20. Gesetzes- und richtlinienkonformes Verhalten

Das Unternehmen legt offen, welche Maßnahmen, Standards, Systeme und Prozesse zur Vermeidung von rechtswidrigem Verhalten und insbesondere von Korruption existieren, wie sie geprüft werden, welche Ergebnisse hierzu vorliegen und wo Risiken liegen. Es stellt dar, wie Korruption und andere Gesetzesverstöße im Unternehmen verhindert, aufgedeckt und sanktioniert werden.

Corporate Governance/Compliance

Die Unternehmen des W&W-Konzerns unterliegen den nationalen sowie europäischen Anforderungen der Versicherungs- und Bankenaufsicht. Für die Versicherungsunternehmen des W&W-Konzerns sind u. a. die Anforderungen des Versicherungsaufsichtsgesetzes (VAG) und für die Bankenbranche u. a. das Kreditwesengesetz (KWG) sowie die jeweiligen Konkretisierungen relevant. Sowohl die Versicherungsunternehmen als auch die Institute (i.S.v. § 1 Abs. 1 KWG) haben vor diesem Hintergrund eine sogenannte Compliance-Funktion vorzuhalten, die auf die Beachtung der gesetzlichen Bestimmungen und der unternehmensinternen Richtlinien hinwirkt. Dies geschieht bei der W&W AG durch eine konzernweite Compliance-Organisation. Die Gesamtheit aller beim W&W-Konzern eingerichteten Maßnahmen und Prozesse zur Überwachung der Einhaltung der Regelkonformität werden im W&W-Konzern als Compliance Management System (CMS) bezeichnet. Bei der Ausgestaltung des CMS orientiert sich der W&W-Konzern am IDW Prüfungsstandard 980. Zu dessen Grundelementen gehören neben der Compliance-Kultur auch die Compliance-Ziele und -Risiken, die Compliance-Organisation, das Compliance-Programm, die Compliance-Kommunikation sowie die Compliance-Überwachung und -Verbesserung. Aufgabe des CMS ist es, hinreichend dafür zu sorgen, dass Risiken für wesentliche Regelverstöße und damit potenziell einhergehende Vermögensschäden rechtzeitig erkannt und verhindert werden.

Die Compliance-Funktion ist ein wesentlicher Bestandteil des CMS, eingebettet in das W&W-Governance-System und Teil des internen Kontrollsystems des W&W-Konzerns. Der W&W-Konzern folgt dabei dem Konzept der „drei Verteidigungslinien“, wodurch u. a. Rechtsrisiken kontrolliert, überwacht und geprüft werden können. So sind die Mitarbeiter und Führungskräfte in der ersten Verteidigungslinie dafür verantwortlich, Risiken im operativen Tagesgeschäft zu identifizieren, zu analysieren, zu steuern und auch zu kontrollieren. Die Compliance-Funktion der W&W AG agiert, gemeinsam mit der Risikomanagement- und Risikocontrollingfunktion, auf der zweiten Verteidigungslinie. Sie überwacht, dass prozessintegrierte, compliance-relevante Kontrollen im operativen Bereich eingerichtet und durchgeführt werden. Durch Überwachungs- und Kontrollhandlungen trägt die Compliance-Funktion zur Reduzierung von Rechtsrisiken bei. Die interne Revision der W&W AG hat als objektive und unabhängige Prüfungsinstanz die Zielsetzung, dass die Aufgaben der ersten und zweiten Verteidigungslinie anhand konkreter Prüfungshandlungen wirksam erreicht werden. Schließlich werden alle internen Verteidigungslinien ihrerseits durch externe Verteidigungslinien, z. B. der Wirtschaftsprüfer oder weiterer externer Aufsichtsorgane, hinsichtlich deren Funktionsfähigkeit überwacht. Sämtliche Regelungen sind dabei Teil der schriftlich fixierten Ordnung der W&W AG.

