URCF maßgeblich die Umsetzung des Risikomanagementsystems. In diesem Zusammenhang stellt die URCF als zentrale, das Risikomanagement befördernde Stelle sicher, dass angemessene Prozesse, Verfahren und Methoden für das operative Risikomanagement implementiert sind.

136 Die URCF unterstützt die gesamte Geschäftsleitung, gegebenenfalls den zuständigen Geschäftsleiter sowie andere Funktionen bei der effektiven Handhabung des Risikomanagementsystems. In diesem Zusammenhang hat die URCF insbesondere:

a) regelmäßig zu bewerten, ob die Risikostrategie konsistent zur Geschäftsstrategie ist,

b) regelmäßig zu bewerten, ob die schriftlichen Leitlinien für das Risikomanagementsystem geeignet sind,

c) das Risikobewusstsein der vom Risikomanagementsystem betroffenen Mitarbeiter zu befördern,

d) regelmäßig die Methoden und Prozesse zur Risikobewertung und -überwachung zu bewerten und sie gegebenenfalls weiterzuentwickeln,

e) Limite vorzuschlagen und

f) geplante Strategien unter Risikoaspekten zu beurteilen.

137 Die URCF überwacht das Risikomanagementsystem. In diesem Zusammenhang hat die URCF insbesondere:

a) Prozesse und Verfahren zur Überwachung des Risikomanagementsystems zu entwickeln und

b) die Eignung des Risikomanagementsystems fortlaufend zu überwachen.

138 Die URCF überwacht das gesamte Risikoprofil der EbAV. In diesem Zusammenhang hat die URCF insbesondere:

a) die Risiken mindestens auf aggregierter Ebene zu identifizieren, zu bewerten und zu analysieren,

b) die Maßnahmen zur Risikobegrenzung zu überwachen,

c) die Limite sowie die Risiken auf aggregierter Ebene zu überwachen und

d) die Durchführung und Dokumentation der unternehmenseigenen Risikobeurteilung zu koordinieren.

139 Die URCF berichtet regelmäßig, mindestens einmal jährlich, der gesamten Geschäftsleitung zumindest über wesentliche Risikoexponierungen und das gesamte Risikoprofil. Auch berichtet die URCF der gesamten Geschäftsleitung über die Eignung des Risikomanagementsystems und weist sie aktiv zumindest auf wesentliche Mängel bzw. Verbesserungspotentiale des Risikomanagementsystems hin. Wesentliche Informationen, die der gesamten Geschäftsleitung schon mit dem Bericht zur eigenen Risikobeurteilung vorgestellt wurden, müssen nur dann im schriftlichen Bericht der URCF neu aufbereitet werden, wenn und soweit sie für das Verständnis der noch nicht in der eigenen Risikobeurteilung berichteten Aussagen notwendig sind.

140 Die URCF berät die Geschäftsleitung in Fragen des Risikomanagements und hilft der Geschäftsleitung fortlaufend, Mängel abzustellen und das Risikomanagementsystem weiter zu entwickeln.

9.5 Gleichzeitige Ausübung ähnlicher Aufgabe im Trägerunternehmen durch intern verantwortliche Person für eine Schlüsselfunktion

141 Die Zulässigkeit der gleichzeitigen Ausübung einer ähnlichen Aufgabe im Trägerunternehmen durch die für eine Schlüsselfunktion intern verantwortliche Person der EbAV richtet sich nach § 234b Abs. 3 VAG.

142 Ähnlich sind Aufgaben, die aufgrund ihres inhaltlichen Bezugs zueinander im Falle der gleichzeitigen Wahrnehmung konkurrierende Interessen, Ziele und Verpflichtungen für die Person, die sie ausübt, auslösen können.

143 Durch gleichzeitige Ausübung ähnlicher Aufgaben resultierende Interessenkonflikte können allgemein auch bei der Ausgliederung auftreten. Während die gleichzeitige Ausübung ähnlicher Aufgaben im Fall der Ausgliederung auf einen Dienstleister, der kein Trägerunternehmen ist, stets unzulässig ist, kann dies bei der Ausgliederung auf ein Trägerunternehmen zulässig sein, wenn die EbAV besondere Maßnahmen zur Vermeidung von oder zum Umgang mit Interessenkonflikten ergreift (siehe Rn. 250 ff.). Beispiele: Keine gleichzeitige Ausübung ähnlicher Aufgaben und somit kein Interessenkonflikt liegt vor, wenn der Ausgliederungsbeauftragte der EbAV und der für die Wahrnehmung der ausgegliederten Schlüsselfunktion im Trägerunternehmen verantwortliche Mitarbeiter personenverschieden sind. Umgekehrt ist die gleichzeitige Wahrnehmung ähnlicher Aufgaben zu bejahen, wenn der Ausgliederungsbeauftragte der EbAV personenidentisch ist mit demjenigen, der zugleich im Trägerunternehmen für die ordnungsgemäße Durchführung der Schlüsselfunktion zuständig ist. In diesem Fall entsteht ein Interessenkonflikt, da Überwachung und Bewertung sich auf den eigenen Zuständigkeitsbereich richten. Die EbAV hat daher flankierende Maßnahmen zur Vermeidung von bzw. zum Umgang mit den bestehenden Interessenkonflikten zu ergreifen, wenn sie von der Möglichkeit der Aufgabenbündelung Gebrauch machen will (siehe Rn. 250 ff.).

144 Nach Maßgabe des § 234b Abs. 3 Satz 2 VAG übermittelt die EbAV der Aufsichtsbehörde unverzüglich eine Stellungnahme, in der sie darlegt, wie sie Interessenkonflikte mit dem Trägerunternehmen verhindert oder mit ihnen verfährt, wenn die intern verantwortliche Person für eine Schlüsselfunktion – bei Ausgliederungen folgerichtig der Ausgliederungsbeauftragte für eine auf das Trägerunternehmen ausgegliederte Schlüsselfunktion – eine ähnliche Aufgabe im Trägerunternehmen ausübt oder übernehmen soll.

10 Risikomanagementsystem

10.1 Rolle der Geschäftsleitung im Risikomanagementsystem

145 Die gesamte Geschäftsleitung ist dafür verantwortlich, dass das Risikomanagementsystem dem Profil angemessen und wirksam ausgestaltet ist. Dies schließt angemessene Berichtsverfahren und Prozesse ein, die insbesondere gewährleisten, dass zumindest über alle wesentlichen Risiken informiert, die Wirksamkeit des Risikomanagementsystems aktiv überwacht und analysiert sowie gegebenenfalls verbessert wird.

146 Aufgabe der gesamten Geschäftsleitung ist es, den Risikoappetit der EbAV sowie die Wesentlichkeitsgrenzen zumindest für die wesentlichen Risiken festzulegen und regelmäßig, zumindest jährlich, zu überprüfen und gegebenenfalls anzupassen.

147 Die Verantwortung der gesamten Geschäftsleitung entbindet den Aufsichtsrat nicht von der Pflicht zu überwachen, ob die gesamte Geschäftsleitung ein angemessenes und wirksames Risikomanagementsystem eingerichtet hat.

148 Unabhängig von der Verantwortung der gesamten Geschäftsleitung kann es das Profil der EbAV erfordern, dass das Risikomanagement einem Geschäftsleiter zugeordnet wird.

149 Die Verantwortung der gesamten Geschäftsleitung für das Risikomanagementsystem bezieht sich auf die Leitungsaufgaben. Die Leitungsaufgaben umfassen unter anderem die strategischen Entscheidungen und die Festlegungen zum organisatorischen Rahmen des Risikomanagements, somit insbesondere auch den Eingang und die Handhabe wesentlicher Risiken.

150 Zu den Leitungsaufgaben zählt ebenfalls die Entwicklung einer Risikostrategie. Diese ist mindestens einmal jährlich zu überprüfen und gegebenenfalls anzupassen. Die Risikostrategie, die Überprüfung und etwaige Änderungen sind zu dokumentieren. Die Risikostrategie stellt die sich aus der Geschäftsstrategie ergebenden Risiken dar. Sie enthält zudem eine Aussage zum Risikoappetit, den die EbAV sowohl auf aggregierter Ebene als auch auf Ebene der wesentlichen Risiken besitzt, um die strategischen Ziele zu erreichen. Die Risikostrategie ist so auszugestalten, dass sich die operative Steuerung der Risiken daran anknüpfen lässt.

