Outsourcing

Für Versicherungsunternehmen kann es ökonomisch sinnvoll sein, Funktionen oder Tätigkeiten im Zuge von Outsourcing aus dem eigenen Unternehmen auszulagern. Da dies auch Risiken birgt, ist Outsourcing ein elementarer Teil des Governance-Systems im Rahmen der zweiten Säule von Solvency II.

Begriffliche und rechtliche Einordnung

Unter Outsourcing ist die Auslagerung unternehmerischer Funktionen oder Tätigkeiten an Drittunternehmen zu verstehen. Entscheidet sich eine Gesellschaft für Outsourcing, werden originär intern produzierte Leistungen nicht mehr selbst erstellt, sondern von extern bezogen. Hierfür geben zumeist betriebswirtschaftliche Erwägungen den Ausschlag, um Effizienzvorteile zu generieren. Eine Auslagerung kann das Risikoprofil eines Versicherungsunternehmens positiv beeinflussen und den Grad der Risikoexponierung insgesamt verringern, sofern der externe Dienstleister für das ausgelagerte Tätigkeitsfeld Größen- bzw. Spezialisierungsvorteile besitzt. Diese können beispielsweise in höherem Fachwissen, einer überlegenen Technik oder geringeren Produktionskosten zum Ausdruck kommen.
Outsourcing birgt für das auslagernde Versicherungsunternehmen jedoch auch spezifische Risiken, die primär operationeller Natur sind. Sie manifestieren sich beispielsweise in rechtlich nicht haltbaren Vertragsgestaltungen, unsicheren Datenschnittstellen oder schlichtweg der Schlechterfüllung der Leistung durch das Drittunternehmen. Insbesondere der Übertragung von Aufgaben, die einen Bezug zum Versicherungsnehmer aufweisen, steht das Aufsichtsrecht kritisch gegenüber, da die aufsichtliche Überwachung infolge des Outsourcings erschwert wird. Daher stellt die sorgfältige Gestaltung der damit zusammenhängenden Prozesse eine wesentliche Anforderung an das Governance-System von Versicherungsunternehmen dar. Dies ist in der Solvency-II-Rahmenrichtlinie (SII-RRL) explizit verankert. Auch in den aufsichtsrechtlichen Mindestanforderungen an die Geschäftsorganisation von Versicherungsunternehmen (MaGo) nimmt das Outsourcing-Recht einen eigenen Stellenwert ein.1

Im deutschen Rechtsrahmen wird der Begriff der Ausgliederung im Versicherungsaufsichtsgesetz (VAG) bestimmt. Nach der Legaldefinition

in § 7 Nr. 2 VAG ist eine Ausgliederung „eine Vereinbarung jeglicher Form zwischen einem Versicherungsunternehmen und einem Dienstleister, auf Grund derer der Dienstleister […] einen Prozess, eine Dienstleistung oder eine Tätigkeit erbringt, die ansonsten vom Versicherungsunternehmen selbst erbracht werden würde“. Unter Berücksichtigung der geltenden Maßgaben ist es möglich, sämtliche Schlüsselfunktionen und definierte Schlüsselaufgaben auszugliedern. Dabei unterliegen grundsätzlich alle versicherungstypischen Funktionen oder Tätigkeiten sowie alle weiteren Sachverhalte, die die Belange der Versicherten gefährden könnten, der spezifischen Ausgliederungs-Kontrolle durch die Aufsichtsbehörde.2
Somit sind Versicherungstätigkeiten und wichtige3 versicherungstypische Funktionen von sonstigen versicherungstypischen Aktivitäten abzugrenzen. Neben Schlüsselfunktionen und selbst definierten Schlüsselaufgaben sind folgende Bereiche wichtige Tätigkeiten:4

  • Vertrieb
  • Bestandsverwaltung
  • Leistungsbearbeitung
  • Berechnung der versicherungstechnischen Rückstellungen nach Solvency II und HGB
  • Rechnungswesen
  • Vermögensanlage und -verwaltung
  • Elektronische Datenverarbeitung im Hinblick auf ihrerseits wichtige versicherungstypische Tätigkeiten

Sofern ein Unternehmen Schlüsselaufgaben ausgliedern möchte, fordern die MaGo zudem die Benennung eines Ausgliederungsbeauftragten, der die Ausgliederung überwacht.5
Die Absicht, wichtige Funktionen oder Versicherungstätigkeiten auszulagern, ist nach § 47 Nr. 8 VAG unter Vorlage des Vertragsentwurfs bei der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) anzuzeigen.

