IT-Aufsicht außerhalb des Finanzsektors: DORA trifft auch Anbieter von „Embedded Insurance“

Am 17. Januar 2025 ist die Verordnung (EU) 2022/2554 über die digitale operationale Resilienz im Finanzsektor (Digital Operational Resilience Act) – kurz „DORA“ – in Kraft getreten.

Mit ihr werden EU-weit geltende Cybersicherheitsstandards für Finanzunternehmen eingeführt, um die Resilienz des gesamten europäischen Finanzsektors gegenüber IT-Risiken und Cyberangriffen zu stärken. Der Bundestag hat mit dem Finanzmarktdigitalisierungsgesetz (FinmadiG), das bereits Ende 2024 wirksam wurde, den Weg für die (vermeintlich) reibungslose Anwendung in Deutschland geebnet.

Auch "Versicherungsvermittler in Nebentätigkeit" von DORA betroffen

DORA erfasst so gut wie alle beaufsichtigten Institute und Unternehmen des Finanzsektors. Banken und Versicherungsunternehmen beschäftigen sich bereits seit Jahren intensiv mit der Umsetzung der neuen Anforderungen. Bislang wenig Beachtung gefunden hat die Verordnung bei Unternehmen außerhalb des Finanzsektors – obwohl auch sie betroffen sein können.

Besonders relevant ist dies für Anbieter von „Embedded Insurance“, die Versicherungen als Zusatzleistung zur Lieferung von Waren oder zur Erbringung von Dienstleistungen vermitteln, wie etwa:

• Einzelhändler (insbesondere im E-Commerce), die mit dem Verkauf von Produkten verbundene Restschuldversicherungen oder Garantieversicherungen (z. B. bei Defekt der gelieferten Ware) vermitteln,
• Kfz-Hersteller, -Händler und -Leasinganbieter, die ihren Kunden beim Fahrzeugkauf bzw. ‑leasing zusätzlich Versicherungen wie Haftpflicht-, Kasko-, Rechtsschutz- oder „GAP-Versicherungen“ anbieten,
• Sharing Economy-Plattformen wie Carsharing- oder E-Scooter-Anbieter, die Haftpflicht- und Unfallversicherungen in ihre Nutzungsbedingungen integrieren, oder
• Fluggesellschaften, Reiseportale und Plattformen für Konzert- oder Veranstaltungstickets, die Reise- oder Stornoversicherungen direkt beim Ticketkauf anbieten.

Unternehmen dieser Art sind von DORA grundsätzlich erfasst, als sogenannte Versicherungsvermittler in Nebentätigkeit – im deutschen Gewerberecht auch als „produktakzessorische Vermittler“ oder schlicht „Annexvermittler“ (§ 34d Abs. 6 GewO) bezeichnet.

Ausnahme für kleine und mittlere Unternehmen

Gemäß der Definition von DORA werden Versicherungsvermittler in Nebentätigkeit allerdings nur dann der IT-Aufsicht für Finanzunternehmen unterstellt, wenn sie bestimmte Schwellenwerte überschreiten.

Von der Verordnung ausgenommen sind:

• Kleinst-, kleine und mittlere Unternehmen (KMU) i. S. v. DORA: Unternehmen, die weniger als 250 Mitarbeitende beschäftigen und einen Jahresumsatz von höchstens 50 Mio. EUR und/oder eine Bilanzsumme von höchstens 43 Mio. EUR aufweisen.
• Bagatellvermittler: Versicherungsvermittler in Nebentätigkeit, die nur in sehr geringem Umfang Versicherungen vermitteln (§ 34d Abs. 8 Nr. 1 GewO).

Unsicherheit besteht allerdings bei der Berechnung der KMU-Schwellenwerte. Es sprechen gute Gründe dafür, bei Unternehmen außerhalb des Finanzsektors nicht auf den Gesamtjahresumsatz, sondern ausschließlich auf die Umsätze aus der Versicherungsvermittlertätigkeit abzustellen. Erfasst wären demnach nur sehr große Annexvermittler.

Deutlich unklarer ist die Situation mit Blick auf die Beschäftigtenzahl und die Bilanzsumme. Diese Schwellenwerte allein bezogen auf die Nebentätigkeit der Versicherungsvermittlung zu ermitteln, ist weder in der DORA-Verordnung noch im nationalen Recht vorgesehen und dürfte in der Praxis auch häufig kaum möglich sein.

Unternehmen, die sicherstellen möchten, dass sie nicht unvorbereitet von der neuen IT-Aufsicht betroffen sind, sollten genau prüfen, ob sie DORA-pflichtig sind.

Welche Anforderungen gelten für betroffene Unternehmen?

Unternehmen, die weder unter die KMU- noch unter die Bagatellvermittler-Ausnahme fallen, müssen die strengen DORA-Vorgaben umsetzen. Diese umfassen unter anderem:

• strenge, interne Governance-Anforderungen,
• Dokumentation und Kontrolle für IT-Outsourcings,
• Meldepflichten bei schwerwiegenden IT-Vorfällenund
• Pflicht zum Testen von IKT-Tools, -Systemen und -Prozessen auf Basis bedrohungsorientierter Penetrationstests (Threat Led Penetration Testing – TLPT).
   

Hohe Bußgelder und neue Prüfpflichten drohen

Bei Verstößen gegen die Anforderungen drohen Annexvermittlern Bußgelder von bis zu 500.000 Euro. Überwacht wird die Einhaltung der DORA-Vorgaben – ebenso wie die gewerberechtlichen Anforderungen an die Zuverlässigkeit und Qualifikation von Annexvermittlern – sowohl unmittelbar durch die zuständige IHK als auch mittelbar über die Versicherer. Annexvermittler müssen sich vor allem auf folgende neue Aufsichtsbefugnisse einstellen:

• IHK-Aufsichtsbefugnisse: Die Industrie- und Handelskammern (IHK) können DORA-Compliance-Prüfungen durch von ihnen benannte Prüfer anordnen – auf Kosten der Vermittler.
• Mittelbare Aufsicht durch Versicherungsunternehmen: Versicherungsunternehmen sind nun verpflichtet, ausschließlich mit Versicherungsvermittlern zusammenzuarbeiten, die die DORA-Vorgaben erfüllen (§ 48 Abs. 2 S. 2 VAG).
   

Welcher Handlungsbedarf besteht für Unternehmen und Versicherer?

Für Unternehmen außerhalb des Finanzsektors, die Versicherungen als Ergänzung der im Rahmen ihrer Haupttätigkeit gelieferten Waren oder Dienstleistungen vermitteln, bedeutet dies: Sie sollten unverzüglich prüfen, ob sie vom Anwendungsbereich von DORA erfasst sind. Bei Verstößen droht neben Aufsichtsmaßnahmen der IHK und Bußgeldern auch die Beendigung der Kooperation durch den Versicherer.

Auch Versicherungsunternehmen, die mit Annexvermittlern zusammenarbeiten, müssen – ebenso wie bei der Zusammenarbeit mit gebundenen Vermittlern (§ 34d Abs. 7 Nr. 1 GewO) – sehr genau prüfen, ob diese DORA-pflichtig und -compliant sind (§ 48 Abs. 2 S. 2 VAG). Im Rahmen des Risikomanagements müssen geeignete Steuerungs- und Kontrollinstrumente eingeführt werden, um die Überwachung dieser neuen, beim Vertrieb zu beachtenden Vorgabe sicherzustellen.

Zurück zur Übersicht