Cybersecurity Navigator Login

VAG - Gesetz über die Beaufsichtigung der Versicherungsunternehmen

VAG - Gesetz über die Beaufsichtigung der Versicherungsunternehmen

Sektor Finanz- und Versicherungswesen
Branche Versicherungen
Ebene Bundesrecht
Rechtsakt Gesetzlich


  • Gesetz über die Beaufsichtigung der Versicherungsunternehmen
    VAG
    §§ 23; 26 I; 29; 32; 43; 53 I; 121; 276; 298 I u. II i.V.m 294; 305; 309

     

    § 23 Allgemeine Anforderungen an die Geschäftsorganisation, Produktfreigabeverfahren

    (1) Versicherungsunternehmen müssen über eine Geschäftsorganisation verfügen, die wirksam und ordnungsgemäß ist und die der Art, dem Umfang und der Komplexität ihrer Tätigkeiten angemessen ist. Die Geschäftsorganisation muss neben der Einhaltung der von den Versicherungsunternehmen zu beachtenden Gesetze, Verordnungen und aufsichtsbehördlichen Anforderungen eine solide und umsichtige Leitung des Unternehmens gewährleisten. Dazu gehören neben der Einhaltung der Anforderungen dieses Abschnitts insbesondere eine angemessene, transparente Organisationsstruktur mit einer klaren Zuweisung und einer angemessenen Trennung der Zuständigkeiten sowie ein wirksames unternehmensinternes Kommunikationssystem.

    (1a) Die Unternehmen, die Versicherungsprodukte zum Verkauf konzipieren, haben ein Verfahren für die interne Freigabe zum Vertrieb jedes einzelnen Versicherungsprodukts oder jeder wesentlichen Änderung bestehender Versicherungsprodukte zu unterhalten, zu betreiben und regelmäßig zu überprüfen (Produktfreigabeverfahren). Das Verfahren muss gewährleisten, dass für jedes Versicherungsprodukt, bevor es an Kunden vertrieben wird, ein bestimmter Zielmarkt festgelegt wird. Bei der Festlegung des Zielmarkts sind alle einschlägigen Risiken für den bestimmten Zielmarkt zu bewerten. Es ist sicherzustellen, dass die beabsichtigte Vertriebsstrategie dem bestimmten Zielmarkt entspricht. Die Unternehmen stellen im Rahmen einer angemessenen Geschäftsorganisation sicher, dass die Versicherungsprodukte an den bestimmten Zielmarkt vertrieben werden.

    (1b) Die Unternehmen haben die Versicherungsprodukte regelmäßig zu überprüfen. Dabei haben sie alle Ereignisse zu berücksichtigen, die wesentlichen Einfluss auf das potenzielle Risiko für den bestimmten Zielmarkt haben könnten, und zumindest zu beurteilen, ob das Versicherungsprodukt weiterhin den Bedürfnissen des bestimmten Zielmarkts entspricht und die beabsichtigte Vertriebsstrategie immer noch geeignet ist.

    (1c) Unternehmen, die Versicherungsprodukte konzipieren, haben allen Vertreibern sämtliche sachgerechten Informationen zu dem Versicherungsprodukt und dem Produktfreigabeverfahren, einschließlich des bestimmten Zielmarkts des Versicherungsprodukts, zur Verfügung zu stellen. Vertreibt ein Unternehmen Versicherungsprodukte, die es nicht selbst konzipiert, oder berät es über solche Versicherungsprodukte, muss es über angemessene Vorkehrungen verfügen, um sich die in Satz 1 genannten Informationen zu verschaffen und die Merkmale und den bestimmten Zielmarkt zu verstehen.

    (1d) Die Absätze 1a bis 1c gelten nicht für Versicherungsprodukte, die aus einer Versicherung für Großrisiken im Sinne des § 210 Absatz 2 des Versicherungsvertragsgesetzes bestehen, und nicht für Rückversicherungsunternehmen.

    (2) Der Vorstand sorgt dafür, dass die Geschäftsorganisation regelmäßig intern überprüft wird.

    (3) Die Unternehmen müssen schriftliche interne Leitlinien aufstellen, die der vorherigen Zustimmung durch den Vorstand unterliegen und deren Umsetzung sicherzustellen ist. Die Leitlinien müssen mindestens Vorgaben zum Risikomanagement, zum internen Kontrollsystem, zur internen Revision und, soweit relevant, zur Ausgliederung von Funktionen und Tätigkeiten machen. Sie sind mindestens einmal jährlich zu überprüfen. Bei wesentlichen Änderungen der Bereiche oder Systeme, auf die sie sich beziehen, sind sie entsprechend anzupassen.

    (4) Die Unternehmen haben angemessene Vorkehrungen, einschließlich der Entwicklung von Notfallplänen, zu treffen, um die Kontinuität und Ordnungsmäßigkeit ihrer Tätigkeiten zu gewährleisten.

    (5) Die aufbau- und ablauforganisatorischen Regelungen sowie das interne Kontrollsystem sind für Dritte nachvollziehbar zu dokumentieren. Die Dokumentation ist sechs Jahre aufzubewahren; § 257 Absatz 3 und 5 des Handelsgesetzbuchs ist entsprechend anzuwenden.