Anforderungen nach § 32 VAG und den MaGo

Den Vorgaben des § 32 Abs. 1 VAG folgend, bleibt das outsourcende „Versicherungsunternehmen […] für die Erfüllung aller aufsichtsrechtlichen Vorschriften und Anforderungen verantwortlich“. Dabei ist darauf zu achten, dass die ausgegliederten Funktionen und Aufgaben ordnungsgemäß ausgeführt werden, die Steuerungs- und Kontrollmöglichkeiten der Geschäftsleitung gewahrt bleiben und die Prüfungs- und Kontrollrechte der Aufsichtsbehörde nicht beeinträchtigt werden.
Im Falle einer Ausgliederung bleibt die Letztverantwortung der Geschäftsleitung ausdrücklich bestehen.6 Im Umkehrschluss bedeutet dies, dass ausgegliederte Aktivitäten stets in der gesamtverantwortlichen Kontrolle der Geschäftsleitung und damit im Zugriff des unternehmenseigenen Risikomanagements verbleiben müssen. Daraus folgt auch, dass keinesfalls das komplette Risikomanagementsystem oder interne Kontrollsystem ausgelagert werden darf, sondern allenfalls – unter Berücksichtigung einer sorgfältigen Risikoabwägung – bestimmte Teilfunktionen davon. Dienstleister können in diesen Bereichen nur unterstützend beratend eingebunden werden.7
Die MaGo sehen ferner vor, dass die Frage nach dem „Make-or-Buy“ stets erst nach einer sorgfältigen Risikoanalyse unter Einbeziehung der betroffenen Organisationseinheiten zu beantworten ist. Im Zuge dessen sind die mit der Ausgliederung verbundenen Risiken zu identifizieren, zu analysieren, zu bewerten und sodann angemessen zu steuern. Wird für einen Dienstleister ein Mehrfachmandat vergeben, so ist ein besonderes Augenmerk auf Konzentrationsrisiken zu legen.8
Welche Aktivitäten und Prozesse überhaupt ausgelagert werden können, ergibt sich aus der unternehmensindividuellen Risikosituation. Für

deren Einschätzung und die vertragliche Gestaltung von Outsourcing sind folgende Kriterien9 zugrunde zu legen:

  • Hinreichender Spezifizierungsgrad der auszulagernden Leistung
  • Festlegung von Informations- und Prüfungsrechten der internen Revision und externen Prüfer
  • Sicherstellung der Informations- und Prüfungsrechte sowie der Kontrollmöglichkeiten der Aufsicht
  • Gestaltung von Weisungsrechten
  • Beachtung der datenschutzrechtlichen Bestimmungen
  • Vereinbarung angemessener Kündigungsfristen
  • Sicherstellung, dass das Unternehmen, auf welches ausgegliedert wird, die versicherungsaufsichtsrechtlichen Anforderungen einhält
  • Verpflichtung des ausgliedernden Unternehmens, den Dienstleister über Entwicklungen zu informieren, die die ordnungsgemäße Leistungserfüllung beeinträchtigen

Da sich die zugrunde liegenden Risikofaktoren im Zeitverlauf ändern können, reicht eine einmalige Betrachtung nicht aus. Vielmehr müssen Unternehmen ihre Outsourcing-Prozesse fortlaufend beobachten, ihre Risikoanalyse und –bewertung bedarfsweise anpassen und die Ausgliederung notfalls beenden. Im Falle der Beendigung muss die Wiedereingliederung der ausgelagerten Funktion bzw. Dienstleistung ohne Qualitätseinbußen erfolgen (können). Dies wird in der Regel größere organisatorische Anpassungen und den Auf- bzw. Wiederaufbau von Know-how und Technik im eigenen Unternehmen nach sich ziehen.

