Datenschutz und
Informationssicherheit

Die zunehmende Digitalisierung bringt datenschutzrechtliche Herausforderungen mit sich, etwa die Einhaltung der Datenschutzgesetze in verschiedenen Ländern. Wir verpflichten uns, die Privatsphäre unserer Kunden und Stakeholder zu schützen. Die EU-Datenschutz-Grundverordnung (DSGVO), die am 25. Mai 2018 in Kraft getreten ist, hat die Aufmerksamkeit dafür erhöht, wie Unternehmen die Anforderungen des Datenschutzes erfüllen. Unternehmen, bei denen Mängel festgestellt werden, werden mit Geldstrafen in nicht unerheblicher Höhe belegt. Fehlerhafte Datenschutzpraktiken können in die Rechte und Freiheiten von Kunden und Mitarbeitenden eingreifen. Der Allianz-Privacy- Standard (APS) ist unser globaler Standard für den Datenschutz. Im Jahr 2018 eingeführt, definiert er Regeln und Prinzipien, wie wir personenbezogene Daten erheben und verarbeiten. Der Standard legt folgende Datenschutzprinzipien fest, die alle Mitarbeitenden, egal wo auf der Welt, beachten müssen:

•  Rechtmäßigkeit, Fairness und Transparenz
• Zweckbindung
• Datenminimierung
• Genauigkeit
• Speicherbeschränkung
• Integrität und Vertraulichkeit
• Rechenschaftspflicht

Wir veröffentlichen einen Datenschutzhinweis, in dem wir Mitarbeitende und Kunden informieren, wo personenbezogene Daten gespeichert und verwendet werden. Diese Vorgehensweise erkennt unsere Datenschutzbehörde als unsere verbindlichen Unternehmensregeln (Binding Corporate Rules, BCR) an. Diese BCR erlauben es Unternehmen der Allianz Gruppe, personenbezogene Daten innerhalb des europäischen Wirtschaftsraumes in andere Länder rechtmäßig zu übermitteln, wenn dies für Geschäftszwecke erforderlich ist. Unser gruppenweites Datenschutzprogramm wird kontinuierlich weiterentwickelt: Wir verpflichten uns, unsere Dienstleistungen mithilfe unserer „Digital by Default“-Dienste voranzutreiben. Das Programm umfasst robuste Datenschutzkontrollen wie Datenschutzfolgenabschätzungen oder datenethische und Überwachungsaktivitäten durch eine datenschutzorientierte Kultur. Das Programm baut auf dem Allianz Privacy Framework auf, das diese Teilbereiche umfasst:

•  Allianz-Privacy-Standard (APS)
• Datenschutzfolgenabschätzung und Risikomanagementprozess
• enge Zusammenarbeit mit den Kernfunktionen der Informationssicherheit
• Aktivitäten zur Überwachung des Datenschutzes und der Datensicherheit
• Schulungen für Mitarbeitende, wie sie personenbezogene Daten von Kunden, Mitarbeitenden und Drittparteien angemessen verarbeiten

Wir betrachten die Identifizierung und das Management von Datenschutzrisiken auf operativer Ebene. So stellen wir sicher, dass die Überwachung und Anpassung in unseren Kerngeschäftsbereichen funktioniert. Wir haben Datenschutzfolgenabschätzungen (Privacy Impact Assessments, PIAs) für Prozesse mit hohem Risiko die personenbezogenen Daten betreffend installiert. 2022 haben wir die Vorlagen für PIA-Vorgänge geändert und modernisiert. Mit dem neu eingeführten RoPa-Tool (Record of Processing Activities) haben wir einen neuen Prozessablauf entwickelt. Dieser stellt auch in Zukunft sicher, dass alle rechtlichen Vorgaben eingehalten werden. Unsere Privacy Champions in den einzelnen Divisions definieren Prozesse, die über das RoPA-Tool dokumentiert und gesteuert werden. Im RoPATool werden Parameter wie rechtliche Grundlagen, Zweck, Löschkonzept, Verwendung und der Speicherort abgefragt, eingeordnet und abgelegt. Die Prozesse im RoPa-Tool aktualisieren wir jährlich und haben dadurch neue Erfordernisse stets im Blick.

Das Thema Datenethik ist Teil des Allianz-Privacy- Standards, den wir jährlich aktualisieren. Darüber hinaus haben wir Datenethikfragen in unsere PIA Templates und damit in unserer Organisation verankert.

Wir arbeiten mit unseren Mitarbeitenden zusammen, um sicherzustellen, dass sie die Anforderungen an den Umgang mit vertraulichen Informationen und persönlichen Daten verstehen. 2022 haben wir die jährliche DSGVO-Schulung durchgeführt, die für alle Mitarbeitenden seit 2018 verpflichtend ist. Wir führen auch Auffrischungsschulungen zum Datenschutz für alle Mitarbeitenden, die mit der Verarbeitung personenbezogener Daten befasst sind, durch. Neue Mitarbeitende bereiten wir mit der DSGVO-Schulung auf das Thema vor. Mit diesen Schulungen erreichen unsere Mitarbeitenden in der gesamten Organisation einen angemessenen Kenntnisstand über die Grundsätze der Vertraulichkeit und des Datenschutzes. Auch 2022 haben wir monatliche Gespräche zwischen unserem Datenschutzbeauftragten und der Gruppe durchgeführt, um aktuelle Themen zu diskutieren.

Die Einhaltung der DSGVO-Standards werden wir auch in Zukunft sicherstellen. Wir aktualisieren kontinuierlich den Allianz-Privacy- Standard sowie die funktionalen Regeln und Datenschutzrichtlinien, um regulatorische Änderungen und Gerichtsentscheidungen zu berücksichtigen. Darüber hinaus möchten wir ein intensiveres Engagement für Datenschutzthemen in der gesamten Gruppe fördern, unter anderem durch Datenschutzschulungen über die Grenzen Deutschlands hinweg.