Die BaFin hat am 14. Juli 2025 das Rundschreiben „Mindestanforderungen an die Geschäftsorganisation von Versicherungsunternehmen unter Solvabilität II“ (MaGo für SII-VU) überarbeitet und als Rundschreiben 09/2025 (VA) veröffentlicht. Die Neufassung tritt am 14. Oktober 2025 in Kraft und enthält eine Übergangsregelung. Das sind die wesentlichen Änderungen und die notwendigen Maßnahmen zur Umsetzung:
Grundsätzliche Verantwortung der Geschäftsleitung
Die Verantwortung für die Geschäftsorganisation bleibt bei der gesamten Geschäftsleitung und kann nicht delegiert werden. Das heißt: Die Anpassung an die neuen MaGo-Anforderungen muss durch die Geschäftsleitung initiiert und gewährleistet werden.
Fokus auf zentrale Aspekte der Geschäftsorganisation
Die Neufassung legt den Fokus klarer auf Kernthemen. Andere Inhalte wurden ausgelagert, nämlich:
- Anforderungen zu Eigenmitteln wurden in ein separates Merkblatt aufgenommen.
- Risikomanagementleitlinien (APM, Anlagerisiko, Liquiditätsrisiko) finden sich im Rundschreiben 05/2025 (VA) wieder.
Gruppenebene: Governance und Verantwortung
Die neue MaGo legt außerdem einen Fokus auf Überwachungs- und Steuerungsverantwortung auf Gruppenebene. Wesentliche Governance-Elemente wie das Risikomanagement und interne Kontrollsysteme sowie das Berichtswesen sollen (oder können) auf Gruppenebene umgesetzt werden.
To-dos:
- Unternehmen sollten die Gruppenleitlinien bezüglich der neuen Verfahren durchsehen.
- Die Überwachungs- und Steuerungsverantwortung des obersten Mutterunternehmens der Versicherungsgruppe (OMU) sollte hinreichend ausgestaltet sein.
- Ausländischer und Nicht-Versicherungsunternehmen sollten dabei einbezogen werden.
Nachhaltigkeitsrisiken: Neue Hinweise
Das aktualisierte MaGo-Rundschreiben spiegelt die gestiegenen gesetzlichen Vorgaben im Umgang mit Nachhaltigkeitsrisiken wider. Die BaFin verlangt von den Versicherern, Nachhaltigkeitsrisiken angemessen in ihrer Geschäftsorganisation zu berücksichtigen.
To-dos:
- Unternehmen sollten Bestandsaufnahme durchführen: Werden Nachhaltigkeitsrisiken systematisch und in den Anlageentscheidungen und der Anlagestrategie berücksichtigt?
- Ggf. sind separate Nachhaltigkeits-Leitlinien und -Pläne zu erstellen.
- Ggf. sind Schulungen durchzuführen oder anzupassen und die Fachverantwortlichen zu sensibilisieren.
- Reporting- und Dokumentationsprozesse sollten überprüft und ggf. angepasst werden.
Risikomanagement: Neue Anforderungen
Nach der neuen MaGo müssen die Unternehmen für alle als wesentlich zu bewertenden Risiken Wesentlichkeitsgrenzen festlegen.
Im Übrigen greift die neue MaGo in Kapitel 7 nun ausdrücklich den Aspekt der Risikokultur als Grundlage für ein wirksames Risikomanagement auf. Die Unternehmen haben damit auch die Risikokultur einer angemessenen Evaluierung zu unterziehen, um Mängel in diesem Bereich frühzeitig zu erkennen. Da hierfür bestehende Risikomanagementprozesse genutzt und erweitert werden können, erscheint der Umsetzungsaufwand überschaubar. Auf die ausdrückliche Einbeziehung der Risikokultur in das Risikomanagement sollte bei der Umsetzung aber geachtet werden.
To-dos:
- Unternehmen müssen Wesentlichkeitsgrenzen für alle relevanten Risiken festlegen.
- Sie müssen sicherstellen, dass Risiken basierend auf Materialitätsschwellen gesteuert, überwacht und in die Berichterstattung einbezogen werden.
- Die Unternehmen sollten ihre Risikokultur evaluieren und ggf. bestehende Prozesse erweitern.
Automatisierte Geschäftsabläufe: Neuer Abschnitt
Kapitel 3 des Rundschreibens erläutert das Verhältnis der MaGo zu DORA und zur KI-VO. Wenn Versicherungsunternehmen bei der Umsetzung von DORA- und KI-VO-Anforderungen auf bestehende Organisations- und Steuerungsprozesse zurückgreifen, bleibt die MaGo der maßgebliche Referenzrahmen für die Auslegung der allgemeinen organisatorischen Mindeststandards.
Kapitel 9 der MaGo wurde um einen Abschnitt zu automatisierten Geschäftsabläufen ergänzt. Dazu zählen zum Beispiel automatisierte Risikozeichnungen, Einzelfallentscheidungen und Bestandsverwaltung. Die BaFin fordert, dass diese Abläufe gesteuert, überwacht, risikoorientiert bewertet, nachvollziehbar dokumentiert und qualitätsgesichert werden, sowohl vor dem Einsatz als auch im laufenden Betrieb. Die Prozesse müssen regelmäßig unabhängig bewertet werden, und die Geschäftsleitung muss über Einrichtung, Ausgestaltung und Funktionsfähigkeit informiert sein.
To-dos:
- Unternehmen sollten eine Bestandsaufnahme durchführen und alle automatisierten Geschäftsabläufe im Unternehmen identifizieren und dokumentieren.
- Die mit den automatisierten Prozessen verbundenen Risiken sollten systematisch analysiert und bewertet werden.
- Governance-Strukturen im Hinblick auf die EIOPA-Opinion zur KI-Governance sollten überprüft werden.
- Zuständigkeiten zwischen Fachbereichen, IT, Risikokontrolle und Compliance sollten eindeutig festgelegt und dokumentiert werden.
- Unternehmen sollten Prozesse zur Steuerung, Überwachung und Qualitätssicherung der automatisierten Abläufe etablieren, sowohl vor dem Einsatz als auch im laufenden Betrieb.
- Die automatisierten Prozesse sollten regelmäßig durch die interne Revision, unabhängige Fachbereiche oder externe Prüfer überprüft werden.
- Schließlich sollten die Unternehmen einen strukturierten Prozess und ein regelmäßiges Reporting einrichten.
Rückversicherungsrisiken: Neue Leitlinien
Neu in die MaGo aufgenommen wurden im Unterabschnitt 11.2.2 auch Anforderungen zu Risikomanagementleitlinien für die passive Rückversicherung und andere Risikominderungstechniken. Der angestrebte Grad und die Effektivität des Risikotransfers soll sich an den festgelegten Risikotoleranzschwellen orientieren. Unternehmen sollen die Art der Rückversicherung oder Risikominderungstechnik wählen, die am besten zu ihrem Risikoprofil passt, und in den Leitlinien auch entsprechende Auswahlkriterien festlegen. Außerdem müssen Unternehmen Grundsätze für die Auswahl der Vertragspartner entwickeln. Dies beinhaltet Vorgaben zur Bewertung und Überwachung der Leistungsfähigkeit und Kreditwürdigkeit von Rückversicherern. Externe Ratings sollten durch zusätzliche Bewertungen überprüft werden. Die Leitlinien sollen auch vorgeben, dass die für die passive Rückversicherung alle damit verbundenen Risiken berücksichtigt werden, insbesondere Kreditrisiken und Risiken bei Rückversicherern aus Drittstaaten. Auch den Umfang, die Wirkung und Wirksamkeit des Risikotransfers müssen die Unternehmen bewerten. Mögliche Liquiditätsengpässe durch zeitliche Unterschiede zwischen Versicherungsleistungen und Zahlungen von Rückversicherern sind ebenfalls zu berücksichtigen.
Unternehmen sollten sich auch mit den Szenarien auseinanderzusetzen, in denen Rückversicherer Rückversicherungsverträge beenden oder zu ungünstigeren Bedingungen fortsetzen. Notfallmaßnahmen für solche Exit-Szenarien sind bereits bei Vertragsabschluss festzulegen.
Schließlich müssen tatsächlich festgestellte wesentliche Risiken und Maßnahmen dokumentiert werden.
To-dos:
- Es sollten Leitlinien entwickelt werden, die den angestrebten Risikotransfer an den Risikotoleranzschwellen ausrichten.
- Diese müssen Auswahlkriterien für Rückversicherer und eine Bewertung deren Kreditwürdigkeit enthalten.
- Unternehmen müssen alle mit der Rückversicherung verbundenen Risiken, einschließlich Basisrisiken und Liquiditätsengpässen berücksichtigen.
- Notfallmaßnahmen für Exit-Szenarien sind bei Vertragsabschluss festzulegen.
- Alle wesentlichen Risiken und die ergriffenen Maßnahmen sind zu dokumentieren.
Ausgliederung: Präzisierung des Begriffs
Im Abschnitt 13.1 hat die BaFin das Wort „versicherungstypisch“ gestrichen. Der Text stellt jetzt nur noch darauf ab, ob die Funktion oder Tätigkeit ansonsten vom Versicherungsunternehmen selbst erbracht werden würde.
Es ist aber eher nicht damit zu rechnen, dass die BaFin ihre bisherige Verwaltungspraxis zur Ausgliederung in Abgrenzung zum sonstigen Fremdbezug ändert.
Der Anpassungsbedarf dürfte daher überschaubar sein. Allerdings sollten Unternehmen die Entwicklung in diesem Bereich im Auge behalten. Mit Inkrafttreten des DORA steht auch bei den IT-Resilienz-Anforderungen nicht die Natur der IT-Dienstleistung als versicherungstypisch, sondern ihre Kritikalität im Fokus.
To-dos:
- Unternehmen sollten prüfen Sie, ob bestehende Ausgliederungen weiterhin den aufsichtsrechtlichen Anforderungen entsprechen.
- Entwicklungen der Ausgliederungsdogmatik im Bereich IT-Resilienz im Zusammenhang mit DORA sollten sie im Blick haben.
Schlüsselfunktionen: Änderungen und Erleichterungen
Die neue MaGo ändert auch die Anforderungen für Schlüsselfunktionen.
Die versicherungsmathematische Funktion (VmF) muss künftig analysieren, ob eine Rückversicherung zu einer stärkeren Reduzierung der Solvabilitätskapitalanforderung führt als durch die tatsächlich transferierten Risiken gerechtfertigt ist, oder ob neue Risiken entstehen, die bisher nicht in der Solvabilitätskapitalanforderung berücksichtigt wurden. Lebensversicherungsunternehmen müssen gewährleisten, dass die VmF in ihrer Stellungnahme zu Lebensversicherungsverträgen mit langfristigen Zinsgarantien auch darauf eingeht, inwieweit das Unternehmen voraussichtlich in der Lage sein wird, die Verpflichtungen aus den Zinsgarantien des Neugeschäfts aus den für die Zukunft erwarteten Erträgen seiner Kapitalanlagen zu erfüllen. Dabei muss die Rechnung konkret in Bezug auf das individuelle Risikoprofil bewertet werden.
Eine Erleichterung enthält Abschnitt 10.5 zur unabhängigen Risikocontrollingfunktion (URCF): Informationen, die bereits an die gesamte Geschäftsleitung adressiert wurden, sollen somit nur dann erneut in den Regelbericht der URCF aufgenommen werden müssen, wenn und soweit sie für das Verständnis der Inhalte im URCF-Bericht erforderlich sind. Es sollte mit der URCF abgestimmt werden, inwieweit die Informationen im ORSA-Bericht über wesentliche Risikoexponierungen vollständig und als Informationsgrundlage geeignet sind.
To-dos:
- Unternehmen solle die VmF anweisen, Rückversicherungen hinsichtlich ihrer Wirkung auf die Solvabilitätskapitalanforderung zu analysieren.
- Sie sollten sicherstellen, dass die VmF bei Lebensversicherungen die Erfüllbarkeit von Zinsgarantien konkret bewertet.
- Es sollte geklärt werden, ob der ORSA-Bericht als Informationsgrundlage für den Regelbericht ausreicht.
Fazit
Mit dem Inkrafttreten der neuen MaGo am 14. Oktober 2025 konkretisiert, ändert und erweitert die BaFin ihre Verwaltungspraxis in Bezug auf die Anforderungen an die Geschäftsorganisation in einer ganzen Reihe von Punkten. Der Vorstand bzw. die Geschäftsleitung der Unternehmen, welche die Letztverantwortung für die Geschäftsorganisation trägt, sollten diesbezüglich sicherstellen, dass die notwendigen Umsetzungsschritte adressiert sind und die fristgemäße Umsetzung kontrollieren.
