Konzernbericht 2024

5. Verbraucher:innen und Endnutzer:innen (ESRS S4)

5.1 Wesentliche Auswirkungen, Risiken und Chancen und ihr Zusammenspiel mit Strategie und Geschäftsmodell (ESRS 2 SBM-3)

Die Erbringung von Versicherungsleistungen, als unternehmerische Kerngeschäftstätigkeit, kann Auswirkungen, insbesondere auf die Versicherungsnehmer:innen nach sich ziehen.

UNIQA bekennt sich zu den zehn Prinzipien des UN Global Compact, zu denen auch die Achtung der Menschenrechte zählt. Diese zeigt sich in Bezug auf die Kund:innen zum einen in der Einhaltung sozialer Mindeststandards im UNIQA Firmenkundengeschäft gegenüber Firmenkund:innen (siehe Kapitel 4). Zum anderen wird durch die nachfolgend beschriebene ESG Retail-Strategie in Österreich und die entsprechenden Prozesse und Maßnahmen die Einhaltung von Menschenrechten gegenüber Privatkund:innen sichergestellt. Dabei sind neben Themen wie Gleichbehandlung und Nichtdiskriminierung auch das Recht auf Datenschutz, das Recht auf Meinungsfreiheit und Informationsfreiheit, das Recht auf Zugang zu wesentlichen Dienstleistungen sowie das Recht auf ein faires Verfahren im Sinne eines verantwortungsvollen Umgangs mit Beschwerden von Bedeutung. Für das Geschäftsjahr sind keine Menschenrechtsverletzungen im Bereich der Verbraucher:innen und Endnutzer:innen bekannt geworden. Da die verschiedenen Strategien (Privatkundengeschäft, Datenschutz und Cybersicherheit) stark auf Kundenorientierung ausgerichtet sind, sind keine Auswirkungen auf Verbraucher:innen und/oder Endnutzer:innen, die aus der Geschäftsstrategie hervorgehen bzw. damit verbunden sind, bekannt.

5.1.1 Privatkundengeschäft

Die von UNIQA angebotenen Versicherungsprodukte werden möglichst genau an die Bedürfnisse der Kund:innen angepasst. Dadurch variiert das Ausmaß des spezifischen Versicherungsschutzes. Ein Verstoß gegen gesetzliche Informationspflichten beim Abschluss von Versicherungs- oder -Versicherungsanlageprodukten sowie eine fehlerhafte Ermittlung der Bedürfnisse der Kund:innen führt in Einzelfällen zu fehlerhaften und nachteiligen Entscheidungen für die Kund:innen. Falschberatungen stellen ein Rechtsrisiko dar, da sich daraus Versicherungsansprüche der betroffenen Kunden:innen ergeben können.

Nachteilige Auswirkungen auf Verbraucher:innen ergeben sich in Einzelfällen auch dann, wenn bestimmte Personengruppen keinen Zugang zu angepassten Versicherungs- oder -Versicherungsanlageprodukten erhalten und ihnen somit ein notwendiger Versicherungsschutz oder eine finanzielle Absicherung verwehrt bleibt. Im Rahmen der Wesentlichkeitsanalyse wurden relevante benachteiligte Gruppen in enger Zusammenarbeit mit den Fachabteilungen auf Grundlage von internen Erkenntnissen und fachlicher Expertise identifiziert. Nachteilige Auswirkungen betreffen unter anderem Personen, die sich aufgrund ihrer finanziellen Situation einen Versicherungsschutz unter Umständen nicht leisten können. Potenzielle Zugangsbarrieren aufgrund von (komplexer) Sprache bestehen außerdem für Migrant:innen, Personen mit geistigen Einschränkungen und ältere Personen, während Personen mit physischen Einschränkungen oder Vorerkrankungen mitunter von Versicherungsprodukten, etwa der Krankenversicherung, ausgeschlossen bleiben.

5.1.2 Datenschutz

Da UNIQA als Versicherungsunternehmen geschäftsbedingt ein umfangreiches Volumen an Daten verarbeitet, spielen Datenschutz und alle damit verbundenen Prozesse eine besonders wichtige Rolle. Eine fehlende Implementierung interner Prozesse und Infrastruktur für Datenschutz und Informationssicherheit kann zu dem Risiko führen, dass Rechte von Betroffenen beeinträchtigt werden, insbesondere wenn Daten Dritten zugänglich gemacht werden. Dies kann negative Auswirkungen auf Mitarbeitende und Kund:innen mit sich bringen. Für UNIQA können Datenschutzverletzungen ein finanzielles Risiko in Form von Strafzahlungen zur Folge haben.

