In Rahmen der Geschäftsorganisation haben Versicherer Notfallpläne zu entwickeln, um die Kontinuität und die Ordnungsmäßigkeit ihrer Tätigkeiten in Störfallen, Notfällen und Krisen zu gewährleisten. Zu diesem Zweck sind geeignete und verhältnismäßige Systeme, Verfahren und Ressourcen zu verwenden.
Geschäftsorganisation
Versicherungsunternehmen müssen nach § 23 Abs. 1 S. 1 VAG über eine wirksame und ordnungsgemäße Geschäftsorganisation verfügen. Diese Geschäftsorganisation soll für eine solide und umsichtige Leitung des Unternehmens sorgen und sicherstellen, dass die relevanten Gesetze, Verordnungen und aufsichtsbehördlichen Anforderungen eingehalten werden (§ 23 Abs. 1 S. 2 VAG; siehe auch DVO, S. 14). Aufsichtsrechtlich werden die Begriffe Geschäftsorganisation und Governance-System synonym verwendet (Vgl. MaGo, Rn. 5).
Eine wirksame und ordnungsgemäße Geschäftsorganisation beinhaltet aufsichtsrechtlich u. a.:
- angemessene, transparente Organisationsstruktur,
- wirksames internes Kontrollsystem (IKS),
- adäquat ausgestaltete Schlüsselfunktionen,
- wirksames unternehmensinternes Kommunikationssystem,
- schriftliche Leitlinien und eine nachvollziehbare Dokumentation,
- regelmäßige interne Überprüfung.
Gesetzliche Grundlagen
Die Anforderungen an die Notfallplanung werden im Wesentlichen in folgenden gesetzlichen und rechtlichen Vorschriften beschrieben:
| Solvency-II-Richtlinie | Artikel 41 Abs. 4 |
| VAG | § 23 Abs. 4 |
| Delegierten Verordnung | Artikel 244 (d), Artikel 258 Abs. 3, Artikel 274 Abs. 5 (d), Artikel 355 |
| EIOPA-Leitlinien zum Governance-System | Leitlinie 8 u. 63 |
| Mindestanforderungen an die Geschäftsorganisation (MaGo) | Rn. 289 u. 293 ff. |
| Bürgerliches Gesetzbuch (BGB) | §§ 617 bis 619 |
Notfallplanung
Versicherungsunternehmen haben nach § 23 Abs. 4 VAG angemessene Vorkehrungen, einschließlich der Entwicklung von Notfallplänen, zu treffen, um die Kontinuität und Ordnungsmäßigkeit ihrer Tätigkeiten zu gewährleisten.
Mögliche Notfälle (Unternehmenskrisen) können bspw. durch Naturkatastrophen, wie Überschwemmungen, Sturm oder Erdbeben, oder aufgrund von Terrorangriffen, schweren Bränden, Zusammenbrüchen der IT-Systeme oder Pandemien, von denen eine große Zahl an Mitarbeitern betroffen ist, entstehen (Vgl. Erläuterungen Leitlinien Governance, Rn. 2.29).
Im Rahmen der Notfallplanung ist die allgemeine Aufbau- und Ablauforganisation in einer Krisensituation mit einer ganz eigenen Struktur den besonderen Anforderungen anzupassen (krisenspezifische Aufbau- und Ablauforganisation). Hier kann auf Konzepte zurückgegriffen werden, die mit Begriffen wie Krisenmanagement, Notfallmanagement oder Business Continuity Management (BCM) verbunden sind (Vgl. Rohlfs 2020, S. 385).
Die Verantwortung für die Notfallplanung trägt der Vorstand (Vgl. MaGo, Rn. 294). Grundsätzlich sollte es immer das Ziel sein, dass das Unternehmen in der Lage bleibt, die Geschäftstätigkeit auf einem vorab festgelegten Mindestniveau fortzusetzen, um Personen und Sachanlagen sowie Vermögenswerte zu schützen (Vgl. Erläuterungen Leitlinien Governance, Rn. 2.29).
Aufrechterhaltung der Geschäftstätigkeit bedeutet, dass bei Störungen in Systemen und Prozessen wesentliche Daten und Funktionen erhalten bleiben. Sollte dies nicht direkt möglich sein, sind die entsprechenden Daten und Funktionen zeitnah wiederherzustellen, damit die Geschäftstätigkeit bald wieder aufgenommen werden kann (Vgl. Artikel 258 Nr. 3 DVO).
Die Notfallplanung erhöht somit die Resilienz von Bereichen und Prozessen im Unternehmen. Entsprechend sind unter Risikogesichtspunkten die unternehmensspezifischen Notfallszenarien festzulegen (Vgl. MaGo, Rn. 296).
Liegen die Notfallszenarien vor, sind im Rahmen der Notfallplanung für die Bewältigung des Notfalles dann
- Aufgaben,
- Verantwortlichkeiten,
- Informationspflichten,
- Kommunikationskanäle,
- Eskalationsprozesse
klar und nachvollziehbar für konkrete Notfallpläne zu bestimmen (Vgl. MaGo, Rn. 297).
Die Notfallpläne sind zu dokumentieren und die von dem Notfallszenario betroffenen Personenkreise (Management und Mitarbeiter) müssen natürlich die Notfallpläne kennen, damit jede beteiligte Person im Vorfeld weiß, was sie im Notfall zu tun hat. Die ständige Verfügbarkeit der Notfallpläne muss auch im Notfall sichergestellt sein (Vgl. § 23 Abs. 5 VAG i. V. m. Erläuterungen Leitlinien Governance, Rn. 2.29 u. 2.30; MaGo, Rn. 298).
Die Angemessenheit und Wirksamkeit der Notfallpläne sind regelmäßig zu überprüfen, zu aktualisieren und zu erproben. Hierzu werden die relevanten Risiken der Bereiche bzw. Prozesse regelmäßigen Testläufen und Übungen unterzogen (Vgl. Governance Leitlinie, Rn. 8; MaGo, Rn. 295).