Source: Bundesanstalt für Finanzdienstleistungsaufsicht
Es gilt das gesprochene Wort!
Würden Sie sich in ein Auto setzen, das nur Vollgas fahren kann?
Ich jedenfalls nicht. Denn mir wäre das Risiko viel zu hoch, in der nächsten Kurve im Straßengraben zu landen. Im Straßenverkehr muss man beschleunigen und bremsen können. Wer zu sehr auf der Bremse steht, kommt nicht vom Fleck. Wer immer nur Gas gibt, verliert die Kontrolle. Wie immer kommt es auf die richtige Balance an. Vor allem, wenn man schnell ans Ziel kommen möchte. Das gilt im Straßenverkehr – aber auch ganz allgemein.
Viele von Ihnen arbeiten im Senior Management eines Versicherungsunternehmens. Sie wissen: Manchmal muss man sehr schnell handeln. Gerade zurzeit. Angesichts der vielen Veränderungen und Unsicherheiten. Manchmal ist es aber auch sinnvoll, bewusst Tempo rauszunehmen. Etwa, weil Veränderung Zeit braucht. Dann kann „weniger schnell“ am Ende „erfolgreicher“ bedeuten.
Das ist bei der BaFin im Grunde nicht anders. Wie in vielen Unternehmen gibt es auch bei uns Transformations- und Entwicklungsprozesse. Prozesse, die wir seitens der Führung konsequent vorantreiben wollen, wo wir uns manchmal aber auch bewusst mehr Zeit nehmen.
Als Aufsichtsbehörde haben wir natürlich einen anderen Fokus als die Unternehmen, die wir beaufsichtigen.
Um im Bilde zu bleiben: Unsere Aufgaben sind vergleichbar mit denen der Verkehrspolizei. Sind wir Bremser oder Beschleuniger? Ich finde, wir sind von beidem etwas. Natürlich schauen wir vor allem, dass es auf den Straßen sicher und fair zugeht. Wenn nötig, bremsen wir Marktteilnehmer auch aus. Als letzte Option können wir sogar die Fahrerlaubnis entziehen. Aber ansonsten lassen wir den Verkehr fließen. Und wer sich an die Regeln hält, der darf an passenden Stellen auch ordentlich Gas geben. Aufsicht bedeutet eben beides: Beschleunigung ermöglichen und bremsen. Das ist das Spannungsfeld, in dem wir agieren.
Ich möchte das an drei Beispielen festmachen. An aktuellen regulatorischen Entwicklungen. Am Umgang mit Künstlicher Intelligenz. Und am Thema Governance.
Beginnen wir mit einem Blick auf die Regulierung. Und auf die Art und Weise, wie wir sie anwenden. Dabei sind uns zwei Themen sehr wichtig: Komplexitätsreduktion und Proportionalität. Deshalb haben wir diese beiden Themen in den strategischen Zielen der BaFin verankert. Sie sind damit verbindlich für das gesamte Haus.
Wir wollen Komplexität reduzieren und Proportionalität ermöglichen. Das wird übrigens oft mit Deregulierung verwechselt – aber das ist es nicht. Wir wollen nicht die Standards senken. Das ist ein ganz wesentlicher Punkt. Eine weniger komplexe und proportionalere Regulierung ist risikoorientiert. Und sie bleibt, wenn erforderlich, auch eine strenge Regulierung.
In der Aufsicht gehen wir bereits heute sehr häufig proportional vor. Das ermöglichen die Vorgaben von Solvency II, die prinzipienorientiert sind. Im Solvency-II-Review haben wir uns besonders dafür eingesetzt, künftig noch mehr Proportionalität zu ermöglichen. Und das durchaus mit Erfolg.
Im Rahmen des Reviews wurden zum Beispiel die Schwellenwerte für den Anwendungsbereich von Solvency II angehoben. Das war uns wichtig. Ab Januar 2027 fallen deshalb etwas weniger Versicherungsunternehmen unter Solvency II. Versicherer, die künftig unter die neuen Schwellenwerte fallen, können dann die Vorgaben von Solvency I umsetzen. Also schlankere und HGB-basierte Aufsichtsanforderungen.
