Im Rahmen unserer Geschäftstätigkeit verarbeiten und speichern wir personenbezogene Daten. Die Daten werden primär im Rahmen des Underwritings, im Kunden- und Vertragsservice sowie im Schaden- und Leistungsmanagement benötigt. Des Weiteren werden personenbezogene Daten u. a. im Zusammenhang mit dem Personalmanagement und der Administration der Aktionäre erhoben, verarbeitet und gespeichert. Personenbezogene Daten verarbeiten wir auch, um berechtigte Interessen von uns oder Dritten zu wahren. Dies kann insbesondere erforderlich sein, um die IT-Sicherheit und den IT-Betrieb zu gewährleisten und um behördlichen Anforderungen zu entsprechen.
Der Hannover Rück-Konzern muss die gesetzlichen Datenschutzrechte der Betroffenen wahren und hat hierfür entsprechende Verfahren und Methoden implementiert. Es gilt der Grundsatz, dass personenbezogene Daten nur von Konzernmitarbeitern erhoben, verarbeitet und gespeichert werden dürfen, soweit dies für einen genau definierten Zweck zur rechtlichen Aufgabenerfüllung erforderlich ist bzw. eine entsprechende Rechtsgrundlage vorliegt. Wir bedienen uns zur Erfüllung unserer vertraglichen und gesetzlichen Pflichten zum Teil externer Dienstleister. Diese externen Empfänger sind als Teil der Verarbeitungsprozesse zu sehen, wie es bei Maklern, Gutachtern, Geschäftspartnern usw. der Fall ist. Alle externen Empfänger sind vertraglich zur Einhaltung der gesetzlichen Datenschutzanforderungen verpflichtet und werden dahingehend geprüft.
Die Datenschutz-Grundverordnung, die am 25. Mai 2018 in Kraft trat, ist ein wichtiger Schritt zu einem harmonisierten Europäischen Binnenmarkt und schafft ein europaweit einheitliches Datenschutzniveau. Sie betrifft nicht unmittelbar alle Gesellschaften der Hannover Rück, wenn deren Sitz außerhalb der EU bzw. EWR liegt. Bei diesen Gesellschaften sind im Wesentlichen die jeweiligen nationalen Rechtsgrundlagen maßgeblich, wobei definierte Datenschutzmindeststandards der Hannover Rück-Gruppe berücksichtigt werden. Die DSGVO ist zusätzlich zu beachten, wenn von diesen Gesellschaften Personen in der EU entweder Waren oder Dienstleistungen angeboten werden. Zur Umsetzung der datenschutzrechtlichen Anforderungen werden die vorhandenen Strukturen der etablierten Compliance-Organisation genutzt. Unabhängig vom räumlichen Anwendungsbereich der DSGVO sind die benannten Compliance Officer bzw. Ansprechpartner verantwortlich für die lokalen Anforderungen des Datenschutzes. Sie entwickeln im Bedarfsfall weitere lokale Richtlinien zum Datenschutz und übernehmen die Schnittstelle zum Datenschutzbeauftragten der Hannover Rück in Deutschland.
Der Datenschutzbeauftragte koordiniert übergreifende Aspekte des eingerichteten Datenschutzmanagementsystems innerhalb der Hannover Rück-Gruppe. Er berät bei der Lösung von konkreten datenschutzrechtlichen Fragestellungen und überwacht die Einhaltung der EU-Datenschutz-Grundverordnung und anderer Datenschutzvorschriften. Die Überwachung der datenschutzrechtlichen Vorgaben erfolgt dabei in enger Abstimmung mit Group Auditing. Die Ergebnisse der gesonderten Datenschutz-Berichterstattung fließen in den jährlichen Compliance-Bericht ein. Im Berichtszeitraum gab es keine Beschwerden über die Verletzung des Schutzes von personenbezogenen Daten oder deren Verlust. Eine Notwendigkeit, der Datenschutz-Informationspflicht bei Datenpannen nach Artikel 33 und 34 der DSGVO nachzukommen, bestand somit nicht.
Zur operativen Sicherstellung der datenschutzrechtlichen Schutzanforderungen sowie zur Wahrung der Sicherheit aller sonstigen sensitiven Informationen im Unternehmen ist ein Informationssicherheitsmanagementsystem gruppenweit etabliert, welches sich an der ISO 27001 orientiert. Organisatorisch wird das Informationssicherheitsmanagement zentral durch die Group Information Security Function koordiniert und bindet alle relevanten Funktionen mit ein, zum Beispiel die Gruppen-IT für Themen der IT-Sicherheit oder das Facilitiy Management hinsichtlich der Gebäudesicherheit. Darüber hinaus werden unsere Mitarbeiter als Verarbeiter von Informationen für solche Sicherheitsrisiken durch praxisorientierte Hilfestellungen, Schulungsangebote und Mitarbeiterinformationen sensibilisiert. Risiken aus den Themenbereichen Datenschutz sowie Informationssicherheit sind als operationelle Risiken im Risikomanagement integriert und werden hier überwacht.
Angesichts des breiten Spektrums dieser Risiken existieren vielfältige technische und organisatorische Steuerungs- und Überwachungsmaßnahmen wie bspw. abzuschließende Vertraulichkeitsvereinbarungen mit Dienstleistern.
Neben einer jährlichen, extern begleiteten Selbsteinschätzung zum Reifegrad des Managementsystems beteiligen wir uns an verschiedenen Industriekooperationen und stehen im regelmäßigen Austausch zum Beispiel mit dem Bundesverband der IT-Anwender e. V. im Rahmen des Cyber Security Competence Center.