Foto: AdobeStock_Weissblick

dpn Newsletter
kompetent – unabhängig – jede Woche neu

Jetzt anmelden

Digitalisierung und Regulatorik – Chancen und Herausforderungen für EbAV

Unternehmen sind enormem Digitalisierungsdruck ausgesetzt. Neben den allgemeinen gesetzlichen Vorschriften setzen Aufsichtsbehörden aus der Finanzindustrie eigene Standards bei der IT- und Informationssicherheit. Goran Culjak beschreibt den Status quo bei den Altersversorgungseinrichtungen und hat dazu Decadia-Fachmann Jörg Paßmann befragt.

24. Mai 2023, von

In der Digitalisierung spielt die IT-Sicherheit eine große Rolle. Cyberattacken werden in den westlichen Industrienationen nicht nur häufiger, sondern auch intensiver. Häufig stehen professionell organisierte kriminelle Hackergruppen hinter den Angriffen aus den Tiefen des Word Wide Web. Bei Versicherungsunternehmen häufen sich Anfragen nach Cyberpolicen. Unterdessen suchen Unternehmen aller Größenordnungen, insbesondere aus dem produzierenden Gewerbe, verstärkt nach Schutz ihrer Daten. Die Absicherung der IT-Infrastruktur steht über alle Wirtschaftszweige hinweg im Vordergrund. Zu groß ist die Angst vor einem Imageverlust im Falle eines Großschadens. So liegen Wachstum auf der einen und plötzlicher Ruin auf der anderen Seite dicht beieinander.

Ein Beispiel aus der jüngsten Vergangenheit ist die Erpressung der Medibank, bei der Gesundheitsdaten des größten privaten Krankenversicherers Australiens gestohlen und zum Teil veröffentlicht wurden. Zudem hat Anfang Februar eine globale Welle von Cyberattacken auch deutsche Unternehmen und Institutionen lahmgelegt. Hierzulande war nach Informationen des Bundesamts für Sicherheit in der Informationstechnik (BSI) eine hohe Anzahl betroffen. Auch Einrichtungen der betrieblichen Altersversorgung (EbAV) wie Pensionskassen sowie Pensionsfonds und die Finanzindustrie sind potentielle Ziele von Cyberkriminellen. Einige konkrete Beispiele benannte die BaFin auf ihrer Konferenz „IT-Aufsicht bei Versicherungen und Pensionsfonds“ im Juni vergangenen Jahres. Bei beaufsichtigten Unternehmen gab es durch Cyberangriffe nicht nur Ausfälle von mehr als zwei Tagen, auch wurden in einem Fall 2.000 Datensätze entwendet. Bei einem Dienstleister eines beaufsichtigten Unternehmens wurden mittels Ransomware Systeme verschlüsselt, so dass der Dienstleister über mehrere Wochen teilweise stark eingeschränkt war.

Grundsätzlich hat Deutschland bei der Digitalisierung noch erheblichen Nachholbedarf. Laut dem Index für digitale Wirtschaft und Gesellschaft (DESI), mit dem die Europäische Kommission seit 2014 den digitalen Fortschritt ihrer Mitgliedstaaten überwacht, ist Deutschland nur Mittelmaß. Finnland und Dänemark führen das Ranking an. Nach den jüngsten DESI-Berichten aus 2022 haben während der Coronapandemie die Mitgliedstaaten ihre Digitalisierungsbemühungen vorangetrieben, kämpfen aber immer noch darum, die Lücken bei digitalen Kompetenzen, dem digitalen Wandel von KMU und der Einführung fortschrittlicher 5-G-Netze zu schließen. Die EU hat mit 127 Milliarden Euro ihren Mitgliedstaaten erhebliche Ressourcen zur Unterstützung des digitalen Wandels bereitgestellt.