151 Die gesamte Geschäftsleitung und gegebenenfalls der zuständige Geschäftsleiter muss bei eigenen Entscheidungen die Informationen aus dem Risikomanagementsystem gebührend berücksichtigen. Dies erfordert auch eine hinreichende Einbindung der URCF als zentrale Stelle für das operative Risikomanagement. Die Einbindung der URCF befreit die gesamte Geschäftsleitung bzw. den zuständigen Geschäftsleiter nicht von der eigenen Entscheidungsverantwortung.

10.2 Risikomanagementleitlinien

152 Die schriftlichen Leitlinien zum Risikomanagement enthalten mindestens Vorgaben zu den in § 26 Abs. 5 Satz 1 VAG genannten Bereichen. Auch beziehen sie die in § 234c Abs. 1 Satz 1 und Abs. 2 VAG genannten Risiken aus der Sicht der Versorgungsanwärter und Versorgungsempfänger ein, soweit diese wesentlich sind. Die schriftlichen Leitlinien definieren und kategorisieren zumindest die wesentlichen Risiken, falls diese Festlegungen nicht in der Risikostrategie erfolgen. Auch benennen die schriftlichen Leitlinien zum Risikomanagement die Risikotoleranzschwellen zumindest für die wesentlichen Risiken.

153 Die schriftlichen Leitlinien zum Risikomanagement benennen nicht nur die Aufgaben sowie die Stellung und Befugnisse der URCF, sondern auch der weiteren Schlüsselfunktionen, soweit sie Aufgaben innerhalb des Risikomanagementsystems wahrnehmen. Sofern diese Aufgaben und Befugnisse der weiteren Schlüsselfunktionen schon in anderen schriftlichen Leitlinien enthalten sind, können die schriftlichen Leitlinien zum Risikomanagement darauf verweisen.

10.2.1 Risikomanagementleitlinien für das operationelle Risiko

154 Operationelle Risiken im Rahmen des Risikomanagements umfassen unter anderem IT-Risiken, unabhängig davon, ob sie aus der IT-Aufbauorganisation, den IT-Systemen oder den IT-Prozessen resultieren.

155 Operationelle Risiken im Rahmen des Risikomanagements schließen auch die Rechtsrisiken ein.

156 Rechtsänderungsrisiken, zumindest diejenigen, die mit in der Vergangenheit abgeschlossenen Geschäften verbunden sind, müssen unter Risikogesichtspunkten adäquat berücksichtigt werden. Rechtsänderungsrisiken bezeichnen dabei Risiken, die sich aufgrund einer Änderung des Rechtsumfeldes einschließlich der aufsichtsbehördlichen Anforderungen ergeben.

157 Eine Analyse operationeller Risiken ist auch vor der Einführung oder wesentlichen Änderung von Produkten, Prozessen und Systemen durchzuführen. Die Ergebnisse dieser Analyse sind in die Entscheidungsfindung einzubeziehen.

158 Zur Identifizierung und Überwachung möglicher operationeller Risiken implementieren die EbAV einen geeigneten Prozess, mit dem zumindest die internen Schadenereignisse erfasst und ausgewertet werden. Hierfür sind dem Profil angemessene Schwellenwerte festzulegen. Die notwendigen Prozessschritte sind ausreichend zu dokumentieren.

159 Bei der Identifizierung möglicher operationeller Risiken berücksichtigen die EbAV darüber hinaus auch bekannte externe Schadenereignisse.

160 Die EbAV prüfen, ob sie als Teil ihres Frühwarnsystems geeignete Risikokennziffern (Key Risk Indikatoren) oder Leistungskennziffern (Key Performance Indikatoren) einführen.

161 Wesentliche Schadenereignisse, die aus operationellen Risiken resultieren, sind neben der gesamten Geschäftsleitung auch unverzüglich der URCF zu berichten und hinsichtlich ihrer Ursachen zu analysieren. Welche Schadenereignisse hierunter fallen, ist unternehmensindividuell festzulegen. Die gesamte Geschäftsleitung entscheidet bei wesentlichen Schadenereignissen, ob und welche zusätzlichen Maßnahmen zu ergreifen sind. Die Umsetzung der Maßnahmen ist zu überwachen.

10.2.2 Risikomanagementleitlinien für Rückversicherung und andere Risikominderungstechniken

162 Die Risikomanagementleitlinien für Rückversicherung und andere Risikominderungstechniken benennen den angestrebten Grad des Risikotransfers. Dieser muss sich an den festgelegten Risikotoleranzschwellen orientieren. Anzugeben ist ferner, welche Art der Rückversicherung oder anderer Risikominderungstechniken von der EbAV gewählt wird. Die gewählte Art muss für das eigene Profil am besten geeignet sein. Auch sind die Kriterien für die Auswahl der Rückversicherung oder anderer Risikominderungstechniken festzulegen.

163 Es sind Grundsätze für die Auswahl der Vertragspartner bei Rückversicherungsverträgen und anderen Risikominderungstechniken zu entwickeln. Diese umfassen auch Verfahren, um die Leistungsfähigkeit und Kreditwürdigkeit von Rückversicherern und anderen Risikominderungspartnern zu bewerten und zu überwachen. Sofern die EbAV bei der Beurteilung der Kreditwürdigkeit auf externe Ratings zurückgreift, überprüft sie – soweit möglich – deren Eignung durch zusätzliche Bewertungen.

164 Entscheidet sich die EbAV für Rückversicherung oder andere Risikominderungstechniken, berücksichtigt das Risikomanagement sämtliche damit verbundenen Risiken, insbesondere das mit der Risikominderungstechnik verbundene Kreditrisiko. Dies schließt eine Dokumentation zumindest der wesentlichen Risiken, der daraus resultierenden Maßnahmen sowie der potentiellen Folgen ein.

165 Die EbAV ermittelt und bewertet sowohl den Umfang als auch die Wirkung des Risikotransfers. Dazu entwickelt sie dem Profil angemessene Verfahren und Kriterien.

166 In Bezug auf Rückversicherung und andere Risikominderungstechniken berücksichtigt das Liquiditätsmanagement auch mögliche Liquiditätsengpässe infolge eines zeitlichen Auseinanderfallens der zu erbringenden Versicherungsleistung und dem Eingang der Zahlung der von Rückversicherern und anderen Risikominderungspartnern einforderbaren Beträge.

10.3 Bestandteile des Risikomanagementprozesses

10.3.1 Risikoidentifizierung

167 Alle Risiken sind zeitnah zu identifizieren und zu klassifizieren. Risiken, zugehörige interne wie externe Risikotreiber, bestehende Abhängigkeiten zwischen Risiken und Risikotreibern sowie von Risiken betroffene Objekte (im Weiteren: Risikobezugsgrößen) sind konsistent und überschneidungsfrei zu definieren.

168 Die Risikoidentifikation ist regelmäßig, mindestens jährlich durchzuführen. Wenn sich das Risikoprofil wesentlich ändert, sind die Ergebnisse der Risikoidentifikation unter den geänderten Rahmenbedingungen zeitnah zu überprüfen.

169 Das Ergebnis der Risikoidentifikation ist zu dokumentieren. Einzugehen ist zumindest auf

• die Risikoart,
• die übergeordnete Risikokategorie,
• die Verantwortlichen,
• die Risikotreiber,
• die Risikobezugsgrößen,
• die möglichen Wechselwirkungen und Zusammenhänge mit anderen Risiken und
• die bereits eingeleiteten Maßnahmen zur Risikosteuerung.

10.3.2 Risikobewertung

170 Die Risikobewertung ist für die Einzelrisiken und das Gesamtrisiko der EbAV durchzuführen. Sie erfolgt sowohl qualitativ als auch quantitativ in Abhängigkeit der Risikotreiber.

171 Soweit es die Art des Risikos erlaubt, sind Risikohöhe und zugehörige Eintrittswahrscheinlichkeit anzugeben. Die Ermittlung von Risikohöhe und Eintrittswahrscheinlichkeit kann auf Basis statistischer Methoden oder, wenn die vorhandene Datenbasis dies nicht erlaubt, durch – interne oder externe – Expertenschätzungen erfolgen. Im Falle statistischer Auswertungen sind, sofern möglich, auch Korrelationen zumindest zwischen den wesentlichen Risiken anzugeben. Falls keine ausreichende Datenbasis für eine Bewertung vorhanden ist, ist sie zumindest für die wesentlichen Risiken aufzubauen. Expertenschätzungen sind nach qualitativen Maßstäben unter Berücksichtigung von Schadenshöhe und Eintrittswahrscheinlichkeit vorzunehmen. Der Zeithorizont der Risikobewertung ist unternehmensindividuell festzulegen und hat im Einklang mit dem Planungshorizont der EbAV zu stehen.