5.1.3 Cybersicherheit

Das Fehlen interner Prozesse sowie einer geeigneten Infrastruktur im Bereich der Cybersicherheit birgt die Gefahr eines potenziellen Verlusts von Kundendaten, der sich nachteilig auf die Kund:innen auswirken kann. Deshalb wird die Digitalisierung der Geschäftsprozesse durch umfassende Maßnahmen zur Minimierung des Cyberrisikos und zur Erhöhung der Cybersicherheit gewährleistet.

5.2 Konzepte im Zusammenhang mit Verbraucher:innen und Endnutzer:innen (S4-1)

5.2.1 Privatkundengeschäft

Im Geschäftsjahr hat UNIQA für den Hauptmarkt Österreich eine ESG-Retail-Strategie entwickelt, die die beschriebenen Auswirkungen und Risiken berücksichtigt. Die Verantwortung für die ESG-Retail-Strategie liegt im Vorstandsressort Kunde & Markt Österreich.

In der Group Product Development Process Policy, die ebenfalls in der Verantwortung des Vorstandsressorts Kunde & Markt Österreich liegt, wird entsprechend den gesetzlichen Vorgaben der Zielmarkt für jedes im Verkauf befindliche Versicherungsprodukt definiert. Darüber hinaus wird die geeignete Kundengruppe beschrieben, um einen zielgerichteten Vertrieb der Produkte zu ermöglichen. Bei der Ermittlung der Zielmarktdefinitionen werden bestimmte Kriterien herangezogen, darunter die Kundenkategorie (Verbraucher:innen, Unternehmer:in), gemeinsame Merkmale, Wünsche, Ziele und Bedürfnisse einschließlich der Berücksichtigung von Nachhaltigkeitszielen. Für Versicherungsanlageprodukte werden zusätzlich noch spezielle Kriterien, wie die Risiko- und die Verlusttragfähigkeit berücksichtigt. Der Zielmarkt wird im Rahmen des Produktentwicklungsprozesses von einem eigens eingerichteten Gremium definiert und freigegeben.

Wichtige Elemente der ESG-Retail-Strategie sind auch Themen Diversität und Inklusion. Hier liegt der Fokus insbesondere auf der Erhöhung der Zugänglichkeit von Produkten. Um sozial benachteiligte Gruppen einzubeziehen und die soziale Ungleichheit zu verringern, werden anlassfallbezogene individuelle Lösungen erarbeitet und angeboten.

Der Anwendungsbereich der ESG-Strategie im Privatkundengeschäft in Österreich ist klar definiert. Sie konzentriert sich auf den Produktentwicklungsprozess in den Geschäftsbereichen Sachversicherung, Haftpflicht, Unfall und Kfz und umfasst jene Kund:innen, die von den für diese Bereiche identifizierte Auswirkungen und Risiken betroffen sind. Auch der Anwendungsbereich der Group Product Development Process Policy ist klar definiert, indem er gruppenweite verbindliche, klare Richtlinien für den Produktentwicklungsprozess festlegt.

In anderen UNIQA Ländern wurden noch keine ESG-spezifischen Retail-Strategien entwickelt. Die vorhandenen Maßnahmen beschränken sich auf die Erfüllung der gesetzlichen und internen Mindestanforderungen, wie etwa die Anwendung der Product Development Process Policy.

5.2.2 Datenschutz

Der Schutz personenbezogener Daten – ein Grundrecht, das die Privatsphäre von Kund:innen wie Mitarbeiter:innen gleichermaßen betrifft – ist UNIQA besonders wichtig. In diesem Sinne wurden Prozesse und Richtlinien implementiert, die den Anforderungen der Mitarbeitenden und Kund:innen Rechnung tragen. Dies geschieht ausschließlich durch die Berücksichtigung nationaler und internationaler Rahmenwerke und Regularien. Diesbezüglich erfolgt kein separater Austausch mit Kund:innen.

In einer gruppenweit gültigen Datenschutzmanagement-Richtlinie sind die erforderlichen Kernfunktionen innerhalb des Datenschutzmanagementsystems festgelegt. Ein separater Datenschutzmanagement-Standard regelt die Aufgabenverteilung, so etwa die Zuweisung spezifischer Datenschutzaufgaben und Verantwortlichkeiten zu verschiedenen Organisationeinheiten.