Und sie müssen ab diesem Zeitpunkt auch nicht mehr die Vorgaben von DORA erfüllen. Gerade was das angeht, gehen wir bis zur Umsetzung der Solvency-II-Änderungen in deutsches Recht pragmatisch vor. Sollte eines dieser Unternehmen die DORA-Vorgaben nicht erfüllen, werden wir keine aufsichtlichen Maßnahmen ergreifen. Wir bremsen hier also bewusst nicht aus.
Mit dem Solvency-II-Review hat der Gesetzgeber zudem klarer definiert: Wo können wir proportional vorgehen? Wir werden künftig drei Kategorien von Unternehmen haben.
Erstens die small and non-complex undertakings. Kurz: SNCU. Also relativ kleine Versicherer mit einem wenig komplexen Risikoprofil. Diesen Ansatz hat die BaFin ganz maßgeblich mit entwickelt.
SNCU können zehn Proportionalitätsmaßnahmen anwenden. Dazu gehören die Kombination von Schlüsselfunktionen. Längere Intervalle für den ORSA und die Vorlage des RSR. Und die Befreiung von der Pflicht, Pläne für das Risikomanagement der Liquidität zu erstellen.
Versicherer müssen uns lediglich anzeigen, dass sie die SNCU-Kriterien erfüllen. Dann können sie diese Erleichterungen direkt nutzen. Nach derzeitigem Stand werden rund zehn Prozent der deutschen Solvency-II-Versicherer als SNCU eingestuft.
Die zweite Gruppe umfasst Versicherer, die nicht mehr als SNCU eingestuft werden. Das sind die Non-SNCU. Dazu zählen nach aktuellem Stand rund 75 Prozent der Unternehmen. Sie können aber trotzdem sieben der zehn Erleichterungen nutzen. Mit Genehmigung der Aufsicht. Und sofern das Risikoprofil es zulässt. Ende Oktober hat die EU-Kommission Level-2-Texte vorgelegt, die definieren, welche Kriterien Versicherer dafür erfüllen müssen. Wir wollen diese Kriterien pragmatisch anwenden. Also möglichst unbürokratisch. Auch deshalb ist es uns wichtig, zu verstehen: Welche Erleichterungen finden in der Branche Anklang? Und welche eher nicht? Dazu haben wir vor kurzem die Solvency-II-Versicherer befragt. Und dabei haben wir viele nützliche Informationen gewonnen, die wir bei unserer Planung berücksichtigen werden.
Die dritte Gruppe bilden die restlichen Versicherer. Also gut 15 Prozent der Unternehmen. Für sie sind die Proportionalitätsmaßnahmen, die mit dem Solvency-II-Review eingeführt werden, eigentlich nicht vorgesehen. Es sei denn, sie verfügen über ein schwaches Risikoprofil. Dann werden sie die gleichen Maßnahmen wie die Non-SNCU in Anspruch nehmen können. Mit Genehmigung der Aufsicht. Der Solvency-II-Review ermöglicht also mehr Proportionalität. Wenn Sie so wollen mehr Beschleunigung für Unternehmen, die die entsprechenden Kriterien erfüllen. Das war uns wichtig. Genauso wichtig ist uns jedoch, dass die Kapitalanforderungen nicht aufgeweicht werden.
Gerade in diesen unsicheren Zeiten, in denen man mit vielem rechnen muss. Wer weiß schon, wann die nächste Handelsschranke gesenkt, wann der nächste Zoll erhöht wird? Oder wie es geopolitisch weitergeht? Das Risiko kurzfristiger Verwerfungen an den Kapitalmärkten ist und bleibt hoch. Wir erwarten daher von den Unternehmen, dass sie ihre tatsächlichen Risiken sorgfältig einschätzen. Ja, das kann dazu führen, dass der tatsächliche Kapitalbedarf höher ausfällt als die regulatorischen Anforderungen es vorgeben. Aber gerade in diesen Zeiten sind ausreichende Kapitalpuffer wichtig. Bei diesem Thema bremsen wir also sehr bewusst.
Neben dem Solvency-II-Review beschäftigen wir uns zurzeit außerdem mit der Insurance Recovery and Resolution Directive. Kurz: IRRD. Die Richtlinie harmonisiert den Rechtsrahmen für die Sanierung und die Abwicklung von Versicherungsunternehmen in Europa. Sie soll es ermöglichen, in Stress- und Krisensituationen schnell einzugreifen. Die IRRD ist neu. Und sie muss – wie Solvency II – auch bis Ende Januar 2027 in nationales Recht umgesetzt werden.