172 Die für die Risikobewertung verwendeten Annahmen und Methoden und die Häufigkeit der Bewertung sind festzulegen und müssen dem jeweiligen Risiko angemessen sein. Die verwendeten Methoden müssen zudem ermöglichen, Ergebnisse zu aggregieren. Die für die Risikobewertung notwendigen Daten sind entsprechend den Bedürfnissen der Risikosteuerung zu erheben. Zur Risikobewertung sind eindeutige Kennzahlen zu verwenden.

173 Ausgehend von der Bewertung der Einzelrisiken ist das Gesamtrisiko der EbAV festzustellen. Auch hierbei sind die Risikokonzentrationen und Wechselwirkungen zwischen verschiedenen Risiken zu berücksichtigen.

174 Ist für einzelne Risiken eine quantitative Risikomessung nicht zweckmäßig oder möglich, ist die qualitative Bewertung ausführlich zu begründen.

10.3.3 Risikosteuerung

175 Aufbauend auf den Ergebnissen der Risikobewertung ist ein Risikotragfähigkeitskonzept zu erstellen. Dieses legt dar, wie viel Risikodeckungspotenzial insgesamt zur Verfügung steht und wie viel davon als Risikodeckungsmasse zur Abdeckung aller wesentlichen Risiken verwendet werden soll. Das Risikotragfähigkeitskonzept berücksichtigt die verschiedenen Anforderungen an das Risikomanagement. Die Einhaltung der aufsichtsrechtlichen Kapitalausstattungsanforderungen bildet die Untergrenze für die Risikotragfähigkeit der EbAV. Das bedeutet, dass die Einhaltung aufsichtsrechtlicher Kapitalausstattungsanforderungen eine Minimalanforderung im Rahmen eines Risikotragfähigkeitskonzepts ist. Die zur Bedeckung der Solvenzkapitalanforderung erforderlichen Eigenmittel der EbAV können somit nicht als Risikodeckungsmasse eingesetzt werden. Des Weiteren sind strategische Ziele für zu steuernde Geschäftsbereiche und Vorgaben der Rechnungslegung zu berücksichtigen.

176 Die bei der Erstellung des Risikotragfähigkeitskonzeptes verwendeten Annahmen und Methoden sind nachvollziehbar zu dokumentieren. Die Dokumentation kann in einem eigenständigen Dokument erfolgen oder Bestandteil einer bestehenden Dokumentation sein.

177 Auf Basis des Risikotragfähigkeitskonzeptes ist ein konsistentes System von Limiten zur Risikosteuerung zu entwickeln. Die gesamte Geschäftsleitung legt geeignete Limite zumindest für die wichtigsten zu steuernden Geschäftsbereiche fest. Für höhere Steuerungsebenen sind die Limite sinnvoll zu aggregieren.

178 Auf die Limite sind sowohl Risiken aus bestehenden Geschäften, als auch eingetretene Schäden anzurechnen.

179 Die Limitauslastung ist in Form geeigneter Risikokennzahlen regelmäßig zu beobachten. Die Risikokennzahlen sind, soweit möglich, auf Gesamtunternehmensebene zu aggregieren und mit der Risikodeckungsmasse zu vergleichen.

180 Sofern für einen Geschäftsbereich ein quantitatives Limit nicht zweckmäßig ist, sind andere geeignete Risikosteuerungskennzahlen vorzusehen.

181 Ändert sich das Risikoprofil wesentlich, sind die Risikokennzahlen nach ergriffenen Maßnahmen neu zu ermitteln.

182 Die operative Umsetzung der Risikosteuerung wird durch die Geschäftsbereiche wahrgenommen, die die Ergebnisverantwortung tragen. Um sicherzustellen, dass diese Geschäftsbereiche ihre Aufgabe ordnungsgemäß und wirksam durchführen, sind sie laufend und umfassend über die Auslastung der für sie relevanten Limite sowie den Stand anderer Steuerungskennzahlen zu informieren.

183 Die Angemessenheit und Wirksamkeit der Limite und anderen Steuerungsmaßnahmen ist regelmäßig zu überprüfen. Führt die Überprüfung zur Anpassung bestehender oder Einführung neuer Steuerungsmaßnahmen, muss dies im Einklang mit der Risikostrategie geschehen. Anstehende Änderungen sind den betroffenen Geschäftsbereichen zeitnah mitzuteilen.

184 In den schriftlichen Leitlinien zum Risikomanagement ist zumindest festzulegen, wer im Falle einer Limitüberschreitung oder Anpassung einer Steuerungsmaßnahme wann und in welcher Form eingebunden werden muss. Auch sich anschließende Prozesse, wie beispielsweise die Verknüpfung zum Notfallmanagement, sind anzugeben.

10.3.4 Risikoüberwachung

185 Zur Überwachung der wesentlichen Risiken gehört die Kontrolle

• des Risikoprofils,
• der Limite,
• der Umsetzung der Risikostrategie,
• der Risikotragfähigkeit und
• aller risikorelevanten Methoden und Prozesse.

186 Die Risikoüberwachung erfolgt regelmäßig. Die Art und Häufigkeit der Risikoüberwachung muss dem Profil der EbAV angemessen sein.

10.3.5 Risikoberichterstattung

187 Im Rahmen der Risikoberichterstattung wird die Geschäftsleitung über die gegenwärtige und zukünftige Risikosituation informiert. Darzustellen ist insbesondere, inwieweit die in der Risikostrategie festgelegten Ziele erreicht wurden und die für die Risiken gesetzten Limite ausgelastet sind. Zu berichten ist darüber hinaus auch über alle weiteren wesentlichen Informationen, die zum Verständnis der Risikosituation der EbAV notwendig sind.

188 Die Risikoberichterstattung erläutert zumindest die wesentlichen Folgen wichtiger Änderungen im Unternehmen, beispielsweise hervorgerufen durch eine Anpassung der Geschäftspolitik. Die Folgen von Änderungen im Risikomanagementsystem, wie beispielsweise durch eingeleitete Risikosteuerungsmaßnahmen oder Änderungen der Annahmen und Methoden zur Risikoidentifizierung und -bewertung, sind ebenfalls in die Risikoberichterstattung aufzunehmen.

189 Die Risikoberichterstattung ist in nachvollziehbarer, aussagefähiger Art und Weise zu verfassen. Sie erfolgt regelmäßig und zumindest einmal jährlich. Bei wesentlichen Änderungen des Risikoprofils ist, sofern nicht eine regelmäßige Berichterstattung ansteht, im Rahmen der eigenen Risikobeurteilung nach § 234d Abs. 1 Satz 3 VAG ein Ad-hoc-Bericht erforderlich.

11 Internes Kontrollsystem

11.1 Allgemeines

190 Das interne Kontrollsystem gewährleistet insbesondere eine angemessene und wirksame Funktionsweise der Geschäftsorganisation. Des Weiteren stellt es die Verfügbarkeit und Verlässlichkeit der für den Geschäftsbetrieb notwendigen Informationen sicher.

191 Die EbAV gestalten das interne Kontrollsystem in Abhängigkeit von ihrem Profil aus. Das interne Kontrollsystem ist ein eigenständiges Element der Geschäftsorganisation. Es muss adäquat in die Strukturen und Prozesse der Aufbau- und Ablauforganisation eingebunden sein, damit es seinen Zweck erfüllt.

192 Das interne Kontrollsystem berücksichtigt gegebenenfalls auch ausgegliederte Bereiche und Prozesse.

11.2 Interner Kontrollrahmen und Melderegelungen

193 Die EbAV legen im internen Kontrollrahmen die Grundsätze, Verfahren und Maßnahmen zu den internen Kontrollen fest. Der interne Kontrollrahmen muss dem Profil angemessen sein.

194 Insbesondere Art, Häufigkeit und Umfang der internen Kontrollen orientieren sich an den Risiken der jeweiligen Bereiche und Prozesse.

195 Die EbAV gewährleisten, dass die mit den internen Kontrollen beauftragten Personen über alle notwendigen Informationen verfügen.

196 Die Eignung und Wirksamkeit der internen Kontrollen sind mit Hilfe geeigneter Verfahren fortlaufend zu überwachen.

197 Die gesamte Geschäftsleitung lässt sich regelmäßig, mindestens jährlich, über die Ergebnisse der Überwachung berichten. In besonderen Situationen, vor allem bei erheblichen Mängeln der internen Kontrollen, sind außerdem Ad-hoc-Berichte erforderlich. Die Geschäftsleitung stellt sicher, dass die notwendigen Anpassungen zeitnah umgesetzt werden.

