MaGO: Das stille Schwergewicht unter den Aufsichtsregeln

In der Welt der Finanzaufsicht kennen viele die großen Namen: MaRisk, DORA, EBA-Guidelines. Doch eine Vorgabe steht oft im Schatten und wird dennoch für bestimmte Unternehmen immer wichtiger: MaGO – die Mindestanforderungen an die Geschäftsorganisation. Gerade Versicherungsunternehmen und Pensionskassen neigen dazu, MaGO als „weniger kritisch“ einzustufen, weil sie im Vergleich zu MaRisk oder DORA weniger öffentlich diskutiert wird. Das ist ein gefährlicher Trugschluss: MaGO greift tief in die Organisations-, Steuerungs- und Entscheidungsprozesse ein. Wer hier unvorbereitet ist, steht bei einer BaFin-Prüfung schnell im Erklärungsnotstand – selbst dann, wenn die operative Praxis „eigentlich funktioniert“.

Dieser Beitrag zeigt, warum MaGO oft unterschätzt wird, welche Pflichten und Nachweise sie konkret mit sich bringt, wie sie mit anderen Regelwerken zusammenspielt (MaRisk VA, VAIT, EIOPA-Leitlinien, DORA) und wie Sie MaGO effizient und prüfungssicher in Ihre Governance integrieren.

Was ist MaGO überhaupt?

Die MaGO ist ein BaFin-Rundschreiben, das die versicherungsaufsichtlichen Anforderungen an die Geschäftsorganisation nach § 23 VAG konkretisiert. Sie richtet sich primär an Erst- und Rückversicherer sowie Pensionskassen, strahlt aber auf verbundene Unternehmen und ausgelagerte Dienstleister aus, wenn deren Leistungen für die Erfüllung der Pflichten wesentlich sind.

Ihr Kern: MaGO legt fest, wie ein Unternehmen organisatorisch, personell und prozessual aufgestellt sein muss, um VAG und Solvency-II-Vorgaben zu erfüllen. Dazu gehören Governance-Struktur, Schlüsselfunktionen, Risikomanagement, interne Kontrollen, Auslagerungsmanagement, Berichtswege, BCM/Notfallmanagement und Überwachung durch Vorstand und Aufsichtsrat. Wichtig: MaGO ist prinzipienbasiert, aber in der Prüfungspraxis sehr konkret. Die BaFin erwartet gelebte Prozesse plus belastbare Dokumentation.

Warum MaGO unterschätzt wird – und wo das zum Problem wird

Wenig Presse, viel Substanz. MaGO erzeugt keine Schlagzeilen wie DSGVO-Bußgelder oder DORA-Meilensteine. In vielen Häusern entsteht der Eindruck: „Das meiste davon haben wir doch schon.“ In der Prüfung zeigt sich jedoch oft das Gegenteil:

• „Ob“ vs. „Wie“: Prozesse existieren, sind aber nicht klar beschrieben, nicht konsistent oder nicht nachweisbar.
• Unabhängigkeit: Schlüsselfunktionen (Risikomanagement, Compliance, Interne Revision, Aktuariat) sind organisatorisch oder faktisch nicht unabhängig genug.
• Rollen & RACI: Doppelfunktionen und Interessenkonflikte bleiben unadressiert.
• Auslagerung: Risikobewertung, Vertragsklauseln, laufendes Monitoring und Exit-Pläne sind lückenhaft – besonders bei Cloud-Nutzung.
• Wirksamkeitskontrollen: Kontrollen sind definiert, werden aber nicht regelmäßig getestet; KPIs/KRIs fehlen oder laufen ins Leere.
• Berichte: Der Vorstand erhält zu selten oder zu technisch aufbereitete Informationen; der Aufsichtsrat wird nicht systematisch eingebunden.

Die Folge: Sonderprüfungen enden mit Auflagen, Nachbesserungsplänen oder engen Fristen – und plötzlich wird aus „haben wir doch“ ein kostenintensives Ad-hoc-Projekt.

Der Bauplan: Kernanforderungen der MaGO

Governance-System

• Aufbau- und Ablauforganisation mit klar dokumentierten Zuständigkeiten, Entscheidungswegen und Eskalationspfaden.
• Geschäftsorganisation orientiert an Proportionalität (Größe, Komplexität, Risikoprofil), aber mit Mindeststandards.
• Funktionstrennung und Interessenkonflikt-Management (Policy, Register, Maßnahmen, jährliche Bestätigungen).