Anforderungen nach der Solvency-II-Rahmenrichtlinie

Grundlegende Vorgaben zum Outsourcing sind auch bereits in der Solvency-II-Rahmenrichtlinie verankert. Gemäß der Begriffsbestimmung in Art. 13 Nr. 28 handelt es sich bei Outsourcing um „eine Vereinbarung jeglicher Form, die zwischen einem Versicherungs- oder Rückversicherungsunternehmen und einem Dienstleister getroffen wird, bei dem es sich um ein beaufsichtigtes oder nichtbeaufsichtigtes Unternehmen handeln kann, aufgrund derer der Dienstleister direkt oder durch weiteres Outsourcing einen Prozess, eine Dienstleistung oder eine Tätigkeit erbringt, die ansonsten vom Versicherungs- oder Rückversicherungsunternehmen selbst erbracht werden würde“. Outsourcing an Dienstleister in Nicht-EU-Ländern ist demnach grundsätzlich möglich, ebenso wie „Sub-Outsourcing“.
Des Weiteren stellt die Solvency-II-Rahmenrichtlinie explizite Anforderungen an die Beaufsichtigung outgesourcter Funktionen und Tätigkeiten (Art. 38 SII-RRL) sowie die generelle Zulässigkeit von Outsourcing (Art. 49 SII-RRL).
Die Zulässigkeit knüpft daran an, dass die Versicherungsunternehmen auch bei ausgelagerten Funktionen für die Erfüllung von Solvency II vollumfänglich verantwortlich bleiben.
Insofern muss das auslagernde Unternehmen stets ein hinreichendes Maß an Einflussnahme und Kontrolle auf die Tätigkeit des externen Dienstleisters gewährleisten (siehe auch Abbildung 1).

Die Solvency-II-Rahmenrichtlinie stellt wie der nationale Rechtsrahmen nach VAG hinsichtlich der

Zulässigkeit von Outsourcing explizit auf die Wichtigkeit der ausgelagerten Leistung ab (Art. 49 Abs. 2 SII-RRL). Demnach gelten für die Auslagerung kritischer oder wichtiger operativer Funktionen oder Tätigkeiten besondere Anforderungen:

  • Die Qualität des Governance-Systems des betreffenden Unternehmens darf nicht wesentlich beeinflusst sein.
  • Das operationelle Risiko darf nicht übermäßig gesteigert werden.
  • Die Fähigkeit der Aufsichtsbehörden, die Einhaltung der Verpflichtungen des Unternehmens zu überwachen, darf nicht beeinträchtigt werden.
  • Die kontinuierliche und zufriedenstellende Dienstleistung für die Versicherungsnehmer darf nicht gefährdet werden.

Hinsichtlich ihrer Bedeutung und ihres universellen Wesenscharakters können diese Vorgaben als allgemeingültig verstanden werden, deren Einhaltung bei Outsourcing generell sinnvoll erscheint.
Für das Outsourcing kritischer oder wichtiger Funktionen oder Tätigkeiten besteht ferner die Pflicht, die Aufsichtsbehörde zu informieren (Art. 49 Abs. 3 SII-RRL). Der Aufsichtsbehörde wiederum kommen für alle getroffenen Auslagerungen weitreichende Prüfkompetenzen zu, etwa indem sie unmittelbaren Zugang zu den Geschäftsräumen und auslagerungsrelevanten Daten des externen Dienstleisters erhält (Art. 38 Abs. 1 SII-RRL).

Outsourcing im Aufsichtssystem unter Solvency II
Abbildung 1: Outsourcing im Aufsichtssystem unter Solvency II (Quelle: Eigene Darstellung)

Fazit

Dem Charakter des Lamfalussy-Verfahrens entsprechend konkretisieren die Anforderungen an ein ordnungsgemäßes Outsourcing im VAG und in den MaGo die Vorgaben der Solvency-II-Rahmenrichtlinie. Hinsichtlich der Zulässigkeitsvoraussetzungen sowie der Bedeutung unternehmerischer und aufsichtsbehördlicher Kontrollen gehen sie in eine ähnliche Richtung. Diese zielt im Kern darauf ab, dass Versicherungsunternehmen der Aufsicht umfassende Prüfrechte zu den Outsourcing-Aktivitäten einräumen. Zugleich hat das auslagernde Unternehmen unter Risikogesichtspunkten besonders sorgfältige Maßstäbe an das eigene Outsourcing zu legen.
Aus der Natur von Auslagerungen ergibt sich, dass die Konstellation zwischen Aufsichtsbehörde und beaufsichtigtem Versicherungsunternehmen um einen weiteren Akteur, den externen Dienstleister, erweitert wird. Die MaGo beziehen diesen mittelbar in den Aufsichtskontext ein, indem sie dem auslagernden Unternehmen grundlegende Gestaltungsprinzipien für Outsourcing-Verträge vorgeben. Solvency-II-Rahmenrichtlinie und VAG sehen darüber hinaus unmittelbare Überwachungshandlungen der Aufsichtsbehörde im Unternehmensspektrum des Dienstleisters vor.
Das Outsourcing von Tätigkeiten an externe Dienstleister spielt in Deutschland aufgrund der Regelungen des § 203 Strafgesetzbuch (StGB) in der Praxis eine untergeordnete Rolle. Hiernach macht sich strafbar, wer „unbefugt ein fremdes Geheimnis, namentlich ein zum persönlichen Lebensbereich gehörendes Geheimnis oder ein Betriebs- oder Geschäftsgeheimnis, offenbart, das ihm als […] Angehörigen eines Unternehmens