11.3 Einhaltung der Anforderungen und externer Standards

198 Die EbAV haben im Rahmen ihres internen Kontrollsystems die Einhaltung der zu beachtenden Gesetze und Verordnungen, aufsichtsbehördlichen Anforderungen sowie externen Standards sicherzustellen.

199 Zu beachten im Sinne der Rn. 198 sind nur solche externen Standards, die für die EbAV von großer Bedeutung sind oder mit wesentlichen Risiken einhergehen und von national oder international anerkannten Akteuren stammen, die in dem Bereich, zu dem sie Standards aufstellen, über die notwendige hohe Fachkompetenz verfügen. Als nicht abschließende Beispiele für anerkannte Standardsetzer seien etwa das Bundesamt für Sicherheit in der Informationstechnik, das Deutsche Institut für Normung oder die Internationale Organisation für Normung genannt. Auf welche externen Standards diese Kriterien zutreffen, ist, auch unter Anwendung des Proportionalitätsprinzips, unternehmensindividuell festzulegen. Die identifizierten externen Standards sind den betreffenden Mitarbeitern mitzuteilen, etwa in den schriftlichen Leitlinien.

200 Die Entscheidung, welche externen Standards zu beachten sind sowie welchen Umfang die vorzunehmenden Kontrollhandlungen haben, treffen die EbAV eigenverantwortlich. Die Entscheidungsfindung ist für Dritte, zum Beispiel die Aufsichtsbehörde, nachvollziehbar zu dokumentieren.

12 Ausgliederung

12.1 Begriff der Ausgliederung

201 Der Anwendungsbereich von § 32 VAG erfasst die Ausgliederung von Funktionen und Versorgungstätigkeiten. Die Legaldefinition in § 7 Nr. 2 VAG bezieht sich nur auf das Merkmal „Ausgliederung“ und setzt unter anderem voraus, dass der betreffende Prozess, die Dienstleistung oder die Tätigkeit ansonsten von der EbAV selbst erbracht werden würde. Diese Voraussetzung ist in der Regel erfüllt, wenn eine EbAV den betreffenden Prozess, die Dienstleistung oder die Tätigkeit aufgrund gesetzlicher Vorgaben oder als für den Geschäftsbetrieb notwendig erbringen muss. Sind die Voraussetzungen des § 7 Nr. 2 VAG erfüllt, ist kumulativ zu prüfen, ob eine Funktion oder Versorgungstätigkeit im Sinne des § 32 VAG vorliegt. Damit wird die spezifische Ausgliederungskontrolle sachgerecht begrenzt. Eine Funktion oder Versorgungstätigkeit kann auch vorliegen, wenn der entsprechende Sachverhalt auch bei anderen Unternehmen als EbAV auftritt (z. B. Vermögensanlage).

202 Zu beachten ist, dass die allgemeine Missstandsaufsicht eingreifen kann, obwohl keine Ausgliederung im Sinne des § 7 Nr. 2 VAG vorliegt. Denn die allgemeine Missstandsaufsicht umfasst alle Sachverhalte, welche die Belange der Versicherten gefährden können. Hierzu zählen auch Dienstleistungsbeziehungen, die nicht den Ausgliederungsanforderungen unterliegen. – Beispiel: Der Kantinenbetrieb durch einen externen Dienstleister unterfällt – weil die betreffende Tätigkeit ansonsten nicht unbedingt von der EbAV selbst erbracht werden würde – nicht dem Ausgliederungsbegriff und damit auch nicht der spezifischen Ausgliederungskontrolle durch die Aufsichtsbehörde. Kommt es jedoch wiederholt durch hygienische Mängel zu Ausfällen der Mitarbeiterschaft und einer Gefährdung der ordnungsgemäßen Betriebsabläufe, so kann darin ein Missstand liegen, der die Aufsichtsbehörde zum Einschreiten berechtigt.

203 Kriterien für die Abgrenzung von Ausgliederungen und sonstigen Dienstleistungsbeziehungen sind neben dem Inhalt der betroffenen Tätigkeit vor allem ihr Umfang und ihre Dauer sowie die Häufigkeit der Inanspruchnahme des Dienstleisters. Die Begriffe lassen sich nicht generell quantifizieren, sondern stehen in Abhängigkeit dazu, wie substanziell die jeweilige Tätigkeit für die konkrete EbAV ist.

204 Je substanzieller oder häufiger eine in Anspruch genommene Dienstleistung durch einen Dritten ist, desto wahrscheinlicher ist das Vorliegen einer Ausgliederung. Die Schwellen für die Annahme einer Dauerhaftigkeit oder Häufigkeit sind umso niedriger anzusetzen, je substanzieller der betroffene Bereich für die EbAV ist. Wird der Dienstleister bloß fallweise operativ oder konsultativ herangezogen, liegt in der Regel keine Ausgliederung vor. Eine wiederkehrende Betrauung desselben Dienstleisters oder eine häufige Inanspruchnahme desselben Dienstleisters mit artgleicher Tätigkeit bei Bestehen eines Rahmenvertrages mit diesem können hingegen Indizien für eine Ausgliederung sein. Umgekehrt sind, wenn auch selten, Sachverhaltskonstellationen denkbar, in denen versorgungstypische Aktivitäten ausgelagert werden und auch die Kriterien der Dauer bzw. Häufigkeit der Inanspruchnahme eines Dienstleisters erfüllt sind, der ausgegliederte Bereich jedoch von ganz untergeordneter Bedeutung für die EbAV ist. Solche Umstände können die Einschätzung rechtfertigen, dass keine Ausgliederung vorliegt.

205 Die für eine Ausgliederung erforderliche Vereinbarung zwischen einer ausgliedernden EbAV und einem Dienstleister ist zum Zweck der Qualifikation als Ausgliederungsvereinbarung nicht an einen bestimmten Vertragstypus oder eine bestimmte Vertragsbezeichnung gebunden. Die EbAV hat die Ausgliederungsvereinbarung in geeigneten Zeitabständen zu überprüfen, um das Entstehen von Interessenkonflikten mit dem Dienstleister zu verhindern sowie die Kontinuität der ausgelagerten Tätigkeiten als auch die Ordnungsgemäßheit der Leistungserbringung gegenüber den Versorgungsberechtigten sicherzustellen.

12.2 Form und Inhalt der Ausgliederungsvereinbarung

206 Die Ausgliederungsvereinbarung bedarf der Schriftform (§ 234e Abs. 2 VAG).

207 Die Ausgliederungsvereinbarung hat Regelungen zumindest zu den folgenden Punkten zu enthalten:

• eine klare Bestimmung der ausgelagerten Funktion oder Tätigkeit,
• die Festlegung der genauen Anforderungen an die Erbringung der ausgelagerten Funktion oder Tätigkeit,
• die Bestimmung der jeweiligen Rechte und Pflichten der EbAV und des Dienstleisters,
• die Verpflichtung des Dienstleisters, Interessenkonflikte zu identifizieren, zu überwachen, zu steuern und offenzulegen,
• die Verpflichtung des Dienstleisters, vertrauliche Informationen zu schützen sowie im Falle eines Datenschutzverstoßes die EbAV hierüber zu informieren,
• das Recht der EbAV, den Dienstleister zu überwachen und auf die vertraglichen Leistungen bezogene Weisungen zur Zielerreichung zu erteilen,
• die Verpflichtung des Dienstleisters, mit der Aufsichtsbehörde zusammenzuarbeiten,
• die Verpflichtung des Dienstleisters, der EbAV sowie deren Abschlussprüfer und der Aufsichtsbehörde den Zugang zu Informationen über die ausgelagerten Funktionen oder Tätigkeiten zu gewähren sowie vor Ort Prüfungen zu ermöglichen,
• die Verpflichtung des Dienstleisters, jede wesentliche Entwicklung, die Einfluss auf die Fähigkeit des Dienstleisters haben könnte, die ausgelagerte Funktion oder Tätigkeit ordnungsgemäß wahrzunehmen, unverzüglich nach Kenntnis durch den Dienstleister offenzulegen,
• das Recht der EbAV, eine unbefristet abgeschlossene Ausgliederungsvereinbarung durch ordentliche Kündigung beenden zu können, ohne dass dies zulasten der Kontinuität und Qualität der Dienstleistungen für die Versorgungsanwärter und –empfänger geht,
• das Recht der EbAV, die Ausgliederungsvereinbarung durch außerordentliche Kündigung beenden zu können, falls dies von der Aufsichtsbehörde aus zwingenden Gründen verlangt wird,
• das Recht der EbAV, die ausgelagerte Funktion oder Tätigkeit, wenn nötig, durch ordentliche oder außerordentliche Kündigung auf einen anderen Dienstleister zu übertragen oder wieder in die EbAV einzugliedern.
• eine klare Bestimmung darüber, ob und unter welchen Bedingungen dem Dienstleister eine Sub-Delegation erlaubt ist. Die Vereinbarung sollte – so sie eine Sub-Delegation gestattet – festhalten, dass der Dienstleister durch die Sub-Delegation in keiner Weise von seinen Pflichten und Zuständigkeiten befreit wird.