Schlüsselfunktionen & Kontrollfunktionen

• Risikomanagementfunktion: Rahmenwerk, Methoden, Limits, Aggregation, Reporting.
• Compliance-Funktion: Rechtsmonitoring, Compliance-Risikoanalyse, Jahresplan, Beratung, Prüfberichte.
• Interne Revision: Unabhängig, risikobasierter Prüfplan, Follow-ups, Berichterstattung an Vorstand/Aufsichtsrat.
• Aktuarielle Funktion: Beitrag zur Berechnung der versicherungstechnischen Rückstellungen, Validierung, Underwriting-Policy, Rückversicherungspolitik.

Risikomanagementsystem

• Risikopolitik und Risk Appetite Statement (RAS) mit Risikogrenzen und Toleranzen.
• Risikotaxonomie (Versicherungstechnik, Markt, Kredit, Liquidität, Operationell inkl. ICT, Compliance, Reputationsrisiko).
• Identifikation/Bewertung (qualitativ/quantitativ), Stresstests, Szenarioanalysen.
• ORSA (Eigenes Risiko- und Solvabilitätsbeurteilungsverfahren) mit Board-Einbindung.

Internes Kontrollsystem (IKS)

• Risikobasierte Kontrollen entlang der Three-Lines-of-Defense.
• Schlüsselnachweise: Kontrollkatalog, Testpläne, Evidenzen, Maßnahmenverfolgung.
• IT-/ICT-Kontrollen in Einklang mit VAIT (Versicherungsaufsichtliche Anforderungen an die IT).

Auslagerungsmanagement

• Auslagerungsregister (wesentlich/nicht wesentlich; kritische Funktionen).
• Due Diligence und Risikobewertung vor Beauftragung.
• Vertragsklauseln: Audit-/Zugangsrechte, Sub-Outsourcing, Informationssicherheit, Meldepflichten, Exit/Portabilität, Datenlokation.
• Laufendes Monitoring: KPIs, Reports, Audits, Trigger für Eskalationen.

Berichtspflichten & Überwachung

• Regelmäßige, strukturierte Berichte an Vorstand und Aufsichtsrat (z. B. quartalsweise).
• Ad-hoc-Reports bei wesentlichen Abweichungen/Vorfällen.
• Jährliche Wirksamkeitsbeurteilung des Governance-Systems.

MaGO im Ökosystem: Schnittstellen zu MaRisk VA, VAIT, EIOPA-Leitlinien, DORA

• MaRisk VA (Risikomanagement bei Versicherern) konkretisiert das „Wie“ des Risikomanagements (inkl. ORSA). MaGO ist der Rahmen, MaRisk VA das Werkzeugset.
• VAIT präzisiert Anforderungen an IT-Governance, Informationssicherheit (ISMS), Änderungs- und Berechtigungsmanagement, Outsourcing von IT, Notfallmanagement. MaGO verweist faktisch darauf: Ohne VAIT-konforme IT-Organisation ist MaGO lückenhaft.
• EIOPA-Leitlinien (z. B. Governance, Outsourcing an Cloud-Dienstleister, POG – Product Oversight & Governance) schärfen europäische Erwartungen.
• DORA (für Finanzunternehmen; Versicherer gehören dazu) bringt einheitliche ICT-Resilienzanforderungen, harmonisierte Incident-Meldungen, TLPT-Tests (threat-led), Aufsicht über kritische Drittanbieter. Für viele Versicherer gilt: DORA + VAIT + MaGO bilden gemeinsam den Prüfungsmaßstab.

Typische Stolpersteine – und wie man sie elegant ausräumt

1. Unklare Rollen & Verantwortlichkeiten
   Lösung: RACI-Matrix für Governance-Prozesse (Risikomanagement, Auslagerung, Incident, BCM). Funktionsbeschreibungen der Schlüsselfunktionen mit Unabhängigkeit und Reporting-Linien.
2. Unzureichende Dokumentation
   Lösung: Policy-Set (Security, Risk, Compliance, Outsourcing, BCM, Data Governance), Standardarbeitsanweisungen, Prozesslandkarten, Vorlagen (Reports, Protokolle), Versionierung.
3. Mangelnde Unabhängigkeit
   Lösung: Organisatorische Trennung (Linie vs. Funktion), Bericht an Vorstand/Aufsichtsrat, Konfliktregelung, Vertretungsregeln, kein „Doppelhut“ in kritischen Bereichen.
4. Schwaches Auslagerungsmanagement
   Lösung: Register, Risikomethodik, Klausel-Playbook, Onboarding-Prüfungen, laufendes Monitoring, Exit-Szenarien getestet (Datenrückführung, Substitution).
5. Fehlende Kontinuität
   Lösung: Jährliche Reviews, KPI/KRI-Datenhaushalt, Interne Audits, Management-Zielvereinbarungen mit Governance-KPIs.
6. ICT-Risiken „im Blindflug“
   Lösung: ISMS nach VAIT, Schwachstellen-/Patch-Prozess mit SLAs, MFA/PAM, Logging/SIEM, EDR, Zero-Trust-Prinzipien, Backups/Restore-Tests, Notfallübungen.

