Die BaFin hat gegen die Signal Iduna eine Maßnahme wegen Mängeln in der IT-Organisation verhängt. Denn die Finanzaufsicht sieht Handlungsbedarf im Bereich IT-Sicherheit und Steuerung. Der Versicherer muss nun seine Geschäftsorganisation an die gesetzlichen Anforderungen anpassen und regelmäßig über Fortschritte berichten.
In den vergangenen Jahren hatte die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) immer wieder angekündigt, künftig auch öffentlich Sündenböcke zu benennen, nachdem ihr im Skandal um den Milliardenbetrug bei Wirecard eine zu lasche Aufsicht vorgeworfen worden war. Diese Erfahrung mussten bereits die Allianz, die Axa Krankenversicherung und eben auch die Signal Iduna machen. So hatte die Finanzaufsicht im November 2023 wegen Mängeln in der Geschäftsorganisation einen Kapitalaufschlag verhängt.
Konkret ging es damals um einen Verstoß gegen die Versicherungsaufsichtsrechtlichen Anforderungen an die IT (VAIT), so die Behörde damals. Dies bedeute, dass der Versicherer auch gegen die Anforderungen an eine ordnungsgemäße Geschäftsorganisation im Sinne der §§ 23 ff. Versicherungsaufsichtsgesetz (VAG) verstoßen habe.
Nun hat die Behörde erneut Mängel beim Dortmunder Versicherer ausgemacht. Diese seien erneut in der IT-Geschäftsorganisation aufgetreten. Die Signal Iduna muss diese nun überarbeiten und an die aufsichtsrechtlichen Anforderungen anpassen. Wie die Behörde mitteilte, habe eine Prüfung ergeben, dass in Teilen der IT-Organisation erhebliche Mängel bestehen. Das Unternehmen habe damit gegen die Vorgaben des § 23 Absatz 1 Versicherungsaufsichtsgesetz (VAG) verstoßen, der Versicherer zu einer ordnungsgemäßen, wirksamen und angemessenen Geschäftsorganisation verpflichtet.
Die BaFin ordnete daraufhin an, dass die Mängel unverzüglich abzustellen sind. Zudem muss der Versicherer der Behörde regelmäßig über den Stand der Umsetzung berichten. Die Anordnung ist bestandskräftig. Folglich hat das Unternehmen keinen Einspruch eingelegt und akzeptiert die Entscheidung.
Hintergrund: Anforderungen an die Geschäftsorganisation
Versicherungsunternehmen unterliegen nach § 23 VAG der Pflicht, eine ordnungsgemäße Geschäftsorganisation sicherzustellen, die der Art, dem Umfang und der Komplexität ihrer Geschäftstätigkeit entspricht. Diese Organisation muss gewährleisten, dass das Unternehmen rechtskonform, solide und umsichtig geführt wird.
Dazu gehört auch eine angemessene technische und organisatorische Ausstattung im IT-Bereich. Versicherer müssen sicherstellen, dass ihre Systeme stabil, sicher und effektiv gesteuert werden können. Das gilt insbesondere im Hinblick auf Datenschutz, Informationssicherheit, Datenintegrität und Risikomanagement. Wenn die Aufsicht feststellt, dass die Geschäftsorganisation eines Unternehmens Mängel aufweist und dadurch ein aufsichtsrechtlicher Missstand besteht, greift sie ein. Grundlage dafür sind die Paragraphen § 298 Abs. 1 und § 294 Abs. 2 VAG, die der BaFin weitreichende Eingriffsbefugnisse einräumen. Sie kann beispielsweise Nachbesserungen anordnen und Berichtspflichten verhängen, um die Umsetzung zu überwachen.