12.3 Zulässiger Umfang

208 Bei jeder EbAV ist unter Beachtung der Maßgaben dieses Unterabschnitts eine Ausgliederung sämtlicher Schlüsselfunktionen und selbst definierten Schlüsselaufgaben möglich.

209 Im Falle von Ausgliederungen einschließlich konzern-/gruppeninterner Ausgliederungen sowie Sub-Delegationen bleibt die Letztverantwortung der gesamten Geschäftsleitung immer bestehen. Originäre Leitungsaufgaben einschließlich der Verantwortung für die Einrichtung und die Weiterentwicklung des Risikomanagementsystems und des internen Kontrollsystems können nicht ausgegliedert werden. Dienstleister können in diesen Bereichen nur unterstützend und beratend eingebunden werden. Die Ausgliederung bestimmter Teilbereiche des Risikomanagementsystems oder des internen Kontrollsystems ist nur unter sorgfältiger Risikoabwägung möglich. Dies gilt auch im Rahmen von gruppeninternen Ausgliederungen bei Bestehen eines Beherrschungsvertrages.

210 Auch im Falle einer Ausgliederung ist eine angemessene Trennung der Zuständigkeiten zu wahren (§ 23 Abs. 1 Satz 3 VAG); auf Seiten des Dienstleisters ebenso wie auf Seiten der EbAV in Bezug auf die organisatorische Ansiedelung des Ausgliederungsbeauftragten.

211 Befindet sich der Dienstleister außerhalb des Europäischen Wirtschaftsraums, ist durch die EbAV vor allem auf den Kontrollrahmen ein besonderes Augenmerk zu legen. Die EbAV muss auch diesen Dienstleister effektiv kontrollieren können, um bei einem Verstoß gegen die Bestimmungen der Ausgliederungsvereinbarung durch diesen gegebenenfalls frühzeitig reagieren zu können. Die EbAV achtet darauf, dass die lokale Aufsichtsbehörde des Dienstleisters oder die nationalen Regelungen insbesondere den Zugang zu Informationen über die ausgegliederten Funktionen und Versorgungstätigkeiten und zu den Geschäftsräumen des Dienstleisters nicht beschränken. Bei Ausgliederungen außerhalb des Europäischen Wirtschaftsraums hat die EbAV auch auf Unterschiede in den nationalen Datenschutzbestimmungen zu achten. Die Ausgliederungsvereinbarung sollte die Verpflichtung des Dienstleisters zum Schutz vertraulicher Informationen und personenbezogener Daten enthalten.

12.4 Risikoanalyse im Kontext von Ausgliederungen

212 Die mit einer Ausgliederung verbundenen Risiken sind sowohl im Vorfeld der Ausgliederung als auch im Anschluss daran zu identifizieren, zu bewerten und angemessen zu überwachen, zu steuern und zu berichten.

213 Die EbAV muss zunächst eigenverantwortlich feststellen, ob die Herausgabe einer Aktivität von der Definition der Ausgliederung erfasst ist. Die weitere Bewertung, ob es sich um eine wichtige Funktion oder Versorgungstätigkeit handelt, die ausgegliedert werden soll, ist ebenfalls ein Teilbereich der Risikoanalyse, die vor jeder Ausgliederung erfolgen muss.

214 Bei der Grundentscheidung für oder gegen Ausgliederung müssen neben strategischen Motiven, ökonomischen und operativen Argumenten sowie quantitativen und qualitativen Aspekten auch Risikogesichtspunkte eine angemessene Rolle spielen. Einschlägige Risikokategorien sind regelmäßig das strategische, das operationelle und das Reputationsrisiko. Bei der Inanspruchnahme eines Mehrmandantendienstleisters ist zudem besonderes Augenmerk auf Konzentrationsrisiken zu legen.

215 Bei wesentlichen Änderungen des Risikoprofils in Bezug auf Ausgliederungssachverhalte muss erneut eine Risikoanalyse erfolgen und über die Fortführung oder Beendigung der Ausgliederung entschieden werden.

216 Die maßgeblichen Organisationseinheiten müssen bei der Erstellung der Risikoanalyse einbezogen werden. Wie intensiv die Risikoanalyse und die Einbeziehung der maßgeblichen Organisationseinheiten zu erfolgen hat, ist unter Proportionalitätsaspekten zu entscheiden. Die Ergebnisse der Risikoanalyse sind zu dokumentieren.

12.5 Überprüfungsprozess für Auswahl adäquater Dienstleister

217 Vor der Entscheidung über eine Ausgliederung hat die EbAV einen geeigneten Dienstleister auszuwählen (§ 234e Abs. 1 VAG). Die objektiven Auswahlkriterien für den Überprüfungsprozess hat die EbAV in der schriftlichen Leitlinie für die Ausgliederung festzulegen. Folgende Aspekte des Überprüfungsprozesses sind in der Leitlinie mindestens abzudecken:

• die finanzielle Leistungsfähigkeit des Dienstleisters,
• die technische Fähigkeit des Dienstleisters,
• die Kapazität des Dienstleisters, die Ausgliederungsleistungen erbringen zu können,
• das Risikomanagement und das interne Kontrollsystem des Dienstleisters und
• etwaige Interessenkonflikte.

218 Das Ergebnis des Überprüfungsprozesses und die hieraus gezogenen Schlussfolgerungen hat die EbAV zu dokumentieren und – wann immer die EbAV hierfür einen Bedarf sieht – zu überprüfen.

219 Die EbAV bestimmt darüber hinaus in den schriftlichen Leitlinien eigenständig, ob weitere Aspekte im Rahmen des Überprüfungsprozesses zu berücksichtigen sind. Diese Aspekte sind bei Änderungen der unternehmensinternen oder externen Umstände anzupassen.

12.6 Ausgliederung wichtiger Funktionen und Tätigkeiten

220 Unter den Funktionen und Versorgungstätigkeiten sind wichtige und sonstige Aktivitäten zu unterscheiden.

221 Im Fall von Teilausgliederungen wichtiger Funktionen oder Versorgungstätigkeiten ist entscheidend, ob der für die Ausgliederung vorgesehene Teilbereich auch für sich gesehen wichtig ist. Die gesamte Geschäftsleitung muss alle Ausgliederungen wichtiger Funktionen oder Versorgungstätigkeiten vorab genehmigen. Die Sub-Delegation einer wichtigen Funktion oder Versorgungstätigkeit muss zumindest vom zuständigen Geschäftsleiter vorab genehmigt werden.

222 Schlüsselfunktionen und selbst definierte Schlüsselaufgaben gelten immer als wichtig.

223 Darüber hinaus sind in der Regel folgende Bereiche wichtige Funktionen oder Versorgungstätigkeiten:

• Vertrieb,
• Bestandsverwaltung,
• Leistungsbearbeitung,
• Berechnung der technischen Rückstellungen,
• Rechnungswesen,
• Vermögensanlage und –verwaltung,
• elektronische Datenverarbeitung im Hinblick auf ihrerseits wichtige Funktionen oder Versorgungstätigkeiten.

224 Auch in den Bereichen von Rn. 222 und der Rn. 223 gilt im Fall von Teilausgliederungen das in Rn. 221 Gesagte.

225 Im Übrigen müssen die EbAV eigenverantwortlich feststellen, ob die jeweilige Funktion oder Versorgungstätigkeit wichtig ist und dies im Rahmen der Risikoanalyse (siehe Abschnitt 12.4) dokumentieren. Ob eine Funktion oder Versorgungstätigkeit wichtig ist, kann nur einzelfallbezogen bewertet werden.

226 Die Bewertung, ob eine Funktion oder Versorgungstätigkeit wichtig oder nicht wichtig ist, muss wiederholt und gegebenenfalls geändert werden, wenn sich die zugrunde liegenden Umstände wesentlich geändert haben.

227 Die Kriterien und der Prozess für die Einordnung einer Funktion oder Versorgungstätigkeit als wichtig sind in der schriftlichen Leitlinie für die Ausgliederung festzulegen und ihrerseits sich ändernden Umständen anzupassen.