Fintechs als Benchmark für Pensionseinrichtungen

Trotz des durchwachsenen Abschneidens im EU-Vergleich hat Deutschland „gute und vorzeigbare Beispiele gelungener Digitalisierung“. Dieser Meinung ist Jörg Paßmann, Geschäftsführer bei Decadia. Das Unternehmen ist Teil des Essener RWE-Konzerns, wo Paßmann auch Head of Pensions ist. Decadia erbringt bAV-Administrationsdienstleistungen mit starkem Fokus auf Qualitäts- und Technologieorientierung und bedient eine Vielzahl von Kunden aus unterschiedlichen Branchen wie dem Energiesektor, der Automobilwirtschaft oder auch dem Banken- und Wirtschaftsprüfungsbereich. Zugleich ist Decadia Bestandsverwalter für gleich mehrere Pensionsfonds. Mit gelungener Digitalisierung meint Fachmann Paßmann in erster Linie die großen Fintechs, wie zum Beispiel N26 und Scalable Capital. Ähnlich wie die Neobanken machen es auch Versicherungen wie Lemonade. Sie alle sagen: Wir sind eigentlich eine App. Und nach hinten hinaus sind wir auch eine Bank, eine Versicherung oder ein Kapitalanleger. Was Paßmann hierzulande aber stört, sind die klassischen papiergebundenen Dinge. Die erzwungene Papierform bei bestimmten Dokumenten im HR-Umfeld durch das Nachweisgesetz geht seiner Ansicht nach in die entgegengesetzte Richtung und behindert die digitalen Prozesse und deren Entwicklung. Auf der Habenseite positiv bewertet er indes das Onlinezugangsgesetz (OZG), das Bund, Länder und Kommunen verpflichtet, ihre Verwaltungsleistungen über Verwaltungsportale auch digital anzubieten. Bezogen auf die Altersvorsorge in Deutschland, glaubt Experte Paßmann jedoch nicht, dass die hiesigen Altersversorgungseinrichtungen den Fintech-Standard erreicht haben. Hier ist noch viel Luft nach oben.

Jörg Paßmann, Foto: Decadia GmbH

Ein Schritt in die richtige Richtung ist jedenfalls die in Deutschland geplante digitale Rentenübersicht. Sie war lange in der politischen Diskussion. Bereits im Koalitionsvertrag der „GroKo“ vom 12. März 2018 hatten die Regierungsparteien festgelegt, eine säulenübergreifende Renteninformation für die Bürgerinnen und Bürger einzuführen. Am 18. Februar 2021 ist das Gesetz zur Einführung einer Digitalen Rentenübersicht, kurz als RentÜG bezeichnet, in Kraft getreten. In weit über 100 Arbeitssitzungen der Fachbeiräte und des Steuerungsgremiums konnten wesentliche Ergebnisse erzielt werden. Nach außen hin sichtbar ist jedoch noch nichts Konkretes in Augenschein zu nehmen. Seit Mitte Dezember 2022 läuft zumindest die erste Betriebsphase in Form eines Probebetriebs mit freiwillig angeschlossenen Vorsorgeeinrichtungen. Das heißt, zwischen den rund 20 teilnehmenden Vorsorgeeinrichtungen und der Zentralen Stelle für die Digitale Rentenübersicht (ZfDR) läuft der Datenaustausch. Nach aktueller Planung ist der produktive Regelbetrieb ab Ende 2023 vorgesehen.

Die Digitale Rentenübersicht soll künftig über ein Onlineportal im Internet für alle Bürgerinnen und Bürger jederzeit einsehbar sein. Kernpunkt der abzurufenden Informationen ist eine Übersicht über alle Rentenansprüche aus den drei Säulen der Altersvorsorge: der gesetzlichen, der betrieblichen und der privaten Altersvorsorge. Die Datenbasis wird von den – im Gesetz als Vorsorgeeinrichtungen bezeichneten – Anbietern von Altersversorgungssystemen und Altersvorsorgeprodukten aus allen drei Säulen zur Verfügung gestellt werden. Doch Vorsicht: Die künftige Digitale Rentenübersicht ist nicht zu verwechseln mit den aktuell bereits von der Deutschen Rentenversicherung zur Verfügung gestellten Onlinediensten. Das geplante elektronische Portal wird von der ZfDR aufgebaut und später auch betrieben. Sie ist bei der Deutschen Rentenversicherung Bund angesiedelt. Im Vergleich zu anderen Ländern dürften allerdings Zugangshürden hierzulande eine große Rolle spielen. Während in Dänemark beispielsweise die Bürgerinnen und Bürger mit einer persönlichen ID einen einheitlichen Zugang zu allen privaten und öffentlichen Systemen erhalten, soll in Deutschland der elektronische Personalausweis mit Hilfe eines Zusatzgerätes zum Einsatz kommen. Hierfür kommt mittlerweile jedoch die Mehrheit der heutigen Smartphones in Betracht. Dieses Legitimationsverfahren ist aber hierzulande noch nicht weit verbreitet. Daher dürfte die Akzeptanz unter der Bevölkerung ein weiteres Problem darstellen, das es zu bewältigen gilt.

