Neue regulatorische Anforderungen an Versicherungsunternehmen – Und wie damit umgegangen werden kann

Obwohl dies grundsätzlich zu begrüßen ist, gehen damit vielfältige Herausforderungen einher, nicht zuletzt da die Regulatorik indirekte Effekte bzw. unbeabsichtigte Nebenwirkungen entfaltet. Dieser Beitrag skizziert aktuelle und zukünftige regulatorische Anforderungen jenseits von Solvency II, auf die sich Versicherungsunternehmen werden einstellen müssen. Der Fokus liegt vor allem auf der sogenannten Insurance Distribution Directive (IDD) und den Folgen für die Vertriebscompliance. Darüber hinaus erfolgt eine Auseinandersetzung mit dem aktuellen Entwurf der BaFin zu den Versicherungsaufsichtlichen Anforderungen an die IT (VAIT). Neben einer Darlegung der auf Versicherungen zukommenden regulatorischen Anforderungen werden Handlungsmöglichkeiten aufgezeigt, um diesen Anforderungen gerecht werden zu können.

Regulatorische Anforderungen im Vertrieb – Gegenstand und Folgen der IDD-Richtlinie

Mit der am 2. Februar 2016 veröffentlichten und am 23. Februar 2016 in Kraft getretenen Richtlinie (EU) 2016/97 des europäischen Parlaments und des Rates für den Versicherungsvertrieb (Insurance Distribution Directive ‑ IDD) wird das Ziel verfolgt, eine Mindestharmonisierung der in den EU-Mitgliedsstaaten bestehenden nationalen Vorschriften für den Versicherungsvertrieb sicherzustellen und den Verbraucherschutz durch eine größere Transparenz sowie eine auf die Kundenbedürfnisse zugeschnittene Beratung zu stärken. Innerhalb von zwei Jahren müssen die Mitgliedsstaaten die Richtlinie in nationales Recht umgesetzt haben, d. h. bis spätestens 23. Februar 2018. Die Umsetzung ist mit Beschluss des Deutschen Bundestags vom 30. Juni 2017 und der Billigung des Bundesrates am 7. Juli 2017 erfolgt. Dabei wurde die IDD bis auf zwei Änderungen zugunsten von Versicherungsmaklern gemäß dem zuvor veröffentlichten Regierungsentwurf vom 9. Januar 2017 umgesetzt. Auch wenn die Details erst in einer noch zu erscheinenden nationalen Verordnung geregelt werden und das Europäische Parlament derzeit für eine Verschiebung des Umsetzungstermins (von Teilen) der IDD auf den 1. Oktober 2018 plädiert, müssen Versicherer bereits jetzt die Weichen für eine erfolgreiche Umsetzung stellen. Die Anforderungen an den Vertrieb von Versicherungen lassen sich dabei aus dem Gesetzesentwurf ableiten; einige wichtige Aspekte werden im Weiteren kurz dargestellt.

Die Vertriebsvergütung (§ 48a VAG) soll künftig nicht mit der Pflicht der Versicherungsunternehmen bzw. den Angestellten, im bestmöglichen Interesse der Kunden zu handeln, kollidieren. Das Anreizsystem darf nicht so ausgestaltet sein, dass einem Kunden ein bestimmtes Versicherungsprodukt angeboten wird, obwohl ein anderes seinen Bedürfnissen eher entspräche. Hier müssen insbesondere Zielkonflikte zwischen Verkaufszielen auf Produktebene und dem Kundeninteresse gelöst werden. Dies wirkt sich bei der Vertriebssteuerung auch auf den Prozess der Gestaltung von Provisionsanreizen und Incentivierungen aus. In diesem Zusammenhang sind auch geeignete Maßnahmen organisatorischer oder verwaltungsmäßiger Natur zu treffen, die diesem Problem vorbeugen. Reichen die Vorkehrungen nicht zur Vermeidung von Interessenkonflikten aus, so sind dem Kunden eindeutig und rechtzeitig vor Vertragsabschluss Art bzw. Quelle jener Interessenkonflikte auf einem dauerhaften Datenträger offenzulegen. Von dem Wahlrecht zur Einführung eines Provisionsverbots hat der deutsche Gesetzgeber keinen Gebrauch gemacht; allerdings muss bei der Gewährung von Provisionen dafür Sorge getragen werden, dass diese sich nicht nachteilig auf die Qualität der Dienstleistung für den Kunden auswirken.

