Solvency II: Risikofaktor IT-Provider

Warum 2016 nicht nur die Versicherer selbst mit Solvency II zu tun bekommen – sondern auch deren Service-Provider.

Kommentar

Und täglich grüßt das Murmeltier? Für Versicherer kann sich dieses Gefühl der Zeitschleife beim Dauerthema Solvency II durchaus einstellen. 2016 gibt es aber durchaus Neuerungen. Dazu gehören neu zu beachtende Anforderungen im Rahmen von IT-Outsourcings. Das ist keine Überraschung, und man kann davon ausgehen, dass sie (neben den rein intern zu beachtenden neuen Berichtspflichten und der neu ausgestalteten Anzeigepflicht gegenüber der Aufsicht) in allen aktuell abgeschlossenen Verträgen mit IT-Providern bereits Berücksichtigung gefunden haben. Aber solche Verträge haben oft lange Laufzeiten, und entsprechend kann der Vertragsabschluss Jahre zurückliegen. Für solche Verträge gilt: Jetzt ist ein zeitnaher Review Pflicht. Und bei einer Verlängerung eines schon länger laufenden Vertrages ist darauf zu achten, dass eventuell notwendige Vertragsänderungen zwingend vorgenommen werden.

Zunehmend stellt sich aber die Frage – und dies übergreifend über alle von Regulatorik betroffenen Branchen und Bereiche - ob die regulatorischen Bestimmungen zu einer eigenen Verantwortung auf Seiten der IT-Provider führt, obwohl diese in der Regel nicht zur regulierten Branche gehören. Rein rechtlich gesehen ist dies erst einmal klar zu verneinen. Wer einer Branche nicht angehört, kann auch den regulatorischen Anforderungen dieser Branche nicht unterliegen. Rein faktisch scheint hier die Antwort weniger eindeutig zu sein.
Nehmen wir an, ein bestehender IT-Outsourcing-Vertrag erfüllt nicht alle hinzugekommenen regulatorischen Anforderungen. Nehmen wir ferner an, der IT-Provider bemerkt dies -  und das sollte er, da er weiß, dass das von ihm betreute Unternehmen in einer regulatorisch relevanten Branche aktiv ist. Doch statt seinen Kunden darauf anzusprechen, schweigt der Provider und freut sich insgeheim, dass sein Kunde nicht auf ihn zukommt, sondern er seine Dienstleistung weiterhin ohne Anpassungen erbringen kann. Das kann lange gutgehen. Doch dann passiert das Ungeplante: Die Aufsicht führt eine Prüfung durch, ob beim Versicherer oder direkt beim IT-Provider sei dahingestellt, und stellt Mängel fest. Was nun?

Eine durchaus wahrscheinliche Konsequenz: Die Aufsichtsbehörde untersagt auf Basis dieser Erkenntnisse die weitere Zusammenarbeit auf Grundlage des bestehenden Vertrags. Dies würde zum einen zu einem Sonderkündigungsrecht des Versicherers führen, wodurch für den Fall einer vorzeitigen Trennung eventuell vereinbarte Remanzkosten oder auch vereinbarte Mindestumsätze ersatzlos entfielen (bei entsprechender vertraglicher Regelung, die aber als wahrscheinlich gilt). Zum anderen wäre der IT-Provider „über Nacht“ seinen Kunden los. Viel schlimmer ist das aber für den Versicherer, der quasi „über Nacht“ mit einem schwerwiegenden Problem dasteht.

Natürlich würde es der Versicherungsbranche nicht verborgen bleiben, dass diesem IT-Provider nicht über den Weg zu trauen sei. Und da die IT nicht unbedingt nur in Branchen denkt, wüsste dies in aller Kürze der Gesamtmarkt. Dem IT-Provider bliebe schlimmstenfalls der schnelle Verkauf oder gar die Schließung. Kein wirklich erstrebenswertes Ziel.

Ein riskantes Spiel also – sowohl für den Versicherer, der zu sehr auf die Prozesskontrolle durch den Provider vertraut und damit seine Compliance aufs Spiel setzt, als auch für den Provider, der seine Vertrauenswürdigkeit untergräbt. Beide Unternehmen können das so nicht wollen. Festzuhalten bleibt: Rein rechtlich erfolgt die Übertragung der regulatorischen Anforderungen auf den IT-Provider per Vertrag oder Vertragsänderung durch den Kunden. Tatsächlich sollte der IT-Provider aber auch seinerseits ein hohes Eigeninteresse daran haben, dass diese Übertragung stets aktuell ist, respektive zeitnah erfolgt und der Branchen-Regulatorik entspricht. Dies erscheint auch angemessen. Ebenso wie die erhöhten Anforderungen an die Provider aus regulatorischen Bestimmungen haben sich in der Praxis hierfür im Vergleich zum nicht regulierten Markt regelmäßig erhöhte Preise durchgesetzt. Da darf ein Versicherer auch erwarten, dass der Provider sich nicht auf die Ansicht versteift, nichts mit der Regulatorik zu tun zu haben. Das kommt allen Beteiligten im Zweifelsfall teuer zu stehen.

Artikel empfehlen

Durch die Nutzung dieser Webseite erkläre ich mich mit der Verwendung von Cookies einverstanden. Weitere Informationenschließen