BaFin Rundschreiben 09/2025 (VA): Aktualisierte Mindestanforderungen an die Geschäftsorganisation - was Versicherer jetzt wissen müssen

Neu im Fokus: Risikokultur, Nachhaltigkeit, KI-gestützte Prozesse und gruppenweite Governance. Welche Änderungen Sie jetzt kennen sollten und warum schnelles Handeln erforderlich ist.

Mit dem Rundschreiben 09/2025 (VA) hat die BaFin die Mindestanforderungen an die Geschäftsorganisation (MaGo) für Solvency II-Versicherungsunternehmen umfassend überarbeitet und neu ausgerichtet. Die Anpassungen spiegeln sowohl aufsichtliche Erfahrungen als auch aktuelle Entwicklungen wie ESG-Risiken, Digitalisierung und Automatisierung wider. Einzelne Themen wurden ausgegliedert, um eine stärkere Fokussierung zu ermöglichen.
Im Fokus stehen nun insbesondere: Risikokultur, Nachhaltigkeitsrisiken, KI-gestützte Prozesse, Rückversicherungsmanagement, Governance auf Gruppenebene sowie organisatorische Klarstellungen zur Ausgliederung.

Versicherungsunternehmen haben bis zum 14. Oktober 2025 Zeit, ihre bestehenden Strukturen mit den neuen Anforderungen abzugleichen und gegebenenfalls anzupassen.

Die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) hat mit dem Rundschreiben 09/2025 (VA) eine Überarbeitung ihrer Mindestanforderungen an die Geschäftsorganisation für Versicherungsunternehmen unter Solvabilität II (MaGo für SII-VU) vorgestellt. 

Zentrale Aspekte der Geschäftsorganisation im Fokus des aktualisierten Rundschreibens

Die Neufassung des Rundschreibens rückt zentrale Aspekte der Geschäftsorganisation in den Fokus. Einzelne Themen, die nicht unmittelbar mit der Geschäftsorganisation zusammenhängen, wurden aus der MaGo für Solvency II-Unternehmen herausgelöst und in separate Veröffentlichungen überführt. Dies betrifft das Kapitel „Anforderungen an die Geschäftsorganisation in Bezug auf die Eigenmittel“, welches unverändert von der BaFin als eigenes Merkblatt 2-2025 (VA) veröffentlicht wurde, sowie die Abschnitte „Risikomanagementleitlinien für das Aktiv-Passiv-Management“, „Risikomanagementleitlinien für das Veranlagungsrisiko“ und „Risikomanagementleitlinien für das Liquiditätsrisiko“. Die zuvor genannten Abschnitte aus dem Kapitel zum Risikomanagementsystem sind nun Inhalt des Rundschreibens 05/2025 (VA) Grundsatz der unternehmerischen Vorsicht (Prudent Person Principle – PPP) von Versicherungsunternehmen unter Solvabilität II. Die Neufassung berücksichtigt dagegen nun sowohl die aufsichtlichen Erfahrungen seit der Erstveröffentlichung im Jahr 2017 als auch neue Entwicklungen wie Risikokultur, Nachhaltigkeitsrisikomanagement, automatisierte Geschäftsprozesse oder Hinweise auf das Verhältnis der MaGo zu DORA und der KI-VO. 

Im Zuge der Überarbeitung hat die BaFin das Rundschreiben insgesamt nutzerfreundlicher gestaltet und dabei eine Reihe von Neuerungen integriert; grundlegende inhaltliche Änderungen wurden in der Neufassung jedoch nicht vorgenommen. 

Die wichtigsten Neuerungen werden nachfolgend kurz zusammengefasst:

