Compliance-Management in der Versicherungswirtschaft: Die Bedeutung der ISO 37301 für die Branche

Quelle: geralt / pixabay

Wird künstliche Intelligenz etwa im Versicherungsvertrieb eingesetzt, ergeben sich Compliance-Fragen nach Urheberrecht und Haftung. Wie ein Compliance-Management-System (CMS) hilft, solche Themen im Blick zu behalten, erklärt Andreas Sutter (disphere) im Gastbeitrag.

Der regulatorische Druck in der Versicherungswirtschaft steigt Jahr um Jahr und damit auch die Risiken, die sich daraus ergeben. Der Unternehmensbereich, der sich mit der Einhaltung dieser Anforderungen beschäftigt, nennt sich „Compliance“. Dabei geht es nicht nur um die Einhaltung von Recht und Gesetz, sondern auch um Themen der Unternehmensethik, wie Redlichkeit und Integrität. Es geht beim Thema Compliance nicht nur um reine Legalität, sondern auch um Legitimität, also um die Einhaltung grundlegender ethischer Prinzipien.

Das die Finanzdienstleistung hier Nachholbedarf hat, kann man aus dem schlechten Ruf der Vermittler ableiten. Viele Skandale, Mauscheleien und Handlungen im Graubereich kommen schnell in den Sinn, ohne sie hier im Detail zu nennen. Aber auch wer als Unternehmen Compliance ernst nimmt, hat die Herausforderung, diese in einem schnell wandelnden Markt- und Rechtsumfeld dauerhaft sicherstellen zu können. Dafür wird ein Compliance-Management-System (CMS) benötigt, dass lern- und anpassungsfähig ist.

Compliance und Informationssicherheit

Dass datenschutzrechtliche und -technische Themen Teil eines guten CMS sind, ist mehr oder weniger naheliegend. Aber auch sehr viele andere Aspekte der Informations- und Cybersicherheit beinhalten Compliance-Themen. Nicht ohne Grund ist daher Compliance ein Teil der gängigen Standards, wie beispielsweise der ISO27001. Ganz praktisch beschrieben: Nur wer die rechtlichen Rahmenbedingungen kennt, kann auch Informationen, Systeme und Anwendungen angemessen schützen. Außerdem sind auch bei der Durchführung von Sicherheitsmaßnahmen rechtliche und ethische Fragen zu beachten. Nicht alles und jeder darf zum Beispiel uneingeschränkt überwacht und kontrolliert werden.

Andreas Sutter

Quelle: geralt / pixabay

...ist als Director protect bei disphere interactive Datenschutzbeauftragter für Mittelständler, Finanzdienstleister und Versicherer. disphere interactive GmbH ist ein Team von interdisziplinären Experten, Beratern und Entwicklern, das Sie umfassend bei der digitalen Transformation des Vertriebs unterstützt.

Der Einsatz von künstlicher Intelligenz löst die nächsten Compliance-Fragen aus. Man denke nur an die Urheberrechtsprobleme beim Einsatz von ChatGPT. Der Bedarf an einer IT-Ethik steigt zunehmend. Nicht alles, was technisch möglich ist, ist auch compliant.
Das zeigt auch, dass der Wandlungsdruck nicht nur durch sich immer schneller verändernde rechtliche Rahmenbedingungen ergibt, sondern die rasante technische Entwicklung auch ihren Beitrag leistet. Nicht zuletzt die DORA-Verordnung der EU verbindet spätestens ab Januar 2025 rechtliche mit technischen Anforderungen.

Haftung bei fehlendem Compliance-Management-System

Die Rechtsprechung sieht schon seit längerem die Pflicht zur Einführung und Aufrechterhaltung eines CMS bei der Geschäftsleitung. Zuletzt hieß es in einem Urteil des OLG Nürnberg (Urteil vom 30. März 2022, Az. 12 U 1520/19):
„Aus der Legalitätspflicht folgt die Verpflichtung des Geschäftsführers zur Einrichtung eines Compliance Management Systems, also zu organisatorischen Vorkehrungen, die die Begehung von Rechtsverstößen durch die Gesellschaft oder deren Mitarbeiter verhindern.”

Die persönliche Haftung der Geschäftsleitung ergibt sich dann in der Folge aus §43 GmbHG oder §93 AktG. Eine D+O-Versicherung mag in diesen Fällen vermutlich die Deckung wegen wissentlicher Pflichtverletzung verweigern. Umso erstaunlicher ist es, dass nach unseren Beobachtungen ein CMS bei Pools, Vertrieben oder sonstigen Intermediären oft nur dort anzutreffen ist, wo die BaFin regulatorische Vorgaben macht. Und selbst dort werden die Pflichten oft in einem absoluten Mindestmaß umgesetzt. Ausnahmen bestätigen die Regel. Dabei geht es beim CMS doch nicht nur um die Enthaftung der Leitungsebene, sondern auch um die Nachhaltigkeit des Unternehmens und ganz besonders um die Vertrauenswürdigkeit des Einzelnen und der Branche.
Das Urteil verdeutlicht auch, dass es insbesondere um organisatorische Aspekte geht, die von einer internen oder externen Rechtsabteilung nicht oder wenigstens nicht allein bewältigt werden können.