Für die einzelnen Geschäftsprozesse sind die Verantwortlichkeiten im Zusammenhang mit personenbezogenen Daten in den jeweiligen Funktionsbereichen durch klare Regelungen definiert. Grundsätzlich folgt die Verteilung der Verantwortlichkeiten dabei dem Three-Lines-of-Defence-Prinzip. Das Management jeder Konzerngesellschaft ist für die Einhaltung aller datenschutzrechtlichen Vorgaben verantwortlich und wird dabei von der betrieblichen Datenschutzorganisation unterstützt. Diese umfasst die jeweiligen Datenschutzbeauftragten sowie die Datenschutzkoordinatoren. Die gruppenweiten Anforderungen sowie die Pläne und Werkzeuge für deren Umsetzung werden von einer/einem Gruppen-Datenschutzbeauftragten festgelegt, die/der auch die Einhaltung aller Vorgaben überwacht. Die Datenschutzbeauftragten in den einzelnen Konzerngesellschaften kontrollieren die Datenschutzprozesse und -maßnahmen kontinuierlich. Dieses Prozedere gilt für interne Prozesse gleichermaßen wie für Prozesse in Bezug auf Firmenkund:innen.

Die Gestaltung der Geschäftsprozesse und der Umgang mit personenbezogenen Daten unterliegen einer Vielzahl von Regelungen, wie zum Beispiel der Datenschutz- Grundverordnung der EU (DSGVO), der Verordnung der EU über künstlicher Intelligenz (KI-VO) und dem UN Global Compact. Die darin enthaltenen Kriterien bilden die Basis für die Regelung des Umgangs mit personenbezogenen Daten in Geschäftsprozessen. Dabei fließen auch die aktuellen Auslegungen und Entscheidungen europäischer und nationaler Gerichte sowie die Leitprinzipien und Verordnungen der europäischen und nationalen Aufsichtsbehörden mit ein.

5.2.3 Cybersicherheit

Ein umfangreiches Cybersicherheitskonzept ermöglicht nicht nur eine zeitnahe Reaktion im Ernstfall, sondern trägt auch zur Stärkung des Vertrauens der Kund:innen bei und fördert die Entwicklung innovativer und sicherer digitaler Lösungen. Es schützt sensible persönliche Informationen wie Gesundheits- und Finanzdaten vor Cyberangriffen und gewährleistet eine sichere Nutzung digitaler Dienste, einschließlich Gesundheits-Apps und Online-Versicherungsangeboten. Zu diesem Zweck wurde die UNIQA Group Cybersecurity-Strategie entwickelt und konzernweit implementiert. Die Verantwortung dafür liegt beim Vorstand für Operations, Data & IT.

Die Strategie basiert auf mehreren Säulen, zu denen auch proaktive Maßnahmen zur Prävention und zum Schutz vor Cyberangriffen zählen. Um die Kontinuität des Geschäftsbetriebes sicherzustellen, existiert zudem ein umfassender Krisenmanagement Rahmenplan, der neben einer strukturierten Entscheidungsfindung auch die strategische Kommunikation abdeckt.

5.3 Verfahren zur Einbeziehung von Verbraucher:innen und Endnutzer:innen in Bezug auf Auswirkungen (S4-2) und Verfahren zur Verbesserung negativer Auswirkungen und Kanäle, über die Verbraucher:innen und Endnutzer:innen Bedenken Äussern können (S4-3)

