6. Verbraucher:innen und Endnutzer:innen (ESRS S4)
6.1 Wesentliche Auswirkungen, Risiken und Chancen und ihr Zusammenspiel mit Strategie und Geschäftsmodell (ESRS 2 SBM-3)
Die Erbringung von Versicherungsleistungen, als unternehmerische Kerngeschäftstätigkeit, kann Auswirkungen, insbesondere auf die Kund:innen nach sich ziehen.
UNIQA bekennt sich zu den zehn Prinzipien des UN Global Compact, zu denen auch die Achtung der Menschenrechte zählt. Diese zeigt sich in Bezug auf die Kund:innen zum einen in der Einhaltung sozialer Mindeststandards im UNIQA Firmenkundengeschäft gegenüber Firmenkund:innen (siehe Kapitel „Arbeitskräfte in der Wertschöpfungskette (ESRS S2)“). Zum anderen werden durch die nachfolgend beschriebenen ESG-Strategien für das Privatkundengeschäft (ESG-Retail-Strategie in Österreich und ESG Customer Strategie für das internationale Privatkundengeschäft) und die entsprechenden Prozesse und Maßnahmen die Einhaltung von Menschenrechten gegenüber Privatkund:innen sichergestellt. Dabei sind neben Themen wie Gleichbehandlung und Nichtdiskriminierung auch das Recht auf Datenschutz, das Recht auf Meinungsfreiheit und Informationsfreiheit, das Recht auf Zugang zu wesentlichen Dienstleistungen sowie das Recht auf ein faires Verfahren im Sinne eines verantwortungsvollen Umgangs mit Beschwerden von Bedeutung. Für das Geschäftsjahr sind keine Menschenrechtsverletzungen im Bereich der Verbraucher:innen und Endnutzer:innen bekannt geworden. Da die verschiedenen Strategien (Privatkundengeschäft, Datenschutz und Cybersicherheit) stark auf Kundenorientierung ausgerichtet sind, werden potenzielle positive und negative Auswirkungen auf Verbraucher:innen und/oder Endnutzer:innen im Rahmen der Geschäftsstrategien und Prozesse einbezogen.
6.1.1 Privatkundengeschäft
Die von UNIQA angebotenen Versicherungsprodukte werden möglichst genau an die Bedürfnisse der Kund:innen angepasst. Dadurch variiert das Ausmaß des spezifischen Versicherungsschutzes. Ein Verstoß gegen gesetzliche Informationspflichten beim Abschluss von Versicherungs- oder -Versicherungsanlageprodukten sowie eine fehlerhafte Ermittlung der Bedürfnisse der Kund:innen führt in Einzelfällen zu fehlerhaften und nachteiligen Entscheidungen für die Kund:innen. Falschberatungen stellen ein Rechtsrisiko dar, da sich daraus Versicherungsansprüche der betroffenen Kund:innen ergeben können.
Nachteilige Auswirkungen auf Verbraucher:innen ergeben sich in Einzelfällen auch dann, wenn bestimmte Personengruppen keinen Zugang zu angepassten Versicherungs- oder -Versicherungsanlageprodukten erhalten und ihnen somit ein notwendiger Versicherungsschutz oder eine finanzielle Absicherung verwehrt bleibt. Im Rahmen der Wesentlichkeitsanalyse wurden relevante benachteiligte Gruppen in enger Zusammenarbeit mit den Fachabteilungen auf Grundlage von internen Erkenntnissen und fachlicher Expertise identifiziert. Nachteilige Auswirkungen betreffen unter anderem Personen, die sich aufgrund ihrer finanziellen Situation einen Versicherungsschutz unter Umständen nicht leisten können. Potenzielle Zugangsbarrieren aufgrund von (komplexer) Sprache bestehen außerdem für Migrant:innen, Personen mit geistigen Einschränkungen und ältere Personen, während Personen mit physischen Einschränkungen oder Vorerkrankungen mitunter von Versicherungsprodukten, etwa der Krankenversicherung, ausgeschlossen bleiben.
Wesentliche positive Auswirkungen entstehen im Rahmen des Nachhaltigkeitsthemas „(finanzielle) Gesundheit von Kund:innen“. Durch die Bereitstellung angemessener, bedarfsgerechter Produkte und Dienstleistungen wird die gesundheitliche Situation von Kund:innen unterstützt und gestärkt. Darüber hinaus trägt UNIQA durch langfristige Vorsorge- und Lebensversicherungsprodukte dazu bei, gesellschaftliche Herausforderungen im Zusammenhang mit der Stabilität von Pensionssystemen abzufedern.
6.1.2 Datenschutz
Da UNIQA als Versicherungsunternehmen geschäftsbedingt ein umfangreiches Volumen an Daten verarbeitet, spielen Datenschutz und alle damit verbundenen Prozesse eine besonders wichtige Rolle. Eine fehlende Implementierung interner Prozesse und Infrastruktur für Datenschutz und Informationssicherheit kann zu dem Risiko führen, dass Rechte von Betroffenen beeinträchtigt werden, insbesondere wenn Daten Dritten zugänglich gemacht werden. Dies kann negative Auswirkungen auf Mitarbeitende und Kund:innen mit sich bringen. Für UNIQA können Datenschutzverletzungen ein finanzielles Risiko in Form von Strafzahlungen zur Folge haben.
6.1.3 Cybersicherheit
Das Fehlen interner Prozesse sowie einer geeigneten Infrastruktur im Bereich der Cybersicherheit birgt die Gefahr eines potenziellen Verlusts von Kundendaten, der sich nachteilig auf die Kund:innen auswirken kann. Deshalb wird die Digitalisierung der Geschäftsprozesse durch umfassende Maßnahmen zur Minimierung des Cyberrisikos und zur Erhöhung der Cybersicherheit gewährleistet.