228 Für die Absicht, Funktionen oder sonstige Versorgungstätigkeiten auszugliedern, gilt gemäß § 234e Abs. 3 VAG i.V.m. § 47 Nr. 8 VAG eine unverzügliche Anzeigepflicht unter Vorlage des Vertragsentwurfs. Gleichermaßen sind nach Vertragsschluss eingetretene wesentliche Umstände in Bezug auf sonstige ausgegliederte Versorgungstätigkeiten gemäß § 234e Abs. 3 VAG i.V.m. § 47 Nr. 9 VAG anzeigepflichtig. Die Erstreckung der Anzeigepflichten nicht nur auf die Ausgliederung wichtiger Funktionen und Versorgungstätigkeiten, sondern auch auf sonstige Versorgungstätigkeiten ergibt sich somit unmittelbar aus dem Gesetz. Nur eine ausreichend konkretisierte Absicht, Funktionen oder sonstige Tätigkeiten auszugliedern, ist anzeigepflichtig. Die Anzeige sowie alle beizufügenden Unterlagen sind in der Regel in deutscher Sprache einzureichen. Sie können nach Rücksprache mit der Aufsichtsbehörde auch in englischer Sprache vorgelegt werden. Falls erforderlich, kann die Aufsichtsbehörde auch zu einem späteren Zeitpunkt von der EbAV eine autorisierte Übersetzung anfordern.

229 Mit der Anzeige ist der Vertragsentwurf vorzulegen.

230 In der Anzeige sind anzugeben:

• der Name des Dienstleisters,
• die Anschrift des Dienstleisters,
• eine Beschreibung des Umfangs der Ausgliederung,
• die Gründe für die Ausgliederung,
• im Falle der Ausgliederung einer Schlüsselaufgabe, insbesondere einer der drei gesetzlich vorgeschriebenen Schlüsselfunktionen, der Name der hierfür zuständigen Person beim Dienstleister,
• Zeitpunkt des Beginns und der Beendigung des Ausgliederungsvertrages,
• Ort, an dem die ausgelagerte Tätigkeit ausgeübt wird, sei es im Heimatland oder außerhalb davon,
• eventuelle Sub-Delegationen.

231 Im Falle der Ausgliederung einer Schlüsselaufgabe sind bei der Anzeige keine Unterlagen, wie zum Beispiel Lebenslauf oder Führungszeugnis, in Bezug auf die zuständige Person beim Dienstleister einzureichen.

12.7 Ausgliederungsbeauftragter

232 Ein Ausgliederungsbeauftragter überwacht und beurteilt unbeschadet der Letztverantwortung der gesamten Geschäftsleitung, ob die ausgegliederten Aufgaben ordnungsgemäß ausgeführt werden. Der Ausgliederungsbeauftragte ist verantwortliche Person im Sinne des § 47 Nr. 1 VAG (siehe das Merkblatt zur fachlichen Eignung und Zuverlässigkeit von Personen, die für Schlüsselfunktionen verantwortlich oder für Schlüsselfunktionen tätig sind, gemäß VAG).

233 Der Ausgliederungsbeauftragte beurteilt und hinterfragt die Leistung des Dienstleisters unabhängig und objektiv. Im Fall der Ausgliederung einer Schlüsselfunktion erfolgt die Berichterstattung (siehe Abschnitt 9.1.2) gegenüber der gesamten Geschäftsleitung der ausgliedernden EbAV wie folgt: Der Dienstleister übermittelt die Berichte an den Ausgliederungsbeauftragten, der sie in Ausübung seiner überwachenden und beurteilenden Funktion ergänzen bzw. kommentieren kann und dann an die gesamte Geschäftsleitung weiterleitet. Einem direkten Kontakt zwischen dem Dienstleister und der Geschäftsleitung der ausgliedernden EbAV, beispielsweise zur Erörterung bestimmter Themen, steht diese Berichterstattung nicht entgegen. Allerdings ist eine den Ausgliederungsbeauftragten ausschließende Übermittlung der schriftlichen Berichte vom Dienstleister an die Geschäftsleitung unzulässig.

234 Die Geschäftsleitung muss den Ausgliederungsbeauftragten eigeninitiativ, angemessen und zeitnah über alle Tatsachen informieren, die für die Aufgabenwahrnehmung des Ausgliederungsbeauftragten erforderlich sein können.

235 Für die Ausgliederung von Schlüsselfunktionen und selbst definierten Schlüsselaufgaben muss es stets einen Ausgliederungsbeauftragten geben. Werden sonstige wichtige Funktionen oder Versorgungstätigkeiten ausgegliedert (siehe unter Rn. 223), ist von der ausgliedernden EbAV zu prüfen, ob es angesichts der Letztverantwortung der gesamten Geschäftsleitung für die ausgegliederte Funktion oder Versorgungstätigkeit angemessen ist, auch in diesen Fällen einen Ausgliederungsbeauftragten einzusetzen.

236 Es kann ausnahmsweise zulässig sein, die Aufgabe als Ausgliederungsbeauftragter auf eine Person zu übertragen, die nicht bei der ausgliedernden EbAV tätig ist, sondern beim Dienstleister oder bei einem anderen Unternehmen, wenn diese Person in Bezug auf ihre Aufgabe als Ausgliederungsbeauftragter allein den Weisungen der Geschäftsleitung der ausgliedernden EbAV unterliegt und bei dem Dienstleister oder dem anderen Unternehmen unterhalb der Geschäftsleitung tätig ist. Außerdem müssen gegebenenfalls Maßnahmen zur Vermeidung von Interessenkonflikten ergriffen werden. Eine Personenidentität zwischen dem Ausgliederungsbeauftragten und der zuständigen Person beim Dienstleister im Sinne der Rn. 230 ist in jedem Fall unzulässig. - Beispiel: Ist bei einem als Dienstleister tätigen Gruppenunternehmen zugleich ein zentralisiertes Ausgliederungsmanagement eingerichtet, das die Ausgliederungen überwacht und beurteilt (Ausgliederungscontrolling), kann der Ausgliederungsbeauftragte im Einzelfall bei dem Unternehmen tätig sein, auf das ausgegliedert wurde. Hierdurch wird es den Unternehmen ermöglicht, den Ausgliederungsbeauftragten bei gruppeninternen Ausgliederungen zentral beim Dienstleister bzw. beim zentralisierten Ausgliederungscontrolling zu verankern. Die übrigen Anforderungen dieser Rn. und die Anforderungen der Rn. 239 bleiben unberührt.

237 Die BaFin hält es für vertretbar, dass ein Geschäftsleiter der ausgliedernden EbAV zugleich als Ausgliederungsbeauftragter für eine Schlüsselfunktion oder selbst definierte Schlüsselaufgabe fungiert, ohne dass diese Gestaltung durch Proportionalitätserwägungen gerechtfertigt sein müsste. Jedoch ist § 23 Abs. 1 Satz 3 VAG anwendbar, so dass eine dem Profil der EbAV angemessene Trennung der Zuständigkeiten bestehen muss, auch im Verhältnis der Aufgaben als Ausgliederungsbeauftragter und als Geschäftsleiter. Außerdem ist § 234b Abs. 1 VAG anwendbar, so dass die EbAV gewährleisten müssen, dass die Zuweisung der weiteren Aufgabe als Ausgliederungsbeauftragter den betreffenden Geschäftsleiter nicht daran hindert oder zu hindern droht, alle seine Aufgaben – gegebenenfalls auch bei anderen Unternehmen – effektiv, objektiv, sachgemäß und unabhängig auszuüben. Dies setzt unter anderem ausreichende zeitliche Kapazitäten voraus. Insoweit ist auch zu beachten, dass die dem Ausgliederungsbeauftragten obliegende Überwachungsintensität deutlich über die der Geschäftsleitung obliegenden Überwachungsintensität hinausgeht. Im Übrigen wird auf das Merkblatt zur fachlichen Eignung und Zuverlässigkeit von Personen, die für Schlüsselfunktionen verantwortlich oder für Schlüsselfunktionen tätig sind, gemäß VAG verwiesen.

238 Dass ein Geschäftsleiter der ausgliedernden EbAV zugleich als Ausgliederungsbeauftragter fungiert, kommt auch in Betracht, wenn er zusätzlich für das Gruppenunternehmen tätig ist, auf das die Schlüsselfunktion oder selbst definierte Schlüsselaufgabe ausgegliedert wurde (diese Fallgruppe ist von der in Rn. 236 behandelten zu unterscheiden). Jedoch müssen gegebenenfalls Maßnahmen zur Vermeidung entsprechender Interessenkonflikte ergriffen werden. Eine Personenidentität zwischen dem Ausgliederungsbeauftragten und der zuständigen Person bei dem Dienstleister im Sinne der Rn. 230 ist in jedem Fall unzulässig.