5.3.1 Privatkundengeschäft

Kund:innen stehen verschiedene Möglichkeiten zur Verfügung, um ihre Meinung zu äußern und Rückmeldungen zu geben. Um die Meinungen der Kund:innen in Entscheidungen einzubeziehen und ihre Zufriedenheit kontinuierlich zu messen, bestehen unterschiedliche Methoden. Zur Überprüfung der Wirksamkeit dieser und zur Vermeidung beziehungsweise Verringerung negativer Auswirkungen wurden vielfältige Prozesse etabliert. Kund:innen sind über die verfügbaren Verfahren und Kanäle zur Rückmeldung informiert, da sie regelmäßig Einladungen zur Teilnahme an Befragungen per E-Mail erhalten, sofern eine Marketingeinwilligung vorliegt, oder direkt in ihrem bevorzugten Kanal ein Angebot zur Feedbackabgabe bekommen. Eine davon ist die standardisierte Befragung in Form von Fünf-Sterne-Ratings, die durch Freitextfelder ergänzt werden kann. Diese Freitextkommentare werden mithilfe von KI-Technologien analysiert, um die Identifizierung thematischer Cluster und deren Analyse zu erleichtern. Solche Befragungen finden automatisiert vor allem nach Neuabschlüssen, nach der Auszahlung bzw. Ablehnung von Schadens- bzw. Leistungsansprüchen oder nach einem individuellen Kontakt an UNIQA Standorten bzw. mit dem Kundenservice statt. Bei Bewertungen von 1 (Skala: 1 „nicht genügend“ bis 5 „sehr gut“) können die Kund:innen angeben, ob sie an einem individuellen, telefonisch geführten Interview teilnehmen wollen. Die gewonnenen Erkenntnisse fließen in weiterer Folge in die Entwicklung von Produkten ein. Der Prozess im Zusammenhang mit Kundenbeschwerden wird durch eine Beschwerdemanagement Policy geregelt. Dadurch ist bei nahezu jeder Interaktion mit UNIQA sichergestellt, dass die Kund:innen ausreichend Gelegenheit haben, Rückmeldungen zu geben und dadurch zusätzlich Vertrauen zu gewinnen. Generell wird dabei großer Wert auf sorgsamen Umgang mit den Rückmeldungen gelegt. Abseits dieser strukturierten Feedbackmöglichkeiten werden regelmäßig Tiefeninterviews mit Kund:innen durchgeführt, die sich dafür freiwillig gemeldet haben, um umfassende Einblicke auf breiterer Basis zu erhalten.

Marktforschung stellt ebenfalls einen wichtigen Bestandteil der Produktentwicklungsprozesse dar, unabhängig davon, ob es sich um Änderungen bestehender oder die Gestaltung neuer Produkte handelt. Auch die Segmentierung der Kunden basiert auf der kontinuierlichen Auswertung der Marktforschungsdaten. Die Erhebung von Informationen erfolgt dabei grundsätzlich anonymisiert und folgt keinem festgelegten Zeitplan. Im Geschäftsjahr wurden Marktforschungen zu Nachhaltigkeitsthemen für Krankenversicherungs-, Kfz-Versicherungs- und Haushaltsversicherungsprodukte durchgeführt. Neben den Erkenntnissen daraus finden auch die Ergebnisse der Kundenbefragungen Eingang in den Produktentwicklungsprozess. Die Implementierung der gewonnen Erkenntnisse obliegt der Abteilung Product Experience, die Verantwortung für die Einbeziehung der Kund:innen liegt bei den Vorstandsmitgliedern für die Bereiche Kunde & Markt Österreich sowie Kunde & Markt International.

5.3.2 Datenschutz

Datenschutzrechtliche Betroffenenrechte sind zentrale Elemente der DSGVO und ermöglichen es betroffenen Personen die Kontrolle über ihre Daten zu behalten. Um die Einhaltung dieser Betroffenenrechte verlässlich und innerhalb der regulatorischen Fristen gewährleisten zu können, wurden entsprechende Prozesse definiert und implementiert. Eine der wichtigsten Maßnahmen war dabei die Schaffung einer zentralen Anlaufstelle mit einer eigenen E-Mail-Adresse für Anfragen zu Betroffenenrechten im Bereich Datenschutz. Auf diese zentrale Anlaufstelle werden alle Kund:innen in den Datenschutzhinweisen, die im Zusammenhang mit jeder Datenverarbeitung zum Zeitpunkt der Erhebung der Daten gegeben werden, hingewiesen. Je nach Art der Datenverarbeitung und der Form der Kommunikation erhalten die Kund:innen diese Datenschutzhinweise in Papierform, über die App, über diverse andere elektronische Kanäle oder über die Webseite. Die Anlaufstelle gewährleistet, dass alle eingehenden Anfragen erfasst, effizient bearbeitet und innerhalb der gesetzlichen Fristen zuverlässig bearbeitet werden. Sollten im Rahmen der Anfragen systematische Schwächen im Datenschutzkonzept erkennbar sein, werden Maßnahmen abgeleitet und die Datenschutzmanagement Richtlinie angepasst. Weiters wurde ein datenschutzkonformes elektronisches Beschwerdemanagementsystem eingeführt, das eine einheitliche Bearbeitung von Kundenanliegen, Bedenken und Beschwerden sowie datenschutzrechtlichen Begehren ermöglicht. Kund:innen haben die Möglichkeit über verschiedene Kanäle (auch anonyme) Hinweise auf Compliance- oder Rechtsverstöße zu melden. Hierfür stehen E-Mail, Post, persönlicher Kontakt mit dem Compliance Team sowie die UNIQA Whistleblowing-Plattform zur Verfügung (siehe dazu auch Kapitel 6). Informationen zum Beschwerdemanagementsystem werden auch auf der UNIQA Website zur Verfügung gestellt.