BaFin unterstreicht das Proportionalitätsprinzip

Enge Vorgaben an die Weiterentwicklung von Digitalisierung und IT-Sicherheit in Deutschland geben Gesetzgebung und Regulierung. „Beim Datenschutz ist es eigentlich nichts Besonderes, was nicht heißt, dass es nicht anspruchsvoll ist“, erklärt Paßmann. Wie bei der Verarbeitung aller personenbezogenen Daten gilt auch bei EbAV die Datenschutz-Grundverordnung (DSGVO), die als europäische Verordnung unmittelbar wirkt. Die DSGVO wird in Deutschland durch das Bundesdatenschutzgesetz (BDSG) ergänzt. Die weitergehenden aufsichtsrechtlichen Regelungen für EbAV ergeben sich aus Teil 4 des Versicherungsaufsichtsgesetzes (VAG) sowie den darauf beruhenden Rechtsverordnungen.

Ergänzt wird das VAG durch die Versicherungsaufsichtlichen Anforderungen an die IT (VAIT), einem Rundschreiben der BaFin. Arbeitgeber mit Direktzusagen könnten im Hinblick auf die IT-Sicherheit ihrer Direktzusagen, die VAIT als Vergleichsmaßstab nehmen, um die eigene Reife zu verorten. Die VAIT kommen aus dem Jahr 2018 und wurden gerade im vergangenen Jahr novelliert. Sie enthalten Hinweise zur Auslegung der Vorschriften über die Geschäftsorganisation im VAG, soweit sie sich auf die technisch-organisatorische Ausstattung der Unternehmen beziehen. Es legt diese Vorschriften für die BaFin verbindlich aus und soll hierdurch eine konsistente Anwendung gegenüber allen Unternehmen und Gruppen gewährleisten. „Das Rundschreiben soll einen flexiblen und praxisnahen Rahmen vorgeben, insbesondere für das Management der IT-Ressourcen, für das Informationsrisikomanagement und das Informationssicherheitsmanagement“, sagt Paßmann. Und er weiß, wovon er spricht. Die EbAV hatten die Möglichkeit, ihre Änderungshinweise in die Diskussion mit der BaFin einzubringen. Die Arbeitsgemeinschaft für betriebliche Altersversorgung e. V. (aba) ist zum einen mit einem Sitz im Expertengremium IT bei der BaFin in die Diskussion eingebunden. Zum anderen hat sich, wie schon bei der Ursprungsfassung der VAIT, eine gremienübergreifende Arbeitsgruppe der aba in die Konsultation der am 3. März 2022 in Kraft getretenen Neufassung der VAIT eingebracht.

So haben auch einige bedeutende Vorschläge aus der aba-Stellungnahme Eingang in die VAIT-Reform gefunden. Insbesondere die Herausstellung der Anwendung des Proportionalitätsprinzips wurde in das „Anschreiben zum Rundschreiben 10/2018 (VA) in der Fassung vom 03.03.2022“ aufgenommen, weiß Paßmann. Die Aufsicht hat darin zum einen klargestellt, dass Unternehmen, auf die die VAIT Anwendung finden, bei der Umsetzung der Anforderungen einen Gestaltungsspielraum haben, den sie aktiv nutzen können. Zum anderen wurde herausgestellt, dass in der aufsichtlichen Praxis und damit auch bei aufsichtlichen Prüfungen das Proportionalitätsprinzip eine angemessene Berücksichtigung findet. Die praktischen Fragestellungen, die sich hieraus ergeben, werden ebenfalls von der Arbeitsgruppe der aba fortlaufend begleitet. Pensionsfonds und Pensionskassen haben gegenüber Versicherungen einige spezielle Besonderheiten. Beispielsweise nutzen einige die IT-Infrastruktur ihres Trägerunternehmens. Unter Nutzung des Proportionalitätsprinzips kann solchen Besonderheiten Rechnung getragen werden. Letztlich wollte die BaFin mit den VAIT einen Mindeststandard etablieren.