Best Practices: So wird MaGO zum integrierten Governance-Framework

1) Proportional – aber vollständig

Skalieren Sie Tiefe und Frequenz nach Größe/Komplexität, aber vermeiden Sie Blankspots: Jede MaGO-Domäne braucht einen benannten Owner, Dokumente, Kontrollen und Nachweise.

2) Ein integriertes Policy-Set

• Governance-Policy (Rollen, Gremien, Berichte)
• Risk- & ORSA-Policy (RAS, Methodik, Stresstests, Aggregation)
• Compliance-Policy (Monitoring, Beratung, Jahresplan, Verstoßmanagement)
• Interne-Revision-Charter (Unabhängigkeit, Prüfplan, Follow-up)
• IKS-Standard (Kontrollkatalog, Testregeln, Evidenzen)
• Outsourcing-Policy (Klassifizierung, Due Diligence, Vertragsklauseln, Monitoring, Exit)
• ISMS/VAIT-Policy (IS-Ziele, Rollen wie CISO, AIP, Change/Berechtigungen, Notfall)
• BCM/Notfall-Policy (BIA, RTO/RPO, Übungen, Lessons Learned)
• POG-Richtlinie (Produktsteuerung, Zielmärkte, Reviews)

3) ORSA als Taktgeber

Nutzen Sie ORSA als jährlichen Governance-„Herzschlag“: Planungs-Kickoff, Szenarien, Board-Workshops, Berichte, Maßnahmenplan. Verknüpfen Sie ORSA-Ergebnisse mit RAS-Anpassungen, Kapitalplanung und Underwriting/Rückversicherung.

4) Outsourcing end-to-end

Früh einbinden: Fachbereich + Einkauf + Recht + Security + Risikomanagement. Standardisierte Bewertungsbögen, Klausel-Bibliothek, Onboarding-Checklist, Service-KPIs, jährliche Assurance (z. B. ISO/SOC-Berichte), Trigger für Audits.

5) Metriken, die das Board versteht

• Risikoseitig: Top-Risiken, RAS-Ampel, Stresstest-Impact, Trend.
• Kontrollseitig: Patch-SLA-Erfüllung, kritische Schwachstellen (Aging), MFA-Abdeckung, Restore-Erfolg, IKS-Testquote.
• Incidents: MTTD/MTTR, Trends, Root-Causes, Lessons Learned.
• Auslagerung: Vendor-Scores, SLA-Breaches, Audit-Findings, Remediation-Status.

6) Schulung & Kultur

Rollenspezifische Trainings (Vorstand, Führung, Linie, IT, Schlüsselfunktionen), Phishing-Simulationen, Tabletop-Übungen. Speak-up-Kultur: Whistleblowing-Kanal, Schutzregeln, Fehler als Lernimpuls.

Prüfungsfest: Ihre „Audit-Readiness-Box“

• Organigramme, RACI-Matrix, Gremienkalender, Protokolle.
• Policy-Set (freigegeben, versionsgeführt) + Prozessdokumente.
• Risikoregister, RAS, Stresstest-Berichte, ORSA-Dokumente.
• IKS-Katalog, Testpläne, Evidenzen, Maßnahmen-Tracker.
• Berichte der Schlüsselfunktionen (Quartals-/Jahresberichte).
• Vendor-Register, Due-Diligence-Akten, Verträge (mit Pflichtklauseln), Monitoring-Reports, Auditnachweise.
• ISMS-Nachweise (Rollen, Richtlinien, VAIT-Controls, Pentests, Schwachstellenmanagement, Notfallübungen).
• BCM-Unterlagen (BIA, Notfallpläne, Wiederanlauf-Tests, Ergebnisberichte).
• Board-Unterlagen (Risikoberichte, Compliance-Updates, Revisionsberichte, Beschlüsse).