    (6) Die Unternehmen haben einen Prozess vorzusehen, der es den Mitarbeitern unter Wahrung der Vertraulichkeit ihrer Identität ermöglicht, potenzielle oder tatsächliche Verstöße 

    1. gegen dieses Gesetz,

    2. gegen auf Grund dieses Gesetzes erlassene Rechtsverordnungen,

    3. gegen die Verordnung (EU) Nr. 596/2014 des Europäischen Parlaments und des Rates vom 16. April 2014 über Marktmissbrauch (Marktmissbrauchsverordnung) und zur Aufhebung der Richtlinie 2003/6/EG des Europäischen Parlaments und des Rates und der Richtlinien 2003/124/EG, 2003/125/EG und 2004/72/EG der Kommission (ABl. L 173 vom 12.6.2014, S. 1),

    4. gegen die Verordnung (EU) Nr. 1286/2014 des Europäischen Parlaments und des Rates vom 26. November 2014 über Basisinformationsblätter für verpackte Anlageprodukte für Kleinanleger und Versicherungsanlageprodukte (PRIIP) (ABl. L 352 vom 9.12.2014, S. 1, L 358 vom 13.12.2014, S. 50) in der jeweils geltenden Fassung

    sowie etwaige strafbare Handlungen innerhalb des Unternehmens an eine geeignete Stelle zu melden.

     

    § 26 Risikomanagement

    (1) Versicherungsunternehmen müssen über ein wirksames Risikomanagementsystem verfügen, das gut in die Organisationsstruktur und die Entscheidungsprozesse des Unternehmens integriert ist und dabei die Informationsbedürfnisse der Personen, die das Unternehmen tatsächlich leiten oder andere Schlüsselfunktionen innehaben, durch eine angemessene interne Berichterstattung gebührend berücksichtigt. Das Risikomanagementsystem muss die Strategien, Prozesse und internen Meldeverfahren umfassen, die erforderlich sind, um Risiken, denen das Unternehmen tatsächlich oder möglicherweise ausgesetzt ist, zu identifizieren, zu bewerten, zu überwachen und zu steuern sowie aussagefähig über diese Risiken zu berichten. Es muss einzeln und auf aggregierter Basis eine kontinuierliche Risikosteuerung unter Berücksichtigung der zwischen den Risiken bestehenden Interdependenzen ermöglichen. Auf Verlangen der Aufsichtsbehörde haben die Versicherungsunternehmen einen Sanierungsplan (allgemeiner Sanierungsplan) aufzustellen. Der allgemeine Sanierungsplan muss Szenarien beschreiben, die zu einer Gefährdung des Unternehmens führen können, und darlegen, mit welchen Maßnahmen diesen begegnet werden soll.

    (2) Zu den zu entwickelnden Strategien zählt insbesondere eine auf die Steuerung des Unternehmens abgestimmte Risikostrategie, die Art, Umfang und Komplexität des betriebenen Geschäfts und der mit ihm verbundenen Risiken berücksichtigt.

    (3) Wenn Versicherungsunternehmen die Matching-Anpassung gemäß § 80 oder die Volatilitätsanpassung gemäß § 82 anwenden, erstellen sie einen Liquiditätsplan, der die eingehenden und ausgehenden Zahlungsströme in Bezug auf die Vermögenswerte und Verbindlichkeiten projiziert, die diesen Anpassungen unterliegen.

    (4) Wird die Volatilitätsanpassung gemäß § 82 angewendet, umfassen die schriftlich festgelegten Leitlinien für das Risikomanagement gemäß § 23 Absatz 3 Leitlinien für die Kriterien zur Anwendung der Volatilitätsanpassung.

    (5) Das Risikomanagementsystem hat sämtliche Risiken des Versicherungsunternehmens zu umfassen und insbesondere die folgenden Bereiche abzudecken: 

    1. die Zeichnung von Versicherungsrisiken und die Bildung von Rückstellungen,

    2. das Aktiv-Passiv-Management,

    3. die Kapitalanlagen, insbesondere Derivate und Instrumente von vergleichbarer Komplexität,

    4. die Steuerung des Liquiditäts- und des Konzentrationsrisikos,

    5. die Steuerung operationeller Risiken und

    6. die Rückversicherung und andere Risikominderungstechniken.

    Die innerbetrieblichen Leitlinien zum Risikomanagement müssen mindestens Vorgaben zu den genannten Bereichen machen.

    (6) In Bezug auf das Kapitalanlagerisiko müssen Versicherungsunternehmen nachweisen, dass sie die Anforderungen des § 124 einhalten.

    (7) In Bezug auf das Aktiv-Passiv-Management bewerten die Versicherungsunternehmen regelmäßig 

    1. die Sensitivität ihrer versicherungstechnischen Rückstellungen und anrechenbaren Eigenmittel in Bezug auf die Annahmen, die der Extrapolation der maßgeblichen risikofreien Zinskurve gemäß § 7 Nummer 21 zugrunde liegen;

    2. wenn die Matching-Anpassung gemäß § 80 angewendet wird: 

    a) die Sensitivität ihrer versicherungstechnischen Rückstellungen und anrechenbaren Eigenmittel in Bezug auf die Annahmen, die der Berechnung der Matching-Anpassung zugrunde liegen, einschließlich der Berechnung des grundlegenden Spreads gemäß § 81 Nummer 2, und die potenziellen Auswirkungen von Zwangsverkäufen von Vermögenswerten auf ihre anrechenbaren Eigenmittel;

    b) die Sensitivität ihrer versicherungstechnischen Rückstellungen und anrechenbaren Eigenmittel in Bezug auf Änderungen der Zusammensetzung des zugeordneten Vermögensportfolios;

    c) die Auswirkung einer Verringerung der Matching-Anpassung auf null;

    3. wenn die Volatilitätsanpassung gemäß § 82 angewendet wird: 

    a) die Sensitivität ihrer versicherungstechnischen Rückstellungen und anrechenbaren Eigenmittel in Bezug auf die Annahmen, die der Berechnung der Volatilitätsanpassung zugrunde liegen, und die potenziellen Auswirkungen einer erzwungenen Veräußerung von Vermögenswerten auf ihre anrechenbaren Eigenmittel,

    b) die Auswirkung einer Verringerung der Volatilitätsanpassung auf null.

