VAG & Solvency II: Fit & Proper für Schlüsselfunktionen bei Versicherern

Versicherer müssen nach § 24 Abs. 1 VAG sicherstellen, dass alle Personen, die das Unternehmen tatsächlich leiten oder Schlüsselaufgaben wahrnehmen, zuverlässig und fachlich geeignet sind („fit & proper“) — nicht nur bei der Bestellung, sondern während der gesamten Tätigkeit. Das betrifft die vier Schlüsselfunktionen: unabhängige Risikocontrollingfunktion, Compliance-Funktion, interne Revision und versicherungsmathematische Funktion. Die beabsichtigte Bestellung der Verantwortlichen Person ist der BaFin nach § 47 Nr. 1 VAG unverzüglich anzuzeigen — mit Lebenslauf, Behördenführungszeugnis, Gewerbezentralregisterauszug und persönlicher Zuverlässigkeitserklärung.

Was verlangen VAG und Solvency II konkret?

Die Fit-&-Proper-Anforderungen an Versicherer stehen auf drei Normebenen. Erstens verpflichtet Art. 42 der Solvency-II-Richtlinie 2009/138/EG (2009) alle Versicherungs- und Rückversicherungsunternehmen, sicherzustellen, dass Personen, die das Unternehmen tatsächlich leiten oder andere Schlüsselfunktionen innehaben, fachlich qualifiziert und persönlich zuverlässig sind. Zweitens müssen Unternehmen nach Art. 273 Abs. 1 der Delegierten Verordnung (EU) 2015/35 (2015) gewährleisten, dass diese Personen die Anforderungen jederzeit erfüllen. Drittens setzt § 24 Abs. 1 VAG beides in deutsches Recht um: Wer das Unternehmen tatsächlich leitet oder andere Schlüsselaufgaben wahrnimmt, muss zuverlässig und fachlich geeignet sein.

Die maßgebliche Verwaltungspraxis bündelt das BaFin-Rundschreiben 11/2023 (VA) (2023) vom 01.12.2023, zuletzt geändert am 08.05.2025. Es hat die früheren Merkblätter abgelöst und erläutert Qualifikationsanforderungen und Anzeigepflichten für Personen, die Schlüsselfunktionen wahrnehmen. Ein Begriffshinweis für die Praxis: Das VAG spricht von „Schlüsselaufgaben“, Solvency II von „Schlüsselfunktionen“ — gemeint ist dasselbe Pflichtenprogramm. Inhaltlich hat die Prüfung zwei Dimensionen: Die fachliche Eignung („fit“) verlangt berufliche Qualifikationen, Kenntnisse und Erfahrungen, die zur Ausübung der konkreten Position befähigen. Die Zuverlässigkeit („proper“) wird laut Rundschreiben unterstellt, solange keine Tatsachen erkennbar sind, die Unzuverlässigkeit begründen — sie muss also nicht positiv nachgewiesen, wohl aber strukturiert abgefragt und dokumentiert werden. Wie die Fit-&-Proper-Prüfung der BaFin grundsätzlich funktioniert und wie sich das Regime vom Banken-Pendant nach § 25c KWG unterscheidet, haben wir separat aufbereitet.

Das Rundschreiben 11/2023 ist Teil eines Dreiklangs: Parallel regeln das Rundschreiben 9/2023 (VA) die Anforderungen an Mitglieder der Geschäftsleitung und das Rundschreiben 10/2023 (VA) die Anforderungen an Verwaltungs- und Aufsichtsorgane. Wer ein Fit-&-Proper-Programm aufsetzt, sollte alle drei Personengruppen in einem konsistenten Prozess abbilden — die Nachweislogik ist weitgehend identisch.

Welche vier Schlüsselfunktionen muss jeder Versicherer einrichten?

Das VAG schreibt — vorbehaltlich gesetzlicher Ausnahmen, etwa für kleine Versicherungsunternehmen und Sterbekassen — vier Schlüsselfunktionen vor:

• Unabhängige Risikocontrollingfunktion (URCF) nach § 26 VAG i.V.m. Art. 269 DVO: überwacht das Risikomanagementsystem und das Gesamtrisikoprofil des Unternehmens.

