BaFin überarbeitet MaGo-Rundschreiben: Governance und DORA rücken näher zusammen

Mit Blick auf die Governance und die digitale Resilienz setzt die BaFin die Weiterentwicklung der aufsichtsrechtlichen Mindestanforderungen an die Geschäftsorganisation von Versicherungsunternehmen unter Solvabilität II (MaGo für SII-VU) konsequent fort. Das neue Rundschreiben 09/2025 (VA) überarbeitet die Mindestanforderungen unter Solvabilität II und berücksichtigt, neben den Erfahrungen aus der Aufsichtspraxis, auch neue Impulse aus dem Digital Operational Resilience Act (DORA) und der Künstliche-Intelligenz-Verordnung (KI-Verordnung). Die Neufassung wurde am 14. Juli 2025 veröffentlicht und tritt nach einer dreimonatigen Übergangsfrist am 14. Oktober 2025 in Kraft. Mit ihr wird das bisherige Rundschreiben aufgehoben. Ziel ist es, zentrale Aspekte der Governance deutlicher zu betonen und klarzustellen, dass Strukturen und Prozesse künftig konsequent dem Risikoprofil angemessen ausgestaltet werden müssen. Auf diese Weise sollen Unternehmen mehr Flexibilität erhalten sowie ihre Organisation proportional zu Art, Umfang und Komplexität ihrer Risiken umzusetzen.

Eine wesentliche Neuerung ist die engere Verzahnung mit anderen Regulierungsvorhaben. Spezifische Anforderungen aus DORA oder der KI-Verordnung knüpfen an die bereits vorhandenen Prozesse der Geschäftsorganisation an. Für diese Grundlagen gelten weiterhin die MaGo-Auslegungshinweise. Zudem greift ein neu eingeführter Abschnitt zu automatisierten Geschäftsabläufen die zunehmende Digitalisierung auf: Unternehmen müssen automatisierte oder KI-gestützte Prozesse wie Risikozeichnungen, Schadenbearbeitung oder Bestandsverwaltung identifizieren, dokumentieren und einer angemessenen Steuerung und Überwachung unterziehen. Ziel ist es, dass wesentliche Risiken trotz Automatisierung kontrollierbar bleiben. Damit baut diese Vorgabe eine direkte Brücke zu den DORA-Anforderungen.

Die überarbeitete Fassung stärkt darüber hinaus Risikokultur und Risikomanagement. Neben den klassischen Risikokategorien können künftig auch weitere Risiken wie politische, strategische, Reputations- oder Nachhaltigkeitsrisiken als wesentlich eingestuft werden, wenn sie für das Unternehmen von Bedeutung sind. Für die Überprüfung und Weiterentwicklung der eigenen Organisation können Unternehmen auf bereits bestehende interne Prozesse zurückgreifen, anstatt zusätzliche Verfahren einzuführen. Damit wird der Aufwand reduziert, ohne den Anspruch an eine wirksame Steuerung zu senken.

Die Rolle des obersten Mutterunternehmens wird auf Gruppenebene klarer gefasst: Es muss sicherstellen, dass das Risikomanagement die gesamte Gruppe umfasst – einschließlich ausländischer Gesellschaften und Nicht-Versicherungsunternehmen. Für diese gilt jedoch weiterhin, dass sie keine eigene versicherungstypische Governance-Struktur aufbauen müssen. Auch bei schriftlichen Leitlinien bringt die Neufassung mehr Flexibilität: Sie können nun digital bereitgestellt werden, und die Häufigkeit ihrer Überprüfung kann risikoorientiert festgelegt werden.

Mit dem Rundschreiben 09/2025 (VA) richtet die BaFin die MaGo noch stärker auf eine risikobasierte Governance aus und verbindet diese mit aktuellen Themen wie Automatisierung, Nachhaltigkeitsrisiken und digitaler Resilienz. Für Versicherungsunternehmen entsteht dadurch ein klarer Rahmen, der regulatorische Sicherheit gibt und gleichzeitig Raum für eine praxisgerechte Umsetzung lässt.