    Die Versicherungsunternehmen übermitteln die in Satz 1 genannten Bewertungen der Aufsichtsbehörde jährlich im Rahmen der gemäß § 43 zu übermittelnden Informationen. Falls eine Reduzierung der Matching-Anpassung oder der Volatilitätsanpassung auf null zur Nichteinhaltung der Solvabilitätskapitalanforderung führen würde, legt das Unternehmen darüber hinaus eine Analyse der Maßnahmen vor, die es in einer derartigen Situation anwenden könnte, um die anrechnungsfähigen Eigenmittel in der zur Einhaltung der Solvabilitätskapitalanforderung erforderlichen Höhe wieder aufzubringen oder das Risikoprofil zu senken, sodass die Einhaltung der Solvabilitätskapitalanforderung wiederhergestellt ist.

    (8) Die Versicherungsunternehmen müssen eine unabhängige Risikocontrollingfunktion einrichten, die so strukturiert ist, dass sie die Umsetzung des Risikomanagementsystems maßgeblich befördert. Bei Versicherungsunternehmen, die ein internes Modell verwenden, hat die Risikocontrollingfunktion zusätzlich die Aufgabe, das interne Modell zu entwickeln, umzusetzen, zu testen, zu validieren und einschließlich späterer Änderungen zu dokumentieren. Darüber hinaus analysiert sie die Leistungsfähigkeit des internen Modells und berichtet dem Vorstand in zusammengefasster Form über diese Analyse, gibt ihm Anregungen zur Verbesserung des Modells und hält ihn über Korrekturmaßnahmen für festgestellte Schwächen oder Mängel auf dem Laufenden.

     

    § 29 Internes Kontrollsystem

    (1) Versicherungsunternehmen müssen über ein wirksames internes Kontrollsystem verfügen, das mindestens Verwaltungs- und Rechnungslegungsverfahren, einen internen Kontrollrahmen und eine angemessene unternehmensinterne Berichterstattung auf allen Unternehmensebenen umfasst. Darüber hinaus muss das interne Kontrollsystem über eine Funktion zur Überwachung der Einhaltung der Anforderungen (Compliance-Funktion) verfügen.

    (2) Zu den Aufgaben der Compliance-Funktion gehört die Beratung des Vorstands in Bezug auf die Einhaltung der Gesetze und Verwaltungsvorschriften, die für den Betrieb des Versicherungsgeschäfts gelten. Außerdem hat die Compliance-Funktion die möglichen Auswirkungen von Änderungen des Rechtsumfeldes für das Unternehmen zu beurteilen und das mit der Verletzung der rechtlichen Vorgaben verbundene Risiko (Compliance-Risiko) zu identifizieren und zu beurteilen.

    (3) Versicherungsunternehmen müssen über angemessene Systeme und Strukturen verfügen, um die in den §§ 40 bis 42 genannten Anforderungen erfüllen und die Informationen bereitstellen zu können, die den Aufsichtsbehörden nach diesem Gesetz zu übermitteln sind.

    (4) Die Unternehmen legen in vom Vorstand genehmigten schriftlichen internen Leitlinien fest, wie die kontinuierliche Angemessenheit der zu veröffentlichenden und der zu übermittelnden Informationen zu gewährleisten ist.

     

    § 32 Ausgliederung

    (1) Ein Versicherungsunternehmen, das Funktionen oder Versicherungstätigkeiten ausgliedert, bleibt für die Erfüllung aller aufsichtsrechtlichen Vorschriften und Anforderungen verantwortlich.

    (2) Durch die Ausgliederung dürfen die ordnungsgemäße Ausführung der ausgegliederten Funktionen und Versicherungstätigkeiten, die Steuerungs- und Kontrollmöglichkeiten des Vorstands sowie die Prüfungs- und Kontrollrechte der Aufsichtsbehörde nicht beeinträchtigt werden. Insbesondere hat das ausgliedernde Unternehmen hinsichtlich der von der Ausgliederung betroffenen Funktionen und Versicherungstätigkeiten sicherzustellen, dass 

    1. das Unternehmen selbst, seine Abschlussprüfer und die Aufsichtsbehörde auf alle Daten zugreifen können,

    2. der Dienstleister mit der Aufsichtsbehörde zusammenarbeitet und

    3. die Aufsichtsbehörde Zugangsrechte zu den Räumen des Dienstleisters erhält, die sie selbst oder durch Dritte ausüben kann.

    (3) Bei der Ausgliederung wichtiger Funktionen und Versicherungstätigkeiten haben Versicherungsunternehmen außerdem sicherzustellen, dass wesentliche Beeinträchtigungen der Qualität der Geschäftsorganisation, eine übermäßige Steigerung des operationellen Risikos sowie eine Gefährdung der kontinuierlichen und zufriedenstellenden Dienstleistung für die Versicherungsnehmer vermieden werden.

    (4) Das ausgliedernde Versicherungsunternehmen hat sich die erforderlichen Auskunfts- und Weisungsrechte vertraglich zu sichern und die ausgegliederten Funktionen und Versicherungstätigkeiten in sein Risikomanagement einzubeziehen. Ein Weisungsrecht ist dann nicht erforderlich, wenn im Rahmen einer steuerlichen Organschaft Funktionen auf eine Muttergesellschaft ausgegliedert werden und diese sich für die Wahrnehmung der Funktionen oder Versicherungstätigkeiten vertraglich den gleichen aufsichtsrechtlichen Anforderungen unterwirft, die für das ausgliedernde Unternehmen gelten. Werden wichtige Funktionen oder Versicherungstätigkeiten auf ein Unternehmen mit Sitz in einem Drittstaat ausgegliedert, ist vertraglich sicherzustellen, dass dieses Unternehmen einen inländischen Zustellungsbevollmächtigten benennt, an den Bekanntgaben und Zustellungen durch die Aufsichtsbehörde bewirkt werden können.