Zur Berücksichtigung entsprechender aufsichtsrechtlicher Anforderungen einerseits und zur Vermeidung von rechtswidrigem Verhalten andererseits ist bei der W&W AG bzw. bei der Compliance-Funktion ein sogenannter Compliance-Regelkreis etabliert. Die Compliance-Funktion hat dabei die Einhaltung der für die Unternehmen des W&W-Konzerns relevanten und wesentlichen rechtlichen Verpflichtungen zu überwachen bzw. auf die Einhaltung hinzuwirken. Dazu werden neue bzw. sich verändernde rechtliche Verpflichtungen im Zuge eines Rechtsmonitorings oder interne Änderungsvorhaben nach definierten Kriterien identifiziert und fortlaufend überwacht. Weitere Aufgabe der Compliance-Funktion ist es, die für die Rechtsvorschriften verantwortlichen Fachbereiche, welche die Rechtsvorschrift einzuhalten bzw. operativ umzusetzen haben, zu identifizieren. Schließlich übernimmt die Compliance-Funktion im Rahmen des Compliance-Regelkreises die Überwachung und Beurteilung der Angemessenheit und Wirksamkeit der zur Einhaltung der Rechtsvorschriften oder internen Änderungsvorhaben erforderlichen Maßnahmen.

Der Gesamtprozess wird mittels eines webbasierten Verfahrens unter Einbindung verschiedener interner und externer Informationsquellen einheitlich gesteuert und durchgeführt.

Der W&W-Konzern setzt sich überwiegend aus Unternehmen zusammen, die im Finanzdienstleistungsbereich tätig sind. Aufgrund der Geschäftsmodelle des W&W-Konzerns, der Interaktion an Kapitalmärkten und einer Vielzahl von Geschäftspartnern ist die Gefahr von wirtschaftskriminellen Handlungen, sowohl von externer als auch von interner Seite, grundsätzlich vorhanden. Mögliche strafrechtlich relevante Handlungen sind neben der Möglichkeit korrupter Vorgänge unter anderem auch Geldwäschehandlungen und Eigentumsdelikte. Die gesetzlichen Anforderungen zur Verhinderung von wirtschaftskriminellen Handlungen (Fraud) ergeben sich für den W&W-Konzern unter anderem aus § 9 GwG, § 91 Abs. 2 AktG und § 161 AktG. Darüber hinaus existieren ergänzende aufsichtsrechtliche Anforderungen (z. B. MaRisk BA). Seit 2010 werden in jährlichen Risiko- und Gefährdungsanalysen potentielle Fraud-Risiken durch die jeweiligen Beauftragten identifiziert, analysiert und bewertet, um betrügerische Handlungen zu verhindern. Die Risikoanalysen werden jährlich aktualisiert und entsprechende Präventionsmaßnahmen umgesetzt. Zudem werden alle gesetzlichen Anforderungen zur Verhinderung von Geldwäsche und Terrorismusfinanzierung für die relevanten Institute abgedeckt. Soweit erforderlich werden geeignete Maßnahmen zur Verhinderung von Fraud implementiert oder angepasst. Im Wege der laufenden Weiterentwicklung der Fraud Prevention bzw. des Anti-Fraud-Managements erfolgt ein regelmäßiger Austausch zwischen den involvierten Bereichen.

Neben Kontrollen und technischen Systemen sind entsprechend sensibilisierte Mitarbeiter zur Vermeidung und Aufdeckung korrupter Handlungen wesentlich. Die Mitarbeiter des W&W-Konzerns sollen daher auffällige Vorgänge an die Führungskraft melden. Darüber hinaus stehen die Compliance-Beauftragten sowie der Leiter der internen Revision für derartige Hinweise zur Verfügung. Entsprechende Wahrnehmungen können außerdem einem externen Ombudsmann anonym mitgeteilt werden.

Datenschutz

Die Unternehmen der W&W-Gruppe und ihre Dienstleister erheben, verarbeiten und speichern in großem Umfang personenbezogene Daten. Die Daten werden in der Antragstellung, bei der Beratung von Kunden, im Kunden- und Vertragsservice, in der Spar- und Darlehensbearbeitung sowie im Schaden- und Leistungsmanagement benötigt. Personenbezogene Daten werden auch im Zusammenhang mit Personaleinsatz und den Aktionären verarbeitet. Das Vertrauen unserer Kunden, Aktionäre und Mitarbeiter in den Schutz und die Sicherheit von Daten ist ein wesentlicher Faktor für die Wettbewerbsfähigkeit der W&W-Gruppe und maßgeblich für die Reputation. Zudem muss die W&W-Gruppe die gesetzlichen Anforderungen an den Datenschutz sicherstellen und hat hierfür entsprechende Verfahren und Methoden implementiert.

Der Umgang mit personenbezogenen Daten ist in Konzernstandards über entsprechende Vorgaben und durch die