1. Ziel des Rundschreibens

Dieses Rundschreiben gibt Hinweise zur Auslegung der Vorschriften über die Geschäftsorganisation im Versicherungsaufsichtsgesetz (VAG) und in der Delegierten Verordnung (EU) 2015/35 (DVO). Es legt diese Vorschriften für die BaFin verbindlich aus und gewährleistet hierdurch eine konsistente Anwendung gegenüber allen Unternehmen und Gruppen. Innerhalb der geltenden regulatorischen Vorgaben sind die Unternehmen dafür verantwortlich, eine angemessene Ausgestaltung festzulegen. Dabei können sie die Anforderungen proportional und prinzipienorientiert umsetzen.

2 . Anwendungsbereich und Begriffsdefinitionen

Das Rundschreiben befasst sich mit dem Aufsichtssystem Solvabilität II. In seinen Anwendungsbereich fallen alle Erst- und Rückversicherungsunternehmen mit Sitz im Inland oder in einem Drittstaat gemäß § 1 Abs. 1 Nr. 1 i. V. m. § 7 Nr. 33 oder § 7 Nr. 34 i. V. m. Nr. 6 VAG (im Folgenden „Unternehmen“), soweit sie nicht Sterbekassen gemäß § 218 Abs. 1 VAG, Pensionskassen gemäß § 232 Abs. 1 VAG oder kleine Versicherungsunternehmen gemäß § 211 VAG sind. Nicht anwendbar ist das Rundschreiben auf Rückversicherungsunternehmen, die die in § 165 Abs. 1 VAG genannten Voraussetzungen erfüllen, sowie auf Erst- und Rückversicherungs-unternehmen, die die in § 343 VAG genannten Voraussetzungen erfüllen.

Das Rundschreiben gilt auf Gruppenebene entsprechend, sofern die Regelungen zur Gruppenaufsicht nach §§ 245 ff. i. V. m. § 275 Abs. 1 Satz 1 VAG Anwendung finden.

In den Anwendungsbereich dieses Rundschreibens fallen ebenfalls Versicherungs-Holdinggesellschaften und gemischte Finanzholding-Gesellschaften, die selbst Versicherungsgeschäft betreiben (§ 293 Abs. 1 Satz 2 VAG). Für solche Unternehmen, die selbst kein Versicherungsgeschäft betreiben, gelten – mit Ausnahme der §§ 27, 28 und 31 VAG – die Vorschriften des VAG über die Geschäftsorganisation entsprechend (§ 293 Abs. 1 Satz 1 VAG). Insoweit sind die Konkretisierungen in diesem Rundschreiben entsprechend heranzuziehen.

Im Rahmen dieses Rundschreibens wird einheitlich der Begriff Geschäftsorganisation verwendet. Der Begriff Geschäftsorganisation ist synonym zum Begriff Governance-System.

Der Begriff Geschäftsleitung bezieht sich auf den Vorstand eines Unternehmens. Soweit öffentlich-rechtliche Unternehmen oder Unternehmen in der Rechtsform der Europäischen Gesellschaft (SE) oder Versicherungs-Holdinggesellschaften und gemischte Finanzholding-Gesellschaften, die in den Anwendungsbereich dieses Rundschreibens fallen, kein Organ mit dieser Bezeichnung besitzen, tritt an die Stelle des Vorstandes das entsprechende Geschäftsführungsorgan. An die Stelle des Aufsichtsrates tritt unter derselben Voraussetzung das entsprechende Überwachungsorgan. Bei Niederlassungen von Unternehmen mit Sitz außerhalb des Europäischen Wirtschaftsraumes tritt an die Stelle des Vorstands die/der Hauptbevollmächtigte.

3. Verhältnis des Rundschreibens zu EIOPA-Leitlinien und anderen Veröffentlichungen/Inkrafttreten

Die BaFin legt ihrer Auslegung der einschlägigen Vorschriften des VAG und der DVO die EIOPA-Leitlinien zum Governance-System (EIOPA-BoS-14/253 DE) zugrunde, soweit sie nicht für einzelne Leitlinien erklärt hat, sie nicht vollständig anzuwenden.

Bezüglich der Anforderungen an die fachliche Eignung und Zuverlässigkeit von Personen, die ein Unternehmen tatsächlich leiten oder andere Schlüsselaufgaben wahrnehmen, sowie entsprechender Anzeigepflichten wird auf das Rundschreiben 9/2023 (VA) zur fachlichen Eignung und Zuverlässigkeit von Mitgliedern der Geschäftsleitung gemäß VAG, das Rundschreiben 10/2023 (VA) zur fachlichen Eignung und Zuverlässigkeit von Mitgliedern von Verwaltungs- und Aufsichtsorganen gemäß VAG und das Rundschreiben 11/2023 (VA) zur fachlichen Eignung und Zuverlässigkeit von Personen, die für Schlüsselfunktionen verantwortlich oder für Schlüsselfunktionen tätig sind, gemäß VAG verwiesen.

Spezielle Anforderungen, die die BaFin im Rahmen anderer Veröffentlichungen an die Geschäftsorganisation von Unternehmen stellt, bleiben von den Anforderungen dieses Rundschreibens unberührt. Der gegebenenfalls abweichende Anwendungsbereich einer anderen Veröffentlichung bleibt vom Anwendungsbereich dieses Rundschreibens unberührt.

Dies gilt insbesondere für die Anforderungen an die Geschäftsorganisation gemäß

• Rundschreiben 05/2025 (VA) – Grundsatz der unternehmerischen Vorsicht (Prudent Person Principle - PPP) von Versicherungsunternehmen unter Solvabilität II (PPP-Rundschreiben),
• Rundschreiben 11/2018 (VA) – Zusammenarbeit mit Versicherungsvermittlerinnen und Versicherungsvermittlern sowie zum Risikomanagement im Vertrieb,
• Rundschreiben 6/2018 – Mindestanforderungen an das Beschwerdemanagement, geändert am 23.01.2020,
• Rundschreiben 3/2016 (VA) – Treuhänder zur Überwachung des Sicherungsvermögens,
• Rundschreiben 3/2013 (VA) – Mindestanforderungen an die Beschwerdebearbeitung durch Versicherungsunternehmen,
• Auslegungsentscheidung vom 20.12.2016 – Aspekte der Vergütung (Art. 275 DVO),
• Auslegungsentscheidung vom 30.08.2016 – Betrieb des Rückversicherungsgeschäfts im Inland durch Versicherer mit Sitz in Drittstaat,
• Auslegungsentscheidungen vom 23.12.2015 – ORSA,
• Auslegungsentscheidung vom 23.10.2013, geändert am 24.04.2014 - Hinweise zur Verwendung externer Ratings und zur Durchführung eigener Kreditrisikobewertungen,
• Merkblatt zum Umgang mit Nachhaltigkeitsrisiken vom 20.12.2019, geändert am 13.01.2020,
• Aufsichtsmitteilung – Orientierungshilfe zu Auslagerungen an Cloud-Anbieter vom Februar 2024

sowie

Die Verordnung (EU) 2022/2554 über die digitale operationelle Resilienz im Finanzsektor (DORA) und die Verordnung (EU) 2024/1689 zur Festlegung harmonisierter Vorschriften für künstliche Intelligenz (KI-V) legen sektorspezifische regulatorische Anforderungen fest und schaffen einen harmonisierten Rahmen für den Umgang mit Risiken der Informations- und Kommunikationstechnologien (IKT) und Risiken aus KI. Die in diesem Rundschreiben enthaltenen Auslegungshinweise beziehen sich auf die allgemeinen Geschäftsorganisationsprozesse. Soweit es zur Erfüllung der spezifischen Anforderungen durch KI-VO und DORA auf die allgemeinen Aspekte der Geschäftsorganisation ankommt, bleiben die Auslegungshinweise aus diesem Rundschreiben maßgeblich. Der in diesem Rundschreiben enthaltene Abschnitt zu automatisierten Geschäftsabläufen verbindet insofern die allgemeinen nationalen Regelungen zur Geschäftsorganisation mit den spezifischen technischen Anforderungen aus DORA und der KI-VO.

Dieses Rundschreiben tritt am 14.10.2025 in Kraft. Zeitgleich wird das Rundschreiben 02/2017 (VA) aufgehoben.

4. Proportionalitätsprinzip

Bei der Umsetzung der Anforderungen an die Geschäftsorganisation spielt das Proportionalitätsprinzip eine erhebliche Rolle. Die Anforderungen sind auf eine Weise zu erfüllen, die der Art, dem Umfang und der Komplexität der mit der Tätigkeit des Unternehmens einhergehenden Risiken gerecht wird (§ 296 Abs. 1 VAG). Das Proportionalitätsprinzip knüpft also an das individuelle Risikoprofil des Unternehmens an. Geringe Größe kann ein Indikator für ein schwächer ausgeprägtes Risikoprofil sein – und umgekehrt. Soweit die Zahl der Beschäftigten bei der Bestimmung der Größe eine Rolle spielen kann, ist nicht auf die vorhandenen Beschäftigten abzustellen, sondern auf den tatsächlichen Beschäftigtenbedarf. Dies umfasst auch den Beschäftigtenbedarf, der im Rahmen der Ausgliederung beim Dienstleister besteht. Demnach sind auch externe Beschäftigte in die Betrachtung einzubeziehen.

Proportionalität wirkt sich darauf aus, wie Anforderungen erfüllt werden können. So kann ein schwächer ausgeprägtes Risikoprofil zu Umsetzungserleichterungen führen, während ein stärker ausgeprägtes Risikoprofil die Anforderungen an die Umsetzung wachsen lässt. Die Einschätzung, welche Gestaltung als proportional anzusehen ist, kann nur im jeweiligen Kontext beantwortet werden, und ist auch nicht statisch, sondern kann sich im Zeitablauf veränderten Umständen anpassen. Deshalb hat das Unternehmen bei veränderten Gegebenheiten zu prüfen, ob und wie die vorhandenen Strukturen und Prozesse weiter entwickelt werden können und gegebenenfalls müssen.

5. Gesamtverantwortung der Geschäftsleitung

Alle Mitglieder der Geschäftsleitung sind für eine ordnungsgemäße und wirksame Geschäftsorganisation verantwortlich. Die gesamte Geschäftsleitung ist damit auch dafür verantwortlich, dass das Unternehmen über ein angemessenes und wirksames Risikomanagement- und internes Kontrollsystem verfügt. Die Gesamtverantwortung der Geschäftsleitung besteht unabhängig davon, ob eine Ressortverteilung erfolgt. Beziehen sich Anforderungen dieses Rundschreibens ausdrücklich auf Leitungsaufgaben der gesamten Geschäftsleitung, kann diese ihre Verantwortung für diese Aufgaben nicht delegieren, auch nicht auf ein oder mehrere Mitglieder der Geschäftsleitung.

6. Wesentliche Risiken

Der Wesentlichkeitsgrundsatz besagt, dass nur wesentliche Risiken, denen das Unternehmen tatsächlich oder möglicherweise ausgesetzt ist, in die Betrachtung einzubeziehen sind. Welche Risiken als wesentlich einzustufen sind, ist innerhalb der gesetzlichen Anforderungen und der aufsichtsbehördlichen Vorgaben prinzipiell unternehmensindividuell zu bestimmen. Ausnahmsweise kann jedoch eine für alle Unternehmen geltende Festlegung sachgerechter sein als ein unternehmensindividueller Ansatz (siehe Rn. 35).

Die gesamte Geschäftsleitung bestimmt anhand geeigneter und nachvollziehbarer Kriterien dem Risikoprofil angemessene unternehmensindividuelle Wesentlichkeitsgrenzen. Die Angemessenheit der Wesentlichkeitsgrenzen ist fortlaufend sicherzustellen. Hierfür verschafft sich die gesamte Geschäftsleitung sowohl regelmäßig als auch anlassbezogen einen Überblick über alle Risiken, einschließlich der Nachhaltigkeitsrisiken, denen das Unternehmen tatsächlich oder möglicherweise ausgesetzt ist. Die Wesentlichkeitsgrenzen sowie die Kriterien zu ihrer Bestimmung sind schriftlich festzuhalten.

Alle Unternehmen haben separate Wesentlichkeitsgrenzen mindestens auf der Ebene der folgenden Risikokategorien festzulegen: versicherungstechnisches Risiko, Marktrisiko, Kreditrisiko, Liquiditätsrisiko und operationelles Risiko. Darüber hinaus können gemäß Rn. 17 weitere unternehmensindividuelle Wesentlichkeitsgrenzen festgelegt werden, unabhängig davon, ob sich die entsprechenden Risiken weiteren Risikokategorien zuordnen lassen (zum Beispiel politische, strategische oder Reputationsrisiken). Dementsprechend können im Einzelfall auch für Konzentrationsrisiken und Nachhaltigkeitsrisiken im Sinne des Art. 1 Nr. 55c DVO (siehe auch BaFin-Merkblatt zum Umgang mit Nachhaltigkeitsrisiken) separate Wesentlichkeitsgrenzen erforderlich sein.

Die Kriterien zur Bestimmung der Wesentlichkeitsgrenzen dürfen sich nicht ausschließlich an den Auswirkungen im Rahmen der Rechnungslegung oder den Auswirkungen von Rechtsverstößen orientieren.

Die Geschäftsleitung stellt sicher, dass die Wesentlichkeitsgrenzen einheitlich angewandt werden.

7 . Risikokultur

Eine im Unternehmen gelebte Risikokultur bildet die Grundlage für ein dem Risikoprofil angemessenes und wirksames Risikomanagementsystem. Sie umfasst insbesondere:

• das Herstellen eines einheitlichen Verständnisses über die eigenen Risiken, einschließlich der Nachhaltigkeitsrisiken, sowie den Umgang mit diesen, welches für alle Personen auf allen Hierarchieebenen, mindestens soweit sie Umgang mit den Risiken haben bzw. haben könnten, sicherzustellen ist und sich in einer gemeinsamen Risikosprache äußert;
• das Festlegen der Verantwortlichkeiten beim Umgang mit Risiken zumindest für die Personen, die mit dem Aufbau sowie der Identifikation, Bewertung, Überwachung und Steuerung der wesentlichen Risiken betraut sind;
• das Prüfen, ob und welche Anreizstrukturen zum Umgang mit Risiken im Unternehmen geeignet sind und eingeführt werden;
• das Fördern eines offenen Dialoges aller betroffenen Personen im Unternehmen zum Umgang mit Risiken, so dass alle Personen die für sie relevanten Informationen rechtzeitig erhalten.

Die Risikokultur muss dem Risikoprofil angemessen sein. Sie schlägt sich nieder in den Normen des Unternehmens sowie den Einstellungen und Verhaltensweisen der Beschäftigten. Sie wirkt sich auf das Risikobewusstsein, den Risikoappetit, die Risikosteuerung sowie die Risikokontrollen des Unternehmens aus und spiegelt sich in dessen Dokumentationen und schriftlichen Leitlinien wider.

Die gesamte Geschäftsleitung fördert die Risikokultur. Dabei kommt ihr eine Vorbildfunktion zu („Tone at the Top“). Sie sorgt dafür, dass die Risikokultur innerhalb des Unternehmens kommuniziert, beim Aufbau von Risiken beachtet und mit dem Risikomanagement und den internen Kontrollen verknüpft wird.

Es sind angemessene Evaluierungsprozesse vorzusehen, um Mängel der Risikokultur frühzeitig zu erkennen. Hierbei kann das Unternehmen auf Prozesse zurückgreifen, die schon aufgrund anderer Anforderungen einzurichten sind. Festgestellte Mängel sind durch geeignete Maßnahmen zu beheben.

8. Anforderungen an die Geschäftsorganisation auf Gruppenebene

Die aufsichtsrechtlichen Anforderungen an die Geschäftsorganisation für Unternehmen gelten gemäß § 275 Abs. 1 Satz 1 i. V. m. §§ 23 ff. VAG auf Gruppenebene entsprechend. Zusätzlich gibt es gruppenspezifische Anforderungen. So müssen die Risikomanagementsysteme, die internen Kontrollsysteme und das Berichtswesen aller in die Gruppenaufsicht einbezogenen Unternehmen auf Gruppenebene angemessen und wirksam gesteuert und überwacht werden.