239 Ob eine Person, sei sie Geschäftsleiter oder unterhalb der Geschäftsleitung tätig, gleichzeitig Ausgliederungsbeauftragter für mehrere Schlüsselfunktionen oder selbst definierte Schlüsselaufgaben sein kann, hängt von den Umständen des Einzelfalles ab. Je mehr Schlüsselfunktionen/-aufgaben betroffen sind, desto genauer muss die EbAV darlegen, dass die gewählte Gestaltung sachgerecht ist. Eine weitere Grenze für die Zuweisung mehrerer Aufgaben an dieselbe Person ergibt sich aus § 234b Abs. 1 VAG (siehe Rn. 237).

240 Die vorgenannten Voraussetzungen gelten auch für den Ausgliederungsbeauftragten für die Funktion der internen Revision. Denn der Ausgliederungsbeauftragte nimmt die Funktion der internen Revision nicht selbst wahr, sondern ist überwachend und beurteilend tätig. Während somit die für die interne Revisionsfunktion intern verantwortliche Person gemäß § 234b Abs. 2 VAG keine andere Schlüsselfunktion innerhalb der EbAV ausüben darf, kann der Ausgliederungsbeauftragte für die Funktion der internen Revision gleichzeitig auch Ausgliederungsbeauftragter für eine andere ausgegliederte Schlüsselfunktion sein (siehe Rn. 133).

241 Die Vorgaben zum Ausgliederungsbeauftragten gelten auch bei der Ausgliederung auf ein Trägerunternehmen, das insoweit als externer Dienstleister in Erscheinung tritt. Bei der Ausgliederung von Schlüsselfunktionen und selbst definierten Schlüsselaufgaben auf ein Trägerunternehmen ist daher ein Ausgliederungsbeauftragter zu bestellen und der Aufsicht anzuzeigen. Eine Person, sei sie Geschäftsleiter oder unterhalb der Geschäftsleitung tätig, kann im Einzelfall gleichzeitig Ausgliederungsbeauftragter für mehrere auf das Trägerunternehmen ausgegliederte Schlüsselfunktionen bzw. selbst definierte Schlüsselaufgaben sein. Hat eine mitarbeiterlose EbAV sämtliche Schlüsselfunktionen auf das Trägerunternehmen ausgegliedert, können der oder die Geschäftsleiter der EbAV gleichzeitig die Funktion des Ausgliederungsbeauftragten für die ausgegliederten Aktivitäten wahrnehmen, ohne dass dies durch Proportionalitätserwägungen gerechtfertigt sein muss. Einzelnen Geschäftsleitern können einzelne oder mehrere Posten zugewiesen werden. Die Aufteilung eines einzelnen Postens auf mehrere Geschäftsleiter wie auch die Wahrnehmung aller Posten durch die gesamte Geschäftsleitung ist jedoch nicht zulässig. Handelt es sich bei dem Trägerunternehmen, auf das ausgegliedert wurde, um ein gruppenzugehöriges Versicherungsunternehmen, das der Gruppenaufsicht unterliegt, sind die Rn. 236 sowie der Abschnitt 12.8 zu beachten.

12.8 Konzern-/Gruppeninterne Ausgliederung innerhalb von Versicherungsgruppen

242 Die nachfolgenden Ausführungen betreffen gruppeninterne Ausgliederungen der EbAV als gruppenzugehöriges Unternehmen einer Versicherungsgruppe, für die nach den in § 279 Abs. 2 VAG genannten Kriterien die BaFin die für die Gruppenaufsicht zuständige Behörde ist. Für gruppeninterne Ausgliederungen der EbAV als Teil einer Gruppe, die keine Versicherungsgruppe darstellt, sind die für die Ausgliederungen auf einen externen Dienstleister nach diesem Rundschreiben zu beachtenden Anforderungen zu erfüllen.

243 Die Vorgaben zur Ausgliederung gelten auch bei gruppeninternen Ausgliederungen. Die nachfolgenden Anforderungen an gruppeninterne Ausgliederungen gelten für konzerninterne Ausgliederungen entsprechend.

244 Gruppeninterne Ausgliederungen dürfen nicht generell mit weniger Sorgfalt und einer weniger intensiven Überwachung einhergehen. Auch kommt nicht in Betracht, gruppeninterne Ausgliederungen ohne weiteres als nicht wichtig einzustufen.

245 Dennoch kann eine gruppeninterne Ausgliederung Erleichterungen rechtfertigen, deren Ausprägungen sich im jeweiligen Einzelfall ergeben. Nachstehend werden Beispiele genannt:

246 Die schriftliche Vereinbarung, in der die Rechte und Pflichten beider Parteien in Bezug auf die Ausgliederung zu regeln sind, kann etwa in der Form eines schriftlichen Service Level Agreements abgefasst werden, wenn seine Inhalte – anders als üblicherweise vor Vertragsabschluss mit einem externen Dienstleister – kein Gegenstand förmlicher Vertragsverhandlungen waren.

247 Die Überprüfung eines gruppeninternen Dienstleisters vor der Ausgliederung kann unter Umständen weniger detailliert erfolgen, als dies bei einem gruppenexternen Dienstleister angezeigt ist. Das Bestehen von Interessenkonflikten ist jedoch immer zu prüfen.

248 Die EbAV muss einen schematischen Rückgriff auf einen gruppeninternen Dienstleister vermeiden. Denn auch bei einem gruppeninternen Dienstleister besteht die Gefahr, dass dieser seine Dienstleistungen hoch standardisiert erbringt, ohne die Besonderheiten des einzelnen Unternehmens angemessen zu berücksichtigen.

249 Werden Funktionen oder Versorgungstätigkeiten gruppenintern ausgegliedert, so ist genau zu dokumentieren, welche rechtliche Einheit auf welchen Dienstleister welche Funktion oder Versorgungstätigkeit ausgegliedert hat.

12.9 Vermeidung von Interessenkonflikten bei Ausgliederung von Schlüsselfunktionen auf Trägerunternehmen

250 Die Vorgaben zur Ausgliederung gelten auch bei Ausgliederungen auf Trägerunternehmen. Zur Vermeidung von Interessenkonflikten darf der Ausgliederungsbeauftragte für eine auf das Trägerunternehmen ausgegliederte Schlüsselfunktion nur dann eine ähnliche Aufgabe im Trägerunternehmen ausüben, wenn

• dies der Größenordnung, der Art, dem Umfang und der Komplexität der Tätigkeiten der EbAV angemessen ist und
• die EbAV gegenüber der Aufsichtsbehörde darlegt, wie sie Interessenkonflikte mit dem Trägerunternehmen verhindert oder mit ihnen verfährt.

251 Trägerunternehmen, auf die Schlüsselfunktionen ausgegliedert werden, können sowohl Nichtversicherungsunternehmen als auch Versicherungsunternehmen sein. Interessenkonflikte entstehen, wenn der Ausgliederungsbeauftragte der EbAV zugleich im Trägerunternehmen für die ordnungsgemäße Durchführung der ausgegliederten Schlüsselfunktion zuständig ist.

252 Ob der Ausgliederungsbeauftragte für die Schlüsselfunktion der internen Revision ausnahmsweise gleichzeitig eine ähnliche Aufgabe im Trägerunternehmen ausüben kann, hängt von den Umständen des Einzelfalles ab. Die gewählte Gestaltung muss dem Profil der EbAV angemessen sein. Ein bloßer Hinweis, dass keine Interessenkonflikte vorliegen, reicht nicht aus. Vielmehr hat die EbAV in ihrer Stellungnahme nach § 234b Abs. 3 Satz 2 VAG qualifiziert darzulegen, durch welche vorab festzulegenden konkreten Maßnahmen sie das Entstehen von Interessenkonflikten von Anfang an vermeidet.

