Die Finanzaufsicht BaFin hat eine Aufsichtsmitteilung zur Bildung von Schwankungsrückstellungen in der neuen Versicherungsart Cyber veröffentlicht. Hintergrund ist, dass Versicherer die Cyberversicherung Stand alone ab dem Berichtsjahr 2025 erstmals mit einer eigenen Gewinn- und Verlust-Rechnung ausweisen müssen.
Die Mitteilung richtet sich an Unternehmen, die Cybergeschäft als eigenständige Police zeichnen. Nicht erfasst sind Cyberbausteine, die nur als Zusatzdeckung in anderen Verträgen enthalten sind. Die Regelung gilt ab sofort und ist bis zum 31. Dezember 2030 befristet.
Mit der neuen Zuordnung als eigene Versicherungsart ändert sich auch die Grundlage für die Rückstellungsbildung. Künftig ist maßgeblich, ob die gesetzlichen Voraussetzungen nach der Rechnungslegungsverordnung erfüllt sind. Dazu zählen unter anderem Anforderungen an verdiente Beiträge, Standardabweichung sowie Schaden- und Kostenquote.
Schwankungsrückstellung für Cyber ab 2025
Für das Bilanzjahr 2025 besteht nach Einschätzung der BaFin noch keine Pflicht zur Bildung einer Schwankungsrückstellung für Cyber. Der Grund: Nach derzeitigem Stand verfügt kein Unternehmen über einen vollständigen Beobachtungszeitraum von zehn Jahren, wie ihn die Verordnung grundsätzlich verlangt.
Gleichzeitig eröffnet die Aufsicht einen vorgezogenen Weg. Versicherer können im Einzelfall eine Ausnahmegenehmigung beantragen, um schon ab 2025 eine eigene Schwankungsrückstellung für Cyber zu bilden. Eine pauschale Lösung für die gesamte Branche schließt die BaFin jedoch aus.
Voraussetzung für eine solche Genehmigung ist, dass die Unternehmen die nötigen Daten aus ihren eigenen Geschäftsunterlagen nachweisen können. Dabei lässt die BaFin ausnahmsweise einen verkürzten Beobachtungszeitraum von mindestens sieben Jahren zu. Branchenwerte der Aufsicht dürfen für diese vorzeitige Bildung allerdings nicht herangezogen werden.
Eigene Daten werden zum entscheidenden Faktor
Mit dem verkürzten Zeitraum will die BaFin nach eigener Darstellung eine statistische Mindestqualität der Berechnung sichern. Das Verfahren soll als Übergangslösung dienen, bis bei den Unternehmen oder über veröffentlichte Aufsichtsdaten ein vollständiger Zehnjahreszeitraum vorliegt.
Wird eine vorzeitige Schwankungsrückstellung für Cyber genehmigt, müssen die betroffenen Unternehmen die cyberspezifischen Daten über den gesamten Beobachtungszeitraum aus den bisherigen Sparten herauslösen, unter denen das Geschäft bislang erfasst wurde. So soll verhindert werden, dass dieselben Daten doppelt in Rückstellungen einfließen.
Ohne Genehmigung bleibt es dagegen bei der bisherigen Logik: Die Cyberdaten verbleiben in der Sparte, unter der sie bislang berichtet wurden. Eine Herausrechnung erfolgt dann nicht.
Pflicht könnte ab 2027 oder 2030 greifen
Eine gesetzliche Pflicht zur Bildung der Schwankungsrückstellung entsteht erst, wenn ein Versicherer zehn Jahre lang eigene Cyberdaten in entsprechend aufbereiteten Gewinn- und Verlust-Rechnungen vorweisen kann und auch die übrigen Kriterien erfüllt. Für Unternehmen, die bereits seit 2017 Cybergeschäft zeichnen und diese Daten vorhalten, könnte das ab 2027 relevant werden.
Wer erst nach 2020 in das Geschäft eingestiegen ist, kann die fehlenden Jahre vor dem eigenen Zeichnungsbeginn mit veröffentlichten BaFin-Daten auffüllen. Für diese Unternehmen könnte eine Pflicht ab 2030 entstehen, sofern die weiteren Voraussetzungen erfüllt sind.
Zugleich hat die BaFin Cyberdaten aus Branchenabfragen für die Jahre 2020 bis 2024 veröffentlicht: Im selbst abgeschlossenen Geschäft der Schaden- und Unfallversicherer lag die Netto-Schadenquote 2024 bei 50,4 Prozent nach 74,0 Prozent im Vorjahr. Die Brutto-Kostenquote erreichte 24,3 Prozent.
Im übernommenen Geschäft der Schaden- und Unfallversicherer weist die Aufsicht für 2024 eine Netto-Schadenquote von 70,9 Prozent und eine Brutto-Kostenquote von 35,1 Prozent aus.
Bei Rückversicherern im übernommenen Geschäft lagen die Werte 2024 bei 75,8 Prozent beziehungsweise 25,3 Prozent.