6.2 Konzepte im Zusammenhang mit Verbraucher:innen und Endnutzer:innen (S4-1)
6.2.1 Privatkundengeschäft
Im Hauptmarkt Österreich wurde bereits im Jahr 2024 eine ESG-Retail-Strategie entwickelt, die die beschriebenen Auswirkungen und Risiken berücksichtigt. Die Verantwortung für die ESG-Retail-Strategie in Österreich liegt im Vorstandsressort Kunde & Markt Österreich. Für die internationalen Märkte wurde dies im Geschäftsjahr in Form einer ESG Customer Strategie nachgezogen. Die Verantwortung und Implementierung der Strategie liegt bei den jeweiligen Gesellschaften, die über eine konzernweite Ausrollung der in internationaler und bereichsübergreifender Zusammenarbeit entwickelten Strategie Zugriff erhalten haben.
In der Group Product Development Process Policy, die in der Verantwortung des Vorstandsressorts Kunde & Markt International liegt, wird entsprechend den gesetzlichen Vorgaben der Zielmarkt für jedes im Verkauf befindliche Versicherungsprodukt definiert. Darüber hinaus wird die geeignete Kundengruppe beschrieben, um einen zielgerichteten Vertrieb der Produkte zu ermöglichen. Bei der Ermittlung der Zielmarktdefinitionen werden bestimmte Kriterien herangezogen, darunter die Kundenkategorie (Verbraucher:innen, Unternehmer:innen), gemeinsame Merkmale, Wünsche, Ziele und Bedürfnisse einschließlich der Berücksichtigung von Nachhaltigkeitszielen. Für Versicherungsanlageprodukte werden zusätzlich noch spezielle Kriterien, wie die Risiko- und die Verlusttragfähigkeit berücksichtigt. Der Zielmarkt wird im Rahmen des Produktentwicklungsprozesses von einem eigens eingerichteten Gremium definiert und freigegeben.
Wichtige Elemente der ESG-Retail-Strategie und der ESG Customer Strategie sind auch die Themen Diversität und Inklusion. Hier liegt der Fokus insbesondere auf der Erhöhung der Zugänglichkeit von Produkten. Um sozial benachteiligte Gruppen einzubeziehen und die soziale Ungleichheit zu verringern, werden anlassfallbezogene individuelle Lösungen erarbeitet und angeboten.
Der Anwendungsbereich der ESG-Retail-Strategie in Österreich als auch der internationalen ESG Customer Strategie ist klar definiert. Sie konzentrieren sich auf den Produktentwicklungsprozess in den Sparten Sachversicherung, Haftpflicht, Unfall und Kfz und umfassen jene Kund:innen, die von den für diese Bereiche identifizierte Auswirkungen und Risiken betroffen sind. Auch der Anwendungsbereich der Group Product Development Process Policy ist klar definiert, indem er konzernweite verbindliche, klare Richtlinien für den Produktentwicklungsprozess festlegt.
6.2.2 Datenschutz
Der Schutz personenbezogener Daten – ein Grundrecht, das die Privatsphäre von Kund:innen wie Mitarbeitenden gleichermaßen betrifft – ist UNIQA besonders wichtig. In diesem Sinne wurden Prozesse und Richtlinien implementiert, die den Datenschutzanforderungen der Mitarbeitenden und Kund:innen Rechnung tragen. Dies geschieht ausschließlich unter Berücksichtigung nationaler und internationaler Rahmenwerke und Regularien. Diesbezüglich erfolgt kein separater Austausch mit Kund:innen.
In einer konzernweit gültigen Datenschutzmanagement-Richtlinie sind die erforderlichen Kernfunktionen innerhalb des Datenschutzmanagementsystems festgelegt. Darin und in weiteren Richtlinien zum Datenschutz sind unter anderem Regelungen zur Gewährleistung geeigneter technischer und organisatorischer Maßnahmen, zur Sicherstellung der Datensicherheit und zur Aufbewahrung und Löschung von personenbezogenen Daten festgelegt. Zudem regeln die Richtlinien den Abschluss verbindlicher Datenschutzverträge mit externen Dienstleistern, um ein mit UNIQA Vorgaben kompatibles Schutzniveau sicherzustellen. Weiters werden die Grundsätze der Zweckbindung und Rechtmäßigkeit bei der Verarbeitung, Übermittlung und Offenlegung von personenbezogenen Daten geregelt. Sie regeln noch die Rechteausübung durch betroffene Personen, wie die Verpflichtung, den Betroffenen Auskunft und Zugang zu ihren personenbezogenen Daten zu gewähren sowie die Berechtigung und Löschung von Daten fristgerecht umzusetzen. Entsprechende Regelungen und Governance Dokumente werden im Rahmen eines kontinuierlichen Verbesserungsprozesses laufend weiterentwickelt und angepasst.
Ein separater Datenschutzmanagement-Standard regelt die Aufgabenverteilung, so etwa die Zuweisung spezifischer Datenschutzaufgaben und Verantwortlichkeiten zu verschiedenen Organisationeinheiten. Auch externe Dienstleister, die personenbezogene Daten von Kund:innen oder Mitarbeitenden verarbeiten, werden über zwingend abzuschließende Datenschutzverträge zum Schutz der Daten verpflichtet.
