Seit dieser Woche ist das BaFin-Rundschreiben 09/2025 (VA) zu den aufsichtsrechtlichen Mindestanforderungen an die Geschäftsorganisation von Versicherungsunternehmen unter Solvabilität II (MaGo für SII-VU) in Kraft.
Inhaltsverzeichnis
Umsetzungsfrist abgelaufen
Mit Ablauf der Umsetzungsfrist erwartet die BaFin nun, dass die betroffenen Erst- und Rückversicherer sowie adressierte Holdinggesellschaften – jeweils proportional und prinzipienorientiert – Governance, Aufbau- und Ablauforganisation und vor allem das Risikomanagement an die geänderten Anforderungen angepasst haben, ihre Anpassungen dokumentiert haben und vor allem ab sofort auch in der Praxis „leben“.
Zwar hat die BaFin nach eigener Aussage keine grundlegenden Änderungen vorgenommen, es wurde jedoch manches konsolidiert (insbesondere auch FAQ integriert) und bestimmte Governance-relevante Themen quasi ausgegliedert, etwa die Anforderungen an die Geschäftsorganisation in Bezug auf Eigenmittel in das neue Merkblatt 2-2025 (VA) – wie schon in der Vergangenheit etwa die Anforderungen an den Grundsatz der unternehmerischen Vorsicht („Prudent Person Principle“ – PPP, Rundschreiben 05/2025 (VA)) oder die Anforderungen an die unternehmenseigene Risiko- und Solvabilitätsbeurteilung („Own Risk and Solvency Assessment“ – ORSA). Diese und weitere neben den MaGo bestehenden Veröffentlichungen werden von den neuen MaGo nicht berührt und sind nach wie vor zu beachten.
Anderes zeigt sich eher in Nuancen, macht aber sehr deutlich, welche grundlegenden Aspekte in der Aufsichtspraxis der BaFin an Bedeutung gewinnen.
Dokumentation im Fokus
Beispielsweise legt die BaFin einen immer stärkeren Fokus auf eine ausreichend nachvollziehbare Dokumentation von Strukturen, Prozessen und Kriterien der Entscheidungsfindung in den Unternehmen. Dies zeigte sich zuletzt auch – und zwar sektorenübergreifend – in DORA- oder Geldwäsche-Prüfungen: Mängel in der Dokumentation erschweren den Prüfern das Nachvollziehen von relevanten Sachverhalten und bedeuten Feststellungen im Prüfungsbericht.
In den neuen MaGo zeigt sich dies etwa betreffend den Wesentlichkeitsgrundsatz im Risikomanagement: Musste die gesamte Geschäftsleitung schon bisher zur Bestimmung aller wesentlichen Risiken anhand geeigneter und nachvollziehbarer Kriterien dem Risikoprofil angemessene unternehmensindividuelle Wesentlichkeitsgrenzen „beschließen“, so sind diese Wesentlichkeitsgrenzen sowie vor allem auch die Kriterien zu deren Bestimmung nun ausdrücklich „schriftlich festzuhalten“.
Gesamtverantwortung der Geschäftsleitung
Ein weiterer wesentlicher Punkt für das Verständnis der BaFin-Sicht lässt sich ebenfalls anhand der Wesentlichkeitsgrenzen festmachen: Ging sie bisher davon aus, dass zwar die gesamte Geschäftsleitung die einheitliche Anwendung der Wesentlichkeitsgrenzen sicherstellt, diese Zuständigkeit aber auf einen oder mehrere Geschäftsleiter delegiert werden konnte, ist von einer solchen Delegierbarkeit in der Neufassung der MaGo an der gleichen Stelle keine Rede mehr.
Vielmehr hebt die BaFin die Bedeutung der Gesamtverantwortung hervor, indem sie zum einen klarstellt, dass die Gesamtverantwortung der Geschäftsleitung unabhängig von einer Ressortverteilung besteht, und zum anderen – anders als noch in der Altfassung –ein Abweichen von der Gesamtverantwortung gar nicht mehr andeutet. Folgerichtig ist auch die Delegierbarkeit der Festlegung von Anlässen für Ad-hoc-Überprüfungen der einzelnen (schriftlichen) Leitlinien entfallen.
Weitere Neuerungen
Neben den genannten prinzipiellen Aspekten haben selbstverständlich inhaltliche bzw. operative Themen Eingang in die MaGo gefunden, beispielsweise Hinweise zu Nachhaltigkeitsrisiken, die den über die Jahre gestiegenen regulatorischen Anforderungen auch in der Governance von Versicherern Rechnung tragen sollen; Hinweise betreffend die Schlüsselfunktionen; oder detaillierte Anforderungen an (Versicherungs-)Gruppen zur Verbesserung der Gruppenaufsicht. Die in Zeiten von KI und DORA immer wichtigeren automatisierten Geschäftsabläufe erhalten ein eigenes Unterkapitel 9.5, ebenso wie der passiven Rückversicherung und anderen Risikominderungstechniken ein neuer Unterabschnitt 11.2.2. im Risikomanagementsystem gewidmet ist.
Schließlich stellt die BaFin in Anlehnung an § 7 Nr. 2 VAG beim Thema Ausgliederung durch Streichung der Formulierung „versicherungstypisch“ bei den ihrer Kontrolle unterliegenden Funktionen und Tätigkeiten (nur noch) darauf ab, ob das Versicherungsunternehmen eine betreffende Funktion oder Tätigkeit ansonsten selbst erbringen würde. Mit der kumulativen Prüfung, ob eine Funktion oder Versicherungstätigkeit im Sinne des § 32 VAG vorliegt, grenzt die BaFin ihre spezifische Ausgliederungskontrolle ein.
Was heißt das für Versicherer in der Praxis?
Insgesamt sorgen die neuen MaGo in vielen Punkten für Klarheit bei teils schon länger relevanten Themen. Mit vielen Anpassungen im Detail haben sich Geschäftsleitung und Fachbereiche der adressierten Unternehmen beschäftigt und werden dies fortlaufend weiter tun müssen.
Besonders relevant ist jedoch der immer wieder in den MaGo durchschimmernde Fokus auf die Dokumentation, eine „saubere“ schriftlich fixierte Ordnung, sowie auf die Gesamtverantwortung der Geschäftsleitung. Daraus ergibt sich, dass Governance und Risikomanagement auch in der Breite des Unternehmens eine immer stärkere Rolle einnehmen sollten – Silos funktionieren langfristig nicht.
Versicherer sind gut beraten, ihr Augenmerk auf die konkrete Umsetzung und Dokumentation von organisatorischer und prozessualer Governance, einschließlich der Entscheidungsfindung auf Basis vordefinierter Kriterien, zu richten. Angesichts der Komplexität und Größe vieler Unternehmensorganisationen gehört dazu auch, im Unternehmen bzw. der Unternehmensgruppe Verständnis für und Transparenz über diese Themen zu schaffen. Dies erleichtert die Kommunikation mit und zwischen allen relevanten (Gruppen-)Gesellschaften und Fachbereichen, welche ein Unternehmen oftmals erst in die Lage versetzt, Sachverhalte und Risiken zu ermitteln und das eigene Risikoprofil zu schärfen.
Nur ein Unternehmen, das interne und externe Sachverhalte und Risiken kennt, kann mit diesen auch angemessen umgehen.