Ich weiß, viele von Ihnen sehen die Richtlinie skeptisch. Manch einer fragt sich vielleicht: Brauchen wir das jetzt auch noch? Führt die Richtlinie nicht noch zu mehr Bürokratie?
Ich sage Ihnen: Die IRRD ist wichtig für den Schutz der Versicherungsnehmerinnen und Versicherungsnehmer in Europa. Und um zu vermeiden, dass im Insolvenzfall öffentliche Mittel zur Rettung eingesetzt werden müssen.
Innerhalb Europas gibt es zurzeit unterschiedliche Ansätze. In Deutschland haben wir die Sicherungsfonds. Für die Lebensversicherer haben wir Protektor. Und für die privaten Krankenversicherer haben wir Medicator. Wir sind hier also schon gut aufgestellt. Im Falle eines Falles können Versicherungsverträge auf diese Sicherungsfonds übertragen werden. Und dort fortgeführt werden.
Für Schaden-/Unfallversicherer haben wir in Deutschland keinen Sicherungsfonds. Und wir haben jüngst gesehen: Die Insolvenz eines Versicherers im Bereich Schaden/Unfall kann erhebliche Probleme nach sich ziehen. Deshalb plädieren wir für einen Sicherungsfonds im Bereich Schaden/Unfall. Anders als die bestehenden Sicherungssysteme soll der neue Sicherungsfonds vorrangig sicherstellen, dass Versicherungsforderungen und Rentenansprüche erfüllt werden. In den vergangenen Monaten haben wir gesehen: Im Umgang mit strauchelnden Schaden-/Unfallversicherern sind wir noch nicht optimal aufgestellt.
Natürlich ist uns bewusst: Eine neue Richtlinie wie die IRRD und die damit einhergehenden Rechtsakte auf Level zwei und drei, das bedeutet erst einmal mehr Vorschriften und mehr Pflichten. Umso wichtiger, dass die Richtlinie und die nachgelagerten Rechtsakte proportional gestaltet sind. Dafür haben wir uns sehr stark eingesetzt.
Was heißt das konkret? Es heißt zum Beispiel, dass die Anforderungen an die Sanierungs- und Abwicklungspläne unter anderem von der Größe, dem Geschäftsmodell und dem Risikoprofil des jeweiligen Unternehmens abhängen sollen. Die Anforderungen folgen einem risikobasierten Ansatz. Für Unternehmen mit einem unkritischeren Risikoprofil sind Vereinfachungen möglich. Auf SNCU wird die IRRD nicht angewandt. Es sei denn, es besteht ein besonderes Risiko.
Auch sonst muss nicht jeder Versicherer einen Sanierungsplan erstellen. Aber ein relevanter Anteil des Marktes. Vor allem die großen Anbieter sind betroffen. Konkret haben Versicherer, die zusammen mindestens 60 Prozent des Markts abdecken, einen Sanierungsplan zu erarbeiten. Und der Abwicklungsplanung unterliegen künftig diejenigen Unternehmen, deren gemeinsamer Marktanteil mindestens 40 Prozent ausmacht. Ganz unabhängig von diesem Schwellenwerten ist es natürlich generell sinnvoll, sich einmal mit den Maßnahmen auseinanderzusetzen, die im Falle eines Falles ergriffen werden müssen.
Was ich gerade für den Solvency-II-Review und die IRRD ausgeführt habe, das gilt ganz allgemein: Bei wichtigen Regulierungsprojekten drängen wir darauf, Komplexität zu reduzieren und mehr Proportionalität zuzulassen. Ohne dabei das Sicherheitsniveau zu senken. Oder anders gesagt: Wir wollen so viel Beschleunigung zulassen wie möglich. Und gezielt dort ausbremsen, wo das nötig ist.
Und genau darum geht es uns auch beim Risikomanagement in Sachen KI. Und damit komme ich zu meinem zweiten Thema.
Wir setzen uns für eine innovations- und zukunftsfähige Branche ein. Eine Branche, die neue Technologien für ihre Kundinnen und Kunden nutzt. Und die damit Mehrwert schafft. Das gilt natürlich vor allem auch mit Blick auf Künstliche Intelligenz.