Zur Sicherstellung der Einhaltung der Datenschutzvorgaben und Richtlinien werden regelmäßig interne und externe Audits durchgeführt. Durch die Group Datenschutz-Funktion erfolgen Prüfungen zur Beurteilung der Ordnungsmäßigkeit und Wirksamkeit des Datenschutzes in den Konzernunternehmen, einschließlich Assessments externer Dienstleister.
Im Geschäftsjahr wurden zudem in Österreich einzelne Prozesse im Rahmen einer behördlichen Prüfung durch die Datenschutzbehörde geprüft. Die Prüfung wurde ohne Auflagen oder Empfehlungen abgeschlossen.
Für die einzelnen Geschäftsprozesse sind die Verantwortlichkeiten im Zusammenhang mit personenbezogenen Daten in den jeweiligen Funktionsbereichen durch klare Regelungen definiert. Grundsätzlich folgt die Verteilung der Verantwortlichkeiten dabei dem Three-Lines-of-Defence-Prinzip. Das Management jeder Konzerngesellschaft ist für die Einhaltung aller datenschutzrechtlichen Vorgaben verantwortlich und wird dabei von der lokalen betrieblichen Datenschutzorganisation unterstützt. Diese umfasst die jeweiligen Datenschutzbeauftragten sowie die Datenschutzkoordinatoren. Die konzernweiten Anforderungen sowie die Pläne und Werkzeuge für deren Umsetzung werden von einer/einem Gruppen-Datenschutzbeauftragten festgelegt, die/der auch die Einhaltung aller Vorgaben überwacht. Die Datenschutzbeauftragten in den einzelnen Konzerngesellschaften überprüfen die Datenschutzprozesse und -maßnahmen kontinuierlich. Dieses Prozedere gilt für interne Prozesse gleichermaßen wie für Prozesse in Bezug auf Firmenkund:innen.
Die Gestaltung der Geschäftsprozesse und der Umgang mit personenbezogenen Daten unterliegen einer Vielzahl von Regelungen, wie zum Beispiel der Datenschutz-Grundverordnung der EU (DSGVO), der Verordnung der EU über künstlicher Intelligenz (KI-VO) und dem UN Global Compact. Die darin enthaltenen Kriterien bilden die Basis für die Regelung des Umgangs mit personenbezogenen Daten in Geschäftsprozessen. Dabei fließen auch die aktuellen Auslegungen und Entscheidungen europäischer und nationaler Gerichte sowie die Leitprinzipien und Verordnungen der europäischen und nationalen Aufsichtsbehörden mit ein.
6.2.3 Cybersicherheit
Das UNIQA Security & Resilience Konzept enthält ein klares Bekenntnis zur kontinuierlichen Verbesserung der Sicherheitssysteme konzernweit. Dieses Konzept ermöglicht nicht nur eine zeitnahe Reaktion im Ernstfall, sondern trägt auch zur Stärkung des Vertrauens der Kund:innen bei und fördert die Entwicklung innovativer und sicherer digitaler Lösungen. Es schützt sensible persönliche Informationen wie Gesundheits- und Finanzdaten vor Cyberangriffen und gewährleistet eine sichere Nutzung digitaler Dienste, einschließlich Gesundheits-Apps und Online-Versicherungsangeboten. Zu diesem Zweck wurde die UNIQA Group Cybersecurity-Strategie entwickelt und konzernweit implementiert. Die Verantwortung dafür liegt beim Vorstand für Operations, Data & IT.
Die Strategie basiert auf mehreren Säulen, zu denen auch proaktive Maßnahmen zur Prävention und zum Schutz vor Cyberangriffen zählen. Um die Kontinuität des Geschäftsbetriebs sicherzustellen, existiert zudem ein umfassender Krisenmanagement Rahmenplan, der neben einer strukturierten Entscheidungsfindung auch die strategische Kommunikation abdeckt.
6.3 Verfahren zur Einbeziehung von Verbraucher:innen und Endnutzer:innen in Bezug auf Auswirkungen (S4-2) und Verfahren zur Verbesserung negativer Auswirkungen und Kanäle, über die Verbraucher:innen und Endnutzer:innen Bedenken Äussern können (S4-3)
6.3.1 Privatkundengeschäft
Kund:innen stehen verschiedene Möglichkeiten zur Verfügung, um ihre Meinung zu äußern und Rückmeldungen zu geben. Um die Meinungen der Kund:innen in Entscheidungen einzubeziehen und ihre Zufriedenheit kontinuierlich zu messen, bestehen unterschiedliche Methoden. Zur Überprüfung der Wirksamkeit dieser und zur Vermeidung beziehungsweise Verringerung negativer Auswirkungen wurden vielfältige Prozesse etabliert. Kund:innen sind über die verfügbaren Verfahren und Kanäle zur Rückmeldung informiert, da sie regelmäßig Einladungen zur Teilnahme an Befragungen per E-Mail erhalten, sofern eine Marketingeinwilligung vorliegt, oder direkt in ihrem bevorzugten Kanal ein Angebot zur Feedbackabgabe bekommen. Eine davon ist die standardisierte Befragung in Form von Fünf-Sterne-Bewertungen, die durch Freitextfelder ergänzt werden kann. Diese Freitextkommentare werden mithilfe von KI-Technologien analysiert, um die Identifizierung thematischer Cluster und deren Analyse zu erleichtern. Solche Befragungen finden automatisiert entlang der gesamten Customer Journey, aber vor allem nach Neuabschlüssen, nach der Auszahlung bzw. Ablehnung von Schadens- bzw. Leistungsansprüchen oder nach einem individuellen Kontakt an UNIQA Standorten bzw. mit dem Kundenservice, statt. Bei Bewertungen von 1 (Skala: 1 „nicht genügend“ bis 5 „sehr gut“) können die Kund:innen angeben, ob sie an einem individuellen, telefonisch geführten Interview teilnehmen wollen. Die gewonnenen Erkenntnisse fließen in weiterer Folge in die Entwicklung von Produkten ein. Der Prozess im Zusammenhang mit Kundenbeschwerden wird durch eine Beschwerdemanagement Policy geregelt. Dadurch ist bei nahezu jeder Interaktion mit UNIQA sichergestellt, dass die Kund:innen ausreichend Gelegenheit haben, Rückmeldungen zu geben und dadurch zusätzlich Vertrauen zu gewinnen. Generell wird dabei großer Wert auf sorgsamen Umgang mit den Rückmeldungen gelegt. Abseits dieser strukturierten Feedbackmöglichkeiten werden regelmäßig Tiefeninterviews mit Kund:innen durchgeführt, die sich dafür freiwillig gemeldet haben, um umfassende Einblicke auf breiterer Basis zu erhalten.
