Mit dem Rundschreiben 09/2025 (VA) hat die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) die „Aufsichtsrechtlichen Mindestanforderungen an die Geschäftsorganisation von Versicherungsunternehmen“ (MaGo) an ihre aufsichtliche Erfahrungen als auch aktuelle Entwicklungen unter anderem in den Bereichen Nachhaltigkeit und Digitalisierung überarbeitet. Die Neufassung, die am 14. Oktober 2025 in Kraft trat, dient der Konkretisierung der Governance-Anforderungen in der Versicherungswirtschaft und fungiert zugleich als nationaler Umsetzungsrahmen der europäischen Verordnung zur digitalen operationalen Resilienz (Digital Operational Resilience Act, DORA). Für die IT-Organisation von Versicherern ergeben sich daraus insbesondere zwei zentrale Handlungsfelder, die einer detaillierten Betrachtung bedürfen: die Governance der automatisierten Geschäftsabläufe und die Neudefinition des Ausgliederungsmanagements.   

1. Automatisierte Prozesse und KI (Kapitel 9.5): Anforderungen an die Governance

Das neue Kapitel 9.5 der MaGo fordert erstmals die systematische Identifizierung, Steuerung und Überwachung von „automatisierten Geschäftsabläufen“. Diese Anforderung reflektiert den zunehmenden Einsatz von Algorithmen und Künstlicher Intelligenz (KI) in den Kernprozessen der Versicherer und schafft die aufsichtsrechtliche Grundlage für die detaillierten Vorgaben des IKT-Risikomanagements unter DORA. 

  • Inventarisierung: Bei vielen Versicherern fehlt eine vollständige und zentrale Erfassung aller automatisierten Prozesse. Insbesondere dezentral entwickelte Anwendungen (z. B. Makros, Skripte), die als „Schatten-IT“ betrieben werden, fallen nun in den aufsichtsrechtlichen Fokus, waren aber bisher oft nicht inventarisiert, da oft auch ein „Silodenken“ zu beobachten ist.
  • Steuerung und Nachvollziehbarkeit: Die Governance selbstlernender Systeme stellt eine besondere Herausforderung dar. Die Sicherstellung der Nachvollziehbarkeit von algorithmischen Entscheidungen (Explainable AI) ist eine technisch anspruchsvolle, aber notwendige Voraussetzung für eine wirksame Kontrolle.
  • Fachliche Ressourcen: Die adäquate Bewertung KI-spezifischer Risiken, wie algorithmische Verzerrungen (Bias) oder mangelnde Robustheit, erfordert spezialisierte Kenntnisse, die in den zuständigen Fachbereichen aufgebaut werden müssen.
  1. Aufbau eines zentralen KI-Inventars: Gemäß den DORA-Anforderungen zur Identifizierung und Klassifizierung von IKT-Assets ist ein unternehmensweites Register für alle KI- und Automatisierungsanwendungen zu etablieren. Dieser Prozess sollte die Fachbereiche, beispielsweise durch standardisierte Erhebungsbögen, aktiv einbeziehen, um eine vollständige Erfassung sicherzustellen.
  2. Risikobasierte Klassifizierung: In Anlehnung an die Risikokategorien der EU-KI-Verordnung (z. B. inakzeptables, hohes, geringes Risiko) sollten die inventarisierten IKT-Anwendungen klassifiziert werden. Dies ermöglicht eine dem Risikoprofil angemessene, proportionale Ausgestaltung der Kontrollmechanismen, wie sie das Proportionalitätsprinzip der MaGo vorsieht.   
  3. Etablierung einer KI-Governance-Struktur: Es sind klare Verantwortlichkeiten und Kontrollmechanismen zu definieren. Ein interdisziplinäres Gremium (z. B. ein „AI Governance Board“) kann die strategische Steuerung, die Genehmigung neuer KI-Anwendungen und die Überwachung der Systemleistung verantworten.
  4. Integration in das Enterprise Risk Management (ERM): Die MaGo fordern die Einbettung der KI-Risiken in das bestehende Risikomanagementsystem. KI-Risiken sind daher systematisch in das bestehende zentrale Risikomanagement des Versicherers zu integrieren, um deren Sichtbarkeit und Steuerbarkeit auf Ebene des Vorstands zu gewährleisten. Zur Unterstützung dieses Prozesses bieten spezialisierte Dienstleister wie BDO, entsprechende Frameworks und Lösungen an, die darauf abzielen, eine verantwortungsvolle und rechtskonforme KI-Nutzung durch die Implementierung von Protokollen zur Umsetzung von Governance-Maßnahmen, die Identifizierung von Schwachstellen und die Sicherstellung der Compliance zu fördern.   

2. Ausgliederung: Erweiterter Anwendungsbereich und gestiegene Anforderungen

Die Neudefinition des Ausgliederungsbegriffs stellt eine der wesentlichen Änderungen und Erweiterung dar. An die Stelle des Kriteriums der „versicherungstypischen“ Tätigkeit tritt eine funktionale Definition: Eine Ausgliederung liegt vor, wenn die Tätigkeit „ansonsten intern erbracht würde“. Diese Anpassung harmonisiert die MaGo mit den strengen DORA-Vorgaben zum Management von IKT-Drittparteienrisiken.   

  • Erweiterter Anwendungsbereich: Durch die neue Definition unterliegen nun nahezu alle externen IT-Dienstleistungen, insbesondere Infrastructure-as-a-Service (IaaS), Platform-as-a-Service (PaaS) und Software-as-a-Service (SaaS), den aufsichtsrechtlichen Ausgliederungsanforderungen.
  • Vertragsmanagement: Die Umsetzung der MaGo- und DORA-konformen Vertragsanforderungen (z. B. Prüfrechte, Meldepflichten, Exit-Klauseln) stellt bei Verhandlungen mit globalen Technologieanbietern, die standardisierte Verträge verwenden, eine erhebliche Schwierigkeit dar bzw. bestehende Verträge sind dahingehend anzupassen.
  • Exit-Strategie: Sowohl die MaGo als auch DORA fordern eine dokumentierte und testbare Exit-Strategie für wesentliche Ausgliederungen. Die praktische Umsetzung eines Wechsels von beispielsweise einem tief in die Systemarchitektur integrierten Cloud-Anbieter ist jedoch komplex, mit hohem Aufwand verbunden oder mangels Alternativen nur eingeschränkt möglich.
  1. Systematische Neubewertung mittels Informationsregister: DORA fordert in Artikel 28 (3) die Führung eines Informationsregisters über alle vertraglichen Vereinbarungen mit IKT-Drittdienstleistern. Dieses Register sollte als zentrales Steuerungsinstrument genutzt werden, um alle bestehenden IT-Dienstleisterverträge systematisch nach der neuen MaGo-Definition zu bewerten und nach ihrer Kritikalität für den Geschäftsbetrieb in enger Zusammenarbeit mit dem Risikomanagement zu klassifizieren. 
  2. Professionalisierung des Drittparteien-Managements: Es empfiehlt sich die Benennung eines zentralen Ausgliederungsbeauftragten. Für Vertragsverhandlungen sollten standardisierte Vertragszusätze entwickelt werden, welche die Mindestanforderungen aus DORA (Artikel 30) abdecken, wie z. B. uneingeschränkte Prüf- und Zugriffsrechte für das Unternehmen und die Aufsicht, sowie klare Regelungen zu Sub-Auslagerungen.   
  3. Entwicklung einer testbaren Exit-Strategie: Eine aufsichtskonforme Exit-Strategie muss über ein reines Konzeptdokument hinausgehen und konkrete, überprüfbare Maßnahmen umfassen:
    • Technische Maßnahmen: Die Nutzung portabler Technologien wie Container-Plattformen kann die Abhängigkeit von proprietären Diensten eines Anbieters reduzieren und eine Migration erleichtern.
    • Strategische Optionen: Die proaktive Evaluierung von Alternativen, wie einer Multi-Cloud-Strategie oder der Nutzung souveräner Clouds für kritische Daten, ist Teil einer vorausschauenden Planung.
    • Operative Planung und Tests: Der Exit-Plan muss konkrete Handlungsabläufe, Verantwortlichkeiten und Zeitpläne definieren. Die Belastbarkeit dieser Pläne sollte durch regelmäßige Übungen, beispielsweise in Form von Tabletop-Simulationen, überprüft werden.

Fazit: 

Die Novellierung der MaGo stellt eine Konkretisierung der aufsichtsrechtlichen Erwartungshaltung an die IT-Governance von Versicherungsunternehmen dar. Sie operationalisiert die Prinzipien von DORA auf nationaler Ebene und fordert eine strukturierte Auseinandersetzung mit den Risiken aus Automatisierung, KI und Ausgliederung. Ein systematischer und dokumentierter Umsetzungsprozess ist nicht nur zur Erfüllung der aufsichtsrechtlichen Anforderungen geboten, sondern dient auch der nachhaltigen Stärkung der digitalen operationalen Resilienz des Unternehmens.


Dieser Artikel wurde verfasst von