der privaten Kranken-, Unfall- oder Lebensversicherung […] anvertraut worden oder sonst bekanntgeworden ist“. Somit laufen Versicherer bei der Beauftragung von Dienstleistern Gefahr, dass die Mitarbeiter straffällig werden, wenn Geheimnisse an Dienstleister übermittelt werden, ohne dass eine Einwilligung der betroffenen Versicherten vorliegt.10 Infolgedessen wird in der Versicherungswirtschaft insbesondere gruppeninternes Outsourcing genutzt, welches den Unternehmen trotz des Spartentrennungsgebots ermöglicht, betriebswirtschaftliche Skaleneffekte rechtsträgerübergreifend zu realisieren. Während gruppeninternes Outsourcing in der Solvency-II-Rahmenrichtlinie keine Berücksichtigung findet, wird es in den MaGo explizit adressiert. Demnach ist bei gruppeninterner Ausgliederung darauf zu achten, dass diese nicht mit weniger Sorgfalt oder einer weniger intensiven Überwachung einher- geht. Gleichzeitig kann gruppeninternes Outsourcing Erleichterungen rechtfertigen, die sich im Einzelfall ergeben.11
Mit den MaGo werden Auslegungshinweise zu den Regelungen des VAG und der Solvency-II-Rahmenrichtlinie gegeben, sofern diese die Geschäftsorganisation von Versicherungsunternehmen betreffen. Die fehlende gesetzliche Legitimierung der Interpretationsregelungen der MaGo ist insbesondere dann von Bedeutung, wenn neue Inhalte adressiert werden, deren Existenz in dem zu interpretierenden Recht keine Grundlage finden. Dies gilt beispielsweise für die Forderung der MaGo nach einem Ausgliederungsbeauftragten, die sich weder in den europäischen Vorgaben noch im deutschen VAG wiederfindet.12

1 Während die Solvency-II-Rahmenrichtlinie, die Delegierte Verordnung und die Leitlinien der EIOPA überwiegend den Begriff Outsourcing verwenden, wird sowohl im VAG als auch in den MaGo der Begriff der Ausgliederung angewandt, der synonym zu verstehen ist.

2 Vgl. MaGo, Rn 238ff.

3 Sofern sich europäische Rechtstexte auf kritische Funktionen beziehen, sind die Anforderungen an wichtige Funktionen anzuwenden.

4 Vgl. MaGo, Rn 252ff.

5 Vgl. MaGo, Rn 266ff.

6 Vgl. MaGo, Rn 243.

7 Vgl. MaGo, Rn 242f.

8 Vgl. MaGo, Rn 247ff.

9 Kriterienkatalog in Anlehnung an § 32 VAG und MaGo, Rn 247ff.

10 Anfang 2017 hat die Bundesregierung eine Anpassung des § 203 StGB beschlossen. Hiernach soll zukünftig das Offen-baren von geschützten Geheimnissen gegenüber Personen, die an der dienstlichen Tätigkeit des Berufsgeheimnisträgers mitwirken, nicht strafbar sein, wenn dies für die ordnungs-gemäße Durchführung der Tätigkeit der mitwirkenden Person erforderlich ist.

11 Vgl. MaGo, Rn. 274ff.

12 Vgl. Krimphove, Dieter: Das BaFin-Rundschreiben „Aufsichtsrechtliche Mindestanforderungen an die Geschäftsorganisation von Versicherungsunternehmen“ (MaGo), in Versicherungsrecht Nr. 06/2017, S. 326 ff.

Artikel ausdrucken: