Ein Interview mit Rechtsanwalt Daniel Blazek über die Anordnung der BaFin gegen die SIGNAL IDUNA Lebensversicherung a.G.
Redaktion:
Herr Blazek, die BaFin hat gegenüber der SIGNAL IDUNA Lebensversicherung a.G. angeordnet, eine ordnungsgemäße Geschäftsorganisation im Bereich der IT sicherzustellen. Was steckt aus Ihrer Sicht juristisch hinter dieser Maßnahme?
Daniel Blazek:
Zunächst einmal handelt es sich hier um eine aufsichtsrechtliche Maßnahme auf Grundlage des Versicherungsaufsichtsgesetzes – konkret § 298 Abs. 1 VAG in Verbindung mit § 294 Abs. 2 VAG. Die BaFin hat offenbar im Rahmen einer Prüfung festgestellt, dass die IT-Organisation bei SIGNAL IDUNA nicht den gesetzlichen Anforderungen genügt. Das betrifft insbesondere die Vorschriften zur ordnungsgemäßen Geschäftsorganisation gemäß § 23 Abs. 1 VAG. Die Folge ist, dass Missstände abgestellt werden müssen – und zwar verbindlich.
Redaktion:
Was bedeutet „ordnungsgemäße Geschäftsorganisation“ in diesem Zusammenhang konkret – insbesondere mit Blick auf die IT?
Daniel Blazek:
Die Vorschriften verlangen, dass ein Versicherer über eine Geschäftsorganisation verfügt, die seiner Geschäftstätigkeit angemessen ist – das schließt ausdrücklich die technisch-organisatorische Ausstattung mit ein. Im Bereich IT heißt das: Es müssen unter anderem funktionierende IT-Prozesse, eine belastbare IT-Governance, angemessene Sicherheitsstandards und klare Verantwortlichkeiten vorhanden sein. Die IT muss nicht nur „funktionieren“, sie muss auch regulatorisch belastbar sein.
Redaktion:
Welche Konsequenzen hat eine solche Anordnung für das betroffene Unternehmen?
Daniel Blazek:
Zunächst ist klar: Die Anordnung ist bestandskräftig – sie kann also nicht mehr rechtlich angegriffen werden. Das Unternehmen muss nun die Mängel fristgerecht beseitigen und zudem regelmäßig über den Umsetzungsstand berichten. Solche Berichte an die BaFin unterliegen hohen Anforderungen, sowohl inhaltlich als auch formal. Sollte SIGNAL IDUNA hier nicht ausreichend liefern, kann die BaFin weitere Maßnahmen ergreifen – etwa eine Zwangsgeldandrohung oder, im schlimmsten Fall, einen Eingriff in die Geschäftsleitung.
Redaktion:
Wie häufig sind solche Maßnahmen der BaFin? Und was bedeutet das für die gesamte Branche?
Daniel Blazek:
Solche Maßnahmen sind keineswegs Alltag – schon gar nicht bei einem etablierten Versicherungsunternehmen wie SIGNAL IDUNA. Ihre Veröffentlichung nach § 319 VAG zeigt aber, wie ernst die BaFin das Thema IT-Compliance nimmt. Die Zeiten, in denen IT als „rein technische Frage“ galt, sind vorbei. Heute geht es um Governance, Risiko-Management und regulatorische Integrität. Die Versicherungsbranche insgesamt wird das aufmerksam beobachten.
Redaktion:
Gibt es für Versicherer eine Art „Frühwarnsystem“, um solchen Maßnahmen vorzubeugen?
Daniel Blazek:
Ja – und sie sollten es dringend nutzen. Dazu zählen regelmäßige interne Audits, unabhängige IT-Prüfungen, eine kritische Selbstbewertung der eigenen Governance-Strukturen und ein aktiver Austausch mit der Aufsicht. Die Anforderungen an IT-Systeme sind heute so hoch, dass ein proaktives Management Pflicht ist. Wer nur reagiert, wenn die BaFin vor der Tür steht, hat meist schon zu spät gehandelt.
Redaktion:
Herr Blazek, vielen Dank für das Gespräch.
Kommentar hinterlassen