DORA vereint Anforderungen an die Cybersicherheit der gesamten Finanzindustrie

Auch die Auslagerung an Cloud-Anbieter ist mittlerweile in den aufsichtlichen Fokus gerückt. Die BaFin und die Deutsche Bundesbank haben ihre gemeinsame Einschätzung zur Auslagerung an Cloud-Anbieter in der „Orientierungshilfe zu Auslagerungen an Cloud-Anbieter“ vom 8. November 2018 festgehalten. Anders als die VAIT, erklärt Paßmann, würden durch die Orientierungshilfe allerdings keine festen Anforderungen gestellt, sondern es soll die derzeitige aufsichtliche Praxis in solchen Auslagerungsfällen wiedergegeben werden.

Auf europäischer Ebene soll indes der Digital Operational Resilience Act, kurz DORA genannt, sektorenübergreifend die Anforderungen an die Cybersicherheit der Finanzunternehmen vereinheitlichen. Im Anwendungsbereich der DORA-Verordnung, der nahezu alle Arten von Finanzmarktinstitutionen erfasst, befinden sich auch EbAV, also Pensionsfonds und Pensionskassen. Ausgenommen sind lediglich Kleinsteinrichtungen mit 15 Berechtigten. Für sehr kleine EbAV (weniger als 100 Berechtigte) gibt es verringerte Anforderungen an das IT-Risikomanagement. Die Regelung wurde am 27. Dezember 2022 als Verordnung (EU) 2022/2254 und die sie begleitende Richtlinie als Richtlinie (EU) 2022/56 im Amtsblatt der Europäischen Union veröffentlicht. Die DORA-Verordnung ist am 16. Januar 2023, also 20 Tage nach der Veröffentlichung, in Kraft getreten und 24 Monate später anzuwenden. Auch die Umsetzungsfrist für die Richtlinie endet am 17. Januar 2025. „Das ist dann noch mal eine ganz andere Hausnummer“, hebt Paßmann hervor, „weil man an der Stelle versucht, den gesamten Finanzsektor mit einem einheitlichen Rahmen zu versehen.“ Noch ist DORA für viele weit weg, aber die Verantwortlichen in den Finanzunternehmen sollten sich zeitnah mit ihr beschäftigen, lautet der allgemeine Expertenratschlag.

Mit den VAIT hat die BaFin den EbAV einen konkreten Rahmen für die Mindestanforderungen an die IT-Sicherheit und den IT-Betrieb vorgegeben. Was die Umsetzung anbelangt, gibt sich Decadia-Fachmann Paßmann zunächst zufrieden: „Das Bewusstsein für Cybersicherheit und die aufsichtsrechtlichen Anforderungen ist nach meiner Einschätzung hoch.“ Allerdings: Auf der IT-Aufsichtskonferenz im Juni vergangenen Jahres hat die BaFin ihre doch ernüchternde Bilanz zu ihren bisherigen Prüfungsergebnissen mitgeteilt. Bei 40 Prozent der untersuchten Unternehmen sahen die Prüfer die Anforderungen der VAIT als nicht erfüllt an. Bei weiteren 50 Prozent bewertete die Aufsicht die Anforderungen als lediglich teilweise erfüllt. Nur etwa 10 Prozent der Gesellschaften erfüllten die VAIT gerade so mit dem Gesamturteil „nicht vollständig“. Eine vollständige Erfüllung konnte bei keinem Unternehmen festgestellt werden. Es scheint also zumindest aus Sicht der Aufsicht – positiv formuliert – noch viel Verbesserungspotential zu geben. Besonders viele F4- (schwer) und F3-Feststellungen (gewichtig) fanden die Prüfer unter anderem bei den Themen Informationsrisikomanagement, operative IT-Sicherheit, Berechtigungsmanagement sowie Individuelle Datenverarbeitung (IDV).