• Compliance-Funktion nach § 29 VAG i.V.m. Art. 270 DVO: überwacht die Einhaltung der rechtlichen Anforderungen und berät die Geschäftsleitung zu Rechtsänderungsrisiken.

• Interne Revision nach § 30 VAG i.V.m. Art. 271 DVO: prüft die gesamte Geschäftsorganisation einschließlich des internen Kontrollsystems auf Wirksamkeit.

• Versicherungsmathematische Funktion (VmF) nach § 31 VAG i.V.m. Art. 272 DVO: koordiniert die Berechnung der versicherungstechnischen Rückstellungen; § 31 Abs. 3 VAG verlangt dafür Kenntnisse der Versicherungs- und Finanzmathematik, die der Art, dem Umfang und der Komplexität der Risiken angemessen sind.

Darüber hinaus können Unternehmen selbst weitere Schlüsselaufgaben identifizieren — Bereiche, die für den Geschäftsbetrieb von erheblicher Bedeutung sind. Für diese gelten die Anforderungen des Rundschreibens entsprechend. Versicherungs-Holdinggesellschaften und gemischte Finanzholding-Gesellschaften müssen nach § 293 Abs. 1 Satz 1 VAG drei der vier Funktionen einrichten (URCF, Compliance, interne Revision — ohne VmF).

Wer muss geprüft werden — und wer ist anzeigepflichtig?

Das Rundschreiben 11/2023 differenziert präzise zwischen Prüfpflicht und Anzeigepflicht. Fit & proper sein müssen mehr Personen, als der BaFin gemeldet werden:

1. Verantwortliche Person: Für jede Schlüsselfunktion ist eine natürliche Person als verantwortlich zu benennen. Deren beabsichtigte Bestellung ist der BaFin nach § 47 Nr. 1 VAG unverzüglich anzuzeigen — als Absichtsanzeige vor Funktionsantritt, samt Eignungsnachweisen.

2. Für die Schlüsselfunktion tätige Personen: Mitarbeitende, die die Verantwortliche Person unterstützen, müssen entsprechend ihren Verantwortlichkeiten und Zuständigkeiten fachlich geeignet und zuverlässig sein — eine Anzeigepflicht besteht für sie nicht.

3. Stellvertreter: Sind Stellvertreter vorgesehen, müssen auch sie entsprechend qualifiziert sein. Anzeigepflichtig werden sie erst, wenn sie dauerhaft zur Verantwortlichen Person aufrücken.

4. Ausgliederungsbeauftragte (AB): Wird eine Schlüsselfunktion auf einen Dienstleister ausgegliedert, ist die oder der Ausgliederungsbeauftragte des Unternehmens die Verantwortliche Person im Sinne des § 47 Nr. 1 VAG. Sie überwacht die Tätigkeitsausübung des Dienstleisters und braucht dafür ausreichende Kenntnisse der ausgelagerten Funktion.

5. Personal des Dienstleisters: Nach Leitlinie 14 der EIOPA-Leitlinien zum Governance-System (2023) muss das Unternehmen bei einer Ausgliederung zusätzlich beurteilen, ob alle beim Dienstleister mit der Funktion betrauten Personen fachlich qualifiziert und zuverlässig sind; es darf sich dabei auf die Beurteilung des Dienstleisters stützen, bleibt aber selbst verantwortlich.

Welche Nachweise verlangt die BaFin bei der Bestellung?

Nach Rn. 46 des Rundschreibens 11/2023 sind der Absichtsanzeige folgende Unterlagen beizufügen:

1. Lebenslauf der designierten Verantwortlichen Person — aussagekräftig, datiert, mit Schwerpunkt auf den beruflichen Stationen.

2. Formular „Persönliche Erklärung mit Angaben zur Zuverlässigkeit“ — die standardisierte Selbstauskunft zu Straf-, Bußgeld- und vergleichbaren Verfahren.

