Düsseldorfer Versicherungsrechtstag Versicherungsaufsicht über Cloud-Dienste - Oktober 2020 Dr. Ingo Weckmann, LL.M.
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
Quelle: ERGO Versicherungsgruppe 13. Düsseldorfer Versicherungsrechtstag Versicherungsaufsicht über Cloud-Dienste 30. Oktober 2020 Dr. Ingo Weckmann, LL.M.
„Spannungsfeld von Innovation und Regulierung“
Agenda
1. Grundlagen
a) Definitionen
b) Normen
2. Herausforderungen aus Unternehmenssicht
a) Allgemeine Hinweise
b) Sammelprüfung
c) Sub-Delegation
3. Fazit
Versicherungsaufsicht über Cloud-Dienste, Dr. Ingo Weckmann, LL.M. 30. Oktober 2020 31. Grundlagen
a) Definition: Cloud-Dienste
§ 2 Abs. 11 Nr. 3 BSIG
„… den Zugang zu einem skalierbaren und elastischen Pool gemeinsam nutzbarer Rechenressourcen ermöglichen (Cloud-
Computing-Dienste).“
VAIT Rn. 65
„Dies gilt auch für Ausgliederungen von solchen IT-Dienstleistungen, die dem Unternehmen durch ein
Dienstleistungsunternehmen über ein Netz bereitgestellt werden (z. B. Rechenleistung, Speicherplatz, Plattformen oder
Software) und deren Angebot, Nutzung und Abrechnung dynamisch und an den Bedarf angepasst über definierte
technische Schnittstellen sowie Protokolle erfolgen (Cloud-Dienstleistungen).“
Begriffsbestimmung in den EIOPA Leitlinien zum Outsourcing an Cloud-Anbieter
„Dienste, die mithilfe von Cloud-Computing erbracht werden, also einem Modell, das ortsunabhängigen, komfortablen und
bedarfsgesteuerten Netzwerkzugriff auf einen gemeinsamen Pool konfigurierbarer Rechenressourcen ermöglicht (wie
Netzwerke, Server, Speicher, Anwendungen und Services) und sich schnell sowie mit minimalem Verwaltungsaufwand
oder minimaler Interaktion des Dienstleisters bereitstellen lässt;“
Zugang über Netzwerk zu einem Pool, der dynamisch konfiguriert werden kann
Versicherungsaufsicht über Cloud-Dienste, Dr. Ingo Weckmann, LL.M. 30. Oktober 2020 41. Grundlagen
a) Definition: (aufsichtsrechtlich relevante) Ausgliederung
§ 7 Nr. 2 VAG
„Ausgliederung: eine Vereinbarung jeglicher Form zwischen einem Versicherungsunternehmen und einem Dienstleister,
auf Grund derer der Dienstleister direkt oder durch weitere Ausgliederung einen Prozess, eine Dienstleistung oder eine
Tätigkeit erbringt, die ansonsten vom Versicherungsunternehmen selbst erbracht werden würde; bei dem
Dienstleister kann es sich um ein beaufsichtigtes oder nicht beaufsichtigtes Unternehmen handeln.“
§ 32 Abs. 1 VAG
„Ein Versicherungsunternehmen, das Funktionen oder Versicherungstätigkeiten ausgliedert, bleibt für die Erfüllung
aller aufsichtsrechtlichen Vorschriften und Anforderungen verantwortlich.“
§ 7 Nr. 9 VAG
„Funktion: eine interne Kapazität innerhalb der Geschäftsorganisation zur Übernahme praktischer Aufgaben;“
Kerngeschäft von Versicherungsunternehmen („wirtschaftlich-funktionaler Zusammenhang“)
Versicherungsaufsicht über Cloud-Dienste, Dr. Ingo Weckmann, LL.M. 30. Oktober 2020 51. Grundlagen
b) Normen
Phase 1: Vorbereitung (Generelle Analyse, Klassifizierung, Outsourcing Report, Auswahl)
Allgemein
− § 32 VAG
− Art. 274 DVO SII
− MaGo
− EIOPA Leitlinien zum Governance-System (inkl. Erläuterungen)
− BaFin Merkblatt zum Umgang mit Nachhaltigkeitsrisiken
Cloud
− VAIT
− EIOPA Leitlinien zum Outsourcing an Cloud-Anbieter (inkl. Erläuterungen): Nr. 1, 2, 6, 7, 8, 9
− BaFin Merkblatt - Orientierungshilfe zu Auslagerungen an Cloud-Anbieter
In Planung
− Art. 7 Nr. 1 lit. a) FISG-RefE
− Aktualisierung von MaGo und VAIT
Versicherungsaufsicht über Cloud-Dienste, Dr. Ingo Weckmann, LL.M. 30. Oktober 2020 61. Grundlagen
b) Normen
Phase 1: Vorbereitung (Generelle Analyse, Klassifizierung, Ausgliederungsbericht, Auswahl)
§ 32 Abs. 3 RefE VAG 2020
„Bei der Ausgliederung wichtiger von Funktionen und Versicherungstätigkeiten haben Versicherungsunternehmen
außerdem sicherzustellen, dass wesentliche Beeinträchtigungen der Qualität der Geschäftsorganisation, eine übermäßige
Steigerung des operationellen Risikos sowie eine Gefährdung der kontinuierlichen und zufriedenstellenden Dienstleistung
für die Versicherungsnehmer vermieden werden.“
Begründung
„Die Ergänzung in § 32 Absatz 3 erweitert die Anforderungen an die Geschäftsorganisation von
Versicherungsunternehmen in Fällen von Ausgliederungen von Funktionen und Versicherungstätigkeiten. Die Streichung
des Wortes „wichtiger“ bewirkt, dass die Pflichten der Versicherungsunternehmen auch bei allen weiteren Ausgliederungen
bestehen.“
Auswirkungen: Aufhebung der Unterscheidung von wichtiger und einfacher Ausgliederung?
Reaktion auf VGH Kassel v. 30.04.2020 – 6 A 2158/18, wonach BaFin-Befugnisse nicht auf eine
Missstands-, sondern auf eine tatbestandsgebundene Legalitätsaufsicht gerichtet sind.
Versicherungsaufsicht über Cloud-Dienste, Dr. Ingo Weckmann, LL.M. 30. Oktober 2020 71. Grundlagen
b) Normen
Phase 2: Beginn (Vertragsabschluss, BaFin-Anzeige, faktische Einbindung in den Prozess)
Allgemein
− Art. 274 Abs. 4 DVO SII
− § 32 Abs. 4 VAG
− MaGo
− BaFin Merkblatt zum Umgang mit Nachhaltigkeitsrisiken
Cloud
− EIOPA Leitlinien zum Outsourcing an Cloud-Anbieter (inkl. Erläuterungen): Nr. 4, 10, 11, 13
− EIOPA Leitlinien zur Sicherheit und Governance der Informations- und Kommunikationstechnologie (inkl. Erläuterungen): Nr. 25
− BaFin Merkblatt - Orientierungshilfe zu Auslagerungen an Cloud-Anbieter
In Planung
− Art. 7 Nr. 4 FISG-RefE (§ 47 Abs. 8a und 9 RefE VAG 2020: Anzeigepflichten über jede vollzogene Ausgliederung und deren Änderungen)
− Aktualisierung MaGo (Konsultation EbAV: Form und Inhalt der Ausgliederungsvereinbarung)
− Hinweis im Verordnungsentwurf „digital operational resilience for the financial sector“ (DORA): Standardvertragsklauseln für Cloud-Dienste
Versicherungsaufsicht über Cloud-Dienste, Dr. Ingo Weckmann, LL.M. 30. Oktober 2020 81. Grundlagen
b) Normen
Phase 3: Durchführung (Überwachung, Dokumentation, ggf. Ausgliederungsbeauftragter)
Allgemein
− Art. 274 Abs. 3, 5 DVO SII
− § 32 Abs. 3 VAG
− MaGo
Cloud
− VAIT
− EIOPA Leitlinien zum Outsourcing an Cloud-Anbieter (inkl. Erläuterungen): Nr. 5, 11, 12, 14
− (BaFin Merkblatt - Orientierungshilfe zu Auslagerungen an Cloud-Anbieter)
In Planung
− Art. 29 ff. DORA: Überwachungsrechtsrahmen für ESA (u.a. Informations- und Auskunftsrechte sowie Zugangs- und Prüfungsrechte ggü. IKT-
Anbieter; zudem Folgemaßnahmen der zuständigen Behörden)
Versicherungsaufsicht über Cloud-Dienste, Dr. Ingo Weckmann, LL.M. 30. Oktober 2020 91. Grundlagen
b) Normen
Phase 4: Beendigung (Überführung der Dienstleistung, BaFin-Anzeige)
Allgemein
− Art. 274 Abs. 5 DVO SII
− § 32 Abs. 3 VAG
− MaGo
Cloud
− EIOPA Leitlinien zum Outsourcing an Cloud-Anbieter (inkl. Erläuterungen): Nr. 15 („…sicherstellen, dass der Cloud-Anbieter das Unternehmen
bei der Übertragung der ausgelagerten Daten, Systeme oder Anwendungen an einen anderen Dienstleister oder direkt an das Unternehmen
angemessen unterstützt;“)
− (BaFin Merkblatt - Orientierungshilfe zu Auslagerungen an Cloud-Anbieter)
In Planung
− Art. 7 Nr. 4 FISG-RefE (§ 47 Abs. 8a und 9 RefE VAG 2020: Anzeigepflichten über jede vollzogene Ausgliederung und deren Änderungen)
Versicherungsaufsicht über Cloud-Dienste, Dr. Ingo Weckmann, LL.M. 30. Oktober 2020 102. Herausforderungen aus Unternehmenssicht
a) Allgemeine Hinweise
Aufeinanderprallen der Kulturen
− Selbstverständnis der Anbieter
− Beispiel: Das Sammeln von Daten
„Seit einem Bericht des Repräsentantenhauses über die Aktivität von Online-Plattformen wächst die Ansicht, dass sie
reguliert werden müssen, zumal es ernsthafte Bedenken hinsichtlich der Rolle der Online-Plattformen für die Zukunft
unseres demokratischen Systems gibt.“
Anthony Gardner, europapolitischer Berater von Joe Biden (Quelle: Steingarts Morning Briefing vom 28. Oktober 2020)
Marktsituation
− Starke Marktposition der Anbieter
− Prognose: Wachsende Nutzung von Cloud-Diensten
Vertragsgestaltung
− Umfangreiche sowie komplexe Vertragswerke (Rahmenvertrag)
− Anzeigepflicht nach § 47 Nr. 8 VAG: Absicht einer Ausgliederung
Versicherungsaufsicht über Cloud-Dienste, Dr. Ingo Weckmann, LL.M. 30. Oktober 2020 112. Herausforderungen aus Unternehmenssicht
b) Sammelprüfung
Aktuelle Ausgangslage
− Starke Marktposition der Anbieter
− Prognose: Wachsende Nutzung von Cloud-Diensten
Individuelle Prüfungen nicht effizient und teilweise ressourcentechnisch schwer darstellbar
Digitale Finanzstrategie der EU-Kommission vom 24. September 2020
− Bis Ende 2022: „European cloud services marketplace“ Zugang zu alternativen Anbietern
− EU-Cybersicherheitsagentur (ENISA) soll ein Zertifizierungssystem für die Cybersicherheit von Cloud-Diensten entwickeln
Anforderung
− Zwar Zulässigkeit eines Rückgriffs auf Zertifizierungen Dritter
− Aber unabhängige Beurteilung der Risiken „Zertifikate zertifizieren“ Vor-Ort-Prüfung
GDV-Initiative
− Kooperationsmodell als Branchenlösung
− Prüfung durch ein spezialisiertes Unternehmen
Versicherungsaufsicht über Cloud-Dienste, Dr. Ingo Weckmann, LL.M. 30. Oktober 2020 122. Herausforderungen aus Unternehmenssicht
b) Sammelprüfung
Ablauf
Quelle: GDV 30. Oktober 2020 132. Herausforderungen aus Unternehmenssicht
c) Sub-Delegation
Aktuelle Ausgangslage
− Selbstverständnis der Anbieter
− Starke Marktposition der Anbieter
Intensive Vertragsverhandlungen
Anforderung
Die Sub-Delegation einer wichtigen Funktion oder Versicherungstätigkeit muss von der gesamten Geschäftsleitung oder
zumindest vom zuständigen Geschäftsleiter vorab genehmigt werden, MaGo Rn. 291 Satz 2
Möglichkeit
Gewährleistung, dass das Unternehmen in den Fällen, in denen ein Cloud-Anbieter bei einem Dienstleister, an den
Aufgaben weiterausgelagert wurden, oder bei weiterausgelagerten Dienstleistungen Änderungen beabsichtigt, die sich
nachteilig auf die Risikobewertung der vereinbarten Dienstleistungen auswirken würden, das Recht hat, Widerspruch
gegen derartige Änderungen einzulegen und/oder den Vertrag zu beenden bzw. aus dem Vertrag auszusteigen,
EIOPA Leitlinien zum Outsourcing an Cloud-Anbieter 13
Abhilfe durch Standardvertragsklauseln?
Versicherungsaufsicht über Cloud-Dienste, Dr. Ingo Weckmann, LL.M. 30. Oktober 2020 14„Um eine effektive Regulierung zu gewährleisten, sollte es ein in sich stimmiges Ausgliederungsregime geben.“
Sie können auch lesen