Die UNIQA Österreich Versicherungen AG und ihre Dienstleistungsunternehmen, die in Kontakt mit Endkund:innen sind, führen laufende CCI-Befragungen (Customer Centricity Index) durch. Nach einem Kundenkontakt entlang der Customer Journey wird regelmäßig mittels Fragebögen die Zufriedenheit der Kund:innen mit den jeweiligen Prozessen, in denen sie sich befinden, erhoben. Die Bewertung erfolgt auf Basis einer Fünf-Sterne-Skala. Demnach dient der CCI als operatives Analyseinstrument, das die Kundenzentrierung in Österreich messbar und vergleichbar macht. Zusätzlich wurde im Geschäftsjahr erstmals auch der sogenannte stichtagsbezogene relationale Net Promoter Score (einmalige Befragung zur grundsätzlichen Weiterempfehlungsbereitschaft von UNIQA) erhoben, um ein Gesamtbild zur Weiterempfehlungsbereitschaft von UNIQA Kund:innen zu erhalten. Im Fokus steht dabei die Frage, wie wahrscheinlich es ist, dass Kund:innen UNIQA auf einer Skala von 0 bis 10 weiterempfehlen. Diese relationale Net-Promoter-Score-Befragung wird zukünftig einmal jährlich, unabhängig davon, ob gerade eine Interaktion mit UNIQA stattgefunden hat oder nicht, an alle Kund:innen mit Marketingeinwilligung per E-Mail verschickt. Ergänzend dazu erhebt UNIQA in Österreich einen laufenden transaktionalen Net Promoter Score (Weiterempfehlung auf Grund eines konkreten Anlassfalls) im Rahmen der CCI-Befragungen.
Der CCI-Score in Österreich betrug im Geschäftsjahr 4,72 (2024: 4,61) bei einer Anzahl von 333.985 (2024: 258.666) Feedbacks. Die gewonnenen Erkenntnisse werden im Rahmen eines kundeninduzierten kontinuierlichen Verbesserungsprozess in Maßnahmen festgehalten und strukturiert umgesetzt.
Harmonized C-SAT
Der sogenannte „Harmonized C-SAT“ steht für harmonisierte Kundenzufriedenheit (Customer Satisfaction) und bezeichnet eine international einheitlich erhobene Kennzahl zur Messung der Kundenzufriedenheit, die ebenfalls auf einer Fünf- Sterne-Skala basiert. Eine einheitliche Auswahl an Fragen wird allen Kund:innen mit Marketingeinwilligung an verschiedenen Berührungspunkten mit UNIQA entlang der Customer Journey mittels Fragebögen zur Beantwortung übermittelt. Dabei wird ausschließlich die Zufriedenheit der Endkund:innen erhoben. Die Fragen werden einmal jährlich konzernweit abgestimmt und bei Bedarf angepasst. Der Harmonized C-SAT wird für alle UNIQA Versicherungsgesellschaften und deren Dienstleistungsunternehmen erhoben. Zusätzlich fließt der stichtagbezogen relationale Net Promoter Score in den Harmonized C-SAT Score mit ein. Das Ergebnis des Harmonized C-SAT dient als Grundlage zur Erreichung des Konzernziels „Beste Dienstleisterin“. Dieses Konzept dient als zentrale Kennzahl für die Steuerung der Kundenorientierung. Damit wird sichergestellt, dass die Bewertung der Kundenzufriedenheit konsistent und vergleichbar erfolgt.
Die Kennzahl setzt sich aus der Anzahl der Feedbacks und dem Score zusammen. Bis 2028 strebt UNIQA eine durchschnittliche Bewertung von mindestens 4,5 Sternen an. Im Geschäftsjahr lag die Anzahl der Feedbacks bei 1.170.153 (2024: 1.194.905) und der konzernweite Score bei 4,61 (2024:4,58). Das Ziel ist damit bereits erreicht.
Marktforschung
Marktforschung stellt ebenfalls einen wichtigen Bestandteil der Produktentwicklungsprozesse dar, unabhängig davon, ob es sich um Änderungen bestehender oder die Gestaltung neuer Produkte handelt. Auch die Segmentierung der Kund:innen basiert auf der kontinuierlichen Auswertung der Marktforschungsdaten. Die Erhebung von Informationen erfolgt dabei grundsätzlich anonymisiert und folgt keinem festgelegten Zeitplan. Im Geschäftsjahr wurden Marktforschungen zu Nachhaltigkeitsthemen für Krankenversicherungs-, Kfz-Versicherungs- und Haushaltsversicherungsprodukte durchgeführt. Neben den Erkenntnissen daraus finden auch die Ergebnisse der Kundenbefragungen Eingang in den Produktentwicklungsprozess. Die Implementierung der gewonnenen Erkenntnisse obliegt der Abteilung Product Experience, die Verantwortung für die Einbeziehung der Kund:innen liegt bei den Vorstandsmitgliedern für die Bereiche Kunde & Markt Österreich sowie Kunde & Markt International.
