Compliance

Der Begriff „Compliance“ lässt sich als die Gesamtheit aller inhaltlichen und organisatorischen Vorkehrungen definieren, um das rechtmäßige Verhalten der Hannover Rück­-Gesellschaften, ihrer Organmitglieder und Mitarbeiter im Hinblick auf alle rechtlichen und ethischen Vorgaben sowie auf die unternehmensinternen Richtlinien in den wesentlichen Unternehmensbereichen und Betriebsabläufen zu gewährleisten.

Ein funktionierendes Compliance-Management ist für uns wesentlich, da rechtlich korrektes, verantwortungsbewusstes und ethisches Handeln Grundvoraussetzung für das Vertrauen in unser Unternehmen und seine Wettbewerbsfähigkeit sowie den Erhalt und die Nichtaberkennung von Lizenzen zur Ausübung unserer Geschäftstätigkeit ist. Wir erachten die Einhaltung geltenden Rechts als selbstverständliche Voraussetzung für eine dauerhaft erfolgreiche Geschäftstätigkeit. Dies beinhaltet Gesetze und Vorschriften mit Bezug zur Umwelt gleichermaßen wie solche u. a. zu Anti­-Korruption, Geldwäscheprävention, Datenschutz und Steuer-­Compliance. Darüber hinaus stellt die Compliance-­Funktion eine der vier Schlüsselfunktionen des Governance­-Systems gemäß der Solvency II-­Richtlinie dar und ist ein wichtiger Teil des internen Kontrollsystems unter diesen für europäische Versicherungen und Rückversicherungen geltenden Regularien.

Das Corporate-Compliance-Organisationshandbuch enthält eine Zusammenstellung der wesentlichen Aktivitäten und definiert die Zuständigkeiten innerhalb unseres Unternehmens, die Schnittstellen sowie die Bestandteile der Compliance-Organisation. Unsere Compliance-Struktur wurde im Jahr 2015 zuletzt vor dem Hintergrund der Compliance-Anforderungen unter Solvency II angepasst. Der Fachbereich Compliance sowie der Chief Compliance Officer informieren Mitarbeiter über Gesetzesänderungen, sofern ihre Tätigkeit hiervon betroffen ist. Ein weltweites Netzwerk von Compliance-Verantwortlichen unterstützt den Chief Compliance Officer bei seinen Aufgaben und berichtet an ihn. Zur Vertiefung der Zusammenarbeit innerhalb des Compliance-Netzwerks auf europäischer Ebene organisieren wir jährlich ein European-Compliance-Officer-Treffen. Ergänzend dazu werden regelmäßig Telefonkonferenzen durchgeführt. Der Chief Compliance Officer wirkt durch die Zusammenarbeit mit anderen Abteilungen, unter anderem dem Group Auditing (Interne Revision), auf die Einhaltung von unternehmensinternen Richtlinien hin und informiert in einem jährlichen Compliance-Bericht den Vorstand über wesentliche Compliance-Themen und -Entwicklungen. Darüber hinaus besteht ein internetbasiertes Hinweisgebersystem (Whistleblower-System) für die Gesellschaften im Konzern. Mitarbeiter, Kunden und Dritte haben darüber die Möglichkeit, in der jeweiligen Landes oder in englischer Sprache anonym auf Compliance-Verstöße hinzuweisen. Relevante Hinweise und die daraufhin eingeleiteten Maßnahmen fließen in den jährlichen Compliance- Bericht ein. Über das konzernweit installierte Hinweisgebersystem ging im Berichtsjahr keine Meldung über mögliche Fehlverhalten ein. Darüber hinaus sind im Berichtszeitraum keine Klagen aufgrund wettbewerbswidrigen Verhaltens, Kartell- oder Monopolbildungen gegen unser Unternehmen erhoben worden. Auch mussten wir im Berichtszeitraum keine wesentlichen Bußgelder aufgrund von Verstößen gegen Rechtsvorschriften zahlen. Es sind auch keine nichtmonetären Strafen gegen unser Unternehmen verhängt worden.

Unsere Geschäftsgrundsätze werden von unseren Mitarbeitern als Bestandteil des Arbeitsvertrages akzeptiert und sind dementsprechend bindend. Sie umfassen u. a. spezifische Verhaltensregeln in Form von Anweisungen zur Vermeidung und Offenlegung von Interessenkonflikten, zur Gewährung und Annahme von Vorteilen, Geschenken und Einladungen, zur Ausgestaltung von Spenden und Sponsoring sowie zu Nebentätigkeiten und Beteiligungen an anderen Gesellschaften und Geschäften. Bei allen Verdachtsfällen ist der Compliance Officer zu informieren. Alle Mitarbeiter durchlaufen generell eine Compliance-Schulung bei Eintritt in den Konzern. Im Berichtsjahr wurden vier Schulungen für insgesamt 107 Mitarbeiter durchgeführt. Um uns auf dem neuesten Stand in Compliance-Themen wie Anti-Korruption zu halten, nutzen wir klassische Kommunikationskanäle wie Intranetportale und Online-Newsletter. Wichtige unternehmensweit relevante Informationen werden für Mitarbeiter im Intranet zur Verfügung gestellt.

Als börsennotiertes Unternehmen weisen wir unsere Mitarbeiter zudem auf die Beachtung der Insiderregeln hin und zeigen Nichthandelszeiträume, sogenannte Blocking Periods, auf.

Im Rahmen unserer Geschäftstätigkeit ist die Gefahr von Menschenrechtsverletzungen generell gering. Einen besonderen Fokus haben wir dennoch auf die Wahrung von Menschenrechten innerhalb der Lieferkette gelegt. Für weitere Informationen dazu wird auf den Abschnitt „Lieferantenmanagement“ verwiesen.

Mithilfe unserer konzernweit gültigen Steuerrichtlinie, eines in der Entwicklung befindlichen „Tax-Compliance-Systems“ und der damit einhergehenden Überprüfung aller relevanten Aufgabenbereiche, Prozesse und Verantwortlichkeiten wollen wir zukünftig sicherstellen, dass wir trotz steigender Komplexität auch künftig Steueransprüche aus unserer internationalen Geschäftstätigkeit entsprechend den jeweiligen nationalen gesetzlichen Regelungen erfüllen werden.

Datenschutz und -sicherheit

Im Rahmen unserer Geschäftstätigkeit verarbeiten und speichern wir personenbezogene Daten. Die Daten werden primär im Rahmen des Underwritings, im Kunden- und Vertragsservice sowie im Schaden- und Leistungsmanagement benötigt. Des Weiteren werden personenbezogene Daten u. a. im Zusammenhang mit dem Personalmanagement und der Administration der Aktionäre erhoben, verarbeitet und gespeichert. Personenbezogene Daten verarbeiten wir auch, um berechtigte Interessen von uns oder Dritten zu wahren. Dies kann insbesondere erforderlich sein, um die IT-Sicherheit und den IT-Betrieb zu gewährleisten und um behördlichen Anforderungen zu entsprechen. Der Hannover Rück-Konzern muss die gesetzlichen Datenschutzrechte der Betroffenen wahren und hat hierfür entsprechende Verfahren und Methoden implementiert. Es gilt der Grundsatz, dass personenbezogene Daten nur von Konzernmitarbeitern erhoben, verarbeitet und gespeichert werden dürfen, soweit dies für einen genau definierten Zweck zur rechtlichen Aufgabenerfüllung erforderlich ist bzw. eine entsprechende Rechtsgrundlage vorliegt. Wir bedienen uns zur Erfüllung unserer vertraglichen und gesetzlichen Pflichten zum Teil externer Dienstleister. Diese externen Empfänger sind als Teil der Verarbeitungsprozesse zu sehen, wie es bei Maklern, Gutachtern, Geschäftspartnern usw. der Fall ist. Alle externen Empfänger sind vertraglich zur Einhaltung der gesetzlichen Datenschutzanforderungen verpflichtet und werden dahingehend geprüft. Die EU-Datenschutz-Grundverordnung betrifft nicht unmittelbar alle Gesellschaften der Hannover Rück, wenn deren Sitz außerhalb der EU bzw. des EWR liegt. Bei diesen Gesellschaften sind im Wesentlichen die jeweiligen nationalen Rechtsgrundlagen maßgeblich. Zur Umsetzung der datenschutzrechtlichen Mindeststandards werden die vorhandenen Strukturen der etablierten Compliance-Organisation genutzt. Unabhängig vom räumlichen Anwendungsbereich der EU-Datenschutz-Grundverordnung sind die benannten Compliance Officer bzw. Ansprechpartner verantwortlich für die jeweiligen Anforderungen des Datenschutzes. Sie entwickeln im Bedarfsfall weitere lokale Richtlinien zum Datenschutz und übernehmen die Schnittstelle zum Datenschutzbeauftragten der Hannover Rück in Deutschland. Der Datenschutzbeauftragte koordiniert übergreifendende Aspekte des eingerichteten Datenschutzmanagementsystems innerhalb der Hannover Rück-Gruppe. Er berät bei der Lösung von konkreten datenschutzrechtlichen Fragestellungen und überwacht die Einhaltung der EU-Datenschutz-Grundverordnung und anderer Datenschutzvorschriften. Die Überwachung der datenschutzrechtlichen Vorgaben erfolgt dabei in enger Abstimmung mit Group Auditing. Die Ergebnisse der gesonderten Datenschutz-Berichterstattung fließen in den Compliance-Bericht ein. Im Berichtszeitraum gab es keine Beschwerden über die Verletzung des Schutzes von personenbezogenen Daten oder deren Verlust. Eine Notwendigkeit, der Datenschutz-Informationspflicht bei Datenpannen nach Artikel 33 und 34 der DSGVO nachzukommen, bestand somit nicht.

Zur operativen Sicherstellung der datenschutzrechtlichen Schutzanforderungen sowie zur Wahrung der Sicherheit aller sonstigen sensitiven Informationen im Unternehmen ist ein Informationssicherheitsmanagementsystem gruppenweit etabliert, welches sich an der ISO 27001 orientiert. Organisatorisch wird das Informationssicherheitsmanagement zentral durch die Group Information Security Function koordiniert und bindet weitere relevante Funktionen mit ein, zum Beispiel die Gruppen-IT für Themen der IT-Sicherheit oder das Facility Management hinsichtlich der Gebäudesicherheit. Darüber hinaus werden unsere Mitarbeiter für solche Sicherheitsrisiken durch praxisorientierte Hilfestellungen, durch Schulungsangebote und Mitarbeiterinformationen sensibilisiert.

Risiken aus den Themenbereichen Datenschutz sowie Informationssicherheit sind als operationale Risiken im Risikomanagement integriert und werden hier überwacht.

Neben einer jährlichen Selbsteinschätzung beteiligen wir uns an verschiedenen Industriekooperationen und stehen im regelmäßigen Austausch zum Beispiel mit dem Bundesverband der IT-Anwender e.V. im Rahmen des Cyber Security Competence Center.

Einhaltung von Sanktionsbestimmungen

Aufgrund unserer internationalen Ausrichtung spielt die Einhaltung der geltenden Sanktionsbestimmungen für uns eine zentrale Rolle. In unseren Geschäftsgrundsätzen und Underwriting Guidelines haben wir die Einhaltung der auf uns anwendbaren Sanktionsbestimmungen festgeschrieben. Weiterhin existiert eine Sanctions Screening Guideline, in der festgelegt ist, wann die Mitarbeiter bei Vertragsanbahnung und / oder Schadenzahlungen eine Sanktionsprüfung durchzuführen haben. Mithilfe einer softwaregestützten Prüfung wird laufend ermittelt, ob sich in unseren Datenbeständen Namen von Personen befinden, gegen die Sanktionen verhängt sind und mit denen wir somit keine Geschäfte tätigen dürfen. Die Rechtsabteilung prüft dazu arbeitstäglich das Amtsblatt der EU auf Änderungen in der Sanktionsgesetzgebung der EU und teilt relevante Änderungen unverzüglich konzernweit mit. Die Compliance-Schulung für neue Mitarbeiter umfasst auch eine Grundschulung im Sanktionsrecht. Neue Underwriter und Schadensachbearbeiter erhalten darüber hinaus eine zusätzliche Schulung zum Einsatz der Prüfsoftware und zu den Sachverhalten, in deren Kontext eine Sanktionsprüfung vorzunehmen ist. Darüber hinaus wurden im Berichtsjahr sämtliche Underwriting und Accounting Departments zum Thema Handelsembargos geschult.