Alles auffindbar, konsistent, aktuell – und mit rotem Faden vom Risiko über die Maßnahme zum Nachweis.

Roadmap: In 6–9 Monaten zur belastbaren MaGO-Compliance

Monat 1–2 – Scoping & Gap
Scoping (Konzern/Einheit), Stakeholder, Gap-Analyse gegen MaGO/VAIT/MaRisk VA, Quick-Wins.

Monat 3–4 – Governance & Policies
Policy-Refresh, RACI, Gremienkalender, Reporting-Vorlagen, Outsourcing-Playbook.

Monat 5–6 – Controls & Evidenzen
IKS-Katalog, Testplan, Datenhaushalt für KPIs/KRIs, ISMS-Schwerpunkte (Patch, Access, Logging, Backup), Schulungen.

Monat 7–8 – ORSA & Übungen
ORSA-Zyklus, Board-Workshops, Tabletop-Übungen (Incident, BCM, Auslagerungsausfall), Lessons Learned in Policies rückführen.

Monat 9 – Mock-Audit & Feinschliff
Interne Revision/externes Pre-Assessment, Findings schließen, Management-Bestätigung, Plan zur kontinuierlichen Verbesserung.

Praxisbeispiel: Vom Nebenprojekt zum Audit-Erfolg

Ein mittelgroßer Kompositversicherer behandelte MaGO zunächst als Compliance-Nebenstrang. Als eine BaFin-Prüfung angekündigt wurde, zeigte sich: Prozesse liefen, aber Dokumentation, Auslagerungsverträge und IKS-Nachweise waren unvollständig. In sechs Monaten wurden Rollen geschärft, ein Outsourcing-Register samt Klausel-Playbook aufgebaut, IKS-Kontrollen definiert und getestet, Risikoberichte auf Vorstandsniveau gebracht und der ORSA-Prozess als Jahreszyklus verankert. Ergebnis: keine wesentlichen Feststellungen, klare Nachweiskette – und die Maßnahmen wurden in den Linienbetrieb überführt.

MaGO & Cloud: Besonderheiten, die häufig übersehen werden

• Datentransparenz: Wo liegen Daten? Welche Sub-Dienstleister? Welche Regionen?
• Zugangs- & Auditrechte: Praktisch durchführbar? Remote-Audit vereinbart? Regulatorischer Zugang gesichert?
• Sicherheitsbaseline: Verschlüsselung (at rest/in transit), Schlüsselmanagement (KMS/HSM), MFA/PAM, Logging/SIEM inkl. Export und Retention.
• Betriebsunterbrechung: Region-Ausfall-Szenarien, Multi-AZ/Region, Wiederanlauf-Pläne, Exit-Strategie (Portabilität, Datenrückholung, Formate).
• Meldewege: Incident-Benachrichtigung durch Anbieter, Fristen, Inhalte – auf MaGO/VAIT/DORA abgestimmt.

ORSA richtig nutzen: Governance statt Pflichtübung

• Board-Einbindung von Beginn an (Scoping, Materialität, Szenarien).
• Verzahnung mit Risk Appetite und Geschäftsplanung.
• „Was-wäre-wenn“-Szenarien (Naturkatastrophen, Marktstress, Auslagerungsausfall, Cyber-Großereignis).
• Übersetzung in Maßnahmen (Kapital, Rückversicherung, Underwriting, Operations).
• Dokumentation: Entscheidungsgrundlagen, Alternativen, Beschlüsse – prüfungssicher.

Kennzahlen & Indikatoren: Was wirklich trägt

Risikomanagement: Top-Risiken, RAS-Ampeln, Stresstest-Impact, ORSA-Outcomes.
IKS/IT: Kritische Schwachstellen > x Tage, Patch-SLA-Quote, MFA-Abdeckung, Restore-Erfolgsrate/-zeit, Change-Fehlerrate.
Incidents: MTTD/MTTR, Wiederholer, Root-Cause-Pattern, „near misses“.
Auslagerung: SLA-Breaches, Prüfpfad (Assurance-Berichte), Auditergebnisse, Remediation-Tempo.
Kultur: Schulungsquote, Phishing-Ergebnisse, Speak-up-Fälle (anonymisiert), Maßnahmenumsetzung.