Um eine lückenlose Nachverfolgung und transparente Bearbeitung zu gewährleisten, werden die Anfragen in Bezug auf Betroffenenrechte vom Datenschutzteam erfasst und dokumentiert. Jeder Verdachtsfall wird sorgfältig evaluiert, potenzielle Auswirkungen auf bestehende Prozesse werden analysiert. Bei Risiken, die Rechte und Freiheiten natürlicher Personen betreffen, erfolgt gemäß DSGVO eine fristgerechte Meldung an die Datenschutzbehörde und gegebenenfalls an die betroffenen Kund:innen und Mitarbeitenden. Gleichzeitig werden Maßnahmen ergriffen, um das Risiko zu beseitigen und künftige Vorfälle zu verhindern. Zu den getroffenen Maßnahmen zählen insbesondere auch aus dem konkreten Fall abgeleitete Anpassungen des Datenschutzmanagementsystems und der Datenschutzanforderungen in laufenden datenschutzrechtlichen Beratungsprozessen. Dadurch wird dauerhaft sichergestellt, dass die Maßnahmen wirksam sind und eingehalten werden. In regelmäßigen Reports und Expertengremien wird auf allen Führungsebenen und gegenüber Expert:innen (Vorstand, Aufsichtsrat, Management, Datenschutzkoordinator:innen) über spezifische Datenschutzvorfälle und getroffene Maßnahmen berichtet. Gezielte Bewusstseinsbildung zu den getroffenen Maßnahmen sowie der Austausch mit den Fachbereichen tragen ebenfalls dazu bei, die Wirksamkeit der Maßnahmen sicherzustellen. Die Verantwortung für die Einhaltung der Datenschutzvorschriften liegt beim Management jeder einzelnen Konzerngesellschaft. Unterstützt wird es dabei von der Datenschutzorganisation, die erforderlichen Prozesse und Ressourcen für die ordnungsgemäße Implementierung des Datenschutzes zur Verfügung stellt.
Kund:innen und Mitarbeitende werden umfassend und transparent über die Verarbeitung ihrer Daten informiert und haben jederzeit das Recht, Auskunft über die gespeicherten Daten zu erhalten sowie deren Berichtigung oder Löschung zu verlangen.

5.3.3 Cybersicherheit

Die Anforderungen der Kund:innen an den Schutz ihrer Daten werden durch eine Kombination aus lückenloser Compliance und einer fortlaufenden Verbesserung der Schutzmaßnahmen berücksichtigt. Ein aktiver Austausch mit den Kund:innen zum Thema Cybersicherheit erfolgt aufgrund der Komplexität des Themas nicht. Durch die Ausrichtung des Cybersicherheitskonzepts auf gesetzliche und regulatorische Anforderungen wie etwa die DSGVO oder den Digital Operational Resilience Act der EU (DORA) ist gewährleistet, dass den Stakeholder:innen umfassender Schutz geboten wird. Auf die Transparenz und die Weiterverarbeitung von Kundendaten, auch in Bezug auf die Entwicklung und Implementierung von Abhilfemaßnahmen, wird auf das Kapitel 5.5.2 verwiesen.

5.4 Ergreifung von Massnahmen in Bezug auf wesentliche Auswirkungen auf Verbraucher:innen und Endnutzer:innen und Ansätze zum Management wesentlicher Risiken und zur Nutzung wesentlicher Chancen im Zusammenhang mit Verbraucher:innen und Endnutzer:innen sowie die Wirksamkeit dieser MaSSnahmen (S4-4)

5.4.1 Privatkundengeschäft

Ein wesentlicher Schwerpunkt der ESG-Retail-Strategie besteht in der Förderung eines umfassenden Nachhaltigkeitsbewusstseins der Berater:innen. Ziel ist es, ihre Nachhaltigkeitskompetenz zu erweitern und sicherzustellen, dass sie dieses Wissen gezielt in ihre Gespräche mit Kund:innen einbringen können. Im Geschäftsjahr wurde in Österreich ein ESG-Check, der neben Umweltkriterien auch soziale Kriterien wie die Förderung von Chancengleichheit und Inklusion umfasst (siehe auch die Angaben in Kapitel 2.5), als fester Bestandteil in den Produktentwicklungsprozess implementiert. Gezielte Schulungsangebote zur ESG-Guideline und zum ESG-Check unterstützen die Produktverantwortlichen zudem dabei, ESG-Aspekte direkt in die Produktentwicklung zu integrieren.