6.3.2 Datenschutz
Datenschutzrechtliche Betroffenenrechte sind zentrale Elemente der DSGVO und ermöglichen es betroffenen Personen die Kontrolle über ihre Daten zu behalten. Um die Einhaltung dieser Betroffenenrechte verlässlich und innerhalb der regulatorischen Fristen gewährleisten zu können, wurden entsprechende Prozesse definiert und implementiert. Eine der wichtigsten Maßnahmen war dabei die Schaffung einer zentralen Anlaufstelle mit einer eigenen E-Mail-Adresse für Anfragen zu Betroffenenrechten im Bereich Datenschutz. Alle Kund:innen werden in der Datenschutzerklärung, die bei jeder Datenverarbeitung zum Zeitpunkt der Datenerhebung bereitgestellt wird, auf die zentrale Anlaufstelle hingewiesen. Je nach Art der Datenverarbeitung und der Form der Kommunikation erhalten die Kund:innen diese Datenschutzhinweise in Papierform, über die App, über diverse andere elektronische Kanäle oder über die Webseite. Die zentrale Anlaufstelle gewährleistet, dass alle eingehenden Anfragen erfasst, effizient abgewickelt und innerhalb der gesetzlichen Fristen zuverlässig bearbeitet werden. Sollten im Rahmen der Anfragen systematische Schwächen in den operativen Prozessen oder im Datenschutzkonzept erkennbar sein, werden Maßnahmen abgeleitet, zur Umsetzung gebracht und allenfalls die Datenschutzmanagement-Richtlinie angepasst. Weiters wurde ein datenschutzkonformes elektronisches Beschwerdemanagementsystem eingeführt, das eine einheitliche Bearbeitung von Kundenanliegen, Bedenken und Beschwerden sowie datenschutzrechtlichen Begehren ermöglicht. Kund:innen haben die Möglichkeit über verschiedene Kanäle (auch anonyme) Hinweise auf Compliance- oder Rechtsverstöße zu melden. Hierfür stehen E-Mail, Post, persönlicher Kontakt mit dem Compliance Team sowie die UNIQA Whistleblowing-Plattform zur Verfügung (siehe dazu auch Kapitel „Unternehmensführung (ESRS G1)“. Informationen zum Beschwerdemanagementsystem werden auch auf der UNIQA Website zur Verfügung gestellt.
Um bei Datenschutzverletzungen eine lückenlose Rechenschaft und transparente Bearbeitung zu gewährleisten, werden die Anfragen in Bezug auf Betroffenenrechte vom Datenschutzteam erfasst und dokumentiert. Jeder Fall wird sorgfältig evaluiert, potenzielle Auswirkungen auf bestehende Prozesse werden analysiert. Bei Risiken, die Rechte und Freiheiten natürlicher Personen betreffen, erfolgt gemäß DSGVO eine fristgerechte Meldung an die Datenschutzbehörde und gegebenenfalls an die betroffenen Kund:innen und Mitarbeitenden. Gleichzeitig werden Maßnahmen ergriffen, um das Risiko zu beseitigen und künftige Vorfälle zu verhindern. Zu den getroffenen Maßnahmen zählen insbesondere auch aus dem konkreten Fall abgeleitete technische und organisatorische Maßnahmen. Dadurch wird dauerhaft sichergestellt, dass die Maßnahmen wirksam sind und eingehalten werden. In regelmäßigen Reports und Expertengremien wird auf allen Führungsebenen und gegenüber Expert:innen (Vorstand, Aufsichtsrat, Management, Datenschutzkoordinator:innen) über spezifische Datenschutzvorfälle und getroffene Maßnahmen berichtet. Gezielte Bewusstseinsbildung zu den getroffenen Maßnahmen sowie der Austausch mit den Fachbereichen tragen ebenfalls dazu bei, die Wirksamkeit der Maßnahmen sicherzustellen. Die Verantwortung für die Einhaltung der Datenschutzvorschriften liegt beim Management jeder einzelnen Konzerngesellschaft. Unterstützt wird dieses dabei von der Datenschutzorganisation, die die erforderlichen Prozesse und Ressourcen für die ordnungsgemäße Implementierung des Datenschutzes zur Verfügung stellt.
Kund:innen und Mitarbeitende werden umfassend und transparent über die Verarbeitung ihrer Daten informiert und haben jederzeit das Recht, Auskunft über die gespeicherten Daten zu erhalten sowie deren Berichtigung oder Löschung zu verlangen.
