Befolgung der Regeln des Datenschutzes und der Informationssicherheit

Für Munich Re (Gruppe) ist der Schutz der personenbezogenen Daten unserer Mitarbeiter und Kunden, der dienstlichen Information unserer Geschäfts- und Vertriebspartner sowie unserer eigenen Betriebsgeheimnisse von außerordentlicher Bedeutung, um als kompetenter und vertrauenswürdiger Geschäftspartner wahrgenommen zu werden.

Die konzernweit geltende Leitlinie zum Information Security und Business Continuity Management, die „ISM & BCM Policy“ von Munich Re (Gruppe) legt die Ziele, Mindestanforderungen, Zuständigkeiten, Prozesse und Berichtsverfahren für den Schutz der Informationen als auch die Sicherstellung der Geschäftskontinuität verbindlich fest.

Der Umfang der Informationen und Daten, die wir innerhalb der Gruppe verarbeiten und speichern, wächst kontinuierlich. Dabei handelt es sich um interne sowie um Daten von Kunden oder anderen Stakeholdern. Zudem muss Munich Re für Kunden, Investoren, Regulierungsbehörden und andere Adressaten korrekte und in sich konsistente Informationen bereitstellen. Um unsere Geschäftsziele zu erreichen, ist der Einsatz von Informationstechnologien, die auf dem aktuellsten Stand der Technik sind, unerlässlich. Das erfordert die Weiterentwicklung zukunftsweisender Plattformen, mit denen es möglich ist Daten sicher und flexibel zu verarbeiten und intern sowie mit Geschäftspartnern auszutauschen.

Die Lebenszyklen derartiger Plattformen werden immer kürzer. Gleichzeitig nehmen die verarbeiteten Datenmengen, die Anforderungen an die Informations- und Kommunikationstechnik sowie der Wert der genutzten Informationen erheblich zu. Darauf ist Munich Re vorbereitet, um sich erfolgreich in einem Marktumfeld zu behaupten, in dem der Wettbewerb immer härter und die Herausforderungen vielfältiger werden.

Zwischen den beiden Risikomanagement-Disziplinen Information Security Management und Business Continuity Management bestehen erhebliche Wechselbeziehungen. Diesem Umstand trägt die „ISM & BCM Policy“ Rechnung. Zudem hilft sie zu gewährleisten, dass in einem sich ständig verändernden Umfeld und in Krisenzeiten die vertragsgemäßen Pflichten gegenüber unseren Kunden sowie die Berichtsanforderungen in Bezug auf Informationssicherheit und Notfallplanung erfüllt werden.  

Die „ISM & BCM Policy“ folgt dem Grundsatz, die Zusammenarbeit und den kontinuierlichem Austausch zwischen den verschiedenen Geschäftsfeldern (Rückversicherung, Erstversicherung, Asset Management), Geschäfts- und Zentralbereichen, IT, Risikomanagement und Datenschutzbeauftragten zu fördern.

Dies steht im Einklang mit Artikel 258 der EU Commission’s Delegated Regulation (EU)  2015/35. Diese stellt an ein effektives Governance-System eines Versicherungs- oder Rückversicherungsunternehmens folgende Anforderungen:

• „Gewährleistung der Verfügbarkeit, Integrität und Vertraulichkeit von Informationen unter Berücksichtigung der Art der betreffenden Informationen;
• Schaffung, Umsetzung und Pflege eines Notfallplans, der bei einer Störung der Systeme und Verfahren sicherstellen soll, dass wesentliche Daten und Funktionen erhalten bleiben und Versicherungs- und Rückversicherungstätigkeiten fortgeführt werden oder – sollte dies nicht möglich sein – die entsprechenden Daten und Funktionen zeitnah wiederhergestellt und die Versicherungs- und Rückversicherungstätigkeiten bald wiederaufgenommen werden.“

Im Code of Conduct von Munich Re sind zudem wesentliche Informationen für die Mitarbeiter von Munich Re zusammengefasst:

Alle Mitarbeiter von Munich Re (Gruppe) sind hinsichtlich aller geschäftlicher Aktivitäten des Unternehmens zur Verschwiegenheit verpflichtet, bei denen davon auszugehen ist, dass die betreffenden Informationen nicht bereits öffentlich bekannt sind. Nur für den internen Gebrauch und vertraulich zu behandeln sind alle Informationen, die nicht explizit für die öffentliche Bekanntmachung vorgesehen und damit als solche klassifiziert sind.

Munich Re hat zum Schutz vertraulicher Informationen gruppenweit organisatorische Vorkehrungen getroffen und technische Sicherheitssysteme installiert. Zudem werden regelmäßig Schulungs- und Sensibilisierungsmaßnahmen durchgeführt. Dies trägt dazu bei, dass vertrauliche Informationen vor unberechtigter Kenntnisnahme, vor missbräuchlicher Verwendung inklusive deren Manipulation und vor Verlust angemessen geschützt sind. Ergänzende unternehmensspezifische Anforderungen und interne Regelungen sind zu beachten.