Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) hat mit der Neufassung der Mindestanforderungen an die Geschäftsorganisation (MaGo) einen wichtigen Schritt zur Modernisierung und Fokussierung der regulatorischen Anforderungen an Versicherungsunternehmen unternommen. Die neue Version tritt am 14. Oktober 2025 in Kraft und ersetzt das bisherige Rundschreiben aus dem Jahr 2017. Für Governance- und Compliance-Verantwortliche ergeben sich daraus zahlreiche Handlungsfelder, die sowohl strategisch als auch operativ adressiert werden müssen.
1. Strukturelle Neuausrichtung: Weniger ist mehr
Die überarbeitete MaGo verzichtet bewusst auf eine umfassende Darstellung aller Aspekte der Geschäftsorganisation. Stattdessen konzentriert sie sich auf die zentralen Elemente, die für eine wirksame und nachhaltige Unternehmenssteuerung maßgeblich sind. Themen, die zuvor in der MaGo behandelt wurden, sind nun in separaten Dokumenten geregelt – etwa:
– Eigenmittelorganisation: Ausgelagert in ein eigenes Merkblatt.
– Risikomanagementspezifische Anforderungen: In das neue Rundschreiben zum Prudent Person Principle (PPP) überführt.
– Versicherungsgruppen: Werden künftig in einem separaten Rundschreiben behandelt.
Diese Entflechtung soll die Lesbarkeit verbessern und die gezielte Anwendung der Anforderungen erleichtern.
2. Nachhaltigkeit als Querschnittsthema
Ein zentrales Novum ist die explizite Aufnahme von Nachhaltigkeitsrisiken in die MaGo. Die BaFin stellt klar, dass ESG-Risiken nicht isoliert, sondern im Rahmen des bestehenden Risikomanagementsystems zu betrachten sind. Für Compliance- und Governance-Funktionen bedeutet das:
– Integration von ESG-Risiken in die Risikoinventur und -strategie.
– Anpassung der Risikoberichterstattung, um Nachhaltigkeitsaspekte angemessen zu reflektieren.
– Schulung von Schlüsselpersonen zu ESG-spezifischen Risiken und deren Bewertung.
3. Rückversicherung und Risikotransfer: Neue Anforderungen
Die MaGo 2025 enthält erstmals Anforderungen an die Risikobetrachtung signifikanter Rückversicherungsbeziehungen. Unternehmen müssen künftig auch Szenarien berücksichtigen, in denen Rückversicherungsverträge nicht verlängert oder verschlechtert werden. Dies erfordert:
– Stärkere Einbindung der Rückversicherungsstrategie in das ORSA.
– Frühzeitige Identifikation von Klumpenrisiken im Rückversicherungsportfolio.
– Dokumentation von Exit-Strategien für kritische Rückversicherungsbeziehungen.
4. Compliance-Funktion: Stärkung der Unabhängigkeit und Wirksamkeit
Die überarbeitete MaGo betont die Rolle der Compliance-Funktion als integralen Bestandteil eines wirksamen Governance-Systems. Die Anforderungen an Unabhängigkeit, Ressourcenausstattung und Berichtslinien wurden konkretisiert. Für die Praxis bedeutet das:
– Unabhängigkeit sicherstellen: Die Compliance-Funktion darf nicht in operative Prozesse eingebunden sein, die sie überwacht.
– Direkte Berichtslinie an das Leitungsorgan: Die Compliance-Funktion muss regelmäßig und anlassbezogen an das gesamte Leitungsorgan berichten.
– Ressourcenausstattung dokumentieren: Die personellen und fachlichen Ressourcen müssen angemessen und nachvollziehbar dokumentiert sein.
– Überwachungspflichten konkretisieren: Die Compliance-Funktion muss ein systematisches Überwachungsprogramm etablieren.
– Zusammenarbeit mit anderen Schlüsselfunktionen: Die Schnittstellen zu Risikocontrolling, Interner Revision und Aktuariat sind klar zu definieren.
5. Gruppenaufsicht: Neue Anforderungen für Holdingstrukturen
Parallel zur MaGo-Überarbeitung plant der Gesetzgeber Änderungen im Versicherungsaufsichtsgesetz (VAG) im Rahmen des Finanzmarktdigitalisierungsgesetzes (FKGB). Besonders relevant ist die geplante Erweiterung des § 293 VAG, wonach auch Versicherungs-Holdinggesellschaften und gemischte Finanzholding-Gesellschaften künftig bestimmten Prüfpflichten unterliegen sollen. Dies betrifft insbesondere:
– Abschlussprüfungen nach § 37 VAG.
– Anforderungen an das interne Kontrollsystem.
– Meldepflichten gegenüber der BaFin.
– Verantwortlichkeit des Gruppenleitungsorgans.
Für Compliance- und Governance-Funktionen bedeutet dies, dass sie künftig auch gruppenspezifische Risiken und Steuerungsmechanismen in ihre Überwachung und Berichterstattung einbeziehen müssen. Dies erfordert:
– Erweiterung des Compliance-Universums auf gruppenweite Sachverhalte.
– Abstimmung mit den Compliance-Funktionen der Tochtergesellschaften.
– Einführung gruppenweiter Richtlinien und Standards.
6. Übergangsfrist und Umsetzungspflichten
Die BaFin gewährt eine dreimonatige Übergangsfrist bis zum 14. Oktober 2025. In dieser Zeit müssen Versicherungsunternehmen ihre internen Regelwerke, Prozesse und Systeme anpassen. Für Governance- und Compliance-Verantwortliche bedeutet das konkret:
– Gap-Analyse zwischen alter und neuer MaGo.
– Aktualisierung des Rechtskatasters und der internen Richtlinien.
– Anpassung des Schulungskonzepts für relevante Mitarbeitende.
– Dokumentation der Umsetzungsschritte zur Nachvollziehbarkeit gegenüber der Aufsicht.
Fazit
Die MaGo 2025 ist keine Revolution, aber eine gezielte Weiterentwicklung der aufsichtsrechtlichen Anforderungen. Sie bringt mehr Klarheit, stärkere Fokussierung und neue Impulse – insbesondere im Bereich Nachhaltigkeit, Rückversicherung, Compliance und Gruppensteuerung. Für Governance- und Compliance-Funktionen ist jetzt der richtige Zeitpunkt, um die eigene Organisation auf die neuen Anforderungen auszurichten und die Umsetzung systematisch vorzubereiten.
