Für Versicherungsunternehmen kann es ökonomisch sinnvoll sein, Funktionen oder Tätigkeiten im Zuge von Outsourcing aus dem eigenen Unternehmen auszulagern. Da dies auch Risiken birgt, ist Outsourcing ein elementarer Teil des Governance-Systems im Rahmen der zweiten Säule von Solvency II.
Begriffliche und rechtliche Einordnung
Unter Outsourcing ist die Auslagerung unternehmerischer Funktionen oder Tätigkeiten an Drittunternehmen zu verstehen. Entscheidet sich eine Gesellschaft für Outsourcing, werden originär intern produzierte Leistungen nicht mehr selbst erstellt, sondern von extern bezogen. Hierfür geben zumeist betriebswirtschaftliche Erwägungen den Ausschlag, um Effizienzvorteile zu generieren. Eine Auslagerung kann das Risikoprofil eines Versicherungsunternehmens positiv beeinflussen und den Grad der Risikoexponierung insgesamt verringern, sofern der externe Dienstleister für das ausgelagerte Tätigkeitsfeld Größen- bzw. Spezialisierungsvorteile besitzt. Diese können beispielsweise in höherem Fachwissen, einer überlegenen Technik oder geringeren Produktionskosten zum Ausdruck kommen.
Outsourcing birgt für das auslagernde Versicherungsunternehmen jedoch auch spezifische Risiken, die primär operationeller Natur sind. Sie manifestieren sich beispielsweise in rechtlich nicht haltbaren Vertragsgestaltungen, unsicheren Datenschnittstellen oder schlichtweg der Schlechterfüllung der Leistung durch das Drittunternehmen. Insbesondere der Übertragung von Aufgaben, die einen Bezug zum Versicherungsnehmer aufweisen, steht das Aufsichtsrecht kritisch gegenüber, da die aufsichtliche Überwachung infolge des Outsourcings erschwert wird. Daher stellt die sorgfältige Gestaltung der damit zusammenhängenden Prozesse eine wesentliche Anforderung an das Governance-System von Versicherungsunternehmen dar. Dies ist in der Solvency-II-Rahmenrichtlinie (SII-RRL) explizit verankert. Auch in den aufsichtsrechtlichen Mindestanforderungen an die Geschäftsorganisation von Versicherungsunternehmen (MaGo) nimmt das Outsourcing-Recht einen eigenen Stellenwert ein. Während die Solvency-II-Rahmenrichtlinie, die Delegierte Verordnung und die Leitlinien der EIOPA überwiegend den Begriff Outsourcing verwenden, wird sowohl im VAG als auch in den MaGo der Begriff der Ausgliederung angewandt, der synonym zu verstehen ist.
Im deutschen Rechtsrahmen wird der Begriff der Ausgliederung im Versicherungsaufsichtsgesetz (VAG) bestimmt. Nach der Legaldefinition in § 7 Nr. 2 VAG ist eine Ausgliederung „eine Vereinbarung jeglicher Form zwischen einem Versicherungsunternehmen und einem Dienstleister, auf Grund derer der Dienstleister […] einen Prozess, eine Dienstleistung oder eine Tätigkeit erbringt, die ansonsten vom Versicherungsunternehmen selbst erbracht werden würde“. Unter Berücksichtigung der geltenden Maßgaben ist es möglich, sämtliche Schlüsselfunktionen und definierte Schlüsselaufgaben auszugliedern. Dabei unterliegen grundsätzlich alle versicherungstypischen Funktionen oder Tätigkeiten sowie alle weiteren Sachverhalte, die die Belange der Versicherten gefährden könnten, der spezifischen Ausgliederungs-Kontrolle durch die Aufsichtsbehörde.
Somit sind Versicherungstätigkeiten und wichtige versicherungstypische Funktionen von sonstigen versicherungstypischen Aktivitäten abzugrenzen. Neben Schlüsselfunktionen und selbst definierten Schlüsselaufgaben sind in der Regel folgende Bereiche wichtige Tätigkeiten:
- Vertrieb
- Bestandsverwaltung
- Leistungsbearbeitung
- Berechnung der versicherungstechnischen Rückstellungen nach Solvency II und HGB
- Rechnungswesen
- Vermögensanlage und -verwaltung
- Elektronische Datenverarbeitung im Hinblick auf ihrerseits wichtige versicherungstypische Tätigkeiten
Sofern ein Unternehmen Schlüsselfunktionen oder Schlüsselaufgaben ausgliedern möchte, fordern die MaGo zudem die Benennung eines Ausgliederungsbeauftragten, der die Ausgliederung überwacht. (Vgl. MaGo, Rn 238ff)
Die Absicht, wichtige Funktionen oder Versicherungstätigkeiten auszulagern, ist nach § 47 Nr. 8 VAG unter Vorlage des Vertragsentwurfs bei der Bundesanstalt für Finanzdienstleitungsaufsicht (BaFin) anzuzeigen.
Anforderungen nach § 32 VAG und den MaGo
Den Vorgaben des § 32 Abs. 1 VAG folgend, bleibt das outsourcende „Versicherungsunternehmen [...] für die Erfüllung aller aufsichtsrechtlichen Vorschriften und Anforderungen verantwortlich“. Dabei ist darauf zu achten, dass die ausgegliederten Funktionen und Aufgaben ordnungsgemäß ausgeführt werden, die Steuerungs- und Kontrollmöglichkeiten der Geschäftsleitung gewahrt bleiben und die Prüfungs- und Kontrollrechte der Aufsichtsbehörde nicht beeinträchtigt werden.
Im Falle einer Ausgliederung bleibt die Letztverantwortung der Geschäftsleitung ausdrücklich bestehen. (Vgl. MaGo, Rn 243) Im Umkehrschluss bedeutet dies, dass ausgegliederte Aktivitäten stets in der gesamtverantwortlichen Kontrolle der Geschäftsleitung und damit im Zugriff des unternehmenseigenen Risikomanagements verbleiben müssen. Daraus folgt auch, dass keinesfalls das komplette Risikomanagementsystem oder interne Kontrollsystem ausgelagert werden darf, sondern allenfalls – unter Berücksichtigung einer sorgfältigen Risikoabwägung – bestimmte Teilfunktionen davon. Dienstleister können in diesen Bereichen nur unterstützend beratend eingebunden werden.
Die MaGo sehen ferner vor, dass die Frage nach dem „Make-or-Buy“ stets erst nach einer sorgfältigen Risikoanalyse unter Einbeziehung der betroffenen Organisationseinheiten zu beantworten ist. Im Zuge dessen sind die mit der Ausgliederung verbundenen Risiken zu identifizieren, zu analysieren, zu bewerten und sodann angemessen zu steuern. Wird für einen Dienstleister ein Mehrfachmandat vergeben, so ist ein besonderes Augenmerk auf Konzentrationsrisiken zu legen. (Vgl. MaGo, Rn 243)
Welche Aktivitäten und Prozesse überhaupt ausgelagert werden können, ergibt sich aus der unternehmensindividuellen Risikosituation. Für deren Einschätzung und die vertragliche Gestaltung von Outsourcing sind folgende Kriterien zugrunde zu legen:
- Hinreichender Spezifizierungsgrad der auszulagernden Leistung
- Festlegung von Informations- und Prüfungsrechten der internen Revision und externen Prüfer
- Sicherstellung der Informations- und Prüfungsrechte sowie der Kontrollmöglichkeiten der Aufsicht
- Gestaltung von Weisungsrechten
- Beachtung der datenschutzrechtlichen Bestimmungen
- Vereinbarung angemessener Kündigungsfristen
- Sicherstellung, dass das Unternehmen, auf welches ausgegliedert wird, die versicherungsaufsichtsrechtlichen Anforderungen einhält
- Verpflichtung des ausgliedernden Unternehmens, den Dienstleister über Entwicklungen zu informieren, die die ordnungsgemäße Leistungserfüllung beeinträchtigen
- Erstellung eines Notfallplanes zur Übergabe der wichtigen Funktion und Versicherungstätigkeit an einen anderen Dienstleister oder Insourcing bei einer Auflösung der bestehenden Ausgliederung
Da sich die zugrunde liegenden Risikofaktoren im Zeitverlauf ändern können, reicht eine einmalige Betrachtung nicht aus. Vielmehr müssen Unternehmen ihre Outsourcing-Prozesse fortlaufend beobachten, ihre Risikoanalyse und -bewertung bedarfsweise anpassen und die Ausgliederung notfalls beenden. Im Falle der Beendigung muss die Wiedereingliederung der ausgelagerten Funktion bzw. Dienstleistung ohne Qualitätseinbußen erfolgen (können). Dies wird in der Regel größere organisatorische Anpassungen und den Auf- bzw. Wiederaufbau von Know-how und Technik im eigenen Unternehmen nach sich ziehen.