Geplant sind ferner Änderungen im Versicherungsvertragsgesetz, z. B. ein neu einzufügender § 7a VVG zu Querverkäufen. Dies bedeutet: Wird ein Versicherungsprodukt zusammen mit einem Nebenprodukt verkauft, das keine Versicherung ist, so sind die einzelnen Bestandteile des angebotenen Pakets einzeln zu beschreiben und zu erklären, inklusive der auf die einzelnen Bestandteile entfallenden Kosten und Gebühren. Auch ist darüber zu informieren, ob die Bestandteile einzeln erworben werden können. Darüber hinaus sind die sich aus dem Paket gegenüber eines Einzelerwerbs ergebenden Wechselwirkungen, speziell die damit zusammenhängenden Risiken und die Versicherungsdeckung, offenzulegen. Wird eine Versicherung als Nebenprodukt zu einem Nichtversicherungsprodukt angeboten, wie es z. B. bei einer KFZ-Versicherung zum Automobilverkauf der Fall ist, so ist dem Versicherungsnehmer jenes Nichtversicherungsprodukt (dies ist in der Regel beim Autokauf der Fall) auch einzeln anzubieten (hiervon gibt es einige Ausnahmen, z.B. wenn es sich bei dem Nebenprodukt um einen Kreditvertrag handelt).

Besondere Vorschriften kommen auch beim Verkauf von sogenannten Versicherungsanlageprodukten (PRIIPs) hinzu (§§ 7b, 7c VVG). Als PRIIP gilt ein Versicherungsprodukt, das einen Fälligkeitswert oder einen Rückkaufwert bietet, der vollständig oder teilweise direkt oder indirekt Marktschwankungen ausgesetzt ist. Davon ausgenommen sind die in Art. 2 Abs. 17 a) bis e) IDD genannten Produkte, wie z. B. Risikolebensversicherungen oder Riester- und Rürup-Renten. Der Kunde ist bei Versicherungsanlageprodukten darüber zu informieren, ob eine regelmäßige Geeignetheitsprüfung des Versicherungsanlageproduktes für den Zielmarkt durchgeführt wird, welche mit dem Produkt verbundenen Risiken bestehen und welche Kosten und Gebühren jedweder Art vorliegen. Erbringt der Versicherungsvermittler bzw. das Versicherungsunternehmen eine Beratungsleistung zu einem Versicherungsanlageprodukt, besteht die Pflicht, dem Kunden vor Vertragsabschluss mittels eines dauerhaften Datenträgers eine sogenannte Geeignetheitserklärung zur Verfügung zu stellen, in der die erbrachte Beratungsleistung und die Art und Weise, in der diese den Präferenzen, Zielen und anderen kundenspezifischen Merkmalen entspricht, aufgeführt sind. Ferner ist auch die geplante Neueinführung des § 6a VVG zu beachten, in der die Pflicht zur Dokumentation des dem Kunden erteilten Rats und der Gründe hierfür wesentlich genauer als bisher geregelt ist.

Die hier genannten zukünftigen Anforderungen gehen nicht nur über gesetzliche, sondern auch über aktuell freiwillige Regeln hinaus, wie z. B. die von den meisten Versicherern sich selbst auferlegten Leitsätze des GDV-Verhaltenskodex. Eine frühzeitige Prüfung der eigenen Vertriebsprozesse ist trotz der geplanten Verschiebung des Inkrafttretens ratsam

Regulatorische Anforderungen im Bereich IT – Der VAIT-Konsultationsprozess und mögliche Folgen für das IT-Risikomanagement

Anforderungen an die IT von Versicherungsunternehmen sind jüngst im Zuge der aktuellen Konsultation sowie einem ersten Entwurf der BaFin zu den sogenannten VAIT (Versicherungsaufsichtliche Anforderungen an die IT) verstärkt in den regulatorischen Fokus gerückt. Ziel dieses Prozesses ist es, die allgemeinen Anforderungen an die Geschäftsorganisation von Versicherungsunternehmen nach § 23 Abs. 1 VAG in technisch-organisatorischer Hinsicht zu konkretisieren bzw. einen Maßstab zur Beurteilung der Angemessenheit zu liefern (vgl. auch Entwurf der VAIT in der Version vom 06.11.2017, S. 3).  Wichtige Anforderungen an die Bereiche des IT-Risikomanagements finden sich in dem Entwurf der VAIT vor allem zu:

• Informationsrisikomanagement

• IT-Betrieb (inkl. Datensicherung)

• IT-Projekte/Anwendungsentwicklung

• Benutzerberechtigungsmanagement

Im Sinne eines Informationsrisikomanagements ist das Risiko (Schadenspotenzial und Schadenshäufigkeit) der IT-Anwendung zu analysieren und zu überwachen. Die prozessualen und technischen Anforderungen wachsen mit dem Risiko. Hier empfiehlt sich im Rahmen einer Inventur der IT-Anwendungen die Zuordnung zu einer Schutzbedarfsklasse. Da IT-Systeme und ‑Prozesse die Integrität, Verfügbarkeit, Authentizität sowie Vertraulichkeit der verarbeiteten Daten sicherstellen sollen, fungieren die eben genannten Aspekte als Schutzziele. Als Indikator für die Zuordnung können z.B. Nutzerzahlen, Komplexitätsgrad und Datenvolumen, die Einbindung in wichtige Entscheidungsprozesse sowie die Art der generierten Daten der IT-Anwendung fungieren.