253 Im Folgenden wird in nicht abschließender Weise beispielhaft aufgezeigt, durch welche Maßnahmen im Falle der Personenidentität zwischen dem Ausgliederungsbeauftragten der EbAV und der beim Trägerunternehmen zuständigen Person für die ordnungsgemäße Durchführung der ausgegliederten Schlüsselfunktion Interessenkonflikten gemäß § 234b Abs. 3 VAG vorgebeugt bzw. mit diesen umgegangen werden kann:

• Das Trägerunternehmen verpflichtet sich in der schriftlichen Ausgliederungsvereinbarung, den im Trägerunternehmen zuständigen Personen für eine (Schlüssel-)Funktion keine Vorgaben hinsichtlich ihrer Tätigkeit als Ausgliederungsbeauftragter bei der EbAV zu machen. Das Trägerunternehmen verzichtet insoweit auf ein sonst für eigene Angestellte bestehendes Weisungsrecht.
• Das Trägerunternehmen verpflichtet sich in der schriftlichen Ausgliederungsvereinbarung, die Erbringung seiner Dienstleistung in regelmäßigen Abständen – z.B. jährlich – durch eine externe Stelle – etwa durch einen Wirtschaftsprüfer – überprüfen zu lassen, um eine unabhängige Kontrolle der ordnungsgemäßen Durchführung auch im Falle der Personenidentität zu gewährleisten. Die schriftliche Ausgliederungsvereinbarung enthält die Verpflichtung des Trägerunternehmens, den Bericht der externen Stelle über das Prüfergebnis unmittelbar und unaufgefordert der gesamten Geschäftsleitung der EbAV zuzuleiten.
• Das Trägerunternehmen verpflichtet sich in der schriftlichen Ausgliederungsvereinbarung, der bei ihm angestellten Person, die für die ordnungsgemäße Durchführung der jeweils ausgegliederten Schlüsselfunktion zuständig ist, weder arbeitsrechtliche noch sonstige nachteilige Sanktionen anzudrohen oder ihr gegenüber zu ergreifen, wenn sie in ihrer weiteren Eigenschaft als Ausgliederungsbeauftragter der EbAV etwaige Mängel aus der nicht ordnungsgemäßen Durchführung der ausgegliederten Schlüsselfunktion durch das Trägerunternehmen der Geschäftsleitung der EbAV meldet.
• Die EbAV führt das Vier-Augen-Prinzip auf der Ebene des Ausgliederungsbeauftragten ein. Ein weiterer nicht den Weisungen des Ausgliederungsbeauftragten unterworfener Mitarbeiter der EbAV überprüft und bewertet in unabhängiger Weise die ordnungsgemäße Durchführung der ausgegliederten Schlüsselfunktion durch das Trägerunternehmen. Weicht er in seiner Beurteilung von der des Ausgliederungsbeauftragen ab, informiert der Mitarbeiter die Geschäftsleitung hierüber.

12.10 Ausgliederung auf Versicherungsvermittler

254 Obwohl üblicherweise auf Dauer angelegt, unterfallen die typischen Vermittlungssachverhalte (ohne Abschluss- oder Leistungsregulierungsvollmacht) nicht den Ausgliederungsanforderungen.

255 Die Übertragung des Abschlusses von Versorgungsgeschäften oder der Versorgungsfallregulierung auf Versicherungsvermittler stellen immer eine Ausgliederung wichtiger Funktionen oder Versorgungstätigkeiten dar. Die EbAV hat insoweit keine Einschätzungsfreiheit. Zu beachten ist, dass nach der Maßgabe der Rechtsprechung des BGH (Urteil vom 14.01.2016, I ZR 107/14) eine Leistungsregulierung durch Versicherungsmakler unzulässig ist.

256 Im Falle von Teilausgliederungen gilt hinsichtlich der Frage, ob es sich um eine wichtige Ausgliederung handelt, das unter 12.6 Gesagte. Erteilt eine EbAV einer Vielzahl von Versicherungsvermittlern Abschluss- oder Leistungsregulierungsvollmachten, so kommt es auf die Gesamtbetrachtung an.

12.11 Ausgliederungsleitlinien

257 Für den gesamten Bereich der Ausgliederung sind schriftliche Leitlinien zu erstellen. Diese haben die Auswirkungen von Ausgliederungen auf den Geschäftsbetrieb zu berücksichtigen und die bei Ausgliederungen unternehmensindividuell anzuwendenden Verfahrens- und Qualitätsstandards sowie die zu implementierenden Berichts- und Überwachungspflichten vom Beginn bis zum Ende der Ausgliederung festzulegen.

258 Die schriftlichen Leitlinien müssen konsistent in Bezug auf die Geschäftsstrategie der EbAV sein.

259 Die schriftlichen Leitlinien haben einen Überprüfungsprozess für den in Betracht gezogenen Dienstleister zu enthalten (siehe Abschnitt 12.5).

260 Die Ausgliederungsleitlinien müssen darlegen, wie die Kontinuität und die ungeminderte Qualität der ausgegliederten Funktionen und Versorgungstätigkeiten auch im Fall der Beendigung der Vertragsbeziehung zu dem Dienstleister sichergestellt werden.

261 In die schriftlichen Leitlinien ist die Verpflichtung aufzunehmen, für ausgegliederte wichtige Funktionen und Versorgungstätigkeiten Notfallpläne zu entwickeln, die sich mit bei dem Dienstleister auftretenden Störungen befassen. Zudem haben die Leitlinien den Prozess und die Verantwortlichkeiten zur Aufstellung dieser Notfallpläne zu beschreiben. Die Notfallpläne haben insbesondere zu berücksichtigen, wie die ausgegliederten wichtigen Funktionen und Versorgungstätigkeiten notfalls auf einen anderen Dienstleister übertragen oder in den Geschäftsbetrieb der EbAV wieder eingegliedert werden können.

262 Im Übrigen gelten für die schriftlichen Leitlinien zur Ausgliederung die im Abschnitt 8.4 genannten Grundsätze.

12.12 Übergangsregelung für bestehende Ausgliederungsvereinbarungen und Ausgliederungsleitlinien

263 Zum Zeitpunkt der Veröffentlichung dieses Rundschreibens bestehende Ausgliederungsvereinbarungen können fortgeführt werden, sofern sie frei von gravierenden Mängeln sind. Liegen sie in Bezug auf einzelne Anforderungen hinter dem Erwartungssoll des Rundschreibens zurück, sind sie möglichst zeitnah dem Anforderungsprofil des Rundschreibens anzugleichen, beispielsweise im Rahmen von Vertragsverlängerungen oder inhaltlichen Verhandlungen.

264 Die EbAV prüfen nach Veröffentlichung dieses Rundschreibens, ob ihre bestehenden schriftlichen Ausgliederungsleitlinien anzupassen sind (siehe Rn. 257 ff.), und nehmen die Anpassung gegebenenfalls spätestens nach Inkrafttreten des Rundschreibens (siehe Rn. 11) vor. Die aus der Anpassung gegebenenfalls resultierenden zusätzlichen Anforderungen können EbAV innerhalb eines angemessenen Zeitraums sukzessive umsetzen.

13 Notfallmanagement

265 Das Notfallmanagement erhöht die Widerstandsfähigkeit von Bereichen und Prozessen in der EbAV, um in möglichen Krisensituationen die Verfügbarkeit wesentlicher Daten und Funktionen sowie die Fortführung der Geschäftstätigkeit durch im Vorfeld definierte Verfahren zu gewährleisten.

266 Verantwortlich für das operative Notfallmanagement ist die Geschäftsleitung. Die Notfallplanung muss von der gesamten Geschäftsleitung beschlossen werden.

267 Notfallpläne sind für diejenigen Bereiche und Prozesse zu erstellen, bei denen der Eintritt einer unvorhergesehenen Störung die Fortführung der Geschäftstätigkeit gefährden kann. Die ausgegliederten Bereiche und Prozesse sind im Notfallmanagement zu berücksichtigen. Eignung und Wirksamkeit der Notfallpläne sind fortlaufend sicherzustellen. Hierzu sind den Risiken des jeweiligen Bereiches bzw. Prozesses entsprechend regelmäßig Testläufe und Übungen durchzuführen.

268 Die den Notfallplänen zugrunde liegenden Notfallszenarien haben dem individuellen Profil hinreichend Rechnung zu tragen.

269 Sowohl die Notfallplanung als auch die Bewältigung eines Notfalles müssen adäquat in die Strukturen und Prozesse der Aufbau- und Ablauforganisation eingebunden sein. Aufgaben, Verantwortlichkeiten, Informationspflichten und Eskalationsprozesse sind klar und nachvollziehbar festzulegen und zu dokumentieren.

270 Der betroffene Personenkreis muss die Notfallpläne kennen. Die Verfügbarkeit der Notfallpläne muss auch im Notfall sichergestellt sein.

Anmerkungen:

1. Soweit aus Gründen der Lesbarkeit auf natürliche Personen bezogene Bezeichnungen nur in männlicher Form angeführt sind, beziehen diese sich auf alle Geschlechter.
2. In den Rn. 211 und 255 wurden am 30.09.2021 redaktionelle Fehler beseitigt.