• Risikokultur: Ein neues Kapitel zur Risikokultur wurde ergänzt und konkrete Anforderungen – analog zu neueren Veröffentlichungen wie den MaGo (EbAV) – in den MaGo für Versicherungsunternehmen unter Solvency II verankert.   Versicherungen sollten ein Risikokulturkonzept in Anlehnung der vier FSB¹-Risikokultur-Indikatoren erstellen und Evaluierungsmechanismen erarbeiten, die Überwachung der Risikokultur durchführen, erkannte Schwächen mit Maßnahmen abstellen. Der Geschäftsleitung ist ein Risikokulturbericht mind. jährlich vorzulegen inklusive Handlungsempfehlungen zur Stärkung der Risikokultur.
• Wesentlichkeit von Risiken: Versicherer müssen neben den Risikokategorien „versicherungstechnisches Risiko“, „Marktrisiko“, „Kreditrisiko“, „Liquiditätsrisiko“ und „operationelles Risiko“ weitere Risikokategorien in ihren Wesentlichkeitskonzepten berücksichtigen. Als Beispiele führt die BaFin hierfür strategische Risiken, Konzentrationsrisiken, politische Risiken oder Reputationsrisiken an. In der Praxis ist dies oft bereits ein gängiges Vorgehen.
• Nachhaltigkeit: Um die seit der Erstveröffentlichung der MaGo deutlich gestiegenen gesetzlichen Anforderungen an den Umgang mit Nachhaltigkeitsrisiken auch im Bereich der Geschäftsorganisation der Versicherungsunternehmen angemessen zu berücksichtigen, wurden im Zuge der Überarbeitung der MaGo im gesamten Rundschreiben kontextbezogene Hinweise zum Umgang mit Nachhaltigkeitsrisiken aufgenommen. Beispielsweise könnten im Einzelfall auch für Nachhaltigkeitsrisiken separate Wesentlichkeitsgrenzen erforderlich sein.
• Rückversicherung: Der neue Abschnitt „Risikomanagementleitlinien für Rückversicherung und andere Risikominderungstechniken” konkretisiert die Aufgaben in Bezug auf das Rückversicherungsrisikomanagement: Die VmF soll Risiken und Schwachstellen in den Rückversicherungsverträgen identifizieren, bewerten und Handlungsempfehlungen aufzeigen. Ebenso sollten Diversifikationsmöglichkeiten bei materiellen Rückversicherungsverträgen geprüft werden, um u.a. Länder-, Ausfall- und Liquiditätsrisiken besser zu steuern.
• Stellungnahme zu Lebensversicherungsverträgen mit langfristigen Zinsgarantien: Die versicherungsmathematische Funktion (VmF) hat in ihrer Stellungnahme zu bewerten, ob das Unternehmen langfristige Zinsgarantien des Neugeschäfts aus zukünftig erwarteten Anlageerträgen erfüllen kann. Aufgrund der hohen Prognoseunsicherheit für die mit den zugrunde liegenden Kapitalanlagen bis zum Vertragsablauf erzielbaren Erträge betont die BaFin in diesem Zusammenhang die Bedeutung der Zinsgarantien der Lebensversicherer. Die neuen Hinweise zur Stellungnahme der VmF sollen dieser Tatsache angemessen Rechnung tragen.
• Anforderungen auf Gruppenebene: Es wurden Präzisierungen hinzugefügt, die eine angemessene Umsetzung der wesentlichen Governance-Elemente (z.B. Risikomanagementsystem oder internes Kontrollsystem) auf Gruppenebene gewährleisten sollen. Dabei wird die Überwachungs- und Steuerungsverantwortung des obersten Mutterunternehmens (OMU) einer Versicherungsgruppe und die Letztverantwortung der Geschäftsleitung des OMU für eine angemessene Geschäftsorganisation auf Gruppenebene betont. Das oberste Mutterunternehmen sollte aktuelle Lücken identifizieren und diese mit der Implementierung von proportionalen Governance-Elementen schließen. Das bedeutet auch die Stärkung der Überwachungs-, Berichts- und Steuerungsprozesse, was zu höheren Aufwänden in der Gruppe führen kann.
• Automatisierte Geschäftsprozesse: Ein neuer Abschnitt zu automatisierten oder KI-gestützten Prozessen hebt die Relevanz der Nachvollziehbarkeit und Steuerung dieser Prozesse hervor. Die darin enthaltenen Auslegungshinweise sollen sicherstellen, dass – auch wenn Unternehmen im Zuge der fortschreitenden Digitalisierung automatisierte, gegebenenfalls KI-gestützte Verfahren einsetzen – die Mindestanforderungen an die Geschäftsorganisation erfüllt werden. Besonderes Augenmerk sollte in der möglichen Automatisierung und Verbesserung von Kontrollen liegen, wenn Geschäftsprozesse und Kundenservices digitalisiert werden.
• Ausgliederung: Die Formulierung „versicherungstypisch“ entfällt in der aktualisierten Fassung. Stattdessen stellt die Neufassung darauf ab, ob die Funktion oder Tätigkeit ansonsten vom Versicherungsunternehmen selbst erbracht werden würde. Die BaFin möchte mit dieser Präzisierung Wertungswidersprüchen vermeiden, wie es bei der bisherigen Bezugnahme auf „versicherungstypische Tätigkeiten“ der Fall war. Die Kriterien dafür, wann eine externe Beauftragung als versicherungsaufsichtsrechtlich relevante Ausgliederung anzusehen ist und wann nicht, sollen laut BaFin auch mit der neuen Formulierung unverändert bleiben.
• Die aktualisierten MaGo sprechen von einer proportionalen, „dem Risikoprofil angemessen“ Gestaltung der Geschäftsorganisation. Die Unternehmen sollten diesen Spielraum nutzen, um ihre Geschäftsorganisation an ihre spezifische Risikosituation anzupassen, was ggfs. auch zu Verschlankungen führen kann. Hierfür gilt eine Frist von 3 Monaten zur Umsetzung der notwendigen Anpassungen.

Die überarbeiteten MaGo gewährleisten eine stärkere Fokussierung auf zentrale regulatorische Anforderungen und bieten klare Orientierungshilfen für Versicherer. Die Unternehmen haben nur bis zum 14. Oktober 2025 Zeit, ihre bestehenden Governance-Elemente gegen die geänderten Anforderungen zu prüfen. Hierbei sollten Lücken identifiziert und Handlungsempfehlungen abgeleitet und durch die Geschäftsleitung genehmigt werden.  Ebenso ist auf eine schnelle, proportionale Umsetzung der Maßnahmen zu achten.  

Sprechen Sie uns gerne an – Bei Fragen oder Unterstützungsbedarf stehen wir Ihnen mit unserer Erfahrung und Expertise gerne für einen Austausch zur Verfügung.

¹ Das Financial Stability Board hat bereits in 2014 in seiner Veröffentlichung: „A Framework for Assessing Risk Culture“ vier Risikokulturindikatoren genannt, die evaluiert werden sollten: Tone from the Top, Verantwortlichkeiten der Mitarbeiter, offene Kommunikation und kritischer Dialog, angemessene Anreizsysteme.