Im Geschäftsjahr wurden in Österreich diverse IT-Tools für den Beratungsprozess implementiert, um sicherzustellen, dass die Berater:innen bei der Erfassung der Wünsche und Bedürfnisse der Kund:innen im Rahmen des Beratungsgesprächs entsprechend unterstützt werden.

Um die sozialen Aspekte der ESG-Retail-Strategie zu adressieren, wird auch an der Verbesserung der Zugänglichkeit zu Produkten gearbeitet. So wurden in Österreich im Geschäftsjahr Pilotprojekte im Bereich der Online-Kundenbetreuung durchgeführt. Ein speziell eingerichtetes Team übernimmt dabei die Beratungstermine, die die Kund:innen selbständig über die Website vereinbaren können, um eine ortsunabhängige Beratung zu ermöglichen. Dabei haben die Kund:innen auch die Möglichkeit, aus verschiedenen Sprachen zu wählen. Um die Verständlichkeit für Kund:innen zu verbessern, wurden Dokumente wie Vertrags- und Informationsunterlagen zudem in einfacher Sprache verfasst und getestet.

Zur regelmäßigen Bewertung aller im Vertrieb befindlichen Produkte wurde im Geschäftsjahr in Österreich ein umfassender Prozess implementiert. Dadurch wird nun gezielt überprüft, ob die Produkte im definierten Zielmarkt auch erfolgreich verkauft werden oder ob neue Rahmenbedingungen eine Anpassung der Produkte erforderlich machen. Die Überprüfung beruht auf der Auswertung allfälliger Kundenbeschwerden, einer Befragung von Vertriebsmitarbeiter:innen zu den Zielmarktdefinitionen und der Analyse versicherungstechnischer Kennzahlen. Bei Lebensversicherungsprodukten wird zusätzlich noch eine quantitative und qualitative Produktbewertung durchgeführt, um sicherzustellen, dass das Produkt weiterhin einen Mehrwert für die Kund:innen bietet. Darüber hinaus erfolgt ein regelmäßiger Informationsaustausch mit verschiedenen Interessensvertretungen.

In den anderen Märkten, in denen UNIQA tätig ist, werden derzeit konkrete Pläne und Maßnahmen erarbeitet, um negative Auswirkungen für Verbraucher:innen und Endnutzer:innen zu mindern und den Zugang zu Produkten zu erleichtern. Zudem werden im Jahr 2025 verschiedene neue Schulungsformate eingeführt, so etwa Nachhaltigkeitstrainings für die Mitarbeitenden im Vertrieb.

5.4.2 Datenschutz

Ein umfassendes datenschutzrechtliches Risikomanagement identifiziert potenzielle Datenschutzrisiken durch Risikoanalysen frühzeitig und ermöglicht auf diese Weise gezielte Maßnahmen zur Risikominimierung. Bei UNIQA ist Datenschutz in verschiedene Managementsysteme integriert, sowohl im operationalen wie auch im strategischen Bereich. Das Datenschutzmanagementsystem (DSMS) ist dabei eng mit dem Risikomanagementsystem und dem Compliance Management System verknüpft.

Ein wesentlicher Bestandteil des Datenschutzmanagementsystems ist die umfassende datenschutzrechtliche Beratung durch die Abteilung Datenschutz. Diese steht den Mitarbeitenden gruppenweit zur Verfügung und ist bei datenschutzrelevanten neuen Vorhaben und Projekten im Rahmen eines standardisierten Prozesses verpflichtend vorgesehen. Dies stellt sicher, dass Geschäftspraktiken im Einklang mit den regulatorischen Anforderungen stehen und keine negativen datenschutzrelevanten Auswirkungen für die betroffenen Personen nach sich ziehen. Das Datenschutzmanagementsystem umfasst auch einen kontinuierlichen Verbesserungsprozess, der zu einer regelmäßigen Überarbeitung der Datenschutzrichtlinien und der Datenschutz Guideline führt. Ebenso überprüft die Abteilung Datenschutz in ihrer Funktion als Second Line of Defence im Rahmen der reaktiven Maßnahmen den sogenannten Data Breach Prozess und stellt fest, ob er inhaltlich, zeitlich und von den getroffenen Maßnahmen her im Sinne der Betroffenen wirksam und effektiv ist. Zudem stehen Abhilfemaßnahmen zur Verfügung, die basierend auf Einzelbewertungen im Fall von Datenschutzverletzungen ergriffen werden können. Dazu zählen etwa die Löschung von Daten, die Sperrung von Geräten, Passwortänderungen und zielgruppenspezifische Schulungen. Wenn UNIQA solche Maßnahmen ergreift, werden auch die betroffenen Kund:innen entsprechend informiert, sofern eine aktive Interaktion erforderlich ist. Abseits davon tragen auch Präventivmaßnahmen wie die Implementierung technischer und organisatorischer Vorkehrungen, die Etablierung von Privacy by Design und Privacy by Default Prinzipien, Zugriffskonzepte, Notfallpläne und regelmäßige Sicherheitsüberprüfungen zur Vorbeugung gegen Datenschutzverletzungen bei.