     

    § 43 Informationspflichten; Berechnungen

    (1) Versicherungsunternehmen haben den Aufsichtsbehörden nach Maßgabe dieses Gesetzes diejenigen Informationen zu übermitteln, die sie zur Erfüllung ihrer Aufgaben nach diesem Gesetz (§ 294 Absatz 1) benötigen.

    (2) Die Informationen müssen vollständig, aktuell und genau sein. Sie müssen der Art, dem Umfang und der Komplexität der Geschäftstätigkeit des betreffenden Unternehmens und insbesondere den mit dieser Geschäftstätigkeit einhergehenden Risiken Rechnung tragen. Die Unternehmen haben die Informationen fristgerecht und in verständlicher Form bei der Aufsichtsbehörde einzureichen.

     

    § 53 Interne Sicherungsmaßnahmen

    (1) Die verpflichteten Unternehmen dürfen im Einzelfall einander Informationen übermitteln, wenn tatsächliche Anhaltspunkte dafür vorliegen, dass der Empfänger der Informationen diese für die Beurteilung der Frage benötigt, ob ein Sachverhalt nach § 43 Absatz 1 des Geldwäschegesetzes der Zentralstelle für Finanztransaktionsuntersuchungen zu melden oder eine Strafanzeige nach § 158 der Strafprozessordnung zu erstatten ist. Der Empfänger darf die Informationen ausschließlich verwenden, um Geldwäsche, Terrorismusfinanzierung oder sonstige strafbare Handlungen zu verhindern oder nach § 158 der Strafprozessordnung anzuzeigen. Er darf die Informationen nur unter den durch das übermittelnde Versicherungsunternehmen vorgegebenen Bedingungen verwenden.

    (2) Sofern die verpflichteten Unternehmen eine interne Revision vorhalten, haben sie sicherzustellen, dass ein Bericht über das Ergebnis einer Prüfung der internen Revision nach § 6 Absatz 2 Nummer 7 des Geldwäschegesetzes jeweils zeitnah der Geschäftsleitung, dem Geldwäschebeauftragten sowie auf Anforderung der Aufsichtsbehörde vorgelegt wird.

     

    § 121 Dokumentationsstandards

    (1) Der Aufbau und die Funktionsweise des internen Modells sind zu dokumentieren. Aus dieser Dokumentation muss hervorgehen, dass die Anforderungen der §§ 115 bis 120 eingehalten werden.

    (2) Die Dokumentation enthält eine detaillierte Erläuterung der theoretischen Grundlagen, der Annahmen sowie der mathematischen und der empirischen Basis, auf die sich das interne Modell stützt, und beschreibt alle Konstellationen, in denen das interne Modell nicht wirksam funktioniert.

    (3) Versicherungsunternehmen haben alle größeren Veränderungen an ihrem internen Modell (§ 111 Absatz 2) zu dokumentieren.

     

    § 276 Gegenseitiger Informationsaustausch

    (1) Die in die Gruppenaufsicht einbezogenen natürlichen und juristischen Personen einschließlich ihrer verbundenen und beteiligten Unternehmen sind befugt, alle Informationen auszutauschen, die für die Anwendung der Vorschriften dieses Teils notwendig sind.

    (2) Das oberste beteiligte Unternehmen kann von jedem anderen Unternehmen der Gruppe alle Aufklärungen und Nachweise verlangen, welche es zur Erfüllung seiner Pflichten nach diesem Kapitel benötigt.

    (3) Die allgemeinen datenschutzrechtlichen Vorschriften bleiben unberührt.

     

    § 294 Aufgaben

    (1) Hauptziel der Beaufsichtigung ist der Schutz der Versicherungsnehmer und der Begünstigten von Versicherungsleistungen.

    (2) Die Aufsichtsbehörde überwacht den gesamten Geschäftsbetrieb der Versicherungsunternehmen im Rahmen einer rechtlichen Aufsicht im Allgemeinen und einer Finanzaufsicht im Besonderen. Sie achtet dabei auf die Einhaltung der Gesetze, die für den Betrieb des Versicherungsgeschäfts gelten, und bei Erstversicherungsunternehmen zusätzlich auf die ausreichende Wahrung der Belange der Versicherten. Dabei berücksichtigt sie in angemessener Weise die möglichen Auswirkungen ihrer Entscheidungen auf die Stabilität des Finanzsystems in den jeweils betroffenen Staaten des Europäischen Wirtschaftsraums. Im Fall außergewöhnlicher Bewegungen an den Finanzmärkten berücksichtigt sie die potenziellen prozyklischen Effekte ihrer Maßnahmen.

    (3) Gegenstand der rechtlichen Aufsicht ist die ordnungsgemäße Durchführung des Geschäftsbetriebs einschließlich der Einhaltung der aufsichtsrechtlichen, der das Versicherungsverhältnis betreffenden und aller sonstigen die Versicherten betreffenden Vorschriften sowie der rechtlichen Grundlagen des Geschäftsplans. Die rechtliche Aufsicht erstreckt sich auch auf die Einhaltung der im Bereich der betrieblichen Altersversorgung von Pensionskassen zu beachtenden arbeits- und sozialrechtlichen Vorschriften.

    (4) Im Rahmen der Finanzaufsicht hat die Aufsichtsbehörde für die gesamte Geschäftstätigkeit auf die dauernde Erfüllbarkeit der Verpflichtungen aus den Versicherungen und hierbei insbesondere auf die Solvabilität sowie die langfristige Risikotragfähigkeit des Versicherungsunternehmens, die Bildung ausreichender versicherungstechnischer Rückstellungen, die Anlage in entsprechenden geeigneten Vermögenswerten und die Einhaltung der kaufmännischen Grundsätze einschließlich einer ordnungsgemäßen Geschäftsorganisation und die Einhaltung der übrigen finanziellen Grundlagen des Geschäftsbetriebs zu achten.

