Suche
Contact
Symbolbild zu MaGo_ Stifte und Tasse auf Tisch
Zurück zur Übersicht
25.09.2025 | KPMG Law Insights

MaGo-Update – Fahrplan für die Umsetzung der neuen Anforderungen

Von Dr. Frank Püttgen

Die BaFin hat am 14. Juli 2025 das Rundschreiben „Mindestanforderungen an die Geschäftsorganisation von Versicherungsunternehmen unter Solvabilität II“ (MaGo für SII-VU) überarbeitet und als Rundschreiben 09/2025 (VA) veröffentlicht. Die Neufassung tritt am 14. Oktober 2025 in Kraft und enthält eine Übergangsregelung. Das sind die wesentlichen Änderungen und die notwendigen Maßnahmen zur Umsetzung:

Grundsätzliche Verantwortung der Geschäftsleitung

Die Verantwortung für die Geschäftsorganisation bleibt bei der gesamten Geschäftsleitung und kann nicht delegiert werden. Das heißt: Die Anpassung an die neuen MaGo-Anforderungen muss durch die Geschäftsleitung initiiert und gewährleistet werden.

Fokus auf zentrale Aspekte der Geschäftsorganisation

Die Neufassung legt den Fokus klarer auf Kernthemen. Andere Inhalte wurden ausgelagert, nämlich:

  • Anforderungen zu Eigenmitteln wurden in ein separates Merkblatt aufgenommen.
  • Risikomanagementleitlinien (APM, Anlagerisiko, Liquiditätsrisiko) finden sich im Rundschreiben 05/2025 (VA) wieder.

Gruppenebene: Governance und Verantwortung

Die neue MaGo legt außerdem einen Fokus auf Überwachungs- und Steuerungsverantwortung auf Gruppenebene. Wesentliche Governance-Elemente wie das Risikomanagement und interne Kontrollsysteme sowie das Berichtswesen sollen (oder können) auf Gruppenebene umgesetzt werden.

To-dos:

  • Unternehmen sollten die Gruppenleitlinien bezüglich der neuen Verfahren durchsehen.
  • Die Überwachungs- und Steuerungsverantwortung des obersten Mutterunternehmens der Versicherungsgruppe (OMU) sollte hinreichend ausgestaltet sein.
  • Ausländischer und Nicht-Versicherungsunternehmen sollten dabei einbezogen werden.

 

Nachhaltigkeitsrisiken: Neue Hinweise

Das aktualisierte MaGo-Rundschreiben spiegelt die gestiegenen gesetzlichen Vorgaben im Umgang mit Nachhaltigkeitsrisiken wider. Die BaFin verlangt von den Versicherern, Nachhaltigkeitsrisiken angemessen in ihrer Geschäftsorganisation zu berücksichtigen.

To-dos:

  • Unternehmen sollten Bestandsaufnahme durchführen: Werden Nachhaltigkeitsrisiken systematisch und in den Anlageentscheidungen und der Anlagestrategie berücksichtigt?
  • Ggf. sind separate Nachhaltigkeits-Leitlinien und -Pläne zu erstellen.
  • Ggf. sind Schulungen durchzuführen oder anzupassen und die Fachverantwortlichen zu sensibilisieren.
  • Reporting- und Dokumentationsprozesse sollten überprüft und ggf. angepasst werden.

 

Risikomanagement: Neue Anforderungen

Nach der neuen MaGo müssen die Unternehmen für alle als wesentlich zu bewertenden Risiken Wesentlichkeitsgrenzen festlegen.

Im Übrigen greift die neue MaGo in Kapitel 7 nun ausdrücklich den Aspekt der Risikokultur als Grundlage für ein wirksames Risikomanagement auf. Die Unternehmen haben damit auch die Risikokultur einer angemessenen Evaluierung zu unterziehen, um Mängel in diesem Bereich frühzeitig zu erkennen. Da hierfür bestehende Risikomanagementprozesse genutzt und erweitert werden können, erscheint der Umsetzungsaufwand überschaubar. Auf die ausdrückliche Einbeziehung der Risikokultur in das Risikomanagement sollte bei der Umsetzung aber geachtet werden.

To-dos:

  • Unternehmen müssen Wesentlichkeitsgrenzen für alle relevanten Risiken festlegen.
  • Sie müssen sicherstellen, dass Risiken basierend auf Materialitätsschwellen gesteuert, überwacht und in die Berichterstattung einbezogen werden.
  • Die Unternehmen sollten ihre Risikokultur evaluieren und ggf. bestehende Prozesse erweitern.

 

Automatisierte Geschäftsabläufe: Neuer Abschnitt

Kapitel 3 des Rundschreibens erläutert das Verhältnis der MaGo zu DORA und zur KI-VO. Wenn Versicherungsunternehmen bei der Umsetzung von DORA- und KI-VO-Anforderungen auf bestehende Organisations- und Steuerungsprozesse zurückgreifen, bleibt die MaGo der maßgebliche Referenzrahmen für die Auslegung der allgemeinen organisatorischen Mindeststandards.

Kapitel 9 der MaGo wurde um einen Abschnitt zu automatisierten Geschäftsabläufen ergänzt. Dazu zählen zum Beispiel automatisierte Risikozeichnungen, Einzelfallentscheidungen und Bestandsverwaltung. Die BaFin fordert, dass diese Abläufe gesteuert, überwacht, risikoorientiert bewertet, nachvollziehbar dokumentiert und qualitätsgesichert werden, sowohl vor dem Einsatz als auch im laufenden Betrieb. Die Prozesse müssen regelmäßig unabhängig bewertet werden, und die Geschäftsleitung muss über Einrichtung, Ausgestaltung und Funktionsfähigkeit informiert sein.

To-dos:

  • Unternehmen sollten eine Bestandsaufnahme durchführen und alle automatisierten Geschäftsabläufe im Unternehmen identifizieren und dokumentieren.
  • Die mit den automatisierten Prozessen verbundenen Risiken sollten systematisch analysiert und bewertet werden.
  • Governance-Strukturen im Hinblick auf die EIOPA-Opinion zur KI-Governance sollten überprüft werden.
  • Zuständigkeiten zwischen Fachbereichen, IT, Risikokontrolle und Compliance sollten eindeutig festgelegt und dokumentiert werden.
  • Unternehmen sollten Prozesse zur Steuerung, Überwachung und Qualitätssicherung der automatisierten Abläufe etablieren, sowohl vor dem Einsatz als auch im laufenden Betrieb.
  • Die automatisierten Prozesse sollten regelmäßig durch die interne Revision, unabhängige Fachbereiche oder externe Prüfer überprüft werden.
  • Schließlich sollten die Unternehmen einen strukturierten Prozess und ein regelmäßiges Reporting einrichten.

 

Rückversicherungsrisiken: Neue Leitlinien

Neu in die MaGo aufgenommen wurden im Unterabschnitt 11.2.2 auch Anforderungen zu Risikomanagementleitlinien für die passive Rückversicherung und andere Risikominderungstechniken. Der angestrebte Grad und die Effektivität des Risikotransfers soll sich an den festgelegten Risikotoleranzschwellen orientieren. Unternehmen sollen die Art der Rückversicherung oder Risikominderungstechnik wählen, die am besten zu ihrem Risikoprofil passt, und in den Leitlinien auch entsprechende Auswahlkriterien festlegen. Außerdem müssen Unternehmen Grundsätze für die Auswahl der Vertragspartner entwickeln. Dies beinhaltet Vorgaben zur Bewertung und Überwachung der Leistungsfähigkeit und Kreditwürdigkeit von Rückversicherern. Externe Ratings sollten durch zusätzliche Bewertungen überprüft werden. Die Leitlinien sollen auch vorgeben, dass die für die passive Rückversicherung alle damit verbundenen Risiken berücksichtigt werden, insbesondere Kreditrisiken und Risiken bei Rückversicherern aus Drittstaaten. Auch den Umfang, die Wirkung und Wirksamkeit des Risikotransfers müssen die Unternehmen bewerten. Mögliche Liquiditätsengpässe durch zeitliche Unterschiede zwischen Versicherungsleistungen und Zahlungen von Rückversicherern sind ebenfalls zu berücksichtigen.

Unternehmen sollten sich auch mit den Szenarien auseinanderzusetzen, in denen Rückversicherer Rückversicherungsverträge beenden oder zu ungünstigeren Bedingungen fortsetzen. Notfallmaßnahmen für solche Exit-Szenarien sind bereits bei Vertragsabschluss festzulegen.

Schließlich müssen tatsächlich festgestellte wesentliche Risiken und Maßnahmen dokumentiert werden.

To-dos:

  • Es sollten Leitlinien entwickelt werden, die den angestrebten Risikotransfer an den Risikotoleranzschwellen ausrichten.
  • Diese müssen Auswahlkriterien für Rückversicherer und eine Bewertung deren Kreditwürdigkeit enthalten.
  • Unternehmen müssen alle mit der Rückversicherung verbundenen Risiken, einschließlich Basisrisiken und Liquiditätsengpässen berücksichtigen.
  • Notfallmaßnahmen für Exit-Szenarien sind bei Vertragsabschluss festzulegen.
  • Alle wesentlichen Risiken und die ergriffenen Maßnahmen sind zu dokumentieren.

 

Ausgliederung: Präzisierung des Begriffs

Im Abschnitt 13.1 hat die BaFin das Wort „versicherungstypisch“ gestrichen. Der Text stellt jetzt nur noch darauf ab, ob die Funktion oder Tätigkeit ansonsten vom Versicherungsunternehmen selbst erbracht werden würde.

Es ist aber eher nicht damit zu rechnen, dass die BaFin ihre bisherige Verwaltungspraxis zur Ausgliederung in Abgrenzung zum sonstigen Fremdbezug ändert.

Der Anpassungsbedarf dürfte daher überschaubar sein. Allerdings sollten Unternehmen die Entwicklung in diesem Bereich im Auge behalten. Mit Inkrafttreten des DORA steht auch bei den IT-Resilienz-Anforderungen nicht die Natur der IT-Dienstleistung als versicherungstypisch, sondern ihre Kritikalität im Fokus.

To-dos:

  • Unternehmen sollten prüfen Sie, ob bestehende Ausgliederungen weiterhin den aufsichtsrechtlichen Anforderungen entsprechen.
  • Entwicklungen der Ausgliederungsdogmatik im Bereich IT-Resilienz im Zusammenhang mit DORA sollten sie im Blick haben.

 

Schlüsselfunktionen: Änderungen und Erleichterungen

Die neue MaGo ändert auch die Anforderungen für Schlüsselfunktionen.

Die versicherungsmathematische Funktion (VmF) muss künftig analysieren, ob eine Rückversicherung zu einer stärkeren Reduzierung der Solvabilitätskapitalanforderung führt als durch die tatsächlich transferierten Risiken gerechtfertigt ist, oder ob neue Risiken entstehen, die bisher nicht in der Solvabilitätskapitalanforderung berücksichtigt wurden. Lebensversicherungsunternehmen müssen gewährleisten, dass die VmF in ihrer Stellungnahme zu Lebensversicherungsverträgen mit langfristigen Zinsgarantien auch darauf eingeht, inwieweit das Unternehmen voraussichtlich in der Lage sein wird, die Verpflichtungen aus den Zinsgarantien des Neugeschäfts aus den für die Zukunft erwarteten Erträgen seiner Kapitalanlagen zu erfüllen. Dabei muss die Rechnung konkret in Bezug auf das individuelle Risikoprofil bewertet werden.

Eine Erleichterung enthält Abschnitt 10.5 zur unabhängigen Risikocontrollingfunktion (URCF): Informationen, die bereits an die gesamte Geschäftsleitung adressiert wurden, sollen somit nur dann erneut in den Regelbericht der URCF aufgenommen werden müssen, wenn und soweit sie für das Verständnis der Inhalte im URCF-Bericht erforderlich sind. Es sollte mit der URCF abgestimmt werden, inwieweit die Informationen im ORSA-Bericht über wesentliche Risikoexponierungen vollständig und als Informationsgrundlage geeignet sind.

To-dos:

  • Unternehmen solle die VmF anweisen, Rückversicherungen hinsichtlich ihrer Wirkung auf die Solvabilitätskapitalanforderung zu analysieren.
  • Sie sollten sicherstellen, dass die VmF bei Lebensversicherungen die Erfüllbarkeit von Zinsgarantien konkret bewertet.
  • Es sollte geklärt werden, ob der ORSA-Bericht als Informationsgrundlage für den Regelbericht ausreicht.

 

Fazit

Mit dem Inkrafttreten der neuen MaGo am 14. Oktober 2025 konkretisiert, ändert und erweitert die BaFin ihre Verwaltungspraxis in Bezug auf die Anforderungen an die Geschäftsorganisation in einer ganzen Reihe von Punkten. Der Vorstand bzw. die Geschäftsleitung der Unternehmen, welche die Letztverantwortung für die Geschäftsorganisation trägt, sollten diesbezüglich sicherstellen, dass die notwendigen Umsetzungsschritte adressiert sind und die fristgemäße Umsetzung kontrollieren.

Explore #more

10.10.2025 | In den Medien

KPMG Law Gastbeitrag in der NZG: Compliance Due Diligence im Mittelstand: Mindestumfang und vertragliche Abbildung von Compliance-Risiken der Zielgesellschaft

Im Rahmen von M&A Transaktionen spielt die Compliance bei einer Legal Due Diligence meist noch eine untergeordnete Bedeutung. Gegenstand der hiesigen Betrachtung ist es, einerseits…

10.10.2025 | In den Medien

KPMG Law bei der M&A Award Night 2025 ausgezeichnet

KPMG Law ist bei der diesjährigen M&A Award Night des Bundesverbands Mergers & Acquisitions e.V. (BM&A) mit dem Preis „M&A Transaction Advisory” ausgezeichnet worden und…

10.10.2025 | In den Medien

KPMG Law Gastbeitrag in der CCZ: Der Leitfaden für Compliance-Management-Systeme in kleinen und mittleren Unternehmen (DIN SPEC 91524)

Compliance im Mittelstand ist herausfordernd: Die gesetzliche Verantwortung für Compliance ist unbestritten, die konkreten Aufgaben dagegen sind unklar und abhängig von der konkreten Situation eines…

10.10.2025 | KPMG Law Insights

Transformation in Rechtsabteilungen 2026 – die wichtigsten Trends und Best Practices

Aktuell treiben vor allem drei Themen die Transformation der Rechtsabteilung voran: KI, die rasant zunehmende Regulatorik und geopolitische Entwicklungen. Schon immer gab es technologischen Fortschritt,…

08.10.2025 | Dealmeldungen

KPMG hat Adiuva Capital GmbH mit Fact Books beim Verkauf der KONZMANN Gruppe beraten

Die KPMG Law Rechtsanwaltsgesellschaft mbH (KPMG Law) und die KPMG AG Wirtschaftsprüfungsgesellschaft (KPMG) haben die Adiuva Capital GmbH, eine Hamburger Private-Equity-Gesellschaft („Adiuva“), im Rahmen des…

06.10.2025 | KPMG Law Insights

Was die Green Claims Directive für Unternehmen bedeutet – ein Überblick

Mit der Green Claims Directive wird die EU umfangreiche Regelungen zu den Voraussetzungen zulässiger Umweltaussagen einführen. Das Ziel ist, Greenwashing zu verhindern, damit Verbraucher:innen künftig…

03.10.2025 | Dealmeldungen

KPMG Law und KPMG begleiten die Neustrukturierung der Groupe CAT in Deutschland

Die KPMG Law Rechtsanwaltsgesellschaft (KPMG Law) und KPMG AG Wirtschaftsprüfungsgesellschaft (KPMG) haben mit einem service-übergreifenden Team die Groupe CAT bei umfassenden Umstrukturierungsmaßnahmen beraten. Über einen…

02.10.2025 | Dealmeldungen

KPMG Law berät die Epitype GmbH und die MDG Molecular Diagnostics Group GmbH beim Erwerb wesentlicher Vermögenswerte der oncgnostics GmbH

Die KPMG Law Rechtsanwaltsgesellschaft mbH (KPMG Law) hat die Epitype GmbH, ein Unternehmen der in Dresden ansässigen MDG-Unternehmensgruppe, bei der Gründung und dem anschließenden Erwerb…

02.10.2025 | In den Medien

KPMG Law Statement in der ZEIT für Unternehmer: Wir nehmen die 500 Milliarden!

Deutsche Baufirmen fragen sich: Wie schnell kommt das Geld von der Regierung? Und sie sorgen sich, dass nur die Riesen profitieren. In Münster zeigt einer,…

01.10.2025 | KPMG Law Insights

Bundesnetzagentur reformiert Sondernetzentgelte für Industrie und Gewerbe

Die Bundesnetzagentur plant eine grundlegende Reform der Sondernetzentgelte für energieintensive Unternehmen. Jede Veränderung am aktuellen Privilegierungsregime birgt dabei für betroffene Unternehmen das Risiko einer (ggf.…

Kontakt

Dr. Frank Püttgen

Partner

Luise-Straus-Ernst-Straße 2
50679 Köln

Tel.: +49 221 2716891414
fpuettgen@kpmg-law.com

 
Arbeitsfelder
Standorte
Position
Sprache

KPMG Law

© 2025 KPMG Law Rechtsanwaltsgesellschaft mbH, assoziiert mit der KPMG AG Wirtschaftsprüfungsgesellschaft, einer Aktiengesellschaft nach deutschem Recht und ein Mitglied der globalen KPMG-Organisation unabhängiger Mitgliedsfirmen, die KPMG International Limited, einer Private English Company Limited by Guarantee, angeschlossen sind. Alle Rechte vorbehalten. Für weitere Einzelheiten über die Struktur der globalen Organisation von KPMG besuchen Sie bitte https://home.kpmg/governance.

KPMG International erbringt keine Dienstleistungen für Kunden. Keine Mitgliedsfirma ist befugt, KPMG International oder eine andere Mitgliedsfirma gegenüber Dritten zu verpflichten oder vertraglich zu binden, ebenso wie KPMG International nicht autorisiert ist, andere Mitgliedsfirmen zu verpflichten oder vertraglich zu binden.

Scroll