KI ist heute in der Versicherungsbranche allgegenwärtig. Meistens wird sie zur Steigerung der Effizienz eingesetzt. Zum Beispiel durch die Automatisierung von bestimmten Prozessschritten. Viele Unternehmen nutzen KI inzwischen auch im internen Wissensmanagement, bei der Bearbeitung von Kundenanliegen oder in der Schadenbearbeitung. Dagegen sind Use Cases mit dem Ziel, neue Einnahmequellen zu generieren, noch nicht so weit verbreitet.
Aber KI bietet nicht nur Chancen. Durch ihren zunehmenden Einsatz können bestehende Risiken verstärkt werden. Zum Beispiel das Risiko einer eingeschränkten Erklärbarkeit der Modelle und ihrer Ergebnisse. Das kann es den Unternehmen erschweren, zu beurteilen, ob ihre Modelle Verbraucherinnen und Verbraucher diskriminieren. Und bei generativer KI ist es zudem auch wichtig, zu bewerten: Wie verlässlich ist der Output? Stichworte: Verzerrung und Halluzination. Zudem sehen wir auch auf Marktebene Risiken. Zum Beispiel eine zunehmende Konzentration auf wenige große Big-Tech-Unternehmen. Sowohl was die Infrastruktur als auch was die Modelle angeht. Durch solche Konzentrationen können neue Abhängigkeiten entstehen.
Angesichts dieser Risiken brauchen die Unternehmen ein leistungsstarkes Risikomanagement. Die entsprechenden Regelwerke machen dafür klare Vorgaben. Für KI gelten grundsätzlich die gleichen Anforderungen wie für andere IT-Systeme. Wir schauen bei Versicherern daher: Haben sie angemessene Risikomanagementsysteme? Effektive Steuerungsprozesse? Und eine angemessene Organisationsstruktur?
Dazu kommen die Anforderungen der europäischen KI-Verordnung. Bei dieser Verordnung geht es nicht – wie bei anderen Regelwerken – um die Solvenz oder die operationelle Resilienz der Unternehmen.
Diese Verordnung ist insbesondere auf die potenziellen Risiken von KI für die Gesundheit, die Sicherheit und die Grundrechte der Bürgerinnen und Bürger ausgerichtet. Sie hat also klar einen ganz anderen Fokus. Dennoch berücksichtigt die KI-Verordnung viele Anforderungen der bestehenden Finanzmarktregulierung. Zum Beispiel im Hinblick auf das Qualitätsmanagement oder die technische Dokumentation. Wir werden auf jeden Fall darauf achten, dass wir Synergien zwischen der bestehenden Aufsichtswelt und den Anforderungen der KI-Verordnung nutzen.
Die BaFin wird künftig Marktüberwachungs-Kompetenzen für bestimmte Finanzmarkt-Anwendungen übernehmen. Für welche genau, ist derzeit noch in der Abstimmung.
Generell können wir festhalten: In puncto KI-Verordnung ist in Europa noch einiges in Bewegung. Die Kommission hat mit ihrem Digital-Omnibus auch Änderungen an der KI-Verordnung vorgeschlagen. Mal sehen, wie der europäische Gesetzgeber damit umgeht.
Ich bin überzeugt: Regelwerke wie die KI-Verordnung sind wichtig, um das Vertrauen der Menschen zu stärken. Die User werden KI-gestützte Angebote nutzen, wenn sie das Gefühl haben, dass Versicherer ihre Anwendungen fair und sicher gestaltet haben.
Aus unseren Aufsichtsgesprächen wissen wir: Viele Unternehmen bereiten sich schon heute auf die Anforderungen der KI-Verordnung vor. Das ist gut so. Ihre Ausgangsbasis ist gut. Denn sie erfüllen durch die Finanzmarktregulierung bereits viele Anforderungen. Etwa an das Risikomanagement und an die ordnungsgemäße Geschäftsorganisation.
Wir setzen uns dafür ein, dass die Versicherer KI fair und sicher einsetzen. Dass sie damit Mehrwert für Kundinnen und Kunden schaffen. Dafür ermöglichen wir so viel Beschleunigung wie möglich. Denn Technologien wie KI sind wichtig für eine innovations- und zukunftsfähige Branche. Aber: Wir werden hart auf die Bremse treten, wenn wir feststellen, dass Unternehmen ihrer Verantwortung nicht ausreichend nachkommen.