Durch regelmäßige Schulungen über die Grundlagen des Datenschutzes und über den Umgang mit personenbezogenen Daten wird gewährleistet, dass alle Mitarbeitenden über die aktuellen Datenschutzanforderungen informiert sind und wissen, wie sie diese in ihrer täglichen Arbeit umsetzen können. Dies reduziert das Risiko von Datenschutzverletzungen und erhöht die allgemeine Datensicherheit im Unternehmen. Diese Schulungen sind für alle Mitarbeitenden verpflichtend und finden alle zwei Jahre beziehungsweise bei Neueintritt statt. Für die einzelnen Fachbereiche wurden im Geschäftsjahr diverse Hilfsdokumente erstellt, die zur Unterstützung bei der Umsetzung des Datenschutzes dienen. Dazu zählen beispielsweise Anleitungen zum datenschutzkonformen Umgang mit Cookies oder Hilfestellung bei der Gestaltung der datenschutzrechtlichen Rollenverteilung. Ebenfalls im Geschäftsjahr wurde der Aspekt des Datenschutzes bei der Nutzung von künstlicher Intelligenz im Beratungsprozess noch besser und umfangreicher implementiert. Zudem wurde ein erweiterter Prozess zur Prüfung und Überwachung der von UNIQA genutzten Dienstleister:innen eingeführt, um auch diese auf Datenschutzkonformität überprüfen zu können.

5.4.3 Cybersicherheit

Hinsichtlich des Umganges mit potenziellen negativen Auswirkungen, die in Folge eines Cybervorfalls für Kund:innen entstehen könnten und damit verbundenen Abhilfemaßnahmen wird auf die im Kapitel 5.5.2 beschriebene Vorgehensweise verwiesen. Diese Maßnahmen umfassen regelmäßige Sicherheits-Updates, Bedrohungsanalysen, Sicherheitsrichtlinien sowie modernste Technologien wie Firewalls, Intrusion-Detection-Systeme und Verschlüsselung. Unter anderem werden fortschrittliche Tools zur frühzeitigen Erkennung und Überwachung ungewöhnlicher Aktivitäten und Bedrohungen eingesetzt. Mitarbeitende erhalten jährlich und bei Neueintritt eine Schulung zum Thema Cybersicherheit und nehmen dazu an Sensibilisierungsprogrammen teil, die zur Steigerung des entsprechenden Risikobewusstseins beitragen. Diese sind auf die neuesten Bedrohungen und Angriffsarten ausgerichtet und umfassen je nach Zielgruppe sowohl theoretische Kenntnisse als auch praktische Übungen wie etwa die Teilnahme an Krisensimulationen.

Der Cybersicherheitsaktionsplan, der sich aus der Cybersicherheitsstrategie ableitet, enthält eine Kombination technischer, organisatorischer und personeller Maßnahmen. In Bezug auf die technischen Maßnahmen lag der Fokus im Geschäftsjahr auf der Verstärkung der Netzwerksicherheit, automatisierter Bedrohungserkennung sowie Datensicherung und Wiederherstellungsplänen. Die organisatorischen Maßnahmen beinhalten unter anderem die Risikobewertung und das Risikomanagement sowie den Incident Response Plan. Unter personellen Maßnahmen sind die Schulungen und die Sensibilisierung, das Recruting von Expert:innen und Spezialist:innen sowie die Unternehmenskultur, insbesondere der allgemeine Umgang mit Cybersicherheit, zusammengefasst.

Um die Resilienz gegenüber Cyberbedrohungen zu stärken, wurde ein umfassendes Resilience Management System implementiert, das verschiedene Sicherheits- und Krisenmanagementansätze zusammenfasst. Durch ein Business Continuity Management (BCM) wird die Aufrechthaltung kritischer Geschäftsprozesse sowohl während als auch nach einem Vorfall anhand von festgelegten Plänen und Prozessen gewährleistet.