Anforderungen nach der Solvency-II-Rahmenrichtlinie
Grundlegende Vorgaben zum Outsourcing sind auch bereits in der Solvency-II-Rahmenrichtlinie verankert. Gemäß der Begriffsbestimmung in Art. 13 Nr. 28 handelt es sich bei Outsourcing um „eine Vereinbarung jeglicher Form, die zwischen einem Versicherungs- oder Rückversicherungsunternehmen und einem Dienstleister getroffen wird, bei dem es sich um ein beaufsichtigtes oder nichtbeaufsichtigtes Unternehmen handeln kann, aufgrund derer der Dienstleister direkt oder durch weiteres Outsourcing einen Prozess, eine Dienstleistung oder eine Tätigkeit erbringt, die ansonsten vom Versicherungs- oder Rückversicherungsunternehmen selbst erbracht werden würde“. Outsourcing an Dienstleister in Nicht-EU-Ländern ist demnach grundsätzlich möglich, ebenso wie „Sub-Outsourcing“.
Des Weiteren stellt die Solvency-II-Rahmenrichtlinie explizite Anforderungen an die Beaufsichtigung outgesourcter Funktionen und Tätigkeiten (Art. 38 SII-RRL) sowie die generelle Zulässigkeit von Outsourcing (Art. 49 SII-RRL).
Die Zulässigkeit knüpft daran an, dass die Versicherungsunternehmen auch bei ausgelagerten Funktionen für die Erfüllung von Solvency II vollumfänglich verantwortlich bleiben.
Insofern muss das auslagernde Unternehmen stets ein hinreichendes Maß an Einflussnahme und Kontrolle auf die Tätigkeit des externen Dienstleisters gewährleisten (siehe auch Abbildung 1).
Die Solvency-II-Rahmenrichtlinie stellt wie der nationale Rechtsrahmen nach VAG hinsichtlich der Zulässigkeit von Outsourcing explizit auf die Wichtigkeit der ausgelagerten Leistung ab (Art. 49 Abs. 2 SII-RRL). Demnach gelten für die Auslagerung kritischer oder wichtiger operativer Funktionen oder Tätigkeiten besondere Anforderungen:
- Die Qualität des Governance-Systems des betreffenden Unternehmens darf nicht wesentlich beeinflusst sein
- Das operationelle Risiko darf nicht übermäßig gesteigert werden
- Die Fähigkeit der Aufsichtsbehörden, die Einhaltung der Verpflichtungen des Unternehmens zu überwachen, darf nicht beeinträchtigt werden
- Die kontinuierliche und zufriedenstellende Dienstleistung für die Versicherungsnehmer darf nicht gefährdet werden
Hinsichtlich ihrer Bedeutung und ihres universellen Wesenscharakters können diese Vorgaben als allgemeingültig verstanden werden, deren Einhaltung bei Outsourcing generell sinnvoll erscheint.
Fazit
Dem Charakter des Lamfalussy-Verfahrens entsprechend, konkretisieren die Anforderungen an ein ordnungsgemäßes Outsourcing im VAG und in den MaGo die Vorgaben der Solvency-II-Rahmenrichtlinie. Hinsichtlich der Zulässigkeitsvoraussetzungen sowie der Bedeutung unternehmerischer und aufsichtsbehördlicher Kontrollen gehen sie in eine ähnliche Richtung. Diese zielt im Kern darauf ab, dass Versicherungsunternehmen der Aufsicht umfassende Prüfrechte zu den Outsourcing-Aktivitäten einräumen. Zugleich hat das auslagernde Unternehmen unter Risikogesichtspunkten besonders sorgfältige Maßstäbe an das eigene Outsourcing zu legen.
Aus der Natur von Auslagerungen ergibt sich, dass die Konstellation zwischen Aufsichtsbehörde und beaufsichtigtem Versicherungsunternehmen um einen weiteren Akteur, den externen Dienstleister, erweitert wird. Die MaGo beziehen diesen mittelbar in den Aufsichtskontext ein, indem sie dem auslagernden Unternehmen grundlegende Gestaltungsprinzipien für Outsourcing-Verträge vorgeben. Solvency-II-Rahmenrichtlinie und VAG sehen darüber hinaus unmittelbare Überwachungshandlungen der Aufsichtsbehörde im Unternehmensspektrum des Dienstleisters vor.
Mit den MaGo werden Auslegungshinweise zu den Regelungen des VAG und der Solvency-II-Rahmenrichtlinie gegeben, sofern diese die Geschäftsorganisation von Versicherungsunternehmen betreffen. Die fehlende gesetzliche Legitimierung der Interpretationsregelungen der MaGo ist insbesondere dann von Bedeutung, wenn neue Inhalte adressiert werden, deren Existenz in dem zu interpretierenden Recht keine Grundlage finden. Dies gilt beispielsweise für die Forderung der MaGo nach einem Ausgliederungsbeauftragten, die sich weder in den europäischen Vorgaben noch im deutschen VAG wiederfindet.