    (5) Die Aufsichtsbehörde prüft und beurteilt regelmäßig die Strategien, Prozesse und Meldeverfahren, die ein Versicherungsunternehmen festgelegt hat, um die gemäß der Richtlinie 2009/138/EG oder gemäß der Richtlinie (EU) 2016/2341 erlassenen Rechts- und Verwaltungsvorschriften einzuhalten (aufsichtliches Überprüfungsverfahren). Das aufsichtliche Überprüfungsverfahren umfasst die Bewertung 

    1. der qualitativen Anforderungen hinsichtlich der Geschäftsorganisation,

    2. der Risiken, denen das Unternehmen ausgesetzt ist oder sein könnte, und

    3. der Fähigkeit des Unternehmens, diese Risiken unter Berücksichtigung des jeweiligen Geschäftsumfelds zu beurteilen und ihnen standzuhalten.

    Die Aufsichtsbehörde legt die Mindesthäufigkeit und den Anwendungsbereich dieser Überprüfungen, Beurteilungen und Bewertungen unter Berücksichtigung von Art, Umfang und Komplexität der Tätigkeiten des betreffenden Versicherungsunternehmens fest. Bei Pensionskassen berücksichtigt sie auch die Größenordnung der Tätigkeiten.

    (6) Die Aufsicht erstreckt sich über das Inland hinaus auf die in anderen Mitglied- oder Vertragsstaaten über Niederlassungen oder im Dienstleistungsverkehr ausgeübte Geschäftstätigkeit. Dabei wird die Finanzaufsicht in alleiniger Zuständigkeit, die Aufsicht im Übrigen im Zusammenwirken mit der Aufsichtsbehörde des anderen Mitglied- oder Vertragsstaats wahrgenommen.

    (7) Die Aufsicht hat sich auch auf die Liquidation eines Unternehmens und auf die Abwicklung der bestehenden Versicherungen zu erstrecken, wenn der Geschäftsbetrieb untersagt oder freiwillig eingestellt oder die Erlaubnis zum Geschäftsbetrieb widerrufen wird.

    (8) Die Aufsichtsbehörden nimmt ihre Aufgaben und Befugnisse nur im öffentlichen Interesse wahr.

     

    § 298 Allgemeine Aufsichtsbefugnisse

    (1) Gegenüber Erstversicherungsunternehmen, den Mitgliedern ihres Vorstands sowie sonstigen Geschäftsleitern und den die Erstversicherungsunternehmen kontrollierenden Personen kann die Aufsichtsbehörde alle Maßnahmen ergreifen, die geeignet und erforderlich sind, um Missstände zu vermeiden oder zu beseitigen. Ein Missstand ist jedes Verhalten eines Versicherungsunternehmens, das den Aufsichtszielen des § 294 Absatz 2 widerspricht. Missstände sind auch Schwächen oder Mängel, die die Aufsichtsbehörde im Rahmen des aufsichtlichen Überprüfungsverfahrens festgestellt hat.

    (2) Gegenüber Rückversicherungsunternehmen, den Mitgliedern ihres Vorstands sowie sonstigen Geschäftsleitern oder den die Rückversicherungsunternehmen kontrollierenden Personen kann die Aufsichtsbehörde alle Maßnahmen ergreifen, die geeignet und erforderlich sind, um sicherzustellen, dass 

    1. die Gesetze, die für den Betrieb des Rückversicherungsgeschäfts gelten, und die aufsichtsbehördlichen Anordnungen eingehalten werden,

    2. insbesondere die Rückversicherungsunternehmen jederzeit in der Lage sind, ihre Verpflichtungen aus den Rückversicherungsverhältnissen zu erfüllen, und

    3. Schwächen oder Mängel beseitigt werden, die die Aufsichtsbehörde im Rahmen des aufsichtlichen Überprüfungsverfahrens festgestellt hat.

    (3) Die Aufsichtsbehörde darf einen Rückversicherungs- oder Retrozessionsvertrag, den ein Versicherungsunternehmen mit einem Rückversicherungsunternehmen oder einem nach Artikel 14 der Richtlinie 2009/138/EG zugelassenen Erstversicherungsunternehmen geschlossen hat, nur aus Gründen zurückweisen, die sich nicht unmittelbar auf die finanzielle Solidität des anderen Unternehmens beziehen.

    (4) (weggefallen)

     

    § 305 Befragung, Auskunftspflicht

    (1) Die Aufsichtsbehörde ist befugt, 

    1. von den Versicherungsunternehmen, den Mitgliedern ihrer Organe, ihren Beschäftigten sowie den die Unternehmen kontrollierenden Personen Auskünfte über alle Geschäftsangelegenheiten sowie Vorlage oder Übersendung aller Geschäftsunterlagen, im Einzelfall insbesondere der allgemeinen Versicherungsbedingungen, der Tarife, der Formblätter und sonstigen Druckstücke, die das Versicherungsunternehmen im Verkehr mit den Versicherungsnehmern oder den abgebenden Versicherungsunternehmen (Vorversicherern) verwendet, sowie der Unternehmensverträge und der Verträge über Ausgliederungen zu verlangen und

    2. von einem in die Gruppenaufsicht nach Teil 5 einbezogenen Versicherungsunternehmen und den in Nummer 1 genannten Personen Auskünfte und die Vorlage von Unterlagen über die Geschäftsangelegenheiten zu verlangen, die der Gruppenaufsicht dienlich sind; übermittelt das Versicherungsunternehmen diese Informationen trotz Aufforderung nicht innerhalb einer angemessenen Frist, so kann die Aufsichtsbehörde auch von allen anderen der Gruppe angehörigen Unternehmen die Auskünfte sowie Übersendung oder Vorlage der Unterlagen verlangen.

