Die Auswirkungen von DORA auf die Versicherungsvermittler und Assekuradeure

Am 14.12.2022 hat die Europäische Union die sogenannte DORA-Verordnung zur digitalen operationalen Resilienz im Finanzsektor erlassen. Sie ist seit Januar 2023 bereits in Kraft und gilt unmittelbar für alle betroffenen Unternehmen ab dem 17. Januar 2025. Erreicht werden soll, dass der Finanzsektor gegen Cyberangriffe deutlich widerstandfähiger wird.

Auf dem Weg des Gesetzgebungsverfahrens wurde zwar erreicht, dass nur bestimmte Versicherungsvermittler von der Verordnung betroffen sind, aber während bei Versicherern und Banken bereits die Projekte laufen, herrscht im Vermittlermarkt noch die Ruhe vor dem möglichen Sturm. Vorweg: die Anforderungen durch DORA lassen sich nur mit einem erheblichen Aufwand und zeitlichen Vorlauf realisieren. Daher wird die Zeit bis Anfang 2025 in vielen Fällen langsam knapp. DORA wird deswegen vermutlich von vielen noch mehr verflucht werden, als es 2018 mit der DSGVO der Fall war. Wenig überraschend wird die Nichtbeachtung dieses Gesetzes auch schmerzhaft sanktioniert werden.

Denn DORA legt den betroffenen Unternehmen eine Menge Pflichten auf. Neben einem umfangreichen IT- und Business-Continuity-Management gehören Penetrationstests und behördliche Meldepflichten zu den Anforderungen. Das sind alle Themen, die große technische und organisatorische (und damit auch finanzielle) Herausforderungen an die Unternehmen stellen.

Doch welche Vermittlerbetriebe sind nun betroffen?

Umsatzstarke Betriebe mit mehr als 50 Mio. EUR Umsatz oder mehr als 43 Mio. Bilanzsumme
Die Ausnahme von Vermittlerbetrieben von der DORA-Verordnung wird in Art. 2 Abs. 3 lit. e DORA auf Kleinunternehmen eingeschränkt. Wenn ein Unternehmen die oben genannten Umsatz- oder Bilanzwerte überschreitet, gilt es nach der Richtlinie bzw. Empfehlung der EU (2003/361/EG) nicht mehr als Kleinunternehmen.
Dies dürfte in der Vermittlerbranche nur auf wenige große Maklerpools, Makler oder Vertriebe zutreffen.

Mitarbeiterstarke Vertriebe mit mehr als 250 Personen
Unternehmen mit mehr als 250 sozialversicherungspflichtig Beschäftigten gibt es vermutlich in der Vermittlerbranche auch nur sehr wenige. Aber – und nun kommt ein sehr großes „Aber“ – es zählen auch arbeitnehmerähnliche Personen mit in die Zählung. Das sind im Rahmen der Versicherungsvermittlung vor allem Handelsvertreter mit einer Ausschließlichkeitsklausel. Diese sind nach deutschem Recht ähnlich wie Arbeitnehmer zu behandeln, z. B. hinsichtlich der Arbeitsgerichtsbarkeit (§5 Abs. 3 ArbGG in Verbindung mit §92a HGB). Der äußere Status des Handelsvertreters als Vertreter oder Makler dürfte dabei ohne Belang sein. Es kommt vielmehr auf das Innenverhältnis an.
Daher ist anzunehmen, dass sehr viele größere Makler- und Mehrfachvertretervertriebe sich unversehens unter dem Regime der DORA-Verordnung befinden.

Pools als Anbieter von IKT-Diensten für DORA-Verpflichtete
Viele Pools, Verbünde und Vertriebe, die sich nun zunächst auf der sicheren Seite ohne DORA wähnen, können unter Umständen quasi durch die Hintertür zu den betroffenen Unternehmen gezählt werden. Denn DORA gilt auch und besonders für sog. IKT-Dienstleister (Art. 2 Abs. 1 lit. u DORA). IKT steht dabei für Informations- und Kommunikationstechnik. IKT-Dienste werden sehr weit in Art. 3 Nr. 21 DORA definiert als:
„…digitale Dienste und Datendienste, die über IKT-Systeme einem oder mehreren internen oder externen Nutzern dauerhaft bereitgestellt werden, einschließlich Hardware als Dienstleistung und Hardwaredienstleistungen, wozu auch technische Unterstützung durch den Hardwareanbieter mittels Software- oder Firmware- Aktualisierungen gehört, …“
Viele Maklerpools haben beispielsweise Vermittlerbetriebe angebunden, die aufgrund der oben genannten Abgrenzungen unter DORA fallen. Für diese werden meist zahlreiche Software-Angebote bereitgestellt, vom Vergleichsrechner bis hin zum Angebots- oder Maklerverwaltungsprogramm.
Somit zählen dann diese Maklerpools – zumindest nach derzeitiger Lesart – zu den DORA-Verpflichteten als IKT-Dienstleister. Das entspricht auch der Intention der Verordnung, den Lieferketten im Finanzsektor bezüglich der IKT-Dienstleistungen eine geschlossene Sicherheitsarchitektur aufzuerlegen.

Assekuradeure
Auf demselben Weg werden auch Assekuradeure in der Regel zu DORA-Verpflichteten. Der Assekuradeur führt für den Versicherer Tätigkeiten, wie Zeichnung und Schadenabwicklung, durch. Das geschieht mit Vollmacht des Versicherers, der diese Bereiche an den Assekuradeur auslagert.
Die Zeichnung, Policen-Erstellung und Schadenabwicklung finden jedoch in der Regel auf den IT-Systemen des Assekuradeurs und mit dessen Software statt. DORA unterscheidet jedoch nicht danach, ob die IKT-Dienste als Haupt- oder Nebenleistung erbracht werden, jedenfalls nach aktueller Auslegung. Daher dürften fast alle Assekuradeure die DORA-Pflichten umsetzen müssen.
Auch das entspricht der Absicht der Verordnung. Denn Assekuradeure treten am Markt ähnlich wie Versicherer auf. Verbraucher werden oft keinen Unterschied erkennen können.

Die Absicht der Norm und wieso Vermittler agieren sollten, auch wenn sie nicht Verpflichtete sind
Die Versicherungsbranche sieht sich wie andere Branchen auch einer zunehmenden Bedrohung durch Cyber-Kriminelle ausgesetzt. Und das ist nicht die einzige Bedrohung für die Sicherheit der Daten der Versicherungsnehmer und versicherten Personen. Es gibt unzählige sinnvolle Gründe, warum die Versicherungswirtschaft hier nicht nur Sicherheit in ihren Policen verkaufen, sondern diese selbst aktiv mit hoher Qualität leben sollte. Der Zwang durch DORA ist lediglich der Anschub des Gesetzgebers, das umzusetzen, was längst hätte getan werden musste.
Und warum sollten Vermittler in diesem Sicherheitsnetzwerk unbeachtet bleiben? Die Ausnahmen, die DORA für kleine Vermittler macht, können ja nicht zur Folge haben, dass sich nun die Vermittlerbranche kollektiv aus der Verantwortung stiehlt. Die oben genannten Akteure verfügen in der Regel über die nötigen Mittel zur Umsetzung, über die kleine Betriebe nicht verfügen. Aber auch dort lässt sich Informations- und Cybersicherheit ein- und an gängigen Normen ausrichten.

Wenn Sie prüfen möchten, ob Ihr Unternehmen unter DORA fällt, und falls ja: was das bedeutet, dann sprechen Sie mich gerne direkt an. Wir begleiten aktuell bereits Pools, Vertriebe und Versicherer auf dem Weg zur DORA-Umsetzung.