Allianz
Trade
Allianz Trade und Euler Hermes AG

Datenschutz und
Informationssicherheit

Der Schutz von Kundendaten und das damit verbundene Vertrauen haben für uns höchste Priorität. Unsere Kunden, Mitarbeitenden und Stakeholder erwarten von uns, dass wir ihre persönlichen Daten mit größter Sorgfalt behandeln – und diese Verantwortung nehmen wir sehr ernst.

Die zunehmende Digitalisierung und der Einsatz neuer Technologien wie Künstlicher Intelligenz bringen datenschutzrechtliche Herausforderungen mit sich, darunter die Einhaltung der Datenschutzgesetze in verschiedenen Ländern. Wir verpflichten uns, die Privatsphäre unserer Kunden und Stakeholder zu schützen. Die EU-Datenschutz-Grundverordnung (DSGVO), die seit 25. Mai 2018 gilt, hat die Aufmerksamkeit dafür erhöht, wie Unternehmen die Anforderungen des Datenschutzes erfüllen. Unternehmen, bei denen Mängel festgestellt werden, werden mit Geldstrafen in nicht unerheblicher Höhe belegt. Fehlerhafte Datenschutzpraktiken können in die Rechte und Freiheiten von Kunden und Mitarbeitenden eingreifen.

Neben der DSGVO berücksichtigen wir weitere aktuelle Rechtsentwicklungen, darunter den EU AI Act für den verantwortungsvollen Einsatz von Künstlicher Intelligenz, die NIS2-Richtlinie für Cybersecurity sowie den Data Act für faire Datennutzung. Diese Regelwerke fließen in unsere Datenschutz- und Sicherheitskonzepte ein.

Der Allianz-Privacy- Standard (APS) ist unser globaler Standard für den Datenschutz. Er wird regelmäßig aktualisiert und definiert  Regeln und Prinzipien, wie wir personenbezogene Daten erheben und verarbeiten. Der Standard legt folgende Datenschutzprinzipien fest, die alle Mitarbeitenden, egal wo auf der Welt, beachten müssen:

  •  Rechtmäßigkeit, Fairness und Transparenz
  • Zweckbindung
  • Datenminimierung
  • Genauigkeit
  • Speicherbeschränkung
  • Integrität und Vertraulichkeit
  • Rechenschaftspflicht

Wir veröffentlichen einen Datenschutzhinweis, in dem wir Mitarbeitende und Kunden informieren, wo personenbezogene Daten gespeichert und verwendet werden. Diese Vorgehensweise erkennt unsere Datenschutzbehörde als unsere verbindlichen Unternehmensregeln (Binding Corporate Rules, BCR) an. Diese BCR erlauben es Unternehmen der Allianz Gruppe, personenbezogene Daten innerhalb des europäischen Wirtschaftsraumes in andere Länder rechtmäßig zu übermitteln, wenn dies für Geschäftszwecke erforderlich ist. Unser gruppenweites Datenschutzprogramm wird kontinuierlich weiterentwickelt: Wir verpflichten uns, unsere Dienstleistungen mithilfe unserer „Digital by Default“-Dienste voranzutreiben. Das Programm umfasst robuste Datenschutzkontrollen wie Datenschutzfolgenabschätzungen sowie datenethische Bewertungen und Überwachungsaktivitäten durch eine datenschutzorientierte Kultur. Das Programm baut auf dem Allianz Privacy Framework auf, das diese Teilbereiche umfasst:

  •  Allianz-Privacy-Standard (APS)
  • Datenschutzfolgenabschätzung und Risikomanagementprozess
  • enge Zusammenarbeit mit den Kernfunktionen der Informationssicherheit
  • Aktivitäten zur Überwachung des Datenschutzes und der Datensicherheit
  • Schulungen für Mitarbeitende, wie sie personenbezogene Daten von Kunden, Mitarbeitenden und Drittparteien angemessen verarbeiten

Wir betrachten die Identifizierung und das Management von Datenschutzrisiken auf operativer Ebene. So stellen wir sicher, dass die Überwachung und Anpassung in unseren Kerngeschäftsbereichen funktioniert. Wir haben Datenschutzfolgenabschätzungen (Privacy Impact Assessments, PIAs) für Prozesse mit hohem Risiko die personenbezogenen Daten betreffend installiert. Unsere PIA-Vorlagen werden kontinuierlich an aktuelle Anforderungen angepasst. 