Verantwortungsvoll handeln – damit bin ich bei meinem dritten und letzten Thema angekommen. Bei der Governance.
Mir ist es sehr wichtig, dass die Versicherer eine wirksame Governance haben. Das ist keine regulatorische Pflichtübung. Es geht nicht darum, Checklisten abzuhaken. Es geht nicht darum, nur zu überwachen, ob Prozesse formal korrekt ausgeführt werden. Es geht um einen adäquaten Rahmen für die strategische Steuerung des gesamten Unternehmens und seiner Geschäfte.
Eine starke Governance muss alles im Blick haben. Die Kapitalanlage. Den Umgang mit Technologien. Den Kundennutzen. Die Solvenz. Und noch vieles mehr. Damit nichts unter den Teppich gekehrt werden kann.
Das sollte eigentlich eine Selbstverständlichkeit sein. Aber die Realität sieht manchmal anders aus.
Als Aufseherinnen und Aufseher erhalten wir viele Einblicke in die Unternehmen. Wir sehen auch viele Probleme. Die meisten dieser Probleme haben eines gemeinsam: Die Ursache liegt so gut wie nie im wirtschaftlichen Umfeld. Sondern beim Versicherer selbst. Und damit in der Verantwortung der jeweiligen Geschäftsleitung.
Als Aufsicht können wir das nicht akzeptieren. Wir erwarten von Mitgliedern der Geschäftsleitung, dass sie eine wirksame Governance in Ihrem Unternehmen sicherstellen. Dabei kommt es in erster Linie auf sie an. Denn die Geschäftsleitung gibt interne Regeln und Prozesse vor. Und sie prägt die Kultur in ihrem Unternehmen ganz wesentlich. Sie muss daher im Zweifel selbst auf die Bremse treten, wenn sie merkt, dass Dinge in ihrem Unternehmen in die falsche Richtung laufen.
Eine wirksame Governance sicherzustellen, das wird noch wichtiger, wenn Regulierung zunehmend prinzipien- und risikoorientiert gestaltet wird. Denn weniger detaillierte Vorgaben, das heißt auch, dass sich die Unternehmensleitung noch stärker fragen muss: Funktionieren unsere Kontrollmechanismen so wie sie sollen?
Wegsehen geht hier nicht. Im Zweifel Augen zu und durch, das ist kein guter Rat, wenn man feststellt, dass man viel zu schnell unterwegs ist. Das ist hochgefährlich. Es macht Probleme und Krisen im Zweifel nur schlimmer. Die Geschäftsleitung muss dann bremsen. Das ist ihre Aufgabe. Daran führt kein Weg vorbei. Mehr Freiheit bedeutet mehr Verantwortung. Und es heißt auch: mehr Kommunikation. Vor allem zwischen Unternehmen und Aufsicht. In einem regulatorischen Umfeld, das stärker prinzipienbasiert ist, müssen wir intensiver und frühzeitiger miteinander sprechen.
Sie merken es bestimmt: In puncto Governance neigen wir eher zum Bremsen. Das machen wir auch gerne. Denn das Thema ist in jedem Unternehmen entscheidend. Aber natürlich ermöglichen wir hier auch Beschleunigung. Wenn das Risikoprofil des Unternehmens es zulässt. Dann gibt es zum Beispiel die Möglichkeit, Schlüsselfunktionen zusammenzulegen. Aber eben nur, wenn das Risikoprofil es zulässt.
Meine Damen und Herren,
was ist die BaFin also nun – Bremser oder Beschleuniger? Sie ist sowohl als auch. Es kommt eben darauf an.
Wir setzen uns ein für eine möglichst wenig komplexe und eine proportionale Regulierung. Ohne Abstriche in puncto Sicherheit. Für eine innovations- und zukunftsfähige Branche, die KI auf faire und sichere Weise einsetzt. Und dafür, dass die Unternehmen eine wirksame Governance sicherstellen.
Wir ermöglichen den Versicherern Beschleunigung, wann immer das möglich ist. Aber wo das nötig ist, ziehen wir auch die Bremse an. Damit es für alle sicher und fair zugeht. Für ein Finanzsystem, dem alle vertrauen können.