Rezension: Dreher/Gerigk, IT- und Cloud-Dienste
Versicherungsaufsicht bei Ausgliederung, Ein problem- und praxisorientierter rechtlicher Wegweiser
Versicherungsunternehmen setzen mehr denn je IT- und Cloud-Dienste ein und kaufen IT-Dienste oft gruppenintern, immer häufiger aber von externen IT-Dienstleistern ein. Das Einkaufen von IT- und Cloud-Diensten qualifiziert nach dem deutschen und dem europäischen Versicherungsaufsichtsrecht als Ausgliederung. Bislang sind die gesetzlichen Bestimmungen für Ausgliederungen im deutschen Versicherungsaufsichtsgesetz (VAG) noch wenig detailliert. Sowohl die BaFin als auch die EIOPA haben in den vergangenen Jahren eine Vielzahl an Verlautbarungen mit Konkretisierungen, insbesondere zu den betreffenden Governance-Anforderungen an die Unternehmen und den erforderlichen Inhalten eines Vertrags über die Ausgliederung „wichtiger Funktionen“ in die Cloud, veröffentlicht.
Dreher und Gerigk geben mit ihrem Buch nun genau den praxisorientierten guten und zuverlässigen Überblick über die bis Juni 2020 bestehenden gesetzlichen Bestimmungen und aufsichtsbehördlichen Verlautbarungen sowie über wesentliche Fragestellungen in der Praxis, den sie in ihrem Vorwort ausdrücklich versprechen: Die Kapitel I. und II. des Buchs führen mit einem kurzen guten Überblick über IT- und Cloud-Dienste und die gesetzlichen Grundlagen (Artikel 274 Solva II-DVO (EU) 2015/35 und § 32 VAG) in die Thematik ein. Besonders hervorzuheben ist hier die rechtliche Einordnung von aufsichtsbehördlichen Verlautbarungen am Ende von Kapitel I.: Die Autoren weisen auf das spannende Urteil des Hessischen Verwaltungsgerichtshofs vom 30. April 2020 hin, welches der Bindungswirkung von aufsichtsbehördlichen Verlautbarungen gegenüber Versicherungsunternehmen rechtstaatliche Grenzen aufweist – das Urteil ist bislang nicht rechtskräftig, sondern liegt aktuell dem Bundesverwaltungsgericht zur Überprüfung vor. Erst nach dieser wichtigen rechtlichen Einordnung stellen die Autoren in den Kapiteln III. und IV. die Details des 8. Abschnitts des BaFin-Rundschreibens VAIT in der Version von April 2018 und der seit dem 1. Januar 2021 anwendbaren EIOPA-Leitlinien zum Outsourcing an Cloud-Anbieter (EIOPA-BoS-20-002) und schließlich – in einem eigenen Kapitel – die Details des als Orientierungshilfe zu Auslagerungen an Cloud-Anbieter bezeichneten gemeinsamen Merkblatts von BaFin und Deutscher Bundesbank von November 2018 dar. Durch die Aufteilung der Darstellung in zwei Kapitel kommt es auf zehn Seiten zu einer Doppelung der Themenbereiche, die in den verschiedenen Verlautbarungen allerdings auch unterschiedlich behandelt werden.
In der Praxis – bei der Gestaltung von Cloud-Ausgliederungsverträgen und betreffender Kommunikation mit der BaFin – unerlässlich und somit besonders hilfreich ist die Zusammenschau der Governance-Anforderungen und der aufsichtsbehördlich geforderten Vertragsinhalte, welche die Autoren dann in Kapitel V. des Buchs in ihrer thesenartigen Zusammenfassung anbieten – das besonders gelungene Herzstück des Buchs! Ebenso hilfreich ist der Abdruck der wesentlichen aktuellen Rechtsquellen und (teilweise auch Auszügen der behördlichen) Verlautbarungen auf den letzten 50 Seiten – hierdurch wird das Buch zum kompakten praxistauglichen Begleiter im beruflichen Alltag. Die Stärke dieses Buchs liegt ganz klar darin, dass es das nötige Praxiswissen zum Thema Ausgliederung in die Cloud dem versicherungsaufsichtsrechtlich interessierten Leser auf sehr anschauliche und kompakte Weise nahebringt.
Fazit Nr. 1: Diese Neuerscheinung kann jedem, der sich mit Ausgliederungsverträgen zu Cloud-Diensten befasst, mit besonderem Nachdruck empfohlen werden!
Fazit Nr. 2: Dieses Buch von Dreher/Gerigk schreit geradezu nach einer 2. aktualisierten Auflage im Jahr 2022! Denn die Rechtssetzung zu den IT- und Cloud-Diensten in Versicherungsunternehmen schreitet unaufhörlich voran. Fast zeitgleich zum Erscheinen des Buchs legte die EU-Kommission am 24. September 2020 ihren Vorschlag für eine „Verordnung über die Betriebsstabilität digitaler Systeme des Finanzsektors“ (englisch „Digital Operational Resilience Act“ oder auch kurz „DORA“ genannt) vor, welcher bis Ende 2021 verabschiedet werden soll. Der DORA sieht unter anderem neue strenge, weil mit teilweise sehr kurzen Fristen versehene Berichtspflichten der Unternehmen im Finanzdienstleistungssektor gegenüber den Aufsichtsbehörden im Fall von schwerwiegenden Vorfällen in Bezug auf ihre Informations- und Kommunikationstechnologien (IKT) vor. Der europäische Gesetzgeber hat zudem das Risiko der Abhängigkeit der europäischen Finanzdienstleister von wenigen IKT-Dienstleistern im Blick und fordert ein verstärktes fortgesetztes Monitoring insbesondere der Cloud Provider. Auch der deutsche Gesetzgeber – aktuell gebeutelt vom Wirecard-Skandal – ist zwischenzeitlich tätig geworden: Am 1. Januar 2021 legte die Regierung dem Bundesrat den Entwurf für ein Gesetz zur Stärkung der Finanzmarktintegrität (Finanzmarktintegritätsstärkungsgesetz, kurz auch „FISG“) vor, welches unter anderem eine Ergänzung von § 32 VAG im Hinblick auf Anbieter in Drittstaaten vorsieht.
Dr. Gunbritt Kammerer-Galahn, Fachanwältin für Versicherungsrecht, Partnerin der Sozietät Taylor Wessing PartG mbB und Leiterin der dortigen Versicherungsrechtspraxis.
Verlag Versicherungswirtschaft, Karlsruhe 2020, 165 S., ISBN 978-3-96329-329-0, 34 €