Unser Verzeichnis von Verarbeitungstätigkeiten (gemäß Art. 30 DSGVO) wird über ein zentrales RoPa-Tool (Record of Processing Activities) verwaltet. Dieses Tool dokumentiert systematisch alle relevanten Parameter: rechtliche Grundlagen, Verarbeitungszweck, Löschkonzepte, Datennutzung und Speicherorte. Unsere Privacy Champions in den einzelnen Bereichen pflegen das Verzeichnis kontinuierlich und stellen sicher, dass alle Verarbeitungstätigkeiten aktuell dokumentiert sind. Eine Überprüfung erfolgt mindestens jährlich.

 

Beim Einsatz von Künstlicher Intelligenz beachten wir die Anforderungen des Art. 22 DSGVO sowie des EU AI Act. Neben der DSGVO führt der EU AI Act produkt- und sicherheitsorientierte Verpflichtungen ein, indem er KI‑Systeme nach Risikostufen klassifiziert, bestimmte Nutzungen verbietet (wie manipulative oder ausbeuterische KI‑Praktiken sowie bestimmte biometrische Anwendungen) und strenge Anforderungen an „Hochrisiko‑KI“ stellt, die in sensiblen Bereichen eingesetzt wird.

In der Allianz Trade Gruppe ist die Funktion des AI Trust Officer (AITO) im Privacy‑Bereich verankert. Der AITO übernimmt dabei eine zentrale Rolle bei der Umsetzung der Responsible AI (RAI) Governance. Zu seinen Aufgaben zählt insbesondere die Sicherstellung der wesentlichen RAI‑Prinzipien wie Transparenz, Nichtdiskriminierung, menschliche Aufsicht, Sicherheit, Datenschutz, Data Governance und Rechenschaftspflicht. Darüber hinaus überwacht er die Einhaltung der Vorgaben zu verbotenen KI‑Praktiken sowie die Anforderungen an KI‑Kompetenz (AI Literacy). 

Das Thema Datenethik ist Teil des Allianz-Privacy- Standards, den wir jährlich aktualisieren. Darüber hinaus haben wir Datenethikfragen in unsere PIA Templates integriert und damit in unserer Organisation verankert.

Wir arbeiten mit unseren Mitarbeitenden zusammen, um sicherzustellen, dass sie die Anforderungen an den Umgang mit vertraulichen Informationen und persönlichen Daten verstehen. Alle Mitarbeitenden durchlaufen verpflichtende DSGVO-Schulungen, die jährlich aufgefrischt werden. Mitarbeitende, die intensiv mit der Verarbeitung personenbezogener Daten befasst sind, erhalten zusätzliche vertiefende SchulungenNeue Mitarbeitende bereiten wir mit der DSGVO-Schulung auf das Thema vor. Mit diesen Schulungen erreichen unsere Mitarbeitenden in der gesamten Organisation einen angemessenen Kenntnisstand über die Grundsätze der Vertraulichkeit und des Datenschutzes. Um aktuelle Themen zu diskutieren, gibt es monatliche Gespräche zwischen unserem regionalen Datenschutzbeauftragten und den Verantwortlichen auf Allianz Trade Gruppenebene.

Die Einhaltung der DSGVO-Standards werden wir auch in Zukunft sicherstellen. Wir aktualisieren kontinuierlich den Allianz-Privacy-Standard sowie die funktionalen Regeln und Datenschutzrichtlinien, um regulatorische Änderungen und Gerichtsentscheidungen zu berücksichtigen. Darüber hinaus möchten wir ein intensiveres Engagement für Datenschutzthemen in der gesamten Gruppe fördern, unter anderem durch Datenschutzschulungen über die Grenzen Deutschlands hinweg.