6.3.3 Cybersicherheit
Die Anforderungen der Kund:innen an den Schutz ihrer Daten werden durch eine Kombination aus lückenloser Compliance und einer fortlaufenden Verbesserung der Schutzmaßnahmen berücksichtigt. Ein aktiver Austausch mit den Kund:innen zum Thema Cybersicherheit erfolgt aufgrund der Komplexität des Themas nicht. Durch die Ausrichtung des Cybersicherheitskonzepts auf gesetzliche und regulatorische Anforderungen wie etwa die DSGVO oder den Digital Operational Resilience Act der EU (DORA) ist gewährleistet, dass den Stakeholder:innen umfassender Schutz geboten wird. So wurden im Geschäftsjahr die DORA-Anforderungen der EU eingeführt, die gemeinsam mit der Implementierung der ICT-Third Party Security Risk Management und den Maßnahmen zur Verwaltung von Sicherheitsrisken zur Gewährleistung einheitlicher Standards und zur Erfüllung der Sicherheitsanforderungen Dritter beitragen. Der Vorstand und der Aufsichtsrat erhalten regelmäßig formelle Berichte über Cybersicherheitsrisiken und- vorfälle. UNIQA führt regelmäßig externe und interne Tests der digitalen Resilienz durch – dadurch wird sichergestellt, dass kritische oder wichtige Funktionen das erforderliche Maß an Sicherheit und Resilienz aufweisen. Auf die Transparenz und die Weiterverarbeitung von Kundendaten, auch in Bezug auf die Entwicklung und Implementierung von Abhilfemaßnahmen, wird auf das folgende Kapitel verwiesen.
6.4 Ergreifung von Massnahmen in Bezug auf wesentliche Auswirkungen auf Verbraucher:innen und Endnutzer:innen und Ansätze zum Management wesentlicher Risiken und zur Nutzung wesentlicher Chancen im Zusammenhang mit Verbraucher:innen und Endnutzer:innen sowie die Wirksamkeit dieser Maßnahmen (S4-4)
6.4.1 Privatkundengeschäft
Ein wesentlicher Schwerpunkt der ESG-Retail-Strategie sowohl in Österreich als auch international besteht in der Förderung eines umfassenden Nachhaltigkeitsbewusstseins der Berater:innen. Ziel ist es, ihre Nachhaltigkeitskompetenz zu erweitern und sicherzustellen, dass sie dieses Wissen gezielt in ihre Gespräche mit Kund:innen einbringen können. In Österreich ist der ESG-Produkt-Check, der neben Umweltkriterien auch soziale Kriterien wie die Förderung von Chancengleichheit und Inklusion umfasst (siehe auch die Angaben in Kapitel „Klimawandel im Privatkundengeschäft“), als fester Bestandteil in den Produktentwicklungsprozess implementiert. Gezielte Schulungsangebote zur ESG-Guideline und zum ESG-Check unterstützen die Produktverantwortlichen zudem dabei, ESG-Aspekte direkt in die Produktentwicklung zu integrieren.
In Österreich sind auch diverse IT-Tools für den Beratungsprozess implementiert, um sicherzustellen, dass die Berater:innen bei der Erfassung der Wünsche und Bedürfnisse der Kund:innen im Rahmen des Beratungsgesprächs entsprechend unterstützt werden.
Um die sozialen Aspekte der ESG-Retail-Strategie zu adressieren, wird auch an der Verbesserung der Zugänglichkeit zu Produkten gearbeitet. So wurden in Österreich im Geschäftsjahr der Bereich der Online-Kundenbetreuung weiter ausgebaut. Ein speziell eingerichtetes Team übernimmt dabei die Beratungstermine, die die Kund:innen selbständig über die Website vereinbaren können, um eine ortsunabhängige Beratung zu ermöglichen. Dabei haben die Kund:innen auch die Möglichkeit, aus verschiedenen Sprachen zu wählen. Weiteres wurde im Geschäftsjahr eine vereinfachte Risikobewertung bei der ambulanten Krankenversicherung eingeführt Die neue Produktstruktur ermöglicht den Einstieg in einen kleineren Versicherungsumfang mit geringeren Anforderungen. Gleichzeitig besteht die Möglichkeit, im Anschluss eine umfassende Erweiterung des Versicherungsschutzes vorzunehmen. Dadurch wird der Zugang zu den passenden Versicherungsprodukten für unterschiedliche Kund:innen deutlich vereinfacht und erweitert.
Zur regelmäßigen Bewertung aller im Vertrieb befindlichen Produkte ist ein umfassender Prozess eingerichtet, der gezielt überprüft, ob die Produkte im definierten Zielmarkt auch erfolgreich verkauft werden oder ob neue Rahmenbedingungen eine Anpassung der Produkte erforderlich machen. Die Überprüfung beruht auf der Auswertung allfälliger Kundenbeschwerden, einer Befragung von Vertriebsmitarbeiter:innen zu den Zielmarktdefinitionen und der Analyse versicherungstechnischer Kennzahlen. Bei Lebensversicherungsprodukten wird zusätzlich noch eine quantitative und qualitative Produktbewertung durchgeführt, um sicherzustellen, dass das Produkt weiterhin einen Mehrwert für die Kund:innen bietet. Darüber hinaus erfolgt ein regelmäßiger Informationsaustausch mit verschiedenen Interessensvertretungen.
UNIQA setzt regionalspezifische Maßnahmen zur Förderung der Gesundheit und des Zugangs zu Gesundheits- und Versicherungsleistungen von Verbraucher:innen und Endnutzer:innen um. In Österreich liegt der Fokus auf Gesundheitsförderung und Prävention. Dies umfasst insbesondere digitale Gesundheitsinformationen, ärztliche Hotlines, Coaching-Programme sowie neue ambulante Produktbausteine. In Polen wird der Zugang zu Gesundheits- und Versicherungsleistungen durch den Ausbau telemedizinischer Angebote sowie durch automatisierte Prozesse zur schnelleren Bearbeitung von Leistungsansprüchen verbessert. In der Ukraine tragen telemedizinische Services dazu bei, den Zugang zur medizinischen sicherzustellen und eine rasche medizinische Unterstützung zu ermöglichen.