Ein IT-Service Continuity Management (ITSCM) beinhaltet Notfallwiederherstellungspläne und sieht eine regelmäßige Überprüfung der IT-Risiken vor. Im Fall eines Sicherheitsvorfalls agiert ein Incident-Response-Team, das anhand klar definierter Prozesse für die Identifikation, Eindämmung, Behebung und Analyse von Sicherheitsvorfällen den Schaden minimiert und die zeitnahe Wiederherstellung der Systeme sicherstellt. Die Pläne und Maßnahmen zur Bewältigung akuter Notfälle, die den Geschäftsbetrieb gefährden, sowie die Koordination von internen und externen Ressourcen sind im Emergency Management verankert.

Im Jahr 2025 liegt der Fokus für die Implementierung zusätzlicher Maßnahmen insbesondere auf den erforderlichen Anpassungen des DSMS, um die regulatorischen Anforderungen im Bereich künstlicher Intelligenz zu erfüllen und sicherzustellen, dass bei der Nutzung innovativer Technologien die datenschutzrechtlichen Grundsätze und die Prinzipien der Datensicherheit gewährleistet sind. Die Aufgabe von UNIQA besteht darin, spezifische Maßnahmen zur Erreichung der gesetzten Ziele zu entwickeln und umzusetzen. Eine kontinuierliche Überprüfung der Fortschritte und eine Anpassung des Aktionsplans bei Bedarf werden wesentlich zur Erreichung der gesetzten Ziele beitragen.

5.5 Ziele im Zusammenhang mit der Bewältigung wesentlicher negativer Auswirkungen, der Förderung positiver Auswirkungen und dem Umgang mit wesentlichen Risiken und Chancen (S4-5)

5.5.1 Privatkundengeschäft

Die Formulierung quantitativer Ziele und die Definition von Kennzahlen, die UNIQA bei der Bewältigung bzw. Nutzung der identifizierten Auswirkungen, Risiken und Chancen unterstützen, sind gerade in Arbeit. Ziel der nächsten Jahre wird es sein, für alle UNIQA Märkte eine quantitative Basis zu schaffen. Ein entsprechender Überwachungsprozess kann erst im Zuge der Festlegung der quantitativen Ziele aufgebaut werden.

5.5.2 Datenschutz

Um den regulatorischen Anforderungen zu entsprechen, die insbesondere durch die Digitalstrategie der EU getrieben werden, wird es unter anderem erforderlich, eine gesamtheitliche Betrachtung des Datenschutzes vorzunehmen und das Governance Framework für Data Governance weiterzuentwickeln. Ein Datenschutzaktionsplan legt dabei jährliche Ziele fest, die dazu dienen wesentliche Risiken im Zusammenhang mit der Verarbeitung personenbezogener Daten von Mitarbeitenden und Kund:innen zu mindern und entsprechende Maßnahmen zu ergreifen. Diese Ziele beziehen sich für das Jahr 2025 vor allem auf die oben angeführten Maßnahmen und gesetzlichen Anforderungen. Aufgrund der Komplexität der Materie und in Ermangelung konkreter Zielwerte können hier keine weiteren quantitativen bzw. zeitgebundenen Ziele angeführt werden.

5.5.3 Cybersicherheit

Auch in Zukunft wird UNIQA ihre Cybersecurity-Strategie zur Einhaltung regulatorischer Anforderungen weiter ausbauen, um ihre Cyberresilienz zu stärken und sicherzustellen. Dies soll insbesondere durch die Umsetzung der beschriebenen Maßnahmen erfolgen. So werden im Jahr 2025 die DORA-Anforderungen der EU eingeführt, die gemeinsam mit der Implementierung von Third Party Security Risk Management und den Maßnahmen zur Verwaltung von Sicherheitsrisiken zur Gewährleistung einheitlicher Standards und zur Erfüllung der Sicherheitsanforderungen Dritter beitragen.

Um die identifizierten Sicherheitsrisiken zu minimieren, werden die vorhandenen Maßnahmen laufend überprüft und aktualisiert. Dadurch werden auch die Behebung etwaiger Schwachstellen, die Datenintegrität, die Vertraulichkeit und die Systemverfügbarkeit gewährleistet. Weiteres finden regelmäßige Audits und Tests statt, die zur kontinuierlichen Stärkung der Resilienz gegenüber Cyberbedrohungen dienen.