Die ISO 37301

Mit der DIN ISO 37301 gibt es nun seit 2021 erstmals einen internationalen Standard für CMS, der auch eine Zertifizierung ermöglicht. Auch ohne Zertifizierung ist ein CMS, dass sich an dieser Norm vollständig ausrichtet, in der Lage, Compliance im Unternehmen nachhaltig sicherzustellen und damit die Leitungsebene zu enthaften.
Der grundlegende Aufbau der Norm folgt anderen ISO-Management-Normen, wie der ISO 9001 im Qualitätsmanagement oder der ISO 27001 für die Informationssicherheit. Sie lässt sich also leicht in bestehende Managementsysteme integrieren, so sie vorhanden sind.

Für diejenigen, die sich bisher noch nicht mit der ISO-Systematik befasst haben, drei Vorbemerkungen zum grundlegenden Verständnis:
Alle ISO-Managementnormen sind so gestaltet, dass sie für Organisationen jeder Größe in jedem Land passen. Sie bieten daher einen gewissen Freiheitsgrad und die Herausforderung, die Normanforderungen auf den eigenen Kontext anzupassen. Es gibt daher kein schnelles Umsetzungsrezept. Die individuelle Anpassung ist teilweise sehr arbeitsintensiv. Der Vorteil dieser Systematik ist aber auch, dass das Management-System schon im Grundansatz anpassungsfähig ausgelegt ist.
Außerdem ist das Grundprinzip jeder ISO-Management der kontinuierliche Verbesserungsprozess. Maßnahmen sollen ermittelt, geplant und umgesetzt werden. Aber sie sollen auch gemessen werden, und aus den Messungen sollen Verbesserungen abgeleitet werden. Ohne, dass dies mindestens einige Male geschehen ist, lässt sich keine Zertifizierung erreichen. Und jede Norm erfordert ein umfassendes und vor allem systematisches Risiko-Management. Ohne Kenntnis der individuellen Risiken, lassen sich keine Maßnahmen logisch ableiten.

Die Normanforderungen der ISO 37301 (auszugsweise)

Die Norm sieht verschiedene Anforderungen vor, von denen hier nur einige genannt werden sollen. Die Norm fordert grundlegend, dass ein CMS entsprechend konform zur Norm nicht nur aufgebaut, sondern auch aufrechterhalten und fortlaufend verbessert werden muss. Dazu muss das Unternehmen alle Compliance-Risiken systematisch identifizieren analysieren und bewerten. Die Führungsebene muss für die grundlegende Compliance-Politik sorgen und eine Compliance-Kultur muss im Unternehmen geschaffen werden. Eine Compliance-Funktion muss eingerichtet werden. Es muss also einen oder mehrere Compliance-Beauftragte geben, die frei von Interessenkonflikten das CMS fördern und voranbringen.

Compliance-Maßnahmen müssen geplant und umgesetzt werden. Im Falle von Compliance-Verstößen muss es Untersuchungen geben. Die Awareness muss bei den Beschäftigten erzeugt und aufrechterhalten werden. Und die externe Kommunikation muss an den Compliance-Richtlinien ausgerichtet werden. Alle Maßnahmen müssen gemessen werden. Regelmäßige objektive interne und externe Audits sollen die Einhaltung der Standards sicherstellen. Die Leitungsebene muss regelmäßig Kenntnis über die Wirksamkeit des CMS erhalten. Und all das muss nicht nur einmalig stattfinden, sondern fortlaufend.

Der Rahmen, der dabei in der Finanzbranche zusätzlich über das übliche Maß hinaus zu berücksichtigen ist, beinhaltet solche Themen wie Gewerbe- und Vermittlerrecht, Datenschutz und Informationssicherheit, Geldwäscheprävention, IDD-Vorgaben und die Einhaltung des Gesetzes gegen den unlauteren Wettbewerb. Aber auch Transparenz in Unternehmensstrukturen und der faire und ethische Umgang mit Mitarbeitern gehört dazu. Wer sich so wie wir intensiv mit der Geldwäsche-Prävention in der Versicherungswirtschaft befasst, erkennt leicht, wie groß der Nachholbedarf der Branche allein in diesem Bereich noch ist.

Fazit:
Verhindert ein CMS Compliance-Verstöße? Nein. Aber die Wahrscheinlichkeit für Verstöße und die möglichen Schadenfolgen werden kontinuierlich reduziert. Ein CMS ist in jedem Fall kein einfaches Unterfangen, vor allem, wenn es sich an der ISO 37301 ausrichtet. Der Nutzen des CMS ist jedoch eine nachhaltige Sicherheit im Unternehmen und nicht zuletzt eine gesteigerte Vertrauenswürdigkeit. Wer mit seinem Unternehmen dauerhaft compliant sein und bleiben will, kommt an einem systematischen CMS nicht vorbei. Die ISO 37301 bietet dafür die besten Grundlagen. Unsere Beratungspraxis in diesem Bereich zeigt auch, dass durch die systematische Anwendung der Norm Risiken identifiziert werden, die der Unternehmensleitung oft bis dahin verborgen waren. Häufig löst dies Erleichterung aus, frei nach dem Motto „Gefahr erkannt, Gefahr gebannt.“ Spätestens in Due Diligence, Key-Account oder Investoren-Verhandlungen kommt zukünftig das Thema Compliance verstärkt auf die Agenda. Wenn dann wesentliche Teile der Compliance gut organisiert sind, gelingen diese Verhandlungen schneller und erfolgreicher, wie wir inzwischen häufig beobachten durften.

  • Compliance-Management in der Versicherungswirtschaft: Die Bedeutung der ISO 37301 für die Branche
  • Die ISO 37301