Demnach werden in allen Märkten, in denen UNIQA tätig ist, derzeit Pläne und Maßnahmen erarbeitet, um negative Auswirkungen für Verbraucher:innen und Endnutzer:innen zu mindern und den Zugang zu Produkten zu erleichtern. Zusätzlich wurden im Geschäftsjahr verschiedene neue Schulungsformate entwickelt und eingeführt, so etwa Nachhaltigkeitstrainings für die Mitarbeitenden im Vertrieb unter anderem in der Slowakei, Tschechien, und Ungarn.
6.4.2 Datenschutz
Ein umfassendes datenschutzrechtliches Risikomanagement identifiziert potenzielle Datenschutzrisiken durch Risikoanalysen frühzeitig und ermöglicht auf diese Weise gezielte Maßnahmen zur Risikominimierung. Bei UNIQA ist Datenschutz in verschiedene Managementsysteme integriert, sowohl im operationalen wie auch im strategischen Bereich. Das Datenschutzmanagementsystem (DSMS) ist dabei eng mit dem Risikomanagementsystem und dem Compliance Management System verknüpft.
Ein wesentlicher Bestandteil des Datenschutzmanagementsystems ist die umfassende datenschutzrechtliche Beratung durch die verantwortliche Datenschutzfunktion. Diese steht den Mitarbeitenden konzernweit zur Verfügung und ist bei datenschutzrelevanten neuen Vorhaben und Projekten im Rahmen eines standardisierten Prozesses verpflichtend vorgesehen. Dies stellt sicher, dass Geschäftspraktiken im Einklang mit den regulatorischen Anforderungen stehen und keine negativen datenschutzrelevanten Auswirkungen für die betroffenen Personen nach sich ziehen. Das Datenschutzmanagementsystem umfasst auch einen kontinuierlichen Verbesserungsprozess, der zu einer regelmäßigen Überarbeitung der Datenschutzrichtlinien und der Datenschutz Guideline führt. Ebenso überprüft die Abteilung Datenschutz in ihrer Funktion als Second Line of Defence stichprobenartig die Behandlung von Datenschutzvorfällen, ob er inhaltlich, zeitlich und von den getroffenen Maßnahmen her im Sinne der Betroffenen wirksam und effektiv ist. Zudem stehen Abhilfemaßnahmen zur Verfügung, die basierend auf Einzelbewertungen im Fall von Datenschutzverletzungen ergriffen werden können. Dazu zählen etwa die Löschung von Daten, die Sperrung von Geräten, Passwortänderungen und zielgruppenspezifische Schulungen. Wenn UNIQA solche Maßnahmen ergreift, werden auch die betroffenen Kund:innen entsprechend informiert, sofern eine aktive Interaktion erforderlich ist. Abseits davon tragen auch Präventivmaßnahmen wie die Implementierung technischer und organisatorischer Vorkehrungen, die Etablierung von Privacy-by-Design und Privacy-by-Default-Prinzipien, Zugriffskonzepte, Notfallpläne und regelmäßige Datenschutz- und Sicherheitsüberprüfungen zur Vorbeugung gegen Datenschutzverletzungen bei.
Durch regelmäßige Schulungen über die Grundlagen des Datenschutzes und über den Umgang mit personenbezogenen Daten wird gewährleistet, dass alle Mitarbeitenden über die aktuellen Datenschutzanforderungen informiert sind und wissen, wie sie diese in ihrer täglichen Arbeit umsetzen können. Dies reduziert das Risiko von Datenschutzverletzungen und erhöht die allgemeine Datensicherheit im Unternehmen. Diese Schulungen sind für alle Mitarbeitenden verpflichtend und finden alle zwei Jahre beziehungsweise bei Neueintritt statt. Für die einzelnen Fachbereiche wurden im Geschäftsjahr diverse Werkzeuge erstellt und verbessert, die zur Unterstützung bei der Umsetzung des Datenschutzes dienen. Dazu zählen beispielsweise Anleitungen zum datenschutzkonformen Umgang mit Marketingeinwilligungen oder Hilfstools zur Feststellung und Dokumentation berechtigter Interessen sowie zur automatisierten Entscheidungsfindung und Kurzanleitungen zum datenschutzkonformen Umgang mit Dienstleistern außerhalb des Europäischen Wirtschaftsraumes. Ebenfalls im Geschäftsjahr wurde der Aspekt des Datenschutzes bei der Nutzung von künstlicher Intelligenz im Beratungsprozess noch besser und umfangreicher implementiert. Zudem wurde ein erweiterter Prozess zur Prüfung und Überwachung der von UNIQA genutzten Dienstleister:innen eingeführt, um auch diese auf Datenschutzkonformität überprüfen zu können.
Darüber hinaus wurde eine konzernweite Plattform etabliert, die allen Datenschutz Expert:innen der Konzerngesellschaften den strukturierten Austausch, die Vernetzung und die Abstimmung zu wichtigen regulatorischen Themen ermöglicht.
Im Geschäftsjahr lag der Fokus für die Implementierung zusätzlicher Maßnahmen insbesondere auf den erforderlichen Anpassungen des DSMS, um die regulatorischen Anforderungen im Bereich künstlicher Intelligenz zu erfüllen und sicherzustellen, dass bei der Nutzung innovativer Technologien die datenschutzrechtlichen Grundsätze und die Prinzipien der Datensicherheit gewährleistet sind. Die Aufgabe von UNIQA besteht darin, spezifische Maßnahmen zur Erreichung der gesetzten Ziele zu entwickeln und umzusetzen. Eine kontinuierliche Überprüfung der Fortschritte und eine Anpassung des Aktionsplans bei Bedarf werden wesentlich zur Erreichung der gesetzten Ziele beitragen.