    (2) Die Aufsichtsbehörde hat die Rechte nach Absatz 1 Nummer 1 auch gegenüber 

    1. Personen und Unternehmen, die als Versicherungsvertreter oder Versicherungsmakler an ein Versicherungsunternehmen Versicherungsverträge vermitteln oder vermittelt haben, soweit es für die Beurteilung des Geschäftsbetriebs und der Vermögenslage des Versicherungsunternehmens oder der Erfüllung der Pflichten nach den §§ 53 bis 56 oder den Vorschriften des Geldwäschegesetzes durch ein Versicherungsunternehmen im Sinne des § 52 bedeutsam ist;

    2. Personen und Unternehmen, auf die ein Versicherungsunternehmen Funktionen oder Tätigkeiten ausgegliedert hat sowie seinen Abschlussprüfern und unabhängigen Treuhändern im Sinne dieses Gesetzes oder des Versicherungsvertragsgesetzes; die Auskunftspflicht der Abschlussprüfer beschränkt sich auf Tatsachen, die ihnen im Rahmen der Abschlussprüfung bekannt geworden sind;

    3. Personen und Unternehmen, die eine Beteiligungsabsicht nach § 17 Absatz 1 Nummer 1 angezeigt haben oder die im Rahmen eines Erlaubnisantrags nach § 9 als Inhaber bedeutender Beteiligungen angegeben werden;

    4. den Inhabern einer bedeutenden Beteiligung an einem Versicherungsunternehmen und den von ihnen kontrollierten Unternehmen;

    5. Personen und Unternehmen, bei denen Tatsachen die Annahme rechtfertigen, dass es sich um Personen oder Unternehmen im Sinne der Nummer 4 handelt, und

    6. Personen und Unternehmen, die mit einer Person oder einem Unternehmen im Sinne der Nummern 3 bis 5 nach § 15 des Aktiengesetzes verbunden sind.

    (3) Ein Unternehmen, bei dem feststeht oder Tatsachen die Annahme rechtfertigen, dass es unerlaubte Versicherungsgeschäfte nach § 308 Absatz 1 Satz 1 betreibt oder dass es in die Anbahnung, den Abschluss oder die Abwicklung unerlaubter Versicherungsgeschäfte einbezogen ist oder war, sowie die Mitglieder der Organe und die Gesellschafter und Beschäftigten eines solchen Unternehmens haben der Aufsichtsbehörde auf Verlangen Auskünfte über alle Geschäftsangelegenheiten zu erteilen und Unterlagen vorzulegen. Mitglieder eines Organs, Gesellschafter sowie Beschäftigte haben auf Verlangen auch nach Ausscheiden aus dem Organ oder dem Unternehmen Auskunft zu erteilen und Unterlagen vorzulegen. Die Bundesanstalt kann den in Satz 1 genannten Unternehmen und Personen Weisungen zur Sicherung von Kundengeldern, Daten und Vermögenswerten erteilen.

    (4) Absatz 3 ist entsprechend anzuwenden, soweit 

    1. feststeht oder Tatsachen die Annahme rechtfertigen, dass Unternehmen oder Personen in die Anbahnung, den Abschluss oder die Abwicklung von Versicherungsgeschäften einbezogen sind, die in einem anderen Mitglied- oder Vertragsstaat oder in einem Drittstaat entgegen einem entsprechenden Verbot in diesem Staat erbracht werden, und

    2. die zuständige Behörde des anderen Staats ein entsprechendes Ersuchen an die Aufsichtsbehörde stellt.

    (5) Wer nach den Absätzen 1 bis 3 zur Erteilung einer Auskunft verpflichtet ist, kann die Auskunft auf solche Fragen verweigern, deren Beantwortung ihn selbst oder einen der in § 383 Absatz 1 Nummer 1 bis 3 der Zivilprozessordnung bezeichneten Angehörigen der Gefahr strafrechtlicher Verfolgung oder eines Verfahrens nach dem Gesetz über Ordnungswidrigkeiten aussetzen würde.

    (6) Die Aufsichtsbehörde darf einzelne Daten aus der Datei nach § 24c Absatz 1 Satz 1 des Kreditwesengesetzes abrufen, soweit dies zur Erfüllung ihrer aufsichtlichen Aufgaben nach diesem Gesetz, insbesondere im Hinblick auf unerlaubt betriebene Versicherungsgeschäfte, erforderlich ist und besondere Eilbedürftigkeit im Einzelfall vorliegt. § 24c Absatz 4 des Kreditwesengesetzes ist entsprechend anzuwenden.

    (7) Soweit es zur Erteilung von Auskünften und zur Vorlage von Unterlagen erforderlich ist, dürfen die gemäß den Absätzen 1 bis 3 auskunfts- und vorlagepflichtigen Personen und Unternehmen Gesundheitsdaten im Sinne des Artikels 4 Nummer 15 der Verordnung (EU) 2016/679 verarbeiten. Die allgemeinen datenschutzrechtlichen Vorschriften bleiben unberührt. § 22 Absatz 2 des Bundesdatenschutzgesetzes gilt entsprechend.

     

    § 309 Verschwiegenheitspflicht

    (1) Die bei den Versicherungsaufsichtsbehörden beschäftigten oder von ihnen beauftragten Personen sowie die Mitglieder des Versicherungsbeirats dürfen bei ihrer Tätigkeit erhaltene vertrauliche Informationen an keine andere Person oder Behörde weitergeben. Dies gilt auch für andere Personen, die durch dienstliche Berichterstattung Kenntnis von den in Satz 1 genannten Informationen erhalten. Die Sätze 1 und 2 gelten nicht für die Weitergabe von Informationen in zusammengefasster oder allgemeiner Form, bei der die einzelnen Versicherungsunternehmen nicht zu erkennen sind.