Die gesamte Geschäftsleitung des für die Erfüllung der Anforderungen auf Gruppenebene zuständigen Unternehmens trägt die Verantwortung für die Einrichtung einer ordnungsgemäßen Geschäftsorganisation auf Gruppenebene einschließlich der Überwachung und Steuerung der in die Gruppenaufsicht einbezogenen Unternehmen der Versicherungsgruppe. Die Verantwortung für die konzernrechtliche Gesamtüberwachung und -steuerung der verbundenen Unternehmen innerhalb des Versicherungskonzerns ergibt sich aus dem allgemeinen Gesellschaftsrecht. Die versicherungsaufsichtsrechtliche und die Überwachungs- und Steuerungsverantwortung nach dem allgemeinen Gesellschaftsrecht erstreckt sich auf alle in- und ausländischen verbundenen Gesellschaften einschließlich der Nicht-Versicherungsunternehmen. So hat beispielsweise das für die Erfüllung der Anforderungen auf Gruppenebene zuständige Unternehmen im Rahmen des Gruppenrisikomanagements auch die Gruppenrisiken zu berücksichtigen, die von ausländischen und Nicht-Versicherungsunternehmen ausgehen, ohne dass diese selbst die Geschäftsorganisation eines Versicherungsunternehmens nach Solvabilität II vorhalten müssen.

Das für die Erfüllung der Anforderungen auf Gruppenebene zuständige Unternehmen etabliert ein gruppenweites internes Kontrollsystem, das einen dem Risikoprofil der Gruppe angemessenen und wirksamen Informationsfluss auf der Ebene der Versicherungsgruppe gewährleistet. Dies erfordert mindestens für alle wesentlichen Entscheidungen der Gruppe ausreichende, verlässliche und rechtzeitig verfügbare Informationen. Der Informationsfluss muss innerhalb des für die Erfüllung der Anforderungen auf Gruppenebene zuständigen Unternehmens sowie zwischen diesem und den gruppenzugehörigen Unternehmen gewährleistet sein. Die Möglichkeiten des gruppeninternen Informationsaustausches nach § 276 Abs. 1 und 2 VAG sind dabei umfassend zu nutzen.

Das für die Erfüllung der Anforderungen auf Gruppenebene zuständige Unternehmen implementiert eine angemessene ganzheitliche Risikokultur auch auf Ebene der Gruppe. (siehe Kapitel 7).

Um die Erfüllung der Anforderungen auf Gruppenebene sicherzustellen, hat das für die Erfüllung der Anforderungen auf Gruppenebene zuständige Unternehmen die vorhandenen gesellschaftsrechtlichen Einwirkungsmöglichkeiten zu nutzen. Soweit die Erfüllung der Governance-Anforderungen auf Gruppenebene in einem Spannungsfeld mit den gesellschafts- oder kapitalmarktrechtlichen Möglichkeiten steht, müssen sich das für die Erfüllung dieser Anforderungen zuständige Unternehmen und die gruppenzugehörigen Unternehmen dessen bewusst sein und angemessene Maßnahmen ergreifen, um die Erfüllung der Anforderungen sicherzustellen. Alle der Gruppenaufsicht unterworfenen Unternehmen haben bei der Erfüllung der Governance-Anforderungen auf Gruppenebene mitzuwirken (§ 246 Abs. 3 VAG).

Innerhalb der geltenden regulatorischen Vorgaben sind die Unternehmen dafür verantwortlich, die Anforderungen an die Geschäftsorganisation auf Gruppenebene angemessen umzusetzen. Das für die Erfüllung der Anforderungen auf Gruppenebene zuständige Unternehmen befördert die konsistente Umsetzung innerhalb der Gruppe, beispielsweise durch einen gemeinsamen Gruppenausschuss zur Abstimmung innerhalb der Gruppe. Falls kleinere Rechtsträger einer Gruppe bei diesen gruppeninternen Abstimmungen nicht vertreten sind, müssen sie auf anderem Wege über für sie bedeutsame Maßnahmen informiert werden und gegebenenfalls ihre Zustimmung gesondert erteilen.

9. Allgemeine Anforderungen an die Geschäftsorganisation       

9.1 Aufbau- und Ablauforganisation

9.1.1 Allgemeines

Die Unternehmen entscheiden unter Berücksichtigung ihres Risikoprofils und im Rahmen der einzuhaltenden Anforderungen, welche konkrete Organisationsstruktur für sie angemessen ist.

9.1.2 Festlegung von Aufgaben, Verantwortlichkeiten und Berichtslinien

Eine dem Risikoprofil des Unternehmens angemessene und transparente Aufbauorganisation erfordert eine klare Definition und Abgrenzung von Aufgaben und Verantwortlichkeiten. Es ist eindeutig zu regeln, wer im Unternehmen für die Aufgaben zuständig ist und für Entscheidungen verantwortlich zeichnet.

Neben den Aufgaben und Verantwortlichkeiten sind auch Vertretungsregelungen und Berichtslinien klar festzulegen. Es ist sicherzustellen, dass alle Personen im Unternehmen die sie betreffenden Informationen unverzüglich erhalten und ihre Bedeutung erkennen können und eine Wahrnehmung der jeweiligen Aufgabe bzw. Verantwortlichkeit stets gewährleistet ist.

9.1.3 Angemessene Trennung der Zuständigkeiten

Die Organisationsstruktur eines Unternehmens muss eine dem Risikoprofil angemessene Trennung der Zuständigkeiten bis auf Ebene der Geschäftsleitung vorsehen. Die Gesamtverantwortung der Geschäftsleitung gemäß Rn. 15 bleibt hiervon unberührt.

Kern des Grundsatzes der Funktionstrennung ist, dass Bereiche, die für den Aufbau von wesentlichen Risikopositionen verantwortlich sind, nicht gleichzeitig mit deren Überwachung und Kontrolle betraut sein dürfen. Ein Aufbau von wesentlichen Risikopositionen findet zumindest in den Bereichen Risikozeichnung, Kapitalanlage und Vertrieb statt. Die konkrete Umsetzung dieses Grundsatzes kann je nach Situation des Unternehmens unter Berücksichtigung des Proportionalitätsprinzips erfolgen. Eine Abweichung von diesem Grundsatz ist jedoch nur im Einzelfall möglich. Voraussetzung dafür ist, dass möglichen Interessenkonflikten durch begleitende Maßnahmen begegnet wird. Welche begleitenden Maßnahmen zu ergreifen sind, hängt von der Ausprägung des jeweiligen Interessenkonfliktes ab. Beispiel: Ausnahmsweise kann bei schwächer ausgeprägtem Risikoprofil und bei Vorliegen angemessener und wirksamer begleitender Maßnahmen ein Mitglied der Geschäftsleitung sowohl für den Vertrieb als auch – allein oder mit den anderen Mitgliedern der Geschäftsleitung zusammen – für das Risikomanagement zuständig sein. Als begleitende Maßnahmen kommen etwa das Vier-Augen-Prinzip, separate Berichtslinien oder die Einrichtung begleitender Gremien in Betracht.

Auch wenn kein Konflikt zwischen Risikoaufbau und Risikoüberwachung besteht, ist bei der gleichzeitigen Wahrnehmung mehrerer Funktionen durch eine Person der Grundsatz der Funktionstrennung zu beachten.

9.1.4 Festlegung ablauforganisatorischer Regelungen

Die Ablauforganisation hat sicherzustellen, dass mit Risiken einhergehende Prozesse und deren Schnittstellen angemessen gesteuert und überwacht werden. Dies setzt zunächst voraus, dass alle Prozesse aus Risikosicht beurteilt werden.

Der Kreis der mit Risiken einhergehenden Prozesse geht über die Bereiche, in denen wesentliche Risikopositionen aufgebaut werden (Rn. 35), hinaus. Mit Risiken einhergehende Prozesse gibt es bei allen Unternehmen in den Bereichen, in denen wesentliche Risikopositionen aufgebaut werden, also zumindest in den Bereichen Risikozeichnung, Kapitalanlage und Vertrieb (Rn. 35), sowie darüber hinaus zumindest in den Bereichen Reservierung (sowohl nach Solvabilität II als auch nach Handelsgesetzbuch – HGB), Aktiv-Passiv-Management („Asset-Liability-Management“ – ALM) und passives Rückversicherungsmanagement. Um eine angemessene Steuerung und Überwachung der identifizierten, mit Risiken einhergehenden Prozesse zu gewährleisten, sind vor allem die einzelnen Prozessschritte, einschließlich der erforderlichen Kontrollaktivitäten im Sinne des internen Kontrollsystems, und gegebenenfalls die Eskalationsschritte, die prozessspezifischen Zuständigkeiten und Verantwortlichkeiten sowie die Informationsflüsse klar festzulegen.

Im Hinblick auf die Kontrollaktivitäten ist es in der Regel nicht erforderlich, nach jedem einzelnen Prozessschritt umfangreiche Kontrollen durchzuführen. In jedem Fall sind jedoch besonders mit Risiken einhergehende Prozessschritte zu identifizieren und regelmäßig zu kontrollieren.

9.1.5 Umsetzung ablauforganisatorischer Regelungen

Für die ordnungsgemäße Erfüllung ihrer Aufgaben ist es wichtig, dass alle relevanten Beschäftigten die sie betreffenden Arbeitsabläufe kennen, das heißt, diesbezüglich informiert und inhaltlich mit diesen vertraut sind.

9.1.6 Dokumentation der Aufbau- und Ablauforganisation

Die Dokumentation der Aufbau- und Ablauforganisation ist stets auf aktuellem Stand vorzuhalten. Vorgängerversionen sind mindestens sechs Jahre aufzubewahren.

9.1.7 Spezielle Gruppenaspekte

Eine dem Risikoprofil angemessene Aufbau- und Ablauforganisation auf Gruppenebene umfasst unter anderem eine effiziente und transparente Organisationsstruktur, eine klare Zuweisung und dem Risikoprofil angemessene Trennung von Verantwortlichkeiten sowie eine Einrichtung von Kontrollen und Kommunikationswegen innerhalb der Gruppe. Das gilt insbesondere für das für die Erfüllung der Anforderungen auf Gruppenebene zuständige Unternehmen. Dieses Unternehmen hat ferner dem Risikoprofil angemessene Prozesse zur Kontrolle und Überwachung einzurichten, die sich wirksam auf verbundenen Unternehmen erstrecken. Die Verantwortung für die Durchführung der prozessintegrierten Kontrollen sowie der Kontrollen und Überwachungsaktivitäten der Schlüsselfunktionen auf Gruppenebene sind klar festzulegen. Die Zuständigkeiten und die zugehörigen Prozesse für die Bewältigung der Gruppenaufgaben müssen nachvollziehbar dokumentiert sein.

Die gesamte Geschäftsleitung des für die Erfüllung der Anforderungen an die Geschäftsorganisation auf Gruppenebene zuständigen Unternehmens muss über eine ausreichende Kenntnis der internen Organisation der Gruppe, der Geschäftsmodelle der verschiedenen Unternehmen, der Verbindungen und Beziehungen zwischen ihnen und der aus der Gruppenstruktur resultierenden Risiken verfügen.

Bei einer Änderung der Gruppenstruktur können Anpassungen der Aufbau- und Ablauforganisation sowohl auf Gruppenebene als auch auf Ebene der Einzelunternehmen erforderlich sein. So kann es beispielsweise notwendig sein, Zuständigkeiten und Berichtslinien neu festzulegen.

Die Verantwortung für Anpassungen der Aufbau- und Ablauforganisation auf Gruppenebene liegt bei der Geschäftsleitung des für die Erfüllung der Anforderungen auf Gruppenebene zuständigen Unternehmens.

Die Verantwortung für Anpassungen der Aufbau- und Ablauforganisation auf Ebene eines Einzelunternehmens liegt bei der Geschäftsleitung des betreffenden Unternehmens. Gegebenenfalls sind Vorgaben des für die Erfüllung der Anforderungen auf Gruppenebene zuständigen Unternehmens zu beachten und unternehmensindividuell umzusetzen.

9.2 Geschäftsleitung und Aufsichtsrat

Die Geschäftsorganisation umfasst Prozesse zur regelmäßigen und Ad-hoc-Übermittlung von Informationen und Berichten der Organisationseinheiten und Funktionen an die Geschäftsleitung. Auf dieser Basis sowie aufgrund entsprechender Beratung nimmt die Geschäftsleitung ihre Leitungsaufgaben wahr und trifft Entscheidungen. Ebenso wichtig wie Prozesse zur Übermittlung von Informationen und Berichten an die Geschäftsleitung sind Prozesse, die sicherstellen, dass die bearbeitenden Stellen über die getroffenen Entscheidungen so informiert werden, dass diese vollständig umgesetzt werden können.

Der Aufsichtsrat nimmt die ihm zur Erfüllung seiner Aufgaben eingeräumten Informations-, Einsichts- und Prüfungsrechte aktiv wahr und berät die Geschäftsleitung unter anderem in strategischen Fragen. § 210 VAG bleibt unberührt.

Die Verantwortung der gesamten Geschäftsleitung entbindet den Aufsichtsrat nicht von der Pflicht zu überwachen, ob die gesamte Geschäftsleitung eine ordnungsgemäße und wirksame Geschäftsorganisation mit Blick auf das interne Kontrollsystem, das Risikomanagementsystem und die interne Revision eingerichtet hat.

9.2.1 Gruppenebene

Die Geschäftsleitung des für die Erfüllung der Anforderungen an die Geschäftsorganisation auf Gruppenebene zuständigen Unternehmens steht in der erforderlichen Interaktion mit den Geschäftsleitungen der Unternehmen innerhalb der Gruppe.

9.2.2 Vier-Augen-Prinzip

Die Unternehmen haben dafür Sorge zu tragen, dass die tatsächliche Leitung des Unternehmens durch mindestens zwei Personen erfolgt. Dies impliziert, dass an jeder wesentlichen Entscheidung des Unternehmens mindestens zwei Personen, die das Unternehmen tatsächlich leiten, beteiligt sind, bevor die betreffende Entscheidung umgesetzt wird.

Den Unternehmen obliegt die erste Einschätzung, ob es neben den Mitgliedern der Geschäftsleitung andere Personen im Unternehmen gibt, die aufgrund ihrer Entscheidungsbefugnisse ebenfalls zu den tatsächlich leitenden Personen zu zählen sind. Dies kommt etwa bei der zweiten Führungsebene in Betracht.

Das Unternehmen legt eigenverantwortlich fest, welche Entscheidungen mit Blick auf das Geschäftsmodell und das Risikoprofil als wesentlich einzustufen sind. Wesentlich ist eine Entscheidung zum Beispiel aufgrund ihrer ressortübergreifenden Bedeutung oder des Überschreitens eines Schwellenwertes, so dass sie erhebliche Auswirkungen auf das Geschäftsmodell oder die Struktur des Unternehmens hat und nicht mehr der gewöhnlichen Geschäftstätigkeit zugerechnet werden kann.

9.2.3 Dokumentation

Die Geschäftsleitung hat die von ihr getroffenen Entscheidungen sowie die Art und Weise, wie Informationen aus dem Risikomanagement berücksichtigt werden (siehe Abschnitt 11.1), zu dokumentieren. In derselben Weise sind die für das Unternehmen wesentlichen Entscheidungen etwaiger weiterer Personen zu dokumentieren, die das Unternehmen tatsächlich leiten.

Ein Mindestniveau der Ausgestaltung der Dokumentation kann nicht pauschal vorgegeben werden. Umfang und Detailtiefe der Dokumentation der Entscheidungen sind vom Zweck der Dokumentation und von den mit der jeweiligen Entscheidung verbundenen Risiken abhängig. Daher ist die Ausgestaltung der Dokumentation im Einzelfall aufgrund einer ganzheitlichen Betrachtung unter den Gesichtspunkten Selbstkontrolle und Nutzen festzulegen. Ein vollständiger Verzicht auf die Dokumentation kommt jedoch nicht in Betracht.

Die Dokumentation ist ausreichend, wenn sie so vollständig und exakt und mit den wesentlichen Hintergrundinformationen (z. B. Formeln, Parameter, Entscheidungen unterhalb der Geschäftsleitung, deren wesentlichen Begründungen) angereichert ist, dass eine fachkundige Person die Entscheidung der Geschäftsleitung inhaltlich nachvollziehen und überprüfen kann.

Es ist nicht zwangsläufig erforderlich, insgesamt neue Unterlagen zu schaffen. Verweisungen auf vorhandene Unterlagen und deren Beifügung können genügen, solange und soweit diese nachvollziehbar sind und die Grundlagen der Entscheidung verständlich aufbereiten.

9.3 Interne Überprüfung der Geschäftsorganisation

Die gesamte Geschäftsleitung bewertet die Geschäftsorganisation regelmäßig (§ 23 Abs. 2 VAG), wobei der Turnus der Bewertung entsprechend dem Risikoprofil festzulegen ist, und sorgt für eine kurzfristige Umsetzung der erforderlichen Änderungen. Die Bewertung einzelner Bereiche der Geschäftsorganisation kann durch das hierfür zuständige Mitglied der Geschäftsleitung erfolgen. Die gesamte Geschäftsleitung muss jedoch im Rahmen der Gesamtverantwortung das Ergebnis dieser Bewertung kennen und die resultierende Umsetzung steuern. Daher muss jedes Mitglied der Geschäftsleitung zumindest die wesentlichen Risiken verstehen, denen das Unternehmen ausgesetzt ist.

Die Bewertung bezieht sich gesamthaft auf die Geschäftsorganisation. Die Bewertung baut auf bereits vorhandenen Erkenntnissen auf, die etwa bei der Überprüfung der Leitlinien, durch die Funktion der internen Revision bei der von ihr durchzuführenden Überprüfung der Geschäftsorganisation oder durch weitere Schlüsselfunktionen bei der Durchführung ihrer Aufgaben gewonnen wurden. Ein gesonderter Prozess ist nicht erforderlich. Werden Erkenntnisse der Funktion der internen Revision bei der Bewertung der Geschäftsorganisation herangezogen, ist zu beachten, dass die Prüfungsperspektive des § 23 Abs. 2 VAG anders ausgerichtet ist als die des § 30 Abs. 1 VAG. Die Geschäftsleitung bewertet insbesondere vorausschauend, ob die Geschäftsorganisation die Ziele der Geschäfts- und der Risikostrategie unterstützt. Die Funktion der internen Revision prüft dagegen, ob zum Prüfungszeitpunkt die Geschäftsorganisation der geprüften Bereiche wirksam und angemessen ist.

Das Ergebnis der Bewertung der Geschäftsorganisation sowie die Umsetzung notwendiger Änderungen sind zu dokumentieren.

Die gesamte Geschäftsleitung legt die Anlässe für außerordentliche Bewertungen der Geschäftsorganisation fest.

9.4. Schriftliche Leitlinien

Schriftliche Leitlinien sind ein Instrument der Geschäftsleitung, um sicherzustellen, dass die Organisationseinheiten entsprechend ihrer Aufgaben und Pflichten sowie effektiv und zielgerichtet vorgehen. Sie dienen dazu, wesentliche Elemente der Geschäftsorganisation wie beispielsweise Funktionstrennung, Berichtslinien und Proportionalität für die operative Umsetzung im Unternehmen transparent zu machen.

Die Unternehmen entscheiden selbst über die Form der schriftlichen Leitlinien gemäß § 23 Abs. 3 VAG. So ist neben der schriftlichen auch eine digitale Bereitstellung der Leitlinien zulässig. Unabhängig von der gewählten Form der Bereitstellung müssen die Leitlinien für die betroffenen Personen im Unternehmen zugänglich und transparent sein.

9.4.1 Allgemeines

In der formalen Ausgestaltung der schriftlichen Leitlinien sind die Unternehmen frei. Demnach können Organisationsregelungen für Schlüsselfunktionen in den Leitlinien der betreffenden Systeme der Geschäftsorganisation aufgenommen oder in separaten Leitlinien dargestellt werden. So ist es beispielsweise zulässig, in der schriftlichen Leitlinie für das Risikomanagementsystem die Regelungen zur Organisation der unabhängigen Risikocontrollingfunktion abzubilden. Möglich ist es aber auch, für alle Schlüsselfunktionen eine gemeinsame schriftliche Leitlinie zu erstellen.

Die praktische Umsetzung der schriftlichen Leitlinien erfolgt durch entsprechende Arbeitsabläufe. Es ist festzulegen, auf welcher Ebene die Verantwortung für diese Arbeitsabläufe liegt.

Schriftliche Leitlinien auf Gruppenebene gelten nicht automatisch in den rechtlich selbstständigen Einzelunternehmen. Dies gilt auch, wenn Beherrschungsverträge bestehen. Schriftliche Leitlinien sind daher von den Einzelunternehmen gesondert zu erlassen. Leitlinien auf Gruppenebene können – gegebenenfalls nach unternehmensindividueller Anpassung – vom Einzelunternehmen übernommen werden. Enthalten bereits bestehende Dokumente des Einzelunternehmens die vorgegebenen Inhalte der Leitlinien auf Gruppenebene, können sie als Leitlinien herangezogen und verwendet werden.

9.4.2 Inhalte der schriftlichen Leitlinien

Die schriftlichen Leitlinien müssen die grundlegenden ablauforganisatorischen Regelungen, die Zuständigkeiten, die Befugnisse und die Berichtsverfahren klar darstellen. Um Aufgabenüberschneidungen zu vermeiden, sind auch entsprechende Schnittstellen und Abgrenzungen in den jeweiligen schriftlichen Leitlinien anzugeben.

Die schriftlichen Leitlinien der jeweiligen Organisationseinheiten legen fest, welche Informationen für die Schlüsselfunktionen relevant sind und dass solche Informationen an die Schlüsselfunktionen zu übermitteln sind. Ungeachtet dessen haben die Schlüsselfunktionen uneingeschränkten Zugang zu allen Informationen, die sie zur Erfüllung ihrer Aufgaben benötigen (siehe Rn. 86).

Die schriftlichen Leitlinien müssen aufeinander und auf die Geschäfts- und die Risikostrategie abgestimmt sein.

9.4.3 Verabschiedung und Überprüfung

Die Mindestanforderungen dieses Kapitels 9.4.3 gelten zumindest für die schriftlichen Leitlinien im Sinne des § 23 Abs. 3 Satz 2 VAG zur Geschäftsorganisation. Die Mindestanforderungen gelten nicht für die die Leitlinien umsetzenden Arbeitsabläufe.

Zur Unterstützung der von ihr festzulegenden Geschäfts- und Risikostrategie hat die gesamte Geschäftsleitung den schriftlichen Leitlinien zumindest bei der Erstverabschiedung sowie bei wesentlichen Änderungen zuzustimmen.

Die in § 23 Abs. 3 Satz 2 VAG aufgeführten schriftlichen Leitlinien müssen mit dem Risikoprofil angemessenen Methoden regelmäßig, mindestens einmal jährlich, überprüft werden. Die Anlässe für Ad-hoc-Überprüfungen der einzelnen Leitlinien legt die gesamte Geschäftsleitung fest.

Die für die Überprüfung der schriftlichen Leitlinien zuständigen Personen oder Organisationseinheiten sind zu benennen. Bei der Überprüfung ist zu berücksichtigen, dass Änderungen einer schriftlichen Leitlinie direkte Auswirkungen auf die anderen schriftlichen Leitlinien haben können.

Die Überprüfungen der schriftlichen Leitlinien müssen dokumentiert werden. Die Ergebnisse der Überprüfung und der sich daraus gegebenenfalls ergebende Änderungsbedarf werden an die Geschäftsleitung berichtet.

Im Falle eines festgestellten wesentlichen Änderungsbedarfs einer in § 23 Abs. 3 Satz 2 VAG aufgeführten schriftlichen Leitlinie wird der gesamten Geschäftsleitung berichtet, die ihre entsprechende Entscheidung kurz, aber nachvollziehbar begründet. Die Entscheidung einschließlich der Begründung ist zu dokumentieren. Bei nicht wesentlichen Änderungen reicht eine Kenntnisnahme durch das zuständige Mitglied der Geschäftsleitung aus, die zu dokumentieren ist.

Für Leitlinien, die nicht in § 23 Abs. 3 Satz 2 VAG ausdrücklich aufgeführt sind, können die Versicherungsunternehmen in einer ihrem Risikoprofil angemessenen Weise eigenverantwortlich festlegen, in welchem Turnus die Leitlinien überprüft werden und ob und in welcher Form die Geschäftsleitung bei Erstverabschiedung sowie wesentlichen Änderungen zu beteiligen ist.

9.4.4 Kenntnis und Einhaltung schriftlicher Leitlinien

Die Beschäftigten müssen über die sie betreffenden aktuellen schriftlichen Leitlinien informiert werden.

Die Unternehmen führen interne Kontrollen ein, die sicherstellen, dass entsprechend den schriftlichen Leitlinien gehandelt wird bzw. Verstöße zeitnah bekannt werden.

9.5 Automatisierte Geschäftsabläufe

Im Rahmen der Aufbau- und Ablauforganisation ist sicherzustellen, dass mit Risiken einhergehende automatisierte Geschäftsabläufe, zu denen auch die automatisierte Risikozeichnung, die automatisierten Einzelfallentscheidungen bei der Bearbeitung von Schadens- und Leistungsfällen sowie die automatisierte Bestandsverwaltung gehören, angemessen gesteuert und überwacht und die Anforderungen an die Geschäftsorganisation erfüllt werden. Dies setzt neben der Beurteilung der automatisierten Geschäftsabläufe aus Risikosicht insbesondere voraus, dass alle automatisierten Geschäftsabläufe identifizierbar und nachvollziehbar dokumentiert sind, Möglichkeiten für verantwortliche Personen bestehen, bei Bedarf einzugreifen, und sichergestellt wird, dass die gesamte Geschäftsleitung in Grundzügen über die Einrichtung, die Ausgestaltung und die Funktionsfähigkeit der automatisierten Geschäftsabläufe informiert ist.

Die automatisierten Geschäftsabläufe müssen dem Risikoprofil angemessen auf operativer Ebene qualitätsgesichert werden. Dazu sind Prozesse sowohl vor Inbetriebnahme, als auch im laufenden Betrieb vorzusehen.

Die mit den automatisierten Geschäftsabläufen verbundenen Entwicklungs-, Steuerungs- und Überwachungsprozesse müssen regelmäßig und in einer dem Risikoprofil angemessenen Weise unabhängig bewertet werden.

10. Schlüsselfunktionen

10.1 Allgemeine Anforderungen und Stellung im Unternehmen

Schlüsselfunktionen sind die Funktion der internen Revision, die Compliance-Funktion, die unabhängige Risikocontrollingfunktion (URCF) und die versicherungsmathematische Funktion (VmF). Der Begriff „Schlüsselfunktion“ ist vom weiteren Begriff „Schlüsselaufgabe“ zu unterscheiden. Die Unternehmen können nach eigenem Ermessen neben den Schlüsselfunktionen weitere Schlüsselaufgaben bestimmen (siehe Rundschreiben 11/2023 (VA) zur fachlichen Eignung und Zuverlässigkeit von Personen, die für Schlüsselfunktionen verantwortlich oder für Schlüsselfunktionen tätig sind, gemäß VAG). Dazu prüfen die Unternehmen, ob und welche Bereiche so wichtig sind, um als Schlüsselaufgaben wahrgenommen zu werden. Das können beispielsweise die Bereiche IT-Sicherheit, Kapitalanlagen oder Recht sein.

Das Unternehmen ist frei in der Entscheidung, wie es die Schlüsselfunktionen einrichtet, jedoch müssen der Zweck der jeweiligen Schlüsselfunktion und das Proportionalitätsprinzip berücksichtigt werden. In Betracht kommen zentrale, stabsstellenartige, dezentrale, integrierte oder hybride Gestaltungen (zur Ausgliederung siehe Abschnitte 13.4 und 13.5). Die gewählten Gestaltungen dürfen die effektive, objektive, faire und unabhängige Aufgabenwahrnehmung der Schlüsselfunktionen nicht beeinträchtigen. Das gilt in besonderem Maß für die Funktion der internen Revision.

Den Schlüsselfunktionen ist im Unternehmen eine hervorgehobene Stellung einzuräumen. Sie stehen gleichrangig und gleichberechtigt nebeneinander. Die für eine Schlüsselfunktion intern verantwortliche Person (siehe Abschnitt 10.1.1) unterliegt, sofern es sich nicht um ein Mitglied der Geschäftsleitung handelt, bezüglich der Wahrnehmung der Schlüsselfunktion nur den Weisungen der Geschäftsleitung. Dies gilt auch dann, wenn die Schlüsselfunktion organisatorisch nicht unmittelbar der Geschäftsleitungsebene nachgeordnet ist. Die gesamte Geschäftsleitung bildet die Eskalationsinstanz im Falle von Kontroversen zwischen den Schlüsselfunktionen, für die entweder dasselbe Mitglied der Geschäftsleitung verantwortlich ist oder die nicht zwischen den jeweils verantwortlichen Mitgliedern der Geschäftsleitung gelöst werden können.

Die Schlüsselfunktionen müssen ihre Aufgaben jederzeit effektiv, objektiv, fair und unabhängig erfüllen. Wie die Schlüsselfunktionen im Übrigen ihre Aufgaben erfüllen, ist unternehmensindividuell gestaltbar. Besonders bei integrierten Ansätzen zur Organisation einer Schlüsselfunktion kommt es aber auf eine eindeutige und transparente Aufgabendefinition und Aufgabenzuweisung an. Diese muss in schriftlichen Leitlinien festgehalten werden.

Die Schlüsselfunktionen müssen mit ausreichenden sachlichen und personellen Ressourcen und erforderlichen Befugnissen ausgestattet sein, um ihre Aufgaben effektiv wahrnehmen zu können. Die Befugnisse der Schlüsselfunktionen sind in schriftlichen Leitlinien zu verankern. Die Rechte und Pflichten der Schlüsselfunktionen bestimmen sich anhand ihrer konkreten Aufgaben. Hierzu gehören zumindest der uneingeschränkte Zugang zu allen für die Aufgabenerfüllung notwendigen Informationen und zu Beschäftigten, der uneingeschränkte Zugriff auf relevante Daten und Systeme sowie das Einräumen einer direkten Berichtslinie zur Geschäftsleitung.

Auch in Gruppen haben verbundene Unternehmen alle Schlüsselfunktionen auf der Ebene des Einzelunternehmens einzurichten. Das für die Erfüllung der Anforderungen an die Geschäftsorganisation auf Gruppenebene zuständige Unternehmen hat für die zusätzliche Einrichtung der Schlüsselfunktionen auf Gruppenebene Sorge zu tragen.

10.1.1 Intern verantwortliche Person für Schlüsselfunktionen

In allen – auch dezentralen – Gestaltungsformen muss es ungeachtet der Verantwortung der gesamten Geschäftsleitung eine natürliche Person geben, die die Verantwortung dafür trägt, dass die jeweilige Schlüsselfunktion ihre Aufgaben ordnungsgemäß erfüllt. Bei einer unternehmensinternen Einrichtung einer Schlüsselfunktion handelt es sich um die für diese Funktion „intern verantwortliche Person“ (zur Ausgliederung siehe Abschnitte 13.4 und 13.5). Es ist nicht zulässig, diese Verantwortung ganz oder teilweise mehreren natürlichen Personen zuzuordnen. Personen, die für eine Schlüsselfunktion tätig sind, kann es hingegen viele geben.

Ein Mitglied der Geschäftsleitung kann nur im Einzelfall zugleich intern verantwortliche Person für eine Schlüsselfunktion sein (zur Ausgliederung siehe Abschnitte 4 und 13.5), insbesondere wenn diese Gestaltung dem Risikoprofil des Unternehmens angemessen ist. § 23 Abs. 1 Satz 3 VAG ist anwendbar, so dass eine dem Risikoprofil des Unternehmens angemessene Trennung der Zuständigkeiten bestehen muss, auch im Verhältnis der Aufgaben als intern verantwortliche Person und als Mitglied der Geschäftsleitung. Außerdem ist Artikel 258 Abs. 1 Buchstabe g DVO anwendbar, so dass die Unternehmen gewährleisten müssen, dass die Zuweisung der weiteren Aufgabe als intern verantwortliche Person das betreffende Mitglied der Geschäftsleitung nicht daran hindert oder zu hindern droht, alle seine Aufgaben – gegebenenfalls auch bei anderen Unternehmen – verlässlich, redlich und objektiv auszuüben. Dies setzt unter anderem ausreichende zeitliche Kapazitäten voraus. Im Übrigen wird auf das Rundschreiben 11/2023 (VA) zur fachlichen Eignung und Zuverlässigkeit von Personen, die für Schlüsselfunktionen verantwortlich oder für Schlüsselfunktionen tätig sind, gemäß VAG verwiesen.

Eine Person, die als Mitglied der Geschäftsleitung oder unterhalb der Geschäftsleitung tätig ist, kann nur nach Maßgabe des Proportionalitätsprinzips gleichzeitig intern verantwortliche Person für mehrere unterschiedliche Schlüsselfunktionen sein. Je mehr unterschiedliche Schlüsselfunktionen betroffen sind, desto genauer müssen die Unternehmen darlegen, dass diese Gestaltung ihrem Risikoprofil angemessen ist. Eine weitere Grenze für die Zuweisung mehrerer Aufgaben an dieselbe Person ergibt sich aus Artikel 258 Abs. 1 Buchstabe g DVO (siehe Rn. 89). Bezüglich der Funktion der internen Revision gelten besondere Bedingungen (siehe Abschnitt 4).

10.1.2 Informationsfluss

Die jeweilige intern verantwortliche Person für eine Schlüsselfunktion (siehe Abschnitt 1.1) muss unmittelbar an die gesamte Geschäftsleitung berichten. Dazu erstellt sie mindestens einmal jährlich einen regelmäßigen schriftlichen Bericht. Die Berichte müssen aus sich heraus verständlich und an die gesamte Geschäftsleitung gerichtet sein. Bei akuten, schwerwiegenden Vorfällen und Feststellungen ist zudem ein Ad-hoc-Bericht zu erstellen. Der Ad-hoc-Bericht ist in der Regel der gesamten Geschäftsleitung vorzulegen. Die Berichtserstattungspflicht besteht auch dann, wenn die Schlüsselfunktion organisatorisch nicht unmittelbar der Geschäftsleitungsebene nachgeordnet ist.

Spiegelbildlich hierzu muss die Geschäftsleitung die intern verantwortliche Person für die jeweilige Schlüsselfunktion eigeninitiativ und zeitnah über alle Tatsachen informieren, die für ihre Aufgabenerfüllung erforderlich sein können. Für andere Unternehmenseinheiten gilt diese Informationspflicht gegenüber der intern verantwortlichen Person für die jeweilige Schlüsselfunktion entsprechend.

Analoge Informationsflüsse sind auch zwischen den vom Unternehmen eingerichteten Schlüsselaufgaben und der Geschäftsleitung einzuführen.

10.2 Compliance-Funktion

Die Compliance-Funktion überwacht nach Maßgabe der folgenden Absätze die Einhaltung der zu beachtenden Gesetze und Verordnungen, aufsichtsbehördlichen Anforderungen sowie externen Standards.

Hinsichtlich externer Standards im Sinne der Rn. 94 gilt, dass nur solche externen Standards zu beachten sind, die für das Unternehmen von großer Bedeutung sind oder mit wesentlichen Risiken einhergehen und von national oder international anerkannten Akteuren stammen. Auf welche externen Standards diese Kriterien zutreffen, ist unter Anwendung des Proportionalitätsprinzips unternehmensindividuell festzulegen. Die identifizierten externen Standards sind in den schriftlichen Leitlinien und im Compliance-Plan konsistent zu berücksichtigen.

Die Compliance-Funktion überwacht insbesondere, ob die Einhaltung der zu beachtenden Gesetze und Verordnungen, aufsichtsbehördlichen Anforderungen sowie externen Standards durch geeignete und wirksame interne Verfahren sichergestellt wird. Dabei ist nicht erforderlich, dass die Compliance-Funktion selbst solche Verfahren implementiert. Vielmehr hat die Compliance-Funktion gegebenenfalls zu überwachen, ob die betroffenen Bereiche geeignete und wirksame Verfahren eigenverantwortlich einrichten. Für die Überwachung müssen der Compliance-Funktion die internen Vorgaben bekannt sein, welche die Einhaltung der zu beachtenden Gesetze und Verordnungen, aufsichtsbehördlichen Anforderungen sowie externen Standards sicherstellen. Eine Prüfung, ob diese internen Vorgaben ihrerseits eingehalten werden, ist zu gewährleisten. Dabei ist nicht erforderlich, dass die Compliance-Funktion selbst diese Aufgabe wahrnimmt. Die Compliance-Funktion muss gegebenenfalls mindestens Art, Umfang und Ergebnisse der von anderen Stellen durchgeführten Prüfung kennen und unter Compliance-Gesichtspunkten bewerten.

Die Überwachung umfasst mindestens die Rechtsbereiche, die für das Unternehmen mit wesentlichen Risiken verbunden sind. Unabhängig davon sind zumindest die für den Betrieb des Versicherungsgeschäftes geltenden Gesetze, Verordnungen und aufsichtsbehördlichen Anforderungen sowie die vom Unternehmen festgelegten externen Standards von der Compliance-Funktion zu überwachen (siehe Rn. 96).

Die Verantwortlichkeit und der Aufgabenkatalog einer/eines gesetzlich vorgeschriebenen Unternehmensbeauftragten bleiben unberührt. Gesetzlich vorgeschriebene Unternehmensbeauftragte führen jedoch nicht dazu, dass die betreffenden Rechtsbereiche vollständig aus der Verantwortung der Compliance-Funktion herausfallen. Die Compliance-Funktion muss bei Rechtsbereichen, die mit wesentlichen Risiken verbunden sind, dann mindestens überwachen, ob die Unternehmensbeauftragten ihre gesetzlich vorgeschriebenen Aufgaben wahrnehmen.

Die Compliance-Funktion berät die Geschäftsleitung in Bezug auf die Einhaltung der für den Betrieb des Versicherungsgeschäftes geltenden Gesetze, Verordnungen, aufsichtsbehördlichen Anforderungen und die vom Unternehmen festgelegten externen Standards. Die Compliance-Funktion kann die Geschäftsleitung unter anderem dabei unterstützen, den Beschäftigten die Compliance-Themen bewusst zu machen und darauf hinzuwirken, dass diese in der täglichen Arbeit beachtet werden.

Die Compliance-Funktion beurteilt mögliche Auswirkungen von Änderungen des Rechtsumfeldes. Dafür muss sie Entwicklungen des Rechtsumfeldes, einschließlich der Vorgaben zur Nachhaltigkeit, frühzeitig beobachten und analysieren.

Die Compliance-Funktion informiert die gesamte Geschäftsleitung im Rahmen der regelmäßigen Berichterstattung (siehe Rn. 105) über wesentliche Änderungen des Rechtsumfeldes. Über drohende oder bereits eingetretene schwerwiegende Verstöße sowie die zur Aufrechterhaltung bzw. Wiederherstellung der Konformität zu ergreifenden Maßnahmen ist die gesamte Geschäftsleitung zeitnah mittels eines anlassbezogenen Ad-hoc-Berichtes zu informieren.

Die Compliance-Funktion identifiziert und beurteilt die Compliance-Risiken. Zu den Compliance-Risiken gehören alle Risiken, die aus der Nichteinhaltung der zu beachtenden Gesetze und Verordnungen, aufsichtsbehördlichen Anforderungen sowie externen Standards resultieren.

Die Compliance-Funktion identifiziert und bewertet die Compliance-Risiken unter Risikogesichtspunkten in regelmäßigen Abständen.

Die Aktivitäten der Compliance-Funktion erfolgen auf Basis eines Compliance-Planes. Der Compliance-Plan berücksichtigt alle relevanten Geschäftsbereiche. Die Auswahl der Aktivitäten erfolgt risikoorientiert. Die Aktualität des Compliance-Planes ist regelmäßig zu überprüfen.

Die Compliance-Funktion erstellt regelmäßig, mindestens einmal jährlich, einen Bericht über aktuelle Compliance-Themen, den sie der gesamten Geschäftsleitung vorlegt. Zur Ad-hoc-Berichtspflicht der Compliance-Funktion siehe Rn. 91. Der Bericht erläutert zumindest die wesentlichen Compliance-Risiken und die diese Risiken mindernden Maßnahmen und gibt der gesamten Geschäftsleitung einen Überblick über die Eignung und Wirksamkeit der implementierten Verfahren zur Einhaltung der zu beachtenden Gesetze und Verordnungen, aufsichtsbehördlichen Anforderungen sowie externen Standards.

10.3 Versicherungsmathematische Funktion

10.3.1 Allgemeine Anforderungen an die versicherungsmathematische Funktion

Die Unternehmen müssen eine VmF als Schlüsselfunktion einrichten. Neben der VmF ist nach dem VAG in der Lebensversicherung, der substitutiven Krankenversicherung, der Unfallversicherung mit Prämienrückgewähr sowie für Haftpflicht- und Unfallrenten weiterhin die Verantwortliche Aktuarin bzw. der Verantwortliche Aktuar vorgesehen (siehe Abschnitt 10.3.7).

10.3.2 Aufgaben der versicherungsmathematischen Funktion

Der Aufgabenkatalog der VmF wird in § 31 Abs. 1 VAG i. V. m. Artikel 272 DVO definiert. Zu berücksichtigen sind, soweit für das Unternehmen einschlägig, auch die Übergangsvorschriften in § 351 und § 352 VAG.

Es ist in der Regel möglich, der VmF auch Aufgaben zuzuweisen, die über den vorgegebenen Aufgabenkatalog hinausgehen, wenn Interessenkonflikte analysiert und geeignete Maßnahmen zum Umgang mit ihnen ergriffen werden.

10.3.3 Koordinierung der Berechnung und Validierung der versicherungstechnischen Rückstellungen

Die Entscheidung, wer die Berechnung der versicherungstechnischen Rückstellungen im Sinne der §§ 75 ff. VAG durchführt, bleibt dem Unternehmen überlassen.

Die Entscheidung, wer die Validierung im Sinne von Artikel 264 DVO durchführt, bleibt ebenfalls dem Unternehmen überlassen. Die Aufgaben der VmF im Sinne von § 31 Abs. 1 VAG i. V. m. Artikel 272 DVO bleiben hiervon unberührt.

Die Berechnung der versicherungstechnischen Rückstellungen und die Validierung im Sinne von Artikel 264 DVO werden in der Weise getrennt, dass Interessenkonflikte vermieden werden und insbesondere die Unabhängigkeit der Validierung nicht beeinträchtigt wird. Im Einklang mit dem Proportionalitätsprinzip kann diese Anforderung für Unternehmen mit schwächer ausgeprägtem Risikoprofil bereits erfüllt sein, wenn die Validierung und die Berechnung prozessual getrennt werden. Es kann im Sinne des Proportionalitätsprinzips aber auch eine personelle Trennung von Berechnung und Validierung geboten sein.

Gegenstand der Validierung im Sinne von Artikel 264 DVO sind die verwendeten Berechnungsmethoden, die getroffenen Annahmen und die verwendeten Daten sowie die vollständige Erfassung der zu bewertenden Verpflichtungen. Der Einfluss von Änderungen bei Methoden, Annahmen und Datengrundlagen von einem Berechnungsstichtag zum nächsten ist zu ermitteln.

Die VmF gewährleistet im Rahmen ihrer Zuständigkeit, dass eine geeignete Validierung gemäß Artikel 264 DVO durchgeführt wird. In diesem Kontext erfüllt die VmF die nachfolgend genannten Aufgaben.

Die VmF beurteilt, ob die Zusammenhänge zwischen der Methodenwahl, den Annahmen sowie der Datenqualität und -verfügbarkeit beachtet werden. Dabei werden die Quelle und der Verwendungszweck der Daten berücksichtigt.

Bei der Prüfung, welche Validierungsverfahren sich am besten eignen, berücksichtigt die VmF die Charakteristika der versicherungstechnischen Verbindlichkeiten.

Die VmF überprüft regelmäßig die Validierungsverfahren und gewährleistet, dass diese gegebenenfalls angepasst werden. Zu diesem Zweck bezieht sie die gewonnenen Erfahrungswerte aus vorangegangenen Validierungen sowie gegebenenfalls veränderte Marktbedingungen ein.

Die VmF gewährleistet, dass bei der Validierung sowohl quantitative als auch qualitative Aspekte berücksichtigt werden.

10.3.4 Aufgaben in Bezug auf die künftige Überschussbeteiligung

Die VmF gewährleistet, dass die künftige Überschussbeteiligung hinreichend in den versicherungstechnischen Rückstellungen nach Solvabilität II berücksichtigt wird. Dies umfasst auch die angemessene Berücksichtigung etwaiger Wechselwirkungen zwischen zukünftigem Neugeschäft und künftiger Überschussbeteiligung. Die VmF hat in den entsprechenden Sparten die Verantwortliche Aktuarin bzw. den Verantwortlichen Aktuar zu konsultieren, ob die hierzu notwendigen künftigen Managementregeln realistisch modelliert sind. Eine zusätzliche Validierung durch die Verantwortliche Aktuarin bzw. den Verantwortlichen Aktuar ist in diesem Zusammenhang nicht notwendig.

Bei der Stellungnahme der auf Gruppenebene eingerichteten VmF zur künftigen Überschussbeteiligung sind die nationalen gesetzlichen Vorgaben zu beachten. Dazu hat sie die lokalen VmF und, wo vorgesehen, die Verantwortliche Aktuarin bzw. den Verantwortlichen Aktuar oder entsprechende Personen einzubeziehen.

10.3.5 Beurteilung der Datenqualität bei der Bewertung der versicherungstechnischen Rückstellungen

Für die Beurteilung der Datenqualität bezieht die VmF die Ergebnisse solcher Analysen ein, die im Rahmen externer oder interner Überprüfungen der Datenqualität vorgenommen wurden.

Für die Beurteilung der Vollständigkeit der Daten prüft die VmF, ob die Quantität und die Detailtiefe der verfügbaren Daten für die Anwendung der verwendeten Berechnungsmethode und die Segmentierung der Versicherungsverpflichtungen ausreicht.

Die VmF ermittelt wesentliche Unzulänglichkeiten der Daten sowie deren Ursachen. Hierzu prüft sie auch interne Prozesse und konsultiert bei Bedarf zuständige Beschäftigte. Sie schlägt der Geschäftsleitung Lösungen zur Behebung der Unzulänglichkeiten vor.

Die VmF dokumentiert die wesentlichen Unzulänglichkeiten und deren Ursachen sowie die erfolgten Lösungen. Zudem erläutert sie mögliche wesentliche Auswirkungen dieser Unzulänglichkeiten auf die Berechnung.

Die VmF formuliert gegebenenfalls Empfehlungen zur Verbesserung von internen Verfahren im Zuge des Datenmanagements, um zu gewährleisten, dass das Unternehmen in der Lage ist, die entsprechenden Anforderungen von Solvabilität II zu erfüllen.

Sie prüft, in welchen Fällen zusätzlich externe Daten bzw. Marktdaten benötigt werden. Des Weiteren beurteilt sie die Qualität dieser zusätzlichen Daten.

Die VmF beurteilt, ob die Zuverlässigkeit der Schätzungen durch eine Anpassung der verfügbaren Daten verbessert werden kann.

10.3.6 Stellungnahme zur Zeichnungspolitik und Rückversicherung

Die VmF unterstützt die Geschäftsleitung, indem sie die Wechselwirkungen zwischen der Zeichnungs- und Annahmepolitik, der Preiskalkulation, der Rückversicherungspolitik und den versicherungstechnischen Rückstellungen analysiert. Sie hat die Vereinbarkeit der Zeichnungs- und Rückversicherungspolitik mit dem Risikoprofil des Unternehmens zu beurteilen.

Die hierfür notwendige Analyse der Zeichnungs- und Annahmepolitik einschließlich der Bewertung der Hinlänglichkeit der zu verdienenden Prämien und Preiskalkulation findet in der Regel nicht auf der Ebene einzelner Produkte statt, sondern auf einem geeigneten Abstraktionsniveau. Bei der Analyse der Zeichnungs- und Annahmepolitik sind die zugrunde liegenden Risiken angemessen zu berücksichtigen. Dies betrifft insbesondere die relevanten versicherungstechnischen, makroökonomischen, Rechts- und Rechtsänderungs- und Nachhaltigkeitsrisiken.

Die hierfür notwendige Analyse der Rückversicherungspolitik schließt die Wirksamkeit der Rückversicherungsvereinbarungen unter Stressbedingungen ein. Zudem ist zu analysieren, ob eine Rückversicherung zu einer höheren Reduzierung der Solvabilitätskapitalanforderung führt als sie durch die tatsächlich transferierten Risiken gerechtfertigt ist, oder die Rückversicherung zu neuen Risiken führt, die nicht in der Solvabilitätskapitalanforderung berücksichtigt sind. Der Analyseumfang richtet sich nach der Bedeutung der Absicherungen. Materiell unbedeutende Absicherungen rechtfertigen unter Berücksichtigung des Risikoprofils eine weniger umfangreiche Analyse. Bei der Bestimmung der Bedeutung ist zu berücksichtigen, ob die Absicherungen individuell oder in der Gesamtbetrachtung zu einer materiell bedeutenden Abweichung des Risikoprofils von den Annahmen der Solvabilitätskapitalanforderung führen. Informationen und Erkenntnisse, die im Rahmen des Risikomanagements bei der Bewertung der Wirkung und Wirksamkeit des Risikotransfers (siehe Rn. 180) oder bei der Validierung eines genehmigten internen Modells gewonnen wurden, können berücksichtigt werden.

Die Analysen erfolgen regelmäßig auch quantitativ.

Bei Lebensversicherungsverträgen mit langfristigen Zinsgarantien geht die VmF in ihrer Stellungnahme aufgrund von Artikel 272 Nr. 6 Buchstabe (a) DVO insbesondere auch darauf ein, inwieweit die im Neugeschäft zu verdienenden Prämien im Hinblick auf die Höhe und Art der eingebetteten Zinsgarantien hinlänglich zur Bedeckung künftiger Ansprüche und Aufwendungen sind. Ein pauschaler Verweis darauf, dass der für die Preiskalkulation verwendete Garantiezins nicht höher als der jeweils geltende Höchstrechnungszins gemäß § 2 DeckRV ist, reicht hierbei nicht aus. Vielmehr ist bei den zugrunde liegenden Analysen das individuelle Risikoprofil zu berücksichtigen. Hierbei ist insbesondere zu betrachten, inwieweit das Unternehmen voraussichtlich in der Lage sein wird, die Verpflichtungen aus den Zinsgarantien des Neugeschäftes aus den für die Zukunft erwarteten Erträgen seiner Kapitalanlagen zu erfüllen.

10.3.7 Verhältnis zwischen der für die versicherungsmathematische Funktion verantwortlichen Person und der Verantwortlichen Aktuarin bzw. dem Verantwortlichen Aktuar

Die Verantwortliche Aktuarin bzw. der Verantwortliche Aktuar nimmt eine Schutzfunktion für die Kunden wahr. Sie/er achtet auf Gleichbehandlung und die sachgerechte Verwendung von Überschüssen. Außerdem hat sie/er sicherzustellen, dass die Berechnung der handelsrechtlichen Deckungsrückstellung im Einklang mit den dafür einschlägigen Rechtsvorschriften steht und die Prämien so kalkuliert werden, dass eine ausreichend hohe Deckungsrückstellung gebildet werden kann. Dabei überprüft die Verantwortliche Aktuarin bzw. der Verantwortliche Aktuar, ob die dauernde Erfüllbarkeit der sich aus den Versicherungsverträgen ergebenden Verpflichtungen jederzeit gewährleistet ist. Wenn die Verantwortliche Aktuarin bzw. der Verantwortliche Aktuar gleichzeitig die verantwortliche Person für die VmF ist, prüfen die Unternehmen, ob diese Kombination zu Interessenkonflikten führen kann.

Die Aufgaben der Verantwortlichen Aktuarin bzw. des Verantwortlichen Aktuars, im Hinblick auf die Einhaltung der gesetzlichen Vorschriften für handelsrechtliche Rückstellungen und die geeignete Prämienkalkulation, beeinträchtigen die Rolle der VmF in der Regel nicht so stark, dass eine organisatorische Trennung aufgrund dessen erforderlich erscheint.

Bei Lebensversicherungsverträgen mit Anspruch auf Überschussbeteiligung sind Interessenkonflikte zwischen Verantwortlichem Aktuar und VmF möglich. Die Überschussanteilsätze werden zwar von der Geschäftsleitung festgelegt, diese kann den Vorschlag des Verantwortlichen Aktuars nach § 141 Abs. 5 Nr. 4 und Abs. 6 Nr. 2 und 3 VAG aber nicht ohne weiteres unberücksichtigt lassen. Eine aus Sicht der Verantwortlichen Aktuarin bzw. des Verantwortlichen Aktuars angemessene Überschussbeteiligung kann aus Sicht der VmF zu hohe Risiken bergen, eine aus Sicht der VmF für das Risikoprofil des Unternehmens adäquate Überschussbeteiligung kann aus Sicht der Verantwortlichen Aktuarin bzw. des Verantwortlichen Aktuars für die Kunden unzureichend sein. Sind im Einzelfall Interessenkonflikte möglich, kann die für die VmF verantwortliche Person nur dann zugleich Verantwortliche Aktuarin/Verantwortlicher Aktuar sein, wenn das Unternehmen durch geeignete und wirksame Maßnahmen gewährleistet, dass die betreffende Person jede der beiden Aufgaben objektiv, fair und unabhängig ausübt.

Für ihre Stellungnahme über die Hinlänglichkeit der zu verdienenden Prämien bei Lebensversicherungsverträgen mit langfristigen Zinsgarantien gemäß Rn. 131 kann die VmF auch auf vorhandene Analysen der Verantwortlichen Aktuarin bzw. des Verantwortlichen Aktuars zurückgreifen. Sie prüft in diesem Fall jedoch, ob darüber hinaus weitere Analysen nötig sind, etwa um die Wechselwirkungen zwischen den in der Preiskalkulation verwendeten Zinsannahmen und den technischen Rückstellungen für die Solvabilitätsübersicht sowie der Bedeckung der Solvabilitätskapitalanforderung zu beurteilen.

Für die Unfallversicherung mit Prämienrückgewähr gelten die Ausführungen zur Lebensversicherung unter Rn. 134 entsprechend. Das Ausmaß der erforderlichen Maßnahmen hängt vom Anteil dieser Verträge am gesamten Geschäftsumfang und den damit einhergehenden Risiken ab.

Falls in der substitutiven Krankenversicherung im Einzelfall Interessenkonflikte möglich sind, wenn die für die VmF verantwortliche Person zugleich Verantwortliche Aktuarin/Verantwortlicher Aktuar ist, kann die Mitwirkung des unabhängigen Treuhänders in Bezug auf die diesem gesetzlich zugewiesenen Aufgaben in der Krankenversicherung nach Art der Lebensversicherung im Regelfall als hinreichende flankierende Maßnahme betrachtet werden, soweit der VmF keine Aufgaben zugewiesen sind, die über den vorgegebenen Aufgabenkatalog hinausgehen. Sind der VmF weitere Aufgaben zugewiesen, gelten die in Rn. 134 letzter Satz und Rn. 111 genannten Grundsätze.

Ist die Verantwortliche Aktuarin bzw. der Verantwortliche Aktuar ausschließlich für die Bildung von Deckungsrückstellungen für Schaden-/Unfall-Renten zuständig, liegt in der Regel kein Interessenkonflikt vor, wenn die für die VmF verantwortliche Person zugleich Verantwortliche Aktuarin/Verantwortlicher Aktuar ist.

10.3.8 Informationspflichten der versicherungsmathematischen Funktion

Nach Artikel 272 Abs. 8 DVO legt die VmF der gesamten Geschäftsleitung regelmäßig, mindestens einmal jährlich, einen schriftlichen Bericht vor, der alle erzielten wesentlichen Ergebnisse enthält (VmF-Bericht).

Der VmF-Bericht benennt klar und deutlich etwaige Mängel und Empfehlungen zur Behebung solcher Mängel. Er enthält auch Angaben zu Veränderungen mindestens in den zugrundeliegenden Annahmen und verwendeten Methoden. Ein allgemeiner Hinweis, dass sich die Situation gegenüber dem Vorjahr nicht geändert hat, ist nicht ausreichend. Konkrete Verweise auf einzelne Aspekte sind im Rahmen der Darstellung jedoch möglich.

Der VmF-Bericht kann nicht durch einzelne Teilberichte ersetzt werden. Er muss aus sich heraus für die gesamte Geschäftsleitung verständlich sein.

Es steht der VmF frei, zusätzlich zum VmF-Bericht über einzelne Themen gesondert zu berichten. Wesentliche Aspekte aus solchen Berichten sind in den folgenden VmF-Bericht aufzunehmen.

Es wird von der Verantwortlichen Aktuarin bzw. vom Verantwortlichen Aktuar und von der VmF jeweils ein eigener Bericht angefertigt, sofern ein Bericht vorgesehen ist. Dies gilt auch, wenn die Verantwortliche Aktuarin bzw. der Verantwortliche Aktuar gleichzeitig verantwortliche Person für die VmF ist. Sofern es Überschneidungen gibt, etwa in Bezug auf eine Analyse der Datenqualität, kann der VmF-Bericht auch Erkenntnisse aus dem Bericht der Verantwortlichen Aktuarin bzw. des Verantwortlichen Aktuars aufgreifen bzw. auf diese verweisen und eigenständig beurteilen. Die VmF stellt dabei sicher, dass diese Erkenntnisse auf die Solvabilität-II-Perspektive übertragbar sind.

10.4 Funktion der internen Revision

Alle Unternehmen müssen eine interne Revision einrichten. Ausnahmen hiervon sind nicht möglich.

Der Prüfungsauftrag der internen Revision bezieht sich auf die gesamte Geschäftsorganisation einschließlich ausgegliederter Bereiche und Prozesse.

Die Einhaltung des Prüfungsplans, also die Erfüllung der Prüffunktion, geht der Beratungsfunktion vor. Die interne Revision schränkt insofern die Beratungstätigkeit gegebenenfalls ein.

Die interne Revision unterliegt keinen Einflüssen, die ihre Unabhängigkeit und Unparteilichkeit bei der Erledigung ihrer Aufgaben beeinträchtigen könnten.

Die interne Revision muss von allen Stellen im Unternehmen unabhängig sein. Dies gilt für die verantwortliche Person für die Funktion der internen Revision und für alle Personen, die für die interne Revision tätig sind.

Die interne Revision darf insbesondere bei der Prüfungsdurchführung, der Wertung der Prüfungsergebnisse und der Berichterstattung über diese Ergebnisse nicht, auch nicht mittelbar, beeinträchtigt sein. Die interne Revision berichtet unmittelbar und ohne vorherige ändernde Einflussnahme der gesamten Geschäftsleitung über ihre Ergebnisse, Erkenntnisse, Bedenken, Verbesserungsempfehlungen etc.

Das Weisungsrecht der gesamten Geschäftsleitung in Bezug auf die Prüfungsplanung der internen Revision steht der Unabhängigkeit der internen Revision nicht entgegen. Artikel 271 Abs. 3 Satz 2 DVO bleibt unberührt.

Die interne Revision muss unabhängig von anderen operativen Funktionen oder Tätigkeiten sein (§ 30 Abs. 2 Satz 1 VAG). Dies gilt für alle Unternehmen gleichermaßen; Proportionalitätsaspekte spielen insoweit keine Rolle.

Eine Kooperation der anderen Schlüsselfunktionen mit der internen Revision ist zulässig. Unangebrachte Einflüsse der anderen Schlüsselfunktionen sind unter anderem durch Festlegung klarer Zuständigkeiten auszuschließen.

Die für die Funktion der internen Revision intern verantwortliche Person kann zugleich intern verantwortliche Person für andere Schlüsselfunktionen sein, wenn die in Artikel 271 Abs. 2 DVO genannten Bedingungen kumulativ erfüllt sind. Je mehr Schlüsselfunktionen betroffen sind, desto genauer müssen die Unternehmen darlegen, dass diese Gestaltung ihrem Risikoprofil angemessen ist und dass die Unabhängigkeit der internen Revision nicht beeinträchtigt werden kann. Außerdem ist Artikel 258 Abs. 1 Buchstabe g DVO anwendbar (siehe Abschnitt 10.1.1).

10.5 Unabhängige Risikocontrollingfunktion

Im Rahmen dieses Rundschreibens wird der Begriff unabhängige Risikocontrollingfunktion (URCF) einheitlich verwendet. Die URCF ist synonym zum Begriff Risikomanagementfunktion zu verstehen.

Der Aufgabenkatalog der URCF wird insbesondere in § 26 Abs. 8 VAG i. V. m. Artikel 269 DVO definiert. Unter anderem befördert die URCF maßgeblich die Umsetzung des Risikomanagementsystems. In diesem Zusammenhang stellt die URCF sicher, dass angemessene Prozesse, Verfahren und Methoden für das operative Risikomanagement implementiert sind.

Die URCF unterstützt die gesamte Geschäftsleitung, und andere Funktionen bei der effektiven Handhabung des Risikomanagementsystems. In diesem Zusammenhang hat die URCF insbesondere:

a) regelmäßig zu bewerten, ob die Risikostrategie konsistent zur Geschäftsstrategie ist,

b) regelmäßig zu bewerten, ob die schriftlichen Leitlinien für das Risikomanagementsystem geeignet sind,

c) das Risikobewusstsein der vom Risikomanagementsystem betroffenen Beschäftigten zu befördern,

d) regelmäßig die Methoden und Prozesse zur Risikoidentifikation, -bewertung, -steuerung, -überwachung und -berichterstattung zu bewerten und sie gegebenenfalls weiterzuentwickeln,

e) Limite und gegebenenfalls andere risikobegrenzende Maßnahmen vorzuschlagen und

f) geplante Strategien unter Risikoaspekten zu beurteilen.

Die URCF überwacht das Risikomanagementsystem. In diesem Zusammenhang hat die URCF insbesondere:

a) Prozesse und Verfahren zur Überwachung des Risikomanagementsystems zu entwickeln und

b) die Eignung des Risikomanagementsystems fortlaufend zu überwachen.

Die URCF überwacht das Gesamtrisikoprofil des Unternehmens. In diesem Zusammenhang hat die URCF insbesondere:

a) die Risiken, einschließlich der Nachhaltigkeitsrisiken, mindestens auf aggregierter Ebene zu identifizieren, zu bewerten und zu analysieren,

b) die Maßnahmen zur Risikobegrenzung zu überwachen,

c) die Limite sowie die Risiken mindestens auf aggregierter Ebene zu überwachen und

d) die Durchführung und Dokumentation der unternehmenseigenen Risiko- und Solvabilitätsbeurteilung zu koordinieren.

Die URCF berichtet der gesamten Geschäftsleitung gemäß Rn. 91 schriftlich über alle wesentlichen Themen des Risikomanagements. Im Gegensatz zu den schriftlichen Berichten anderer Schlüsselfunktionen ergibt sich für die Berichterstattung der URCF nachfolgende Besonderheit: Eine doppelte Berichterstattung ist im Rahmen der Geschäftsorganisation nicht notwendig. Mit dem ORSA-Bericht wird die gesamte Geschäftsleitung regelmäßig unter anderem über wesentliche Risikoexponierungen und das Gesamtrisikoprofil informiert. Sind die im ORSA-Bericht wiedergegebenen Informationen aus Sicht der URCF geeignet und vollständig, müssen diese nicht nochmals berichtet werden. Über nicht im ORSA-Bericht enthaltene wesentliche Themen des Risikomanagements, wie die Eignung, wesentliche Mängel und Verbesserungspotentiale des Risikomanagementsystems, berichtet die URCF der gesamten Geschäftsleitung ebenfalls regelmäßig in schriftlicher Form. Wesentliche Informationen, die der gesamten Geschäftsleitung zuvor bereits in einem anderen Bericht aufbereitet wurden, sind nur dann erneut aufzunehmen, wenn und soweit sie für das Verständnis der Aussagen in diesem schriftlichen Bericht notwendig sind. Der schriftliche Bericht ist mindestens einmal jährlich, und bei wesentlichen Änderungen auch ad hoc, an die gesamte Geschäftsleitung zu geben. Die Ad-hoc-Berichterstattung kann sich auf die Inhalte beschränken, die von der wesentlichen Änderung betroffen und zu deren Verständnis notwendig sind.

Die URCF berät die Geschäftsleitung in Fragen des Risikomanagements und hilft der Geschäftsleitung fortlaufend, Mängel abzustellen und das Risikomanagementsystem weiter zu entwickeln.

11. Risikomanagementsystem

11.1 Rolle der Geschäftsleitung im Risikomanagementsystem

Die gesamte Geschäftsleitung ist dafür verantwortlich, dass das Risikomanagementsystem dem Risikoprofil angemessen und wirksam ausgestaltet ist. Dies schließt angemessene Berichtsverfahren und Prozesse ein, die insbesondere gewährleisten, dass zumindest über alle wesentlichen Risiken informiert und die Wirksamkeit des Risikomanagementsystems aktiv überwacht, analysiert sowie gegebenenfalls verbessert wird.

Die Verantwortung der gesamten Geschäftsleitung für das Risikomanagementsystem bezieht sich auf die Leitungsaufgaben. Die Leitungsaufgaben umfassen unter anderem die strategischen Entscheidungen und die Festlegungen zum organisatorischen Rahmen des Risikomanagements, somit insbesondere auch den Eingang und die Handhabe wesentlicher Risiken.

Zu den Leitungsaufgaben zählt ebenfalls die Entwicklung einer Risikostrategie. Diese ist regelmäßig, mindestens einmal jährlich, zu überprüfen und gegebenenfalls anzupassen. Die Risikostrategie, deren Überprüfung und etwaige Änderungen sind zu dokumentieren. Die Risikostrategie stellt die sich aus der Geschäftsstrategie ergebenden Risiken dar. Sie enthält zudem eine Aussage zum Risikoappetit, den das Unternehmen sowohl auf aggregierter Ebene als auch auf Ebene der wesentlichen Risiken besitzt, um die strategischen Ziele zu erreichen. Die Risikostrategie ist so auszugestalten, dass sich die operative Steuerung der Risiken daran anknüpfen lässt. Es ist möglich, einzelne Inhalte der Risikostrategie in anderen Strategien, wie beispielsweise der IT- oder der Nachhaltigkeitsstrategie, festzulegen. In diesen Fällen ist in der Risikostrategie auf die konkreten Stellen in den anderen Strategien zu verweisen. Die Anforderung an die Risikostrategie, beispielsweise die jährliche Überprüfung, bezieht sich dann auch auf die entsprechenden Stellen der anderen Strategien.

Die gesamte Geschäftsleitung muss bei eigenen Entscheidungen die Informationen aus dem Risikomanagementsystem gebührend berücksichtigen. Dies erfordert auch eine hinreichende Einbindung der URCF als zentrale Stelle für das operative Risikomanagement. Die Einbindung der URCF befreit die gesamte Geschäftsleitung nicht von der eigenen Entscheidungsverantwortung.

11.2 Risikomanagementleitlinien

Die schriftlichen Leitlinien zum Risikomanagement müssen mindestens Vorgaben zu den in § 26 Abs. 5 Satz 1 VAG genannten Bereichen machen. Sie definieren und kategorisieren zumindest die wesentlichen Risiken, falls diese Festlegungen nicht in der Risikostrategie erfolgen. Auch benennen die schriftlichen Leitlinien zum Risikomanagement die genehmigten Risikotoleranzschwellen zumindest für die wesentlichen Risiken. Dabei sind die Auswirkungen der Nachhaltigkeitsrisiken angemessen zumindest in den Risikomanagementbereichen Risikoübernahme und Rückstellungsbildung (§ 26 Abs. 5 Satz 1 Nummer 1 VAG) und Anlagerisikomanagement (§ 26 Abs. 5 Satz 1 Nummer 3 VAG) und gegebenenfalls in weiteren Risikomanagementbereichen zu berücksichtigen.

Die schriftlichen Leitlinien zum Risikomanagement benennen nicht nur die Aufgaben sowie die Stellung und Befugnisse der URCF, sondern auch der weiteren Schlüsselfunktionen, soweit sie Aufgaben innerhalb des Risikomanagementsystems wahrnehmen. Sofern diese Aufgaben und Befugnisse der weiteren Schlüsselfunktionen schon in anderen schriftlichen Leitlinien enthalten sind, können die schriftlichen Leitlinien zum Risikomanagement darauf verweisen.

Die schriftlichen Leitlinien zum Risikomanagement enthalten Vorgaben zu den unternehmensindividuellen Stresstests. In diesem Zusammenhang benennen die Unternehmen die einzubeziehenden Bereiche, die Stichtage bzw. Auslöser, die Prozesse, die Annahmen und die möglichen Methoden. Festzulegen ist auch, wie bei einer Überschreitung eines festgelegten Grenzwertes verfahren wird.

11.2.1 Risikomanagementleitlinien für das operationelle Risiko

Operationelle Risiken im Rahmen des Risikomanagements umfassen unter anderem IT-Risiken, unabhängig davon, ob sie aus der IT-Aufbauorganisation, den IT-Systemen oder den IT-Prozessen resultieren.

Operationelle Risiken im Rahmen des Risikomanagements schließen auch die Rechtsrisiken ein.

Rechtsänderungsrisiken, zumindest diejenigen, die mit in der Vergangenheit abgeschlossenen Geschäften verbunden sind, müssen unter Risikogesichtspunkten adäquat berücksichtigt werden. Rechtsänderungsrisiken bezeichnen dabei Risiken, die sich aufgrund einer Änderung des Rechtsumfeldes einschließlich der aufsichtsbehördlichen Anforderungen ergeben.

Zu den operationellen Risiken im Rahmen des Risikomanagements zählen auch die Nachhaltigkeitsrisiken, die sich direkt auf den eigenen Geschäftsbetrieb auswirken können.

Eine Analyse operationeller Risiken ist auch vor der Einführung oder wesentlichen Änderung von Produkten, Prozessen und Systemen durchzuführen. Die Ergebnisse dieser Analyse sind in die Entscheidungsfindung einzubeziehen.

Zur Identifizierung und Überwachung möglicher operationeller Risiken implementieren die Unternehmen einen geeigneten Prozess, mit dem zumindest die internen Schadenereignisse erfasst und ausgewertet werden. Hierfür sind dem Risikoprofil angemessene Schwellenwerte festzulegen. Die notwendigen Prozessschritte sind ausreichend zu dokumentieren.

Bei der Identifizierung möglicher operationeller Risiken berücksichtigen die Unternehmen darüber hinaus auch bekannte externe Schadenereignisse.

Die Unternehmen prüfen, ob sie als Teil ihres Frühwarnsystems geeignete Risikokennziffern (Key Risk Indikatoren) oder Leistungskennziffern (Key Performance Indikatoren) einführen.

Wesentliche Schadenereignisse, die aus operationellen Risiken resultieren, sind neben der gesamten Geschäftsleitung auch unverzüglich der URCF zu berichten und hinsichtlich ihrer Ursachen zu analysieren. Welche Schadenereignisse hierunter fallen, ist unternehmensindividuell festzulegen. Die gesamte Geschäftsleitung entscheidet bei wesentlichen Schadenereignissen, ob und welche zusätzlichen Maßnahmen zu ergreifen sind. Die Umsetzung der Maßnahmen ist zu überwachen.

11.2.2 Risikomanagementleitlinien für Rückversicherung und andere Risikominderungstechniken

Die Risikomanagementleitlinien für Rückversicherung und andere Risikominderungstechniken benennen den angestrebten Grad und die Effektivität des Risikotransfers. Dieser muss sich an den festgelegten Risikotoleranzschwellen orientieren. Anzugeben ist ferner, welche Art der Rückversicherung oder anderer Risikominderungstechniken vom Unternehmen gewählt wird. Die gewählte Art muss für das eigene Risikoprofil am besten geeignet sein. Auch sind die Kriterien für die Auswahl der Rückversicherung oder anderer Risikominderungstechniken festzulegen.

Es sind Grundsätze für die Auswahl der Vertragspartner bei Rückversicherungsverträgen und anderen Risikominderungstechniken zu entwickeln. Diese umfassen auch Verfahren, um die Leistungsfähigkeit und Kreditwürdigkeit von Rückversicherern und anderen Risikominderungspartnern zu bewerten und zu überwachen. Sofern das Unternehmen bei der Beurteilung der Kreditwürdigkeit auf externe Ratings zurückgreift, überprüft es – soweit möglich – deren Eignung durch zusätzliche Bewertungen.

Entscheidet sich das Unternehmen für Rückversicherung oder andere Risikominderungstechniken, berücksichtigt das Risikomanagement sämtliche damit verbundenen Risiken, insbesondere das mit der Risikominderungstechnik verbundene Kreditrisiko und bei Auswahl eines Rückversicherers aus einem Drittstaat die damit verbundenen Risiken. Dies schließt eine Dokumentation zumindest der wesentlichen Risiken, der daraus resultierenden Maßnahmen sowie der potentiellen Folgen ein.

Das Unternehmen ermittelt und bewertet sowohl den Umfang als auch die Wirkung und Wirksamkeit des Risikotransfers einschließlich möglicher Basisrisiken. Dies umfasst eine ganzheitliche Analyse der durch die Rückversicherung oder eine andere Risikominderungstechnik transferierten Risiken im Hinblick auf das eigene Risikoprofil sowie die Voraussetzungen für deren Berücksichtigung in der Standardformel. Insbesondere sind in diesem Zusammenhang auf die versicherungstechnischen, Gegenparteiausfall- und Konzentrationsrisiken einzugehen. Die für die Ermittlung und Bewertung notwendigen Verfahren und Kriterien sind festzulegen und müssen dem Risikoprofil angemessen sein. Informationen und Erkenntnisse, die die VmF im Rahmen ihrer Stellungnahme zur Zeichnungspolitik und Rückversicherung (siehe Rn. 129) gewonnen hat, können hierbei berücksichtigt werden.

In Bezug auf Rückversicherung und andere Risikominderungstechniken berücksichtigt das Liquiditätsmanagement auch mögliche Liquiditätsengpässe infolge eines zeitlichen Auseinanderfallens der zu erbringenden Versicherungsleistung und dem Eingang der Zahlung der von Rückversicherern und anderen Risikominderungspartnern einforderbaren Beträge.

Ist der Risikotransfer an einen Rückversicherer bedeutend für das Unternehmen, setzt sich das Unternehmen bereits im Vorfeld mit den folgenden Szenarien auseinander: Das Unternehmen berücksichtigt, dass der Rückversicherer im Rahmen der vertraglichen Regelungen wesentliche oder sämtliche Rückversicherungsverträge beendet oder nicht verlängert. Ebenso ist in Betracht zu ziehen, dass der Rückversicherer künftig die Beziehung nur zu ungünstigeren Bedingungen oder Konditionen fortsetzen würde, die für das Unternehmen nicht akzeptabel wären. Zumindest wenn die Rückversicherungsbeziehung für die Solvabilität und die Risikotragfähigkeit des eigenen Unternehmens bedeutend ist, sind bereits bei Abschluss der Rückversicherungsverträge konkrete Maßnahmen für derartige Szenarien festzulegen. Dabei berücksichtigt das Unternehmen auch die risikobegrenzende Einbindung mehrerer Rückversicherer. Abhängig von der fortlaufenden Risikoeinschätzung des Unternehmens sind die erforderlichen Maßnahmen frühzeitig einzuleiten.

11.3 Unternehmensindividuelle Stresstests

Unternehmensindividuelle Stresstests sind Bestandteil eines geeigneten Frühwarnsystems im Risikomanagementsystem. Sie untersuchen die Widerstandsfähigkeit der Unternehmen infolge widriger Ereignisse oder Szenarien. Unternehmensindividuelle Stresstests können sowohl Sensitivitätsanalysen als auch Szenarioanalysen oder Reverse-Stresstests sein.

Die Unternehmen müssen im Rahmen des ORSA nach Maßgabe des § 27 Abs. 3 Satz 2 VAG unternehmensindividuelle Stresstests durchführen. Darüber hinaus sind auch in anderen Bereichen des Risikomanagements unternehmensindividuelle Stresstests nach Maßgabe des Artikels 259 Abs. 3 DVO durchzuführen, soweit dies sachgerecht ist. Die Hinweise zu unternehmensindividuellen Stresstests im Rahmen der Ausführungen zu den Risikomanagementleitlinien (siehe Abschnitt 11.2) bleiben unberührt. Die Art, der Umfang und die Häufigkeit der unternehmensindividuellen Stresstests müssen dem Risikoprofil angemessen sein. Sie decken mindestens die maßgeblichen Treiber für die wesentlichen Risiken ab. Von externer Seite vorgegebene standardisierte Stresstests, zum Beispiel EIOPA-Stresstests, sind in der Regel nicht als unternehmensindividuelle Stresstests geeignet.

Bestehen wesentliche Nachhaltigkeitsrisiken, dazu gehören auch wesentliche Klimawandelrisiken, sind deren Auswirkungen sowohl kurz- als auch langfristig mit geeigneten unternehmensindividuellen Stresstests zu bewerten. Die Beurteilung erfolgt, soweit sinnvoll und möglich, auch quantitativ.

Die unternehmensindividuellen Stresstests berücksichtigen die wesentlichen Risikokonzentrationen und Diversifikationseffekte zwischen den Risiken.

Die unternehmensindividuellen Stresstests bilden Ereignisse oder Szenarien mit unterschiedlichen Schweregraden ab. Geeignete historische und hypothetische Ereignisse oder Szenarien bilden die Grundlage für die unternehmensindividuellen Stresstests. Die Unternehmen unterstellen insbesondere auch außergewöhnliche, aber plausible Ereignisse oder Szenarien, die die Risikotragfähigkeit des Unternehmens gefährden können.

Die Eignung der unternehmensindividuellen Stresstests einschließlich der zugrundeliegenden Annahmen ist regelmäßig zu überprüfen.

Die Durchführung jeder Stresstestanwendung ist ausreichend zu dokumentieren. Mindestens sind die Annahmen, die Beurteilungen der Ergebnisse und die ergriffenen Maßnahmen anzugeben.

Die Geschäftsleitung hat die Ergebnisse der unternehmensindividuellen Stresstests bei ihren Entscheidungen gebührend zu berücksichtigen.

11.4 Zusätzliche Anforderungen auf Gruppenebene

Die gesamte Geschäftsleitung des für die Erfüllung der Anforderungen auf Gruppenebene zuständigen Unternehmens ist für die Wirksamkeit des gruppenweiten Risikomanagementsystems verantwortlich. In diesem Zusammenhang legt sie die strategischen Entscheidungen und Leitlinien für das Risikomanagement auf Gruppenebene fest und beschließt sowohl den Risikoappetit als auch die Risikotoleranzschwellen auf Gruppenebene. Sie sorgt unter Beachtung der Rn. 66 dafür, dass die Vorgaben gruppenweit konsistent umgesetzt werden.

Das für die Erfüllung der Anforderungen auf Gruppenebene zuständige Unternehmen berücksichtigt im Risikomanagement sämtliche Risiken für die gesamte Gruppe. Einzubeziehen sind auch das Risiko durch gruppeninterne Transaktionen, mögliche Risikokonzentrationen innerhalb der Gruppe sowie das Reputationsrisiko aufgrund von Ereignissen innerhalb der Gruppe. Zu berücksichtigen sind ferner die möglichen Interdependenzen zwischen den Risiken aller Gruppenunternehmen, einschließlich der Unternehmen, die in Drittstaaten ansässig sind oder nicht der Aufsicht unterliegenden.

12. Internes Kontrollsystem

12.1 Allgemeines

Das interne Kontrollsystem gewährleistet die Rechtmäßigkeit, Wirksamkeit, Wirtschaftlichkeit und Zweckmäßigkeit der Geschäftsorganisation. Es berücksichtigt die für das Unternehmen relevanten Risiken und selbstgesetzten Ziele und Vorgaben. Und es stellt die Verfügbarkeit und Verlässlichkeit der für den Geschäftsbetrieb notwendigen Informationen sicher.

Die Unternehmen gestalten das interne Kontrollsystem in Abhängigkeit von ihrem Risikoprofil aus. Das interne Kontrollsystem ist ein eigenständiges Element der Geschäftsorganisation. Es muss adäquat in die Strukturen und Prozesse der Aufbau- und Ablauforganisation eingebunden sein, damit es seinen Zweck erfüllt.

Das interne Kontrollsystem berücksichtigt gegebenenfalls auch ausgegliederte Bereiche und Prozesse.

12.2 Interner Kontrollrahmen und Melderegelungen

Die Unternehmen legen im internen Kontrollrahmen die Grundsätze, Verfahren und Maßnahmen zu den internen Kontrollen fest. Der interne Kontrollrahmen muss dem Risikoprofil angemessen sein. Der interne Kontrollrahmen bildet das Grundgerüst des IKS. Er steckt mit schriftlichen Leitlinien und anderen internen Vorgaben den Rahmen für die Überwachung zumindest für die wesentlichen Geschäftsbereiche des Unternehmens ab.

Art, Häufigkeit und Umfang der internen Kontrollen orientieren sich an den Risiken der jeweiligen Bereiche und Prozesse. Die Durchführung der internen Kontrollen ist zu dokumentieren.

Die Unternehmen gewährleisten, dass die mit den internen Kontrollen beauftragten Personen über alle notwendigen Informationen verfügen. Die Eignung und Wirksamkeit der internen Kontrollen sind mit Hilfe geeigneter Verfahren fortlaufend zu überwachen.

Die gesamte Geschäftsleitung lässt sich regelmäßig, mindestens einmal jährlich, über die Ergebnisse der Überwachung berichten. In besonderen Situationen, vor allem bei erheblichen Mängeln der internen Kontrollen, sind außerdem Ad-hoc-Berichte erforderlich. Die gesamte Geschäftsleitung stellt sicher, dass die notwendigen Anpassungen zeitnah umgesetzt werden.

13. Ausgliederung

13.1 Begriff der Ausgliederung

Der Anwendungsbereich von § 32 VAG erfasst die Ausgliederung von Funktionen und Versicherungstätigkeiten. Die Legaldefinition in § 7 Nr. 2 VAG bezieht sich nur auf das Merkmal „Ausgliederung“ und setzt unter anderem voraus, dass der betreffende Prozess, die Dienstleistung oder die Tätigkeit ansonsten vom Unternehmen selbst erbracht werden würde. Diese Voraussetzung ist in der Regel erfüllt, wenn ein Unternehmen den betreffenden Prozess, die Dienstleistung oder die Tätigkeit aufgrund gesetzlicher Vorgaben oder als für den Geschäftsbetrieb notwendig erbringen muss. Sind die Voraussetzungen des § 7 Nr. 2 VAG erfüllt, ist kumulativ zu prüfen, ob eine Funktion oder Versicherungstätigkeit im Sinne des § 32 VAG vorliegt. Damit wird die spezifische Ausgliederungskontrolle sachgerecht begrenzt. Eine Funktion oder Versicherungstätigkeit kann auch vorliegen, wenn der entsprechende Sachverhalt auch bei anderen Unternehmen als Versicherungsunternehmen auftritt (z. B. Kapitalanlage).

Zu beachten ist, dass die allgemeine Missstandsaufsicht eingreifen kann, obwohl keine Ausgliederung im Sinne des § 7 Nr. 2 VAG vorliegt. Denn die allgemeine Missstandsaufsicht umfasst bei Erstversicherungsunternehmen gemäß § 294 Abs. 2 S. 2 VAG i. V. m. § 298 Abs. 1 VAG alle Sachverhalte, welche die Belange der Versicherten gefährden können. Hierzu zählen auch Dienstleistungsbeziehungen, die nicht den Ausgliederungsanforderungen unterliegen. Beispiel: Der Kantinenbetrieb durch einen externen Dienstleister unterfällt – weil die betreffende Tätigkeit ansonsten nicht unbedingt vom Unternehmen selbst erbracht werden würde – nicht dem Ausgliederungsbegriff und damit auch nicht der spezifischen Ausgliederungskontrolle durch die Aufsichtsbehörde. Kommt es jedoch wiederholt durch hygienische Mängel zu Ausfällen der Beschäftigten und einer Gefährdung der ordnungsgemäßen Betriebsabläufe, so kann darin ein Missstand liegen, der die Aufsichtsbehörde zum Einschreiten berechtigt.

Kriterien für die Abgrenzung von Ausgliederungen und sonstigen Dienstleistungsbeziehungen sind neben dem Inhalt der betroffenen Tätigkeit vor allem ihr Umfang und ihre Dauer sowie die Häufigkeit der Inanspruchnahme des Dienstleisters. Die Begriffe lassen sich nicht generell quantifizieren, sondern stehen in Abhängigkeit dazu, wie substanziell die jeweilige Tätigkeit für das konkrete Unternehmen ist.

Je substanzieller oder häufiger eine in Anspruch genommene Dienstleistung durch einen Dritten ist, desto wahrscheinlicher ist das Vorliegen einer Ausgliederung. Die Schwellen für die Annahme einer Dauerhaftigkeit oder Häufigkeit sind umso niedriger anzusetzen, je substanzieller der betroffene Bereich für das Unternehmen ist. Wird der Dienstleister bloß fallweise operativ oder konsultativ herangezogen, liegt in der Regel keine Ausgliederung vor. Eine wiederkehrende Betrauung desselben Dienstleisters oder eine häufige Inanspruchnahme desselben Dienstleisters mit artgleicher Tätigkeit bei Bestehen eines Rahmenvertrages mit diesem können hingegen Indizien für eine Ausgliederung sein. Umgekehrt sind, wenn auch selten, Sachverhaltskonstellationen denkbar, in denen eine Funktion oder Versicherungstätigkeit betroffen ist und auch die Kriterien der Dauer bzw. Häufigkeit der Inanspruchnahme eines Dienstleisters erfüllt sind, der entsprechende Bereich jedoch von ganz untergeordneter Bedeutung für das Unternehmen ist. Solche Umstände können die Einschätzung rechtfertigen, dass keine Ausgliederung vorliegt.

Die für eine Ausgliederung erforderliche Vereinbarung zwischen einem ausgliedernden Unternehmen und einem Dienstleister ist zum Zweck der Qualifikation als Ausgliederungsvereinbarung weder an eine bestimmte Form noch an einen bestimmten Vertragstypus oder eine bestimmte Vertragsbezeichnung gebunden.

13.2 Zulässiger Umfang

Bei jedem Unternehmen ist unter Beachtung der Maßgaben dieses Abschnitts eine Ausgliederung sämtlicher Schlüsselfunktionen und selbst definierten Schlüsselaufgaben möglich.

Im Falle von Ausgliederungen einschließlich konzern-/gruppeninterner Ausgliederungen sowie Sub-Delegationen bleibt die Letztverantwortung der gesamten Geschäftsleitung immer bestehen. Originäre Leitungsaufgaben einschließlich der Verantwortung für die Einrichtung und die Weiterentwicklung des Risikomanagementsystems und des internen Kontrollsystems können nicht ausgegliedert werden. Dienstleister können in diesen Bereichen nur unterstützend und beratend eingebunden werden. Die Ausgliederung bestimmter Teilbereiche des Risikomanagementsystems oder des internen Kontrollsystems ist nur unter sorgfältiger Risikoabwägung möglich. Dies gilt auch im Rahmen von gruppeninternen Ausgliederungen bei Bestehen eines Beherrschungsvertrages.

Auch im Falle einer Ausgliederung ist eine angemessene Trennung der Zuständigkeiten zu wahren (§ 23 Abs. 1 Satz 3 VAG). Dies gilt auf Seiten des Dienstleisters ebenso wie auf Seiten des Unternehmens in Bezug auf die organisatorische Ansiedelung der/des Ausgliederungsbeauftragten.

Befindet sich der Dienstleister außerhalb des Europäischen Wirtschaftsraums, ist durch das Unternehmen vor allem auf den Kontrollrahmen ein besonderes Augenmerk zu legen. Das Unternehmen muss auch diesen Dienstleister effektiv kontrollieren können, um bei einem Verstoß gegen die Bestimmungen der Ausgliederungsvereinbarung durch diesen gegebenenfalls frühzeitig reagieren zu können. Das Unternehmen achtet darauf, dass die lokale Aufsichtsbehörde des Dienstleisters oder die nationalen Regelungen insbesondere den Zugang zu Informationen über die ausgegliederten Funktionen und Versicherungstätigkeiten und zu den Geschäftsräumen des Dienstleisters nicht beschränken. Bei Ausgliederungen außerhalb des Europäischen Wirtschaftsraums hat das Unternehmen auch auf Unterschiede in den nationalen Datenschutzbestimmungen zu achten.

13.3 Risikoanalyse im Kontext von Ausgliederungen

Die mit einer Ausgliederung verbundenen Risiken sind sowohl im Vorfeld der Ausgliederung als auch im Anschluss daran zu identifizieren, zu bewerten und angemessen zu überwachen, zu steuern und zu berichten. Zu berücksichtigen sind hierbei insbesondere auch IT- und Nachhaltigkeitsrisiken.

Die Unternehmen müssen zunächst eigenverantwortlich und risikoorientiert feststellen, ob die Herausgabe einer Aktivität von der Definition der Ausgliederung erfasst ist. Die weitere Bewertung, ob es sich um eine wichtige Funktion oder Versicherungstätigkeit handelt, die ausgegliedert werden soll, ist ebenfalls ein Teilbereich der Risikoanalyse, die vor jeder Ausgliederung erfolgen muss.

Bei der Grundentscheidung für oder gegen Ausgliederung müssen neben strategischen Motiven, ökonomischen und operativen Argumenten sowie quantitativen und qualitativen Aspekten auch Risikogesichtspunkte eine angemessene Rolle spielen. Einschlägige Risikokategorien sind regelmäßig das strategische, das operationelle und das Reputationsrisiko. Bei der Inanspruchnahme eines Mehrmandantendienstleisters ist zudem besonderes Augenmerk auf Konzentrationsrisiken zu legen.

Inhalt und Umfang der Risikoanalyse können die Unternehmen unter Proportionalitätsgesichtspunkten festlegen. Die Intensität der Risikoanalyse hängt von der Art, dem Umfang, der Komplexität und dem Risikogehalt der ausgegliederten Aktivitäten und Prozesse ab. Zu den für die Risikoanalyse relevanten Aspekten gehören insbesondere die wesentlichen Risiken der Ausgliederung einschließlich möglicher Risikokonzentrationen und Risiken aus Subdelegationen, die Eignung des Dienstleisters, Exit- oder Alternativstrategien, Notfallmanagement und Rechtsrisiken.

Bei wesentlichen Änderungen des Risikoprofils in Bezug auf Ausgliederungssachverhalte muss erneut eine Risikoanalyse erfolgen und über die Fortführung oder Beendigung der Ausgliederung entschieden werden.

Die maßgeblichen Organisationseinheiten müssen bei der Erstellung der Risikoanalyse einbezogen werden. Wie intensiv die Risikoanalyse und die Einbeziehung der maßgeblichen Organisationseinheiten zu erfolgen hat, ist unter Proportionalitätsaspekten zu entscheiden. Die Ergebnisse der Risikoanalyse sind zu dokumentieren

13.4 Ausgliederung wichtiger Funktionen und Versicherungstätigkeiten

Unter den Funktionen und Versicherungstätigkeiten sind wichtige und sonstige Aktivitäten zu unterscheiden. Soweit sich europäische Rechtstexte im Zusammenhang mit Ausgliederungen auf „kritische“ Funktionen oder Tätigkeiten beziehen, gelten die Anforderungen an „wichtige“ Funktionen oder Versicherungstätigkeiten im Wege eines Erst-Recht-Schlusses auch für „kritische“ Aktivitäten.

Im Fall von Teilausgliederungen wichtiger Funktionen oder Versicherungstätigkeiten ist entscheidend, ob der für die Ausgliederung vorgesehene Teilbereich auch für sich gesehen wichtig ist.

Schlüsselfunktionen und selbst definierte Schlüsselaufgaben gelten immer als wichtig.

Darüber hinaus sind in der Regel folgende Bereiche wichtige Funktionen oder Versicherungstätigkeiten:

• Vertrieb,
• Bestandsverwaltung,
• Leistungsbearbeitung,
• Berechnung der versicherungstechnischen Rückstellungen nach Solvabilität II und nach HGB,
• Rechnungswesen,
• Kapitalanlage und -verwaltung,
• elektronische Datenverarbeitung im Hinblick auf ihrerseits wichtige versicherungstypische Tätigkeiten.

Auch in den Bereichen von Rn. 217 und dieser Rn. 218 gilt im Fall von Teilausgliederungen das in Rn. 216 Gesagte.

Im Übrigen müssen die Unternehmen eigenverantwortlich feststellen, ob die jeweilige Funktion oder Versicherungstätigkeit wichtig ist und dies im Rahmen der Risikoanalyse (siehe Abschnitt 13.3) dokumentieren. Ob eine Funktion oder Versicherungstätigkeit wichtig ist, kann nur einzelfallbezogen bewertet werden.

Die Bewertung, ob eine Funktion oder Versicherungstätigkeit wichtig oder nicht wichtig ist, muss wiederholt und gegebenenfalls geändert werden wenn sich die zugrunde liegenden Umstände wesentlich geändert haben.

Die gesamte Geschäftsleitung muss alle Ausgliederungen wichtiger Funktionen oder Versicherungstätigkeiten vorab genehmigen. Die Sub-Delegation einer wichtigen Funktion oder Versicherungstätigkeit muss zumindest vom zuständigen Mitglied der Geschäftsleitung vorab genehmigt werden.

Die Kriterien und der Prozess für die Einordnung einer Funktion oder Versicherungstätigkeit als wichtig sind in der schriftlichen Leitlinie für die Ausgliederung festzulegen und ihrerseits sich ändernden Umständen anzupassen.

Für die Absicht, wichtige Funktionen oder Versicherungstätigkeiten auszugliedern, gilt gemäß § 47 Nr. 8 VAG eine unverzügliche Anzeigepflicht unter Vorlage des Vertragsentwurfs. Nur eine ausreichend konkretisierte Absicht, wichtige Funktionen oder Versicherungstätigkeiten auszugliedern, ist anzeigepflichtig.

Für vor dem 01.01.2016 geschlossene Ausgliederungsverträge ist eine Übersicht aller bestehender Ausgliederungen von wichtigen Funktionen und Versicherungstätigkeiten vorzuhalten. Die BaFin behält sich vor, diese gegebenenfalls gesondert anzufordern. Die Ausgliederungsverträge sind möglichst zeitnah an die Anforderungen von Solvabilität II anzupassen, beispielsweise im Rahmen von Vertragsverlängerungen oder inhaltlichen Verhandlungen.

13.5 Die/der Ausgliederungsbeauftragte

Die/der Ausgliederungsbeauftragte überwacht und beurteilt unbeschadet der Letztverantwortung der gesamten Geschäftsleitung, ob die ausgegliederten Aufgaben ordnungsgemäß ausgeführt werden. Die/der Ausgliederungsbeauftragte ist verantwortliche Person im Sinne des § 47 Nr. 1 VAG (siehe das Rundschreiben 11/2023 (VA) zur fachlichen Eignung und Zuverlässigkeit von Personen, die für Schlüsselfunktionen verantwortlich oder für Schlüsselfunktionen tätig sind, gemäß VAG).

Die/der Ausgliederungsbeauftragte beurteilt und hinterfragt die Leistung des Dienstleisters unabhängig und objektiv. Im Fall der Ausgliederung einer Schlüsselfunktion erfolgt die Berichterstattung (siehe Rn. 91) gegenüber der gesamten Geschäftsleitung des ausgliedernden Unternehmens wie folgt: In der Regel übermittelt der Dienstleister die Berichte an die/den Ausgliederungsbeauftragte/n, die/der sie in Ausübung ihrer/seiner überwachenden und beurteilenden Funktion ergänzen bzw. kommentieren kann und dann an die gesamte Geschäftsleitung zu deren notwendigen Information weiterleitet. Im Falle einer gruppeninternen Ausgliederung kann der Bericht unmittelbar an die Geschäftsleitung übermittelt werden, sofern der Dienstleister den Bericht gleichzeitig an die/den Ausgliederungsbeauftragten weiterleitet. Einem weiteren direkten Kontakt zwischen dem Dienstleister und der Geschäftsleitung des ausgliedernden Versicherungsunternehmens, beispielsweise zur Erörterung bestimmter Themen, steht diese Berichterstattung nicht entgegen. Allerdings ist eine die/den Ausgliederungsbeauftragte/n ausschließende Übermittlung der schriftlichen Berichte vom Dienstleister an die Geschäftsleitung unzulässig. Bei Personenidentität zwischen der/dem Ausgliederungsbeauftragten und einem Mitglied der Geschäftsleitung des ausgliedernden Unternehmens genügt eine direkte Berichterstattung des Dienstleisters an die gesamte Geschäftsleitung des ausgliedernden Unternehmens.

Die Geschäftsleitung muss die/den Ausgliederungsbeauftragte/n eigeninitiativ, angemessen und zeitnah über alle Tatsachen informieren, die für ihre/seine Aufgabenwahrnehmung erforderlich sein können.

Für die Ausgliederung von Schlüsselfunktionen und selbst definierten Schlüsselaufgaben muss es stets eine/n Ausgliederungsbeauftragte/n geben.

Ein Mitglied der Geschäftsleitung des ausgliedernden Unternehmens kann zugleich als Ausgliederungsbeauftragte/r für eine Schlüsselfunktion oder selbst definierte Schlüsselaufgabe fungieren, ohne dass diese Gestaltung durch Proportionalitätserwägungen gerechtfertigt sein müsste. Jedoch ist § 23 Abs. 1 Satz 3 VAG anwendbar, so dass eine dem Risikoprofil des Unternehmens angemessene Trennung der Zuständigkeiten bestehen muss, auch im Verhältnis der Aufgaben als Ausgliederungsbeauftragte/r und als Mitglied der Geschäftsleitung. Außerdem ist Artikel 258 Abs. 1 Buchstabe g DVO anwendbar, so dass das Unternehmen gewährleisten muss, dass die Zuweisung der weiteren Aufgabe als Ausgliederungsbeauftragte/r das betreffende Mitglied der Geschäftsleitung nicht daran hindert oder zu hindern droht, alle seine Aufgaben – gegebenenfalls auch bei anderen Unternehmen – verlässlich, redlich und objektiv auszuüben. Dies setzt unter anderem ausreichende zeitliche Kapazitäten voraus. Insoweit ist auch zu beachten, dass die der/dem Ausgliederungsbeauftragten obliegende Überwachungsintensität deutlich über die der Geschäftsleitung obliegenden Überwachungsintensität hinausgeht. Im Übrigen wird auf das Rundschreiben 11/2023 (VA) zur fachlichen Eignung und Zuverlässigkeit von Personen, die für Schlüsselfunktionen verantwortlich oder für Schlüsselfunktionen tätig sind, gemäß VAG verwiesen.

Dass ein Mitglied der Geschäftsleitung des ausgliedernden Unternehmens zugleich als Ausgliederungsbeauftragte/r fungiert, kommt auch in Betracht, wenn sie/er zusätzlich für das Gruppenunternehmen tätig ist, auf das die Schlüsselfunktion oder selbst definierte Schlüsselaufgabe ausgegliedert wurde (diese Fallgruppe ist von der in Rn. 231 behandelten zu unterscheiden). Jedoch müssen gegebenenfalls Maßnahmen zur Vermeidung entsprechender Interessenkonflikte ergriffen werden. Eine Personenidentität zwischen der/dem Ausgliederungsbeauftragten und der zuständigen Person bei dem Dienstleister ist in jedem Fall unzulässig.

Es kann ausnahmsweise zulässig sein, die Aufgabe als Ausgliederungsbeauftragte/r auf eine Person zu übertragen, die nicht bei dem ausgliedernden Unternehmen tätig ist, sondern beim Dienstleister oder bei einem anderen Unternehmen, wenn diese Person in Bezug auf ihre Aufgabe als Ausgliederungsbeauftragte/r allein den Weisungen der Geschäftsleitung des ausgliedernden Unternehmens unterliegt und bei dem Dienstleister oder dem anderen Unternehmen unterhalb der Geschäftsleitung tätig ist. Außerdem müssen gegebenenfalls Maßnahmen zur Vermeidung von Interessenkonflikten ergriffen werden. Eine Personenidentität zwischen der/dem Ausgliederungsbeauftragten und der zuständigen Person bei dem Dienstleister ist in jedem Fall unzulässig (zu den Anforderungen an die fachliche Eignung der zuständigen Person beim Dienstleister siehe das Rundschreiben 11/2023 (VA) zur fachlichen Eignung und Zuverlässigkeit von Personen, die für Schlüsselfunktionen verantwortlich oder für Schlüsselfunktionen tätig sind, gemäß VAG). Beispiel: Ist bei einem als Dienstleister tätigen Gruppenunternehmen zugleich ein zentralisiertes Ausgliederungsmanagement eingerichtet, das die Ausgliederungen überwacht und beurteilt (Ausgliederungscontrolling), kann die/der Ausgliederungsbeauftragte im Einzelfall bei dem Unternehmen tätig sein, auf das ausgegliedert wurde. Hierdurch wird es den Unternehmen ermöglicht, die/den Ausgliederungsbeauftragte/n bei gruppeninternen Ausgliederungen zentral beim Dienstleister bzw. beim zentralisierten Ausgliederungscontrolling zu verankern. Die übrigen Anforderungen dieser Rn. 231 und die Anforderungen der Rn. 232 unberührt.

Ob eine Person, sei sie Mitglied der Geschäftsleitung oder unterhalb der Geschäftsleitung tätig, gleichzeitig Ausgliederungsbeauftragte/r für mehrere Schlüsselfunktionen oder selbst definierte Schlüsselaufgaben sein kann, hängt von den Umständen des Einzelfalles ab. Je mehr Schlüsselfunktionen/-aufgaben betroffen sind, desto genauer müssen die Unternehmen darlegen, dass die gewählte Gestaltung sachgerecht ist und wie sie die bei Zuweisung mehrerer Aufgaben an dieselbe Person in Artikel 258 Abs. 1 Buchstabe g DVO (siehe Rn. 229) festgelegten Bedingungen gewährleisten.

Die vorgenannten Voraussetzungen gelten auch für die/den Ausgliederungsbeauftragten für die Funktion der internen Revision. Artikel 271 DVO ist insoweit nicht anwendbar, weil die/der Ausgliederungsbeauftragte die Funktion der internen Revision nicht im Sinne dieser Vorschrift wahrnimmt.

13.6 Konzern-/Gruppeninterne Ausgliederung

Die Vorgaben zur Ausgliederung gelten auch bei gruppeninternen Ausgliederungen. Die nachfolgenden Anforderungen an gruppeninterne Ausgliederungen gelten für konzerninterne Ausgliederungen entsprechend.

Gruppeninterne Ausgliederungen dürfen nicht generell mit weniger Sorgfalt und einer weniger intensiven Überwachung einhergehen. Auch kommt nicht in Betracht, gruppeninterne Ausgliederungen ohne weiteres als nicht wichtig einzustufen.

Dennoch kann eine gruppeninterne Ausgliederung Erleichterungen rechtfertigen, deren Ausprägungen sich im jeweiligen Einzelfall ergeben. Nachstehend werden Beispiele genannt:

Die schriftliche Vereinbarung, in der die Rechte und Pflichten beider Parteien in Bezug auf die Ausgliederung zu regeln sind, kann etwa in der Form eines schriftlichen Service Level Agreements abgefasst werden, wenn seine Inhalte – anders als üblicherweise vor Vertragsabschluss mit einem externen Dienstleister – kein Gegenstand förmlicher Vertragsverhandlungen waren.

Die Überprüfung eines gruppeninternen Dienstleisters vor der Ausgliederung kann unter Umständen weniger detailliert erfolgen, als dies bei einem gruppenexternen Dienstleister angezeigt ist. Das Bestehen von Interessenkonflikten ist jedoch immer zu prüfen.

Die Unternehmen müssen einen schematischen Rückgriff auf einen gruppeninternen Dienstleister vermeiden. Denn auch bei einem gruppeninternen Dienstleister besteht die Gefahr, dass dieser seine Dienstleistungen hoch standardisiert erbringt, ohne die Besonderheiten des einzelnen Unternehmens angemessen zu berücksichtigen.

Werden Funktionen oder Versicherungstätigkeiten gruppenintern ausgegliedert, so ist genau zu dokumentieren, welche rechtliche Einheit auf welchen Dienstleister welche Funktion oder Versicherungstätigkeit ausgegliedert hat.

13.7 Ausgliederung auf Versicherungsvermittlerinnen und Versicherungsvermittler

Obwohl üblicherweise auf Dauer angelegt, unterfallen die typischen Vermittlungssachverhalte nicht den Ausgliederungsanforderungen. Ein typischer Vermittlungssachverhalt liegt regelmäßig vor, wenn keine Abschluss- oder Schadenregulierungsvollmacht besteht.

Die Übertragung des Abschlusses von Versicherungsgeschäften oder der Schadenregulierung auf Versicherungsvermittlerinnen und Versicherungsvermittler stellen immer eine Ausgliederung wichtiger Funktionen oder Versicherungstätigkeiten dar. Die Unternehmen haben insoweit keine Einschätzungsfreiheit. Zu beachten ist, dass nach der Maßgabe der Rechtsprechung des BGH (Urteil vom 14.01.2016, I ZR 107/14) eine Schadenregulierung durch Versicherungsmaklerinnen und Versicherungsmakler unzulässig ist.

Im Falle von Teilausgliederungen gilt hinsichtlich der Frage, ob es sich um eine wichtige Ausgliederung handelt, das unter 13.4 Gesagte. Erteilt ein Unternehmen einer Vielzahl von Versicherungsvermittlerinnen und Versicherungsvermittlern Abschluss- oder Schadenregulierungsvollmachten, so kommt es auf die Gesamtbetrachtung an.

13.8 Ausgliederungsleitlinien

Für den gesamten Bereich der Ausgliederung sind schriftliche Leitlinien zu erstellen. Diese haben die Auswirkungen von Ausgliederungen auf den Geschäftsbetrieb zu berücksichtigen und die bei Ausgliederungen unternehmensindividuell anzuwendenden Verfahrens- und Qualitätsstandards sowie die zu implementierenden Berichts- und Überwachungspflichten vom Beginn bis zum Ende der Ausgliederung festzulegen.

Die schriftlichen Leitlinien müssen konsistent in Bezug auf die Geschäftsstrategie des Unternehmens sein.

Die schriftlichen Leitlinien haben einen Überprüfungsprozess für den in Betracht gezogenen Dienstleister zu enthalten. Folgende Aspekte des Prozesses sind in den schriftlichen Leitlinien mindestens abzudecken:

finanzielle Leistungsfähigkeit des Dienstleisters,

technische Fähigkeit des Dienstleisters,

Kapazität des Dienstleisters, die Ausgliederungs-Leistungen erbringen zu können,

Kontrollrahmen und

etwaige Interessenkonflikte.

Die Unternehmen bestimmen darüber hinaus in den schriftlichen Leitlinien eigenständig, ob weitere Aspekte im Rahmen des Überprüfungsprozesses zu berücksichtigen sind. Diese Aspekte sind bei Änderungen der unternehmensinternen oder externen Umstände anzupassen.

Die Ausgliederungsleitlinien müssen darlegen, wie die Kontinuität und die ungeminderte Qualität der ausgegliederten Funktionen und Versicherungstätigkeiten auch im Fall der Beendigung der Vertragsbeziehung zu dem Dienstleister sichergestellt werden.

In die schriftlichen Leitlinien ist die Verpflichtung aufzunehmen, für ausgegliederte wichtige Funktionen und Versicherungstätigkeiten Notfallpläne zu entwickeln, die sich mit bei dem Dienstleister auftretenden Störungen befassen. Zudem haben die Leitlinien den Prozess und die Verantwortlichkeiten zur Aufstellung dieser Notfallpläne zu beschreiben. Die Notfallpläne haben insbesondere zu berücksichtigen, wie die ausgegliederten wichtigen Funktionen und Versicherungstätigkeiten notfalls auf einen anderen Dienstleister übertragen oder in den Geschäftsbetrieb des Unternehmens wieder eingegliedert werden können.

Im Übrigen gelten für die schriftlichen Leitlinien zur Ausgliederung die im Abschnitt 9.4 genannten Grundsätze.

14. Notfallmanagement

Das Notfallmanagement erhöht die Widerstandsfähigkeit von Bereichen und Prozessen im Unternehmen, um in möglichen Krisensituationen die Verfügbarkeit wesentlicher Daten und Funktionen sowie die Fortführung der Geschäftstätigkeit durch im Vorfeld definierte Verfahren zu gewährleisten.

Verantwortlich für das operative Notfallmanagement ist die Geschäftsleitung. Die Notfallplanung muss von der gesamten Geschäftsleitung beschlossen werden.

Notfallpläne sind für diejenigen Bereiche und Prozesse zu erstellen, bei denen der Eintritt einer unvorhergesehenen Störung die Fortführung der Geschäftstätigkeit gefährden kann. Dabei sind auch die tolerierbaren Ausfall- und Wiederherstellungszeiten zu berücksichtigen. Die ausgegliederten Bereiche und Prozesse sind im Notfallmanagement zu berücksichtigen. Eignung und Wirksamkeit der Notfallpläne sind fortlaufend sicherzustellen. Hierzu sind den Risiken des jeweiligen Bereiches oder Prozesses entsprechend regelmäßig Testläufe und Übungen durchzuführen.

Die den Notfallplänen zugrunde liegenden Notfallszenarien haben dem individuellen Risikoprofil hinreichend Rechnung zu tragen.

Sowohl die Notfallplanung als auch die Bewältigung eines Notfalles müssen adäquat in die Strukturen und Prozesse der Aufbau- und Ablauforganisation eingebunden sein. Aufgaben, Verantwortlichkeiten, Informationspflichten und Eskalationsprozesse sind klar und nachvollziehbar festzulegen und zu dokumentieren.

Der betroffene Personenkreis muss die Notfallpläne kennen. Die Verfügbarkeit der Notfallpläne muss auch im Notfall sichergestellt sein.