6.4.3 Cybersicherheit
Hinsichtlich des Umganges mit potenziellen negativen Auswirkungen, die in Folge eines Cybervorfalls für Kund:innen entstehen könnten und damit verbundenen Abhilfemaßnahmen wird auf die im vorgehenden Kapitel beschriebene Vorgehensweise verwiesen. Diese Maßnahmen umfassen regelmäßige Sicherheits-Updates, Bedrohungsanalysen, Sicherheitsrichtlinien sowie modernste Technologien wie Firewalls, Intrusion-Detection-Systeme und Verschlüsselung. Unter anderem werden fortschrittliche Tools zur frühzeitigen Erkennung und Überwachung ungewöhnlicher Aktivitäten und Bedrohungen eingesetzt. Mitarbeitende erhalten jährlich und bei Neueintritt eine Schulung zum Thema Cybersicherheit und nehmen dazu an Sensibilisierungsprogrammen teil, die zur Steigerung des entsprechenden Risikobewusstseins beitragen. Diese sind auf die neuesten Bedrohungen und Angriffsarten ausgerichtet und umfassen je nach Zielgruppe sowohl theoretische Kenntnisse als auch praktische Übungen wie etwa die Teilnahme an Krisensimulationen.
Der Cybersicherheitsaktionsplan, der sich aus der Cybersicherheitsstrategie ableitet, enthält eine Kombination technischer, organisatorischer und personeller Maßnahmen. In Bezug auf die technischen Maßnahmen lag der Fokus im Geschäftsjahr auf einer weiteren Stärkung der Netzwerksicherheit, automatisierter Bedrohungserkennung sowie Datensicherung und Wiederherstellungsplänen. Die organisatorischen Maßnahmen beinhalten unter anderem die Risikobewertung und das Risikomanagement sowie den Incident Response Plan. Unter personellen Maßnahmen sind die Schulungen und die Sensibilisierung, das Recruting von Expert:innen und Spezialist:innen sowie die Unternehmenskultur, insbesondere der allgemeine Umgang mit Cybersicherheit, zusammengefasst.
Um die Resilienz gegenüber Cyberbedrohungen zu stärken, wurde ein umfassendes Resilience Management System implementiert, das verschiedene Sicherheits- und Krisenmanagementansätze zusammenfasst. Durch ein Business Continuity Management (BCM) wird die Aufrechthaltung kritischer Geschäftsprozesse sowohl während als auch nach einem Vorfall anhand von festgelegten Plänen und Prozessen gewährleistet.
Ein IT-Service Continuity Management (ITSCM) beinhaltet Notfallwiederherstellungspläne und sieht eine regelmäßige Überprüfung der IT-Risiken vor. Im Fall eines Sicherheitsvorfalls agiert ein Incident-Response-Team, das anhand klar definierter Prozesse für die Identifikation, Eindämmung, Behebung und Analyse von Sicherheitsvorfällen den Schaden minimiert und die zeitnahe Wiederherstellung der Systeme sicherstellt. Die Pläne und Maßnahmen zur Bewältigung akuter Notfälle, die den Geschäftsbetrieb gefährden, sowie die Koordination von internen und externen Ressourcen sind im Emergency Management verankert.
6.5 Ziele im Zusammenhang mit der Bewältigung wesentlicher negativer Auswirkungen, der Förderung positiver Auswirkungen und dem Umgang mit wesentlichen Risiken und Chancen (S4-5)
6.5.1 Privatkundengeschäft
Die Formulierung quantitativer Ziele und die Definition von Kennzahlen, die UNIQA bei der Bewältigung bzw. Nutzung der identifizierten Auswirkungen, Risiken und Chancen unterstützen, sind weiterhin in Arbeit. Ziel der nächsten Jahre wird es sein, für alle UNIQA Märkte eine quantitative Basis zu schaffen. Ein entsprechender Überwachungsprozess kann erst im Zuge der Festlegung der quantitativen Ziele aufgebaut werden.
6.5.2 Datenschutz
Um den regulatorischen Anforderungen zu entsprechen, die insbesondere durch die Digitalstrategie der EU getrieben werden, wird es unter anderem erforderlich, eine gesamtheitliche Betrachtung des Datenschutzes vorzunehmen und das Governance Framework für Data Governance weiterzuentwickeln. Ein Datenschutzaktionsplan legt dabei jährliche Ziele fest, die dazu dienen, wesentliche Risiken im Zusammenhang mit der Verarbeitung personenbezogener Daten von Mitarbeitenden und Kund:innen zu mindern und entsprechende Maßnahmen zu ergreifen. Diese Ziele beziehen sich für das Jahr 2026 vor allem auf die oben angeführten Maßnahmen und gesetzlichen Anforderungen. Aufgrund der Komplexität der Materie und in Ermangelung konkreter Zielwerte können hier keine weiteren quantitativen bzw. zeitgebundenen Ziele angeführt werden.
6.5.3 Cybersicherheit
Auch in Zukunft wird UNIQA ihre Cybersecurity-Strategie zur Einhaltung regulatorischer Anforderungen weiter ausbauen, um ihre Cyberresilienz zu stärken und sicherzustellen. Dies soll insbesondere durch die Umsetzung der beschriebenen Maßnahmen erfolgen. Auch in Bezug auf Cybersicherheit können aufgrund der Komplexität der Materie und in Ermangelung konkreter Zielwerte keine weiteren quantitativen bzw. zeitgebundene Ziele angeführt werden.