Versicherungen: Aufsicht rügt Axa wegen Datenschutz

Zum ersten Mal stellt die Bafin eine Versicherung öffentlich an den Pranger. Sie muss die Daten ihrer Kunden besser schützen.

Die Finanzaufsicht Bafin hat die Axa-Krankenversicherung öffentlich wegen Mängeln in der Informationstechnologie (IT) gerügt. Das ist das erste Mal in ihrer Geschichte, dass die Aufsicht zu diesem Mittel greift. "Eine Prüfung der IT-bezogenen Geschäftsorganisation hatte ergeben, dass die Ordnungsgemäßheit der Geschäftsorganisation nicht in allen geprüften Bereichen gegeben war", teilte die Bafin mit. Die Mängel seien "fristgebunden zu beseitigen".

Außerdem hat sie die Gesellschaft verpflichtet, ihr Risikokapital zu erhöhen, weil die IT-Probleme ein zusätzliches Risiko darstellten. Die Höhe des Aufschlags nannte die Behörde nicht.

Welche Probleme die Axa mit ihrem Datensystem hat, wollten weder Versicherer noch Aufsichtsbehörde mitteilen. Doch Frank Grund, Chef der Versicherungsaufsicht bei der Bafin, hatte mehrfach bessere Sicherungssysteme gegen externe Angriffe von Cyberkriminellen und gegen unberechtigte interne Datenzugriffe verlangt. "Wir legen großen Wert darauf, dass die Sicherheitsmaßnahmen auf der Höhe der Zeit sind", sagte er der SZ im Februar. Die Aufsicht habe Prüfungen vorgenommen: "Das Ergebnis ist recht ernüchternd."

Ein Problem bei vielen Versicherern sind schlecht kontrollierte Zugänge zu den Daten. So könnten auch Mitarbeiter, die mit den Vorgängen nichts zu tun haben, sehen, welche Arztrechnungen ein Nachbar einreicht oder welchen Haftpflichtschaden ein Bekannter gemeldet hat.

Mit der öffentlichen Kritik an der Axa ändert die Aufsichtsbehörde ihr Vorgehen fundamental. Bislang hat sie diskret die betroffenen Versicherer zu Veränderungen aufgefordert, wenn sie Mängel festgestellt hat. Jetzt geht sie damit an die Öffentlichkeit. Das gehört auch zur neuen Gangart der Behörde unter dem seit August 2021 amtierenden Chef Mark Branson. Nachdem die Finanzaufsicht im Wirecard-Skandal viele Prügel hatte einstecken müssen, weil sie untätig geblieben war, hatte er der Bafin mehr Biss verordnet. Die Versicherungsaufsicht betont, dass sie lediglich das Instrumentarium, das ihr die EU-Aufsichtsregeln Solvency II bieten, voll ausschöpfen will.

Wo die Probleme im Detail liegen und wie hoch der Kapitalaufschlag ausfällt, wollte die Behörde nicht sagen. Auch die Axa blieb vage. "Wir nehmen die Erkenntnisse sehr ernst und sind der Bafin dankbar für den intensiven und konstruktiven Austausch", sagte ein Sprecher.

Bei der IT der Versicherer liegt einiges im Argen. Bei vielen Gesellschaften ist ein Flickenteppich jahrzehntealter IT-Systeme im Einsatz. Gleichzeitig verfügen die Gesellschaften über eine Fülle von sensiblen Kundendaten, die für Cyberkriminelle interessant sein könnten. Das gilt vor allem für Krankenversicherer wie der Axa. Mehrere Versicherer wie die Haftpflichtkasse und die Baloise-Tochter Basler sind bereits Opfer von Cyberangriffen geworden.

Die Bafin hat die IT-Systeme der Versicherer deshalb genau unter die Lupe genommen - und war nicht glücklich mit dem, was sie vorgefunden hat. Gravierende Mängel sieht sie vor allem im Risikomanagement, in der Geschäftsorganisation oder im Berechtigungs- und Ausgliederungsmanagement. "Solche Mängel sind nicht hinnehmbar", erklärte ein Bafin-Sprecher. "Das Risiko daraus preisen wir jetzt ein."

Die Argumentation der Behörde: Durch die IT-Mängel entstehen bei einem Versicherer zusätzliche Risiken, diese müssen unter den Eigenkapitalregeln Solvency II mit Kapitalzuschlägen berücksichtigt werden. Als das Thema zum ersten Mal aufkam, war von rund fünf Prozent Kapitalaufschlag die Rede gewesen. Die Axa-Krankenversicherung musste Ende 2022 ein Solvenzkapital von 634 Millionen Euro vorhalten, ein Aufschlag von fünf Prozent wären also 32 Millionen Euro. Viel mehr als diese Summe dürfte den Versicherer die negative Publizität durch die Veröffentlichung schmerzen.

Die Bafin hat zwei weitere Versicherer in der Prüfung, auch ihnen drohen Kapitalaufschläge. Nach SZ-Recherchen soll sich die Allianz darunter befinden.