3. „Führungszeugnis zur Vorlage bei einer Behörde“ (sog. Behördenführungszeugnis), „Europäisches Führungszeugnis zur Vorlage bei einer Behörde“ und/oder entsprechende Unterlagen aus dem Ausland — bei Auslandswohnsitzen aus jedem betroffenen Staat.

4. Auszug aus dem Gewerbezentralregister.

5. Gegebenenfalls Fortbildungsnachweise.

6. Darstellung des Anforderungsprofils der zu besetzenden Stelle — mit Begründung, warum die vorgesehene Person dieses Profil erfüllt. Bei Branchenfremden oder großen Sprüngen in der Führungsspanne erwartet die BaFin eine detailliertere Darstellung.

Drei Praxishinweise: Das Behördenführungszeugnis übersendet das Bundesamt für Justiz direkt an die BaFin — es muss zeitnah zur Anzeige beantragt werden. Die BaFin stellt als Anlage zum Rundschreiben eine Checkliste bereit, mit der Du die Vollständigkeit der Unterlagen prüfen kannst. Und seit dem 8. Mai 2025 gilt eine spürbare Erleichterung: Die beabsichtigte Wiederbestellung einer Verantwortlichen Person beim selben Unternehmen ist nicht mehr anzeigepflichtig (BaFin (2025)). Unverändert gilt: Treten bei einer bereits angezeigten Person Änderungen bei Zuverlässigkeit oder fachlicher Eignung ein, ist jede Änderung unverzüglich mitzuteilen.

Wie oft musst Du die Eignung neu beurteilen?

Ein einmaliges Onboarding-Screening genügt nicht. Das Pflichtenprogramm hat drei Ebenen:

1. Laufende Pflicht: Die gesetzlichen Kriterien müssen nicht nur zum Zeitpunkt der Bestellung, sondern während der gesamten Tätigkeit erfüllt sein (Rn. 85 des Rundschreibens 11/2023; Art. 273 Abs. 1 DVO: „jederzeit“). Die fachliche Eignung erfordert zudem stetige Weiterbildung, damit die Person mit wandelnden Anforderungen Schritt hält.

2. Anlassbezogene Neubeurteilung: Die BaFin verlangt eine erneute Beurteilung zumindest bei den in Leitlinie 13 der EIOPA-Leitlinien zum Governance-System genannten Anlässen. Nach der deutschen Übersetzung der EIOPA-Erläuterungen (BaFin) sind das mindestens drei Konstellationen:

• wenn Gründe für die Annahme bestehen, dass eine Person das Unternehmen davon abhält, seine Geschäftstätigkeit im Einklang mit den anwendbaren Gesetzen auszuüben;

• wenn Gründe für die Annahme bestehen, dass eine Person das Risiko von Finanzstraftaten erhöht — etwa Geldwäsche oder Terrorismusfinanzierung;

• wenn Gründe für die Annahme bestehen, dass das solide und vorsichtige Management des Unternehmens gefährdet ist.

3. Jährlicher Anker: Nach § 23 Abs. 3 VAG sind die schriftlichen Leitlinien der Geschäftsorganisation — dazu gehört die interne Fit-&-Proper-Leitlinie — mindestens einmal jährlich zu überprüfen und bei wesentlichen Änderungen anzupassen. In der Praxis koppeln viele Versicherer daran ein jährliches Re-Assessment: aktualisierte Selbstauskunft je Verantwortlicher Person, Abgleich gegen Sanktions- und PEP-Listen sowie Adverse-Media-Screening, Prüfung der Weiterbildungsnachweise und dokumentiertes Ergebnis je Person. So wird aus der abstrakten Daueranforderung ein nachweisbarer Zyklus — und genau diesen Nachweis fragt die Aufsicht im Ernstfall ab.

Erstprüfung vs. Re-Assessment: Was unterscheidet die beiden Prüfungen?

Beide Prüfungen folgen denselben Kriterien, unterscheiden sich aber in Anlass, Tiefe und BaFin-Beteiligung:

• Anlass: Erstprüfung vor der Absichtsanzeige und dem Funktionsantritt — Re-Assessment im festen Turnus (in der Praxis jährlich) sowie anlassbezogen bei Triggern nach EIOPA-Leitlinie 13.

