Eine undifferenzierte Übertragung hoher IT-Sicherheitsstandards aus der Finanzindustrie auf Einrichtungen der betrieblichen Altersversorgung (EbAV) ist kontraproduktiv und verursacht unnötige Kosten, die zu Lasten der Betriebsrenten gehen. Eine entsprechende Level-II-Regulierung zur IT-Verordnung DORA und eine den tatsächlichen Risiken angemessene Aufsichtspraxis sind daher unverzichtbar.

„Die IT-Anforderungen für EbAV haben in den letzten Jahren stark zugenommen. Welcher Pensionsfonds hätte sich bei Gründung vor gut 20 Jahren diesen IT-Schwerpunkt einer aba-Aufsichtsrechtstagung vorstellen können“, fragt Dirk Jargstorff, stellvertretender Vorsitzender der aba Arbeitsgemeinschaft für betriebliche Altersversorgung und Leiter der aba-Fachvereinigung Pensionsfonds, auf der aba-Tagung „Aufsichtsrecht der EbAV“ am 28. September 2023 in Bonn.

Jargstorff weist darauf hin, dass die aufsichtlichen IT-Anforderungen durchaus dazu führen, dass potenzielle IT-Risiken in der betrieblichen Altersversorgung umfassend adressiert werden. Allerdings wird das eigentliche Problem der betrieblichen Altersversorgung – dass zu wenige Menschen durch sie ein zweites Standbein ihrer Altersversorgung haben –­ dadurch nicht gelöst. Im Gegenteil, durch den erhöhten Einsatz von Dienstleistern und den Ausbau interner Kapazitäten werden die Kosten weiter steigen. Daher sind angemessene Anforderungen, die den Besonderheiten der EbAV Rechnung tragen, von zentraler Bedeutung.

Jörg Paßmann, Leiter des aba-Fachausschusses Digitalisierung fügt hinzu: „In den Versicherungsaufsichtlichen Anforderungen an die IT (VAIT) hat die Regulierung durch das Proportionalitätsprinzip die Besonderheiten der EbAV berücksichtigt bzw. den Raum gelassen, ihnen Rechnung zu tragen. Wir stehen jetzt kurz vor der Anwendung der europäischen DORA-Verordnung im Januar 2025, die noch durch weitere umfangreiche Level-II-Regulierungen (technische Regulierungs- und Durchführungsstandards) konkretisiert wird. Das so entstehende Regelwerk darf das in der DORA-Verordnung vorgesehene Proportionalitätsprinzip nicht durch ihre regelbasierten Anforderungen einschränken. Standards aus der Finanzindustrie sind nicht ohne Unterschiede auf Altersversorgungseinrichtungen zu übertragen. Zu den zu berücksichtigenden Besonderheiten der EbAV zählt u.a., dass sie ganz oder teilweise die IT-Infrastruktur des/der Trägerunternehmen nutzen, deren Standards regelmäßig hoch sind, sich aber von den Standards der Finanzindustrie unterscheiden.“

Es gilt, Regulierungs- und Durchführungsstandards – wie in der DORA-VO dem Grunde nach angelegt – in Einklang mit dem Grundsatz der Verhältnismäßigkeit zu bringen.  Paßmann betont aber, dass höhere IT-Anforderungen für EbAV auch eine zusätzliche Chance bedeuten. Eine vorausschauende Investition in Sicherheit sei langfristig immer günstiger als der Schadensfall.

Angesichts der bereits im Sommer 2023 durchgeführten Konsultation der EU-Aufsichtsbehörden (ESA) und der noch zu erwartenden Konsultation zu weiteren ESA-Entwürfen bittet die aba die EU-Aufsichtsbehörden (unterstützt u.a. durch die BaFin), der EU-Kommission Entwürfe vorzulegen, die der Vielfalt der von DORA erfassten Unternehmen Rechnung tragen und u.a. für EbAV konkrete Möglichkeiten für eine proportionale Umsetzung vorsehen.

Abschließend betont Jargstorff, dass eine gute prinzipienorientierte Regulierung das Ziel im Blick behalten und den Unternehmen Freiraum lassen sollte, wie dieses erreicht wird.