    (2) Die Schweigepflicht nach Absatz 1 Satz 1 verbietet nicht den Informationsaustausch mit den zuständigen Behörden anderer Mitglied- oder Vertragsstaaten. Für die dabei erhaltenen Informationen gilt die Schweigepflicht nach Absatz 1 Satz 1.

    (3) Ein Austausch von Informationen mit zuständigen Behörden von Drittstaaten ist nur zulässig, wenn der Schutz der mitzuteilenden Informationen durch das Berufsgeheimnis mindestens ebenso gewährleistet ist wie nach dieser Vorschrift. Dieser Informationsaustausch muss der Erfüllung der aufsichtsrechtlichen Aufgaben dieser Behörden dienen. Wenn die Informationen, die ein Mitgliedstaat einem Drittstaat mitzuteilen hat, aus einem anderen Mitgliedstaat stammen, dürfen sie nur mit ausdrücklicher Zustimmung der Aufsichtsbehörde dieses Mitgliedstaats und dann nur für die Zwecke weitergegeben werden, denen diese Behörde zugestimmt hat.

    (4) Die Aufsichtsbehörden dürfen Informationen, die sie auf Grund der Absätze 1 und 2 erhalten, nur verwenden 

    1. zur Prüfung des Antrags eines Versicherungsunternehmens auf Erteilung der Erlaubnis,

    2. zur Überwachung der Tätigkeit eines Versicherungsunternehmens, einer Gruppe oder eines Finanzkonglomerats,

    3. für Anordnungen der Aufsichtsbehörde sowie zur Verfolgung und Ahndung von Ordnungswidrigkeiten durch die Aufsichtsbehörde,

    4. im Rahmen eines Verwaltungsverfahrens über Rechtsbehelfe gegen eine Entscheidung der Aufsichtsbehörde und

    5. im Rahmen von Verfahren vor Verwaltungsgerichten, Insolvenzgerichten, Strafverfolgungsbehörden oder für Straf- und Bußgeldsachen zuständigen Gerichten.

    (5) Die Schweigepflicht nach Absatz 1 Satz 1 verbietet insbesondere nicht die Weitergabe von Informationen an 

    1. Strafverfolgungsbehörden oder für Straf- und Bußgeldsachen zuständige Gerichte,

    2. kraft Gesetzes oder im öffentlichen Auftrag mit der Überwachung von Versicherungsunternehmen, Versicherungsvermittlern, Kreditinstituten, Wertpapierinstituten, Kapitalverwaltungsgesellschaften, extern verwalteten Investmentgesellschaften, EU-Verwaltungsgesellschaften oder ausländischen AIF-Verwaltungsgesellschaften, Finanzunternehmen, der Finanzmärkte oder des Zahlungsverkehrs oder mit der Geldwäscheprävention betraute Stellen sowie von diesen beauftragte Personen,

    3. mit der Liquidation oder Insolvenz eines Versicherungsunternehmens, eines Kreditinstituts, eines Finanzdienstleistungsinstituts, einer Investmentgesellschaft oder eines anderen Finanzinstituts befasste Stellen,

    4. mit der gesetzlichen Prüfung der Rechnungslegung von Versicherungsunternehmen, Kreditinstituten, Kapitalverwaltungsgesellschaften, extern verwalteten Investmentgesellschaften, EU-Verwaltungsgesellschaften oder ausländischen AIF-Verwaltungsgesellschaften oder Finanzunternehmen betraute Personen sowie Stellen, welche die vorgenannten Personen beaufsichtigen,

    5. Zentralbanken,

    6. die Europäische Zentralbank, die Zentralbanken des Europäischen Systems der Zentralbanken und andere Stellen mit einer ähnlichen Funktion in ihrer Eigenschaft als Währungsinstitutionen, die Europäische Aufsichtsbehörde für das Versicherungswesen und die betriebliche Altersversorgung, die Europäische Bankenaufsichtsbehörde, die Europäische Wertpapier- und Marktaufsichtsbehörde, den Gemeinsamen Ausschuss der Europäischen Aufsichtsbehörden, den Europäischen Ausschuss für Systemrisiken oder die Europäische Kommission,

    7. Behörden, die für die Aufsicht über Zahlungs- und Abwicklungssysteme zuständig sind,

    8. Einrichtungen zur Verwaltung von Sicherungsfonds,

    9. parlamentarische Untersuchungsausschüsse nach § 1 des Untersuchungsausschussgesetzes auf Grund einer Entscheidung über ein Ersuchen nach § 18 Absatz 2 des Untersuchungsausschussgesetzes,

    10. das Bundesverfassungsgericht,

    11. den Bundesrechnungshof, sofern sich sein Untersuchungsauftrag auf die Entscheidungen und sonstigen Tätigkeiten der Bundesanstalt nach diesem Gesetz oder delegierten Rechtsakten auf Grund der Richtlinie 2009/138/EG bezieht,

    12. Verwaltungsgerichte in verwaltungsrechtlichen Streitigkeiten, in denen die Bundesanstalt Beklagte ist, mit Ausnahme von Klagen nach dem Informationsfreiheitsgesetz,

    13. das Bundesamt für Sicherheit in der Informationstechnik,

    soweit diese Stellen die Informationen zur Erfüllung ihrer Aufgaben benötigen.

    (6) In einer Krisensituation, insbesondere einer Krisensituation, wie sie in Artikel 18 der Verordnung (EU) Nr. 1094/2010 beschrieben ist, können Informationen unverzüglich an die Europäische Zentralbank, an die Zentralbanken des Europäischen Systems der Zentralbanken und an den Europäischen Ausschuss für Systemrisiken weitergegeben werden, soweit diese Stellen die Informationen zur Erfüllung ihrer Aufgaben benötigen.

    (7) Die Schweigepflicht nach Absatz 1 Satz 1 verbietet nicht den Informationsaustausch mit allen Unternehmen, die einer Gruppe im Sinne des § 7 Nummer 13 angehören, auch wenn es sich um Informationen von anderen gruppenangehörigen Unternehmen handelt.

