Compliance sowie Vertraulichkeit, Integrität und Verfügbarkeit von Informationen zu gewährleisten – das spielt bei uns eine herausragende Rolle. Die wichtigsten Regelungen dazu sind in unseren Geschäftsgrundsätzen sowie unseren Informationssicherheits- und Datenschutzrichtlinien für alle Mitarbeiter verbindlich geregelt.

Zur Umsetzung der datenschutzrechtlichen Anforderungen werden die vorhandenen Strukturen der etablierten Compliance-Organisation genutzt. Die Datenschutzgrundverordnung, die am 25. Mai 2018 in Kraft trat, ist ein wichtiger Schritt zu einem harmonisierten Europäischen Binnenmarkt und schafft damit ein europaweit einheitliches Datenschutzniveau. Sie betrifft nicht unmittelbar alle Gesellschaften der Hannover Rück, wenn deren Sitz außerhalb der EU bzw. EWR liegt. Bei diesen Gesellschaften sind die jeweiligen nationalen Rechtsgrundlagen maßgeblich. Die DSGVO ist jedoch zusätzlich zu beachten, wenn von diesen Gesellschaften betroffenen Personen in der EU entweder Waren oder Dienstleistungen angeboten werden. Unabhängig vom Anwendungsbereich der DSGVO sind die benannten Compliance Officer bzw. Ansprechpartner verantwortlich für die lokalen Anforderungen des Datenschutzes. Diese entwickeln im Bedarfsfall weitere lokale Richtlinien zum Datenschutz und übernehmen die Schnittstelle zum Datenschutzbeauftragten der Hannover Rück in Deutschland.

Unser Datenschutzbeauftragter übernimmt dabei alle Aufgaben, Verantwortlichkeiten und Rechte entsprechend der DSGVO und dem neuen deutschen Bundesdatenschutzgesetz (BDSG). Die Überwachung der datenschutzrechtlichen Vorgaben erfolgt dabei in enger Abstimmung mit Group Auditing. Die Ergebnisse der gesonderten Datenschutz-Berichterstattung fließen in den jährlichen Compliance-Bericht ein. Im Berichtszeitraum gab es keine Beschwerden über die Verletzung des Schutzes von personenbezogenen Daten oder deren Verlust. Eine Notwendigkeit, der Datenschutz-Informationspflicht bei Datenpannen nach Artikel 33 und 34 der DSGVO nachzukommen bestand somit nicht.

Zur operativen Sicherstellung der datenschutzrechtlichen Schutzanforderungen, den sogenannten technischen und organisatorischem Maßnahmen (TOMs), sowie zur Wahrung der Sicherheit aller sonstigen sensitiven Informationen im Unternehmen ist ein Informationssicherheitsmanagementsystem gruppenweit etabliert. Organisatorisch wird das Informationssicherheitsmanagement zentral durch die Group Information Security Function koordiniert und bindet alle relevanten Funktionen mit ein, zum Beispiel die Gruppen-IT für Themen der IT-Sicherheit, das Facilities Management hinsichtlich der Gebäudesicherheit oder jeden einzelnen Mitarbeiter als Verarbeiter von Informationen.

Risiken aus den Themenbereichen Datenschutz sowie Informationssicherheit sind als operationale Risiken im Risikomanagement integriert und werden hier überwacht.

Angesichts des breiten Spektrums dieser Risiken existieren vielfältige technische und organisatorische Steuerungs- als auch Überwachungsmaßnahmen wie bspw. abzuschließende Vertraulichkeitsvereinbarungen mit Dienstleistern. Darüber hinaus werden unsere Mitarbeiter für solche Sicherheitsrisiken durch praxisorientierte Hilfestellungen, durch Schulungsangebote und eine Mitarbeiterinformationskampagne sensibilisiert.

Unser Informationssicherheitsmanagementsystem orientiert sich an der ISO 27001. Zusätzlich führen wir eine jährliche Selbsteinschätzung auf NIST-Basis und in Begleitung eines externen Sicherheitsberaters durch. Wir beteiligen uns an verschiedenen Industriekooperationen und stehen im regelmäßigen Austausch zum Beispiel mit dem VOICE Bundesverband der IT-Anwender e.V. im Rahmen des Cyber Security Competence Center.