Wichtig: Nicht 50 KPIs, sondern 15 gute, die Trends zeigen und Handlungen auslösen.

Häufige Mythen – kurz entzaubert

• „MaGO ist nur Papier.“ Nein. Die BaFin prüft Wirksamkeit, nicht nur Existenz. Evidenzen zählen.
• „Proportionalität = weniger Arbeit.“ Proportionalität heißt angemessen, nicht verzichtbar. Kernbausteine bleiben Pflicht.
• „Schlüsselfunktionen kann die Linie nebenbei machen.“ Nur wenn Unabhängigkeit und Kompetenz gewahrt sind – in der Praxis selten.
• „Cloud nimmt mir Verantwortung ab.“ Auslagerung delegiert Aufgaben, nicht Verantwortung.
• „Wir bestehen schon irgendwie.“ Möglich – aber teuer, wenn spät und hektisch nachgebessert wird.

Quick-Check: 20 Fragen für Ihren MaGO-Selbsttest

1. Gibt es eine aktuelle Governance-Policy mit Rollen/Gremien/Reporting?
2. Sind Schlüsselfunktionen benannt, unabhängig und mit Mandaten versehen?
3. Existiert ein Risk Appetite Statement mit operationalisierten Limits?
4. Haben Sie eine Risikotaxonomie mit klaren Methoden und Aggregation?
5. Ist ORSA als integrierter Jahresprozess mit Board-Einbindung verankert?
6. Liegt ein IKS-Katalog mit risikobasierten Tests und Evidenzen vor?
7. Werden Kontroll-Schwachstellen systematisch verfolgt (Owner, Frist, Status)?
8. Besitzt die Interne Revision Unabhängigkeit, Prüfplan, Follow-up-Mechanik?
9. Hat die Compliance-Funktion eine jährliche Risikoanalyse und einen Plan?
10. Gibt es ein Auslagerungsregister mit Klassifizierung und Monitoring?
11. Enthalten Verträge die Pflichtklauseln (Audit, Sub-Outsourcing, Exit)?
12. Ist ein ISMS nach VAIT umgesetzt (CISO-Rolle, Policies, Prozesse, Kontrollen)?
13. Werden Schwachstellen/Patches SLA-basiert gemanagt und berichtet?
14. Laufen Backups/Restore-Tests mit messbaren Zielwerten?
15. Ist BCM (BIA, RTO/RPO, Übungen) dokumentiert und geprüft?
16. Gibt es Incident-Playbooks inkl. Meldewege (MaGO/VAIT/DORA/DSGVO)?
17. Werden Board/Aufsichtsrat quartalsweise mit verständlichen KPIs informiert?
18. Findet jährlich ein Governance-Review mit Maßnahmenplan statt?
19. Sind Interessenkonflikte geregelt (Policy, Register, Schulung)?
20. Existiert eine Schulungssystematik (rollenspezifisch, dokumentiert)?

16–20 „Ja“: Sehr gut.
12–15 „Ja“: Solides Fundament, gezielt ausbauen.
< 12 „Ja“: Handlungsbedarf, Roadmap priorisieren.

Fazit: MaGO strategisch integrieren – und Mehrwert heben

MaGO mag weniger medienwirksam sein als DORA oder DSGVO, ihre Wirkung in der Praxis ist jedoch enorm. Sie verzahnt Vorstand, Schlüsselfunktionen, IT/Operations und Lieferkette zu einem verantwortbaren, dokumentierten und wirksamen Steuerungsrahmen. Wer MaGO nur am Rande beachtet, riskiert teure Ad-hoc-Korrekturen bei Prüfungen. Wer MaGO proaktiv integriert, profitiert gleich mehrfach: klarere Zuständigkeiten, bessere Steuerungsfähigkeit, weniger Überraschungen im Betrieb – und eine stärkere Position gegenüber der Aufsicht.

Der Weg ist nicht mystisch: ein konsistentes Policy-Set, klare Rollen, ein belastbarer IKS- und ORSA-Prozess, reife Auslagerungssteuerung, VAIT-konformes ISMS, messbare KPIs und geübte Krisenabläufe. Setzen Sie das architektonisch auf – dann wird aus MaGO kein bürokratisches Pflichtprogramm, sondern ein Wirkungsrahmen, der den Unternehmenswert schützt und die Organisation spürbar robuster macht. Genau dafür ist MaGO gedacht – und genau deshalb gehört sie vom Schatten in den Mittelpunkt Ihrer Governance-Agenda.