    (8) Für die bei den in Absatz 5 Nummer 1 bis 8 und 10 bis 13 genannten Stellen beschäftigten Personen, die von diesen Stellen beauftragten Personen und die Mitglieder der in Absatz 5 Nummer 9 genannten Ausschüsse gilt die Schweigepflicht nach Absatz 1 Satz 1 entsprechend. Befindet sich eine in Absatz 5 Nummer 1 bis 8 und 12 genannte Stelle in einem anderen Staat, so dürfen die Informationen nur weitergegeben werden, wenn die bei dieser Stelle beschäftigten und von dieser Stelle beauftragten Personen einer dem Absatz 1 Satz 1 entsprechenden Schweigepflicht unterliegen. Die Stelle eines Drittstaats ist darauf hinzuweisen, dass die übermittelten Informationen zu keinem anderen Zweck verwendet werden dürfen. Informationen, die aus einem anderen Staat stammen, dürfen nur mit ausdrücklicher Zustimmung der zuständigen Stellen, die diese Informationen mitgeteilt haben, und nur für solche Zwecke weitergegeben werden, denen diese Stellen zugestimmt haben.

    (9) Die §§ 93, 97, 105 Absatz 1, § 111 Absatz 5 in Verbindung mit § 105 Absatz 1 sowie § 116 Absatz 1 der Abgabenordnung gelten nicht für die in Absatz 1 bezeichneten Personen, soweit diese zur Durchführung dieses Gesetzes tätig werden. Dies gilt nicht, soweit die Finanzbehörden die Kenntnisse für die Durchführung eines Verfahrens wegen einer Straftat sowie eines damit zusammenhängenden Besteuerungsverfahrens benötigen.

    (10) Vertrauliche Informationen, die die Aufsichtsbehörde von den in Absatz 2 Satz 1 und Absatz 5 Nummer 2 bis 7 genannten Stellen erhalten hat, dürfen im Wege der dienstlichen Berichterstattung nach Absatz 1 Satz 2 nur dann weitergegeben werden, wenn das Einverständnis der zuständigen Behörde vorliegt, die die Informationen erteilt hat. Gleiches gilt für Informationen, die bei der Durchführung einer örtlichen Prüfung einer Niederlassung in einem anderen Mitglied- oder Vertragsstaat erlangt wurden; in diesem Fall ist das Einverständnis der zuständigen Behörde des Mitglied- oder Vertragsstaats, in dem die örtliche Prüfung durchgeführt wurde, erforderlich.

    (11) Die allgemeinen datenschutzrechtlichen Vorschriften bleiben unberührt.

  • Albrecht/Höroldt, IT-Sicherheit 1/2013, 29 (Datenkonsistenz im Katastrophenfall)
  • BT-Drs. 18/4096
  • BT-Drs. 18/5121
  • Bergt, CR 2014, 726 (Verschlüsselung nach dem Stand der Technik als rechtliche Verpflichtung)
  • Brisch/Laue, CR 2009, 465 (Auftragsdatenverarbeitung, ausgelagerte Abrechnungsinstitutionen)
  • Bräutigam/Wilmer, ZRP 2015, 38 (Meldepflichten im IT-SiG)
  • Dorndorf/ Schneidereit, CR 2017, 21-26 (E-Signing von Verträgen mittels qualifizierter elektronischer Signatur nach eIDAS)
  • Feil, IT-Sicherheit 6/2012, 58 (Videoüberwachung, physische Sicherheit)
  • Gaycken/Karger, MMR 2011, 3 (Entnetzung, IT-Sicherheit)
  • Gehrmann/Klett, K&R 2017, 372 (Umsetzung des IT-SiG)
  • Geis, K&R 2002, 59 (Singnaturverordnung)
  • Gola, K&R 2017, 145 (Interpretation der DSGVO)
  • Jacobsen, ZfV 2010, 761 (Datenschutz, Rückversicherer)
  • Kusch, DSB 2015, Nr 04, 79 (Code of Condukt der Versicherungsunternehmen)
  • Kähler, ZfV 2011, 499 (Auftragsdatenverarbeitung im Versicherungswesen);
  • Leisterer/Schneider, K&R 2015, 681 (Staatliches Informationshandeln, IT-Sicherheit)
  • Lotz/Wendler, CR 2016, 31 (TOM, Abdingbarkeit von § 9 BDSG für Betreiber von KRITIS)
  • Mehrbrey/Schreibauer, MMR 2016, 75 (Ansprüche u. Haftungsrisiken von Unternehmen bei Cyberangriffen)
  • Molzen, IT-Sicherheit 4/2012, 44 (Datensicherung in kleinen und mittelst. Unternehmen)
  • Polaszek, Welt der Krankenversicherung 2012, 184 (Outsourcing bei Krankenkassen)
  • Polenz, VuR 2015, 416 (Datenschutz in der Versicherungswirtschaft, Sicherheitskonzept)
  • Rammos/Vonhoff, CR 2013, 265 (Cloud Computing im Sozialleistungssektor)
  • Roßnagel, NJW 2014, 3686 (Sichere elektronische Transaktionen)
  • Schreibauer/Spittka, ITRB 2015, 240 (IT-Sicherheitsgesetz, Anforderungen für Unternehmen)
  • Sosna, CR 2014, 825-832 (eIDAS-Verordnung)
  • Thalhofer/Beck, CR 2016, 1 (Solvency II bei IT-Outsourcing bei Versicherungen)
  • Ulmer/Rath, CCZ 2016, 142 (DS-GVO)
  • Wronka, RDV 2014, 93 (Code of Conduct der Versicherungswirtschaft)
  • Würstle/Würstle, rv 2014, 198 (gesetzliche Krankenkassen, sensible medizinische Daten)