• Umfang: Erstprüfung mit vollständigem Unterlagensatz (Lebenslauf, Führungszeugnis, Registerauszug, Erklärungen, Anforderungsprofil) — Re-Assessment als Delta-Prüfung: aktualisierte Selbstauskunft plus laufendes Screening gegen Sanktions-, PEP- und Medienquellen.

• BaFin-Beteiligung: Erstbestellung ist nach § 47 Nr. 1 VAG anzeigepflichtig — beim Re-Assessment besteht keine Anzeigepflicht, solange sich nichts ändert; relevante Änderungen sind unverzüglich mitzuteilen.

• Ergebnisdokumentation: Erstprüfung mündet in die Anzeige samt Nachweisen — das Re-Assessment in einen internen, audit-festen Prüfvermerk je Person mit Datum, Quellen und Bewertung.

Was passiert, wenn eine Person die Anforderungen nicht mehr erfüllt?

Erfüllt eine Verantwortliche Person die Voraussetzungen des § 24 VAG nicht mehr, muss das Unternehmen die Änderung unverzüglich an die BaFin melden und intern reagieren. Die Aufsicht hat scharfe Instrumente: Nach § 303 Abs. 2 Nr. 1 VAG kann die BaFin verlangen, dass Personen, die das Unternehmen leiten oder Schlüsselaufgaben erfüllen, abberufen werden, und ihnen die Ausübung der Tätigkeit untersagen, wenn Tatsachen vorliegen, aus denen sich ergibt, dass die Person die Anforderungen des § 24 VAG nicht erfüllt. Wer Zweifelsfälle aussitzt, riskiert also nicht nur ein Aufsichtsgespräch, sondern einen formellen Eingriff in die Organbesetzung — mit entsprechender Außenwirkung.

Wie baust Du den Fit-&-Proper-Prozess audit-fest auf?

Aus Normtext und Verwaltungspraxis lässt sich ein klarer Prozess ableiten:

1. Interne Leitlinie aufsetzen: Geltungsbereich (Verantwortliche Personen, tätige Personen, Stellvertreter, AB), Eignungs- und Zuverlässigkeitskriterien je Funktion, Zuständigkeiten und Re-Assessment-Anlässe schriftlich fixieren — und jährlich überprüfen (§ 23 Abs. 3 VAG).

2. Erstprüfung vor der Absichtsanzeige: Identität verifizieren, Lebenslauf auf Lücken und Plausibilität prüfen, Referenzen einholen, Sanktions-, PEP- und Adverse-Media-Screening durchführen — datenschutzkonform mit dokumentierter Rechtsgrundlage. Was dabei nach DSGVO zulässig ist, zeigt unser Leitfaden zu DSGVO und Background Checks.

3. Anzeige vollständig einreichen: Unterlagen gegen die BaFin-Checkliste abgleichen, Behördenführungszeugnis und Gewerbezentralregisterauszug rechtzeitig beantragen, Anforderungsprofil sauber begründen.

4. Laufendes Monitoring etablieren: Verantwortliche Personen kontinuierlich gegen Sanktionslisten, PEP-Status und negative Medienberichte überwachen, damit anlassbezogene Trigger nicht erst im Jahresturnus auffallen.

5. Re-Assessments dokumentieren: Je Person und Zyklus festhalten, wer wann was mit welchem Ergebnis geprüft hat — inklusive Quellen und Bewertung. Wie revisionsfeste Dokumentation konkret aussieht, beschreibt unser Beitrag zum BaFin-Audit und Background-Check-Dokumentation.

6. Gruppenweite Konsistenz sicherstellen: Bei Gruppen mit Schweizer Gesellschaften gelten parallel die FINMA-Anforderungen — die Unterschiede haben wir im FINMA-BaFin-Vergleich aufbereitet.

Die hier beschriebenen Prüfungen automatisiert Indicium: DSGVO-konform, EU/Schweizer Hosting, audit-fester Trail, Reports in 8–30 Minuten. Kostenlose 30-Minuten-Demo buchen — oder direkt die transparenten Preise ansehen.