Auf lange Sicht relativieren sich die Kosten

Ein wichtiger Aspekt im Rahmen der Umsetzung der aufsichtlichen Regelungen sind die Kosten. Die aktuelle Version der VAIT ist, wie die Ursprungsfassung, direkt mit ihrer Veröffentlichung in Kraft getreten. Aus Sicht der Aufsicht handelt es sich bei den Neuerungen um Konkretisierungen bereits bestehender und nicht um grundlegend neue Anforderungen, so dass keine Übergangsfristen notwendig waren. Demzufolge müssten sich aus Sicht der Aufsicht die Kosten, die allein aus den VAIT resultieren, außer bei der Erfüllung bestimmter Dokumentationsanforderungen wohl in Grenzen halten. Jedoch stellt sich Paßmann freilich auch Fragen nach den grundsätzlichen Kosten der Sicherheit und gibt sogleich eine Antwort darauf:

„Sind die Anforderungen an die IT-Sicherheit anspruchsvoll? – Ja.“ „Sind sie aufwändig in der Umsetzung? – Auch ja.“ „Sind sie teuer? – Auf lange Sicht nein.“

Seine Begründung: Nicht nur die wirtschaftlichen Schäden, sondern vielmehr auch die Auswirkungen auf die Compliance und der Reputationsschaden eines möglichen Sicherheitsvorfalls übersteigen am Ende den Vorsorgeaufwand um ein Vielfaches. Das Gleiche gilt natürlich für den entstehenden operativen Schaden oder dafür, dass gegebenenfalls erst einmal über Wochen alles stillsteht und man nichts unternehmen kann. Durch das Proportionalitätsprinzip in den VAIT haben die einzelnen Einrichtungen aber in Bezug auf ihre spezifische Situation durchaus auch Freiheitsgrade, die sie nutzen können. Unter dem Strich böten in Bezug auf Datenschutz und IT-Sicherheit die DSGVO und VAIT/DORA einen guten Maßstab für eine optimale Ausrichtung von Altersversorgungseinrichtungen, fasst Paßmann abschließend zusammen. Auch eine Zertifizierung liefert hier wertvolle Hinweise für Entwicklungspotentiale. Bei der Digitalisierung helfe eine Orientierung an den Anwendungen, die tagtäglich beispielsweise auf Smartphones genutzt werden. „Ein konsequentes In-den-Fokus-Stellen des Versorgungsberechtigten und seines Nutzererlebnisses (User Experience) ist dabei essentiell“, sagt der Decadia-Chef. Dabei sollte der Fokus weniger auf das gerichtet werden, was aktuell genutzt wird. Vielmehr ist der scharfe Blick dafür entscheidend, was heute bei Unternehmen wie N26, Amazon, eBay oder Apple Stand der Technik ist. Die Orientierung am Stand der Technik hilft auch beim Datenschutz und bei der Cybersicherheit.

Ausgewählte Gesetze, Verordnungen und Vorschriften, die Einfluss auf Digitalisierung und Datenschutz haben:
• Datenschutz-Grundverordnung (DSGVO)
• Bundesdatenschutzgesetz (BDSG)
• Nachweisgesetz (NachwG)
• Onlinezugangsgesetz (OZG)
• Versicherungsaufsichtsgesetz (VAG)
• Versicherungsaufsichtliche Anforderungen an die IT (VAIT)
• Digital Operational Resilience Act (DORA, dt. EU-Verordnung über die Betriebsstabilität digitaler Systeme des Finanzsektors)
• Orientierungshilfe zu Auslagerungen an Cloud-Anbieter
• Gesetz zur Einführung einer Digitalen Rentenübersicht (RentÜG)


CV JÖRG PASSMANN, Dipl. Math.
Seit 2018
Geschäftsführer, Decadia GmbH
Seit 2012
Head of Pensions, RWE
2017–2018
Lead of Digital HR Transformation, innogy SE
2005–2012
Leiter bAV Grundsatzfragen, RWE
1993–2005
Verschiedene HR-Positionen

Themen
Betriebliche Altersversorgung Digitalisierung News Pensionsfonds Pensionskassen Recht & Regulierung Slider

Aktuelle Beiträge

Immobilien
Wert von Wohngebäuden mit ungünstigen Energiebilanzen sinkt Durch beträchtliche Investitionen in energetische Modernisierungen kommt es zu weiteren Preisnachlässen. weiterlesen
Betriebliche Altersversorgung
Rentenlücke bei Unternehmern und Freiberuflern besonders hoch Laut Daten der OECD bezieht der durchschnittliche Selbständige in Deutschland nur etwa 50 Prozent des Brutto-Rentenniveaus eines vergleichbaren Vollzeitangestellten. Der… weiterlesen
Karriere
Neuer Bereichsleiter Asset Management für die Südwestbank Thomas Stransky übernimmt die Leitung des Bereichs Asset Management/Handel bei der Südwestbank. weiterlesen
© 2023 dpn