Bezüglich des IT-Betriebs bzw. der Datensicherung werden Anforderungen an die Richtigkeit der verwendeten Daten gestellt. Hier ist auf die Aktualität der Quelldaten, eine korrekte Berechnung sowie adäquate Sicherung der Daten vor Verlust zu achten. Um dies sicherzustellen sollte die Abfrage im Quellsystem standardisiert über festgelegte Selektionskriterien erfolgen, z.B. über eine Hintergrundverarbeitung. Die Vollständigkeit und unveränderte Speicherung kann durch entsprechende Techniken, z.B. Semaphore, Flag oder Hash-Summen-Techniken abgesichert werden. Quelldaten sind möglichst im Original zu übernehmen und sind (z.B. im Falle von Spreadsheets) in einem separaten Tabellenblatt vor Veränderungen geschützt zu speichern, während die Bearbeitung/Ergebnisse dann in anderen Tabellenblättern zu erfolgen haben.

Im Rahmen von IT-Projekten/der Anwendungsentwicklung besteht die Anforderung, IT-Projekte angemessen zu steuern, insbesondere unter Berücksichtigung der Risiken im Hinblick auf die Dauer, den Ressourcenverbrauch und die Qualität. Vor allem die von Fachbereichen selbst entwickelten Anwendungen (der sogenannten Individuellen Datenverarbeitung, IDV) sind mit einem erhöhten Risiko behaftet, so dass diese in den VAIT explizite Erwähnung finden. Bei IDV ergibt sich aufgrund der hohen Individualisierung das Problem, dass die Nachvollziehbarkeit des Programmcodes und seiner Versionen oftmals nicht sichergestellt ist, vor allem, wenn eine Datei weiterentwickelt bzw. regelmäßig überschrieben, dies jedoch nicht dokumentiert wird. Hier sollten Versionierungen für die IDV-Anwendung, d.h. Tabellenvorlagen, Programmdateien, Datenbanken und die zugehörigen Dokumente verpflichtend vorgeschrieben werden, was die Nachvollziehbarkeit von Änderungen der IDV erhöht. Generell sind u.a. Richtlinien zum Anforderungsmanagement, zur Programmierung, zur Dokumentation sowie Test- und Abnahmeverfahren für IDV festzulegen.

Es muss sichergestellt sein, dass die IDV-Anwendung unabhängig von der Person des Programmierers verwendet, angepasst und kontrolliert werden kann. Hilfreiche Dokumentationsschritte sind:

• Dokumentation der Entwicklungs- und Änderungsanforderungen für die jeweilig zu erstellende IDV-Anwendungs-Version.

• Architekturdokumentationen, die Datenquellen, einen Überblick zur Logik sowie zu den Ergebnissen der Anwendung enthalten,

• Programmdokumentationen, die auch im Quellcode durch ausführliche Kommentare erfolgen können und mit der jeweiligen Anwendungsversion abzulegen sind sowie ein

• Anwenderhandbuch, das auch in übergeordnete Prozessbeschreibungen eingebunden sein kann.

Im Rahmen des Benutzerberechtigungsmanagements ist sicherzustellen, dass den Anwendern angemessene Berechtigungen zugewiesen werden. Hier bieten sich einfache Beschränkungen der Zugriffsrechte bezüglich des Rechts zur Fehlerkorrektur sowie zu Updates der IT-Anwendung an, wie z. B. ein Zellschutz in Excel oder Access-Datenbanksicherheit. Ein besonders schutzbedürftiger Bereich kann vor allem die Rechenlogik sein. In diesem Zusammenhang müssen auch die verwendeten Verarbeitungsformeln und -regelungen richtig und gegen (ungewollte) Veränderungen geschützt sein, z. B. durch Zellschutz. Auch auf eine angemessene Funktionstrennung ist in diesem Zusammenhang zu achten. Vor allem IDV werden häufig nur durch den Programmierer selbst getestet bzw. plausibilisiert, was zu einer zweifelshaften Anwendungsqualität führt. Programmierung und Qualitätssicherung sollten deshalb von unterschiedlichen Personen vorgenommen werden. Ferner ist bei IDV häufig festzustellen, dass eine klare Trennung zwischen Test und Produktivversionen einer IDV und der Daten nicht umgesetzt ist. Um eine adäquate Kontrolle durch einen prozessunabhängigen Dritten zu gewährleisten und die versehentliche Änderung von Produktivdaten zu verhindern, sollte u.a. Folgendes beachtet werden:

• Strikte Trennung von Test- und Produktivumgebung (Daten- und Anwendungen), beispielsweise in unterschiedlichen Verzeichnissen,

• Nachvollziehbarkeit der Testdokumentation mit Bezug auf die getestete Version und die Testdaten,

• Vor dem Produktivstart ist sowohl die fachliche als auch die funktionale Abnahme für die produktiv zu setzende Version einer IDV-Anwendung zu gewährleisten und zu dokumentieren. Eine Kopie der abgenommenen respektive produktivgesetzten Version ist geschützt zu speichern und langfristig aufzubewahren.

• Es sollten regelmäßig interne Revisionen durch in der Revision angesiedelte IT-Experten durchgeführt werden. Die Interne Revision darf dabei nicht in die inhaltliche Gestaltung eingebunden sein, um deren Neutralität/Distanz zu wahren. Für kleinere Versicherungsunternehmen bietet sich hier durchaus das Co-Sourcing bzw. die gezielte Unterstützung durch externe Experten für die Interne Revision an.

Implikationen für die Bedeutung von RegTechs

Da praktisch jede regulatorische Neuerung zu einem mehr oder minder stark ausgeprägten Anpassungsbedarf der bestehenden IT-Systeme führt, ist ein Bedeutungszuwachs sogenannter RegTechs (regulatory technologies) zu verzeichnen, die auf die technischen Aspekte der Rechtskonformität spezialisiert sind. Dazu kombinieren RegTech-Firmen neue Technologien wie beispielsweise Big Data oder Blockchain mit regulatorischer Expertise, um Versicherungen bei der Umsetzung der Anforderungen zu unterstützen. Durch die Zusammenarbeit erhoffen sich Versicherungen eine schnelle Implementierung neuer Rechtsvorschriften in die Systemlandschaft. Typische Aufgaben, die RegTechs übernehmen, sind der Datenaustausch mit Regulierungsbehörden, die Datenanalyse oder das Reporting. Für Versicherer hat diese Digitalisierung den Vorteil, dass regulatorische Vorgänge zunehmend automatisiert und so effizienter umgesetzt werden können. Aus dem „notwendigen Übel“, regulatorische Anpassungen vorzunehmen, kann so eine Chance zur Hebung von Effizienzgewinnen entstehen. Allerdings verbleibt die Verantwortung für die korrekte Umsetzung und Implementierung der Prozesse beim VU. Inwieweit nur Dienstleistungen erbracht oder aber Outsourcing erfolgt, muss vom VU geprüft und durchdacht werden.

Fazit

Die Ausführungen zeigen, dass auf Versicherungen vielfältige neue regulatorische Anforderungen in den Bereichen Vertrieb und IT zukommen. Im Zusammenhang mit der IDD-Richtlinie resultiert dieser Änderungsbedarf daraus, dass die neuen regulatorischen Anforderungen sowohl über bestehende Gesetzgebung als auch in Teilen über die schon bestehenden freiwilligen Compliance-Vorschriften der Branche in Deutschland, wie den GDV-Verhaltenskodex, hinausgehen. Mit dem IT-Risikomanagement bzw. der IT-Sicherheit rücken weiteren Bereiche in den aufsichtsrechtlichen Fokus, die die zunehmende Digitalisierung der Branche und des Lebens reflektieren und die geeignete Maßnahmen zur Handhabung damit verbundener Risiken notwendig machen. Die immer größer werdende Anzahl an Vorgaben gepaart mit strengen Sanktionsmechanismen und zum Teil empfindlichen Geldbußen führen dazu, dass die Bedeutung regulatorischer Anforderungen weiter steigen wird. Erschwerend kommt hinzu, dass mit regulatorischen Änderungen auch ein Anpassungsbedarf im IT-Bereich einhergeht. An diesem Punkt setzen RegTechs an, die mit ihrer Expertise sowohl im Bereich Regulatorik als auch bei IT eine effiziente Umsetzung der notwendigen Veränderungen anstreben. Vor diesem Hintergrund können regulatorische Veränderungen auch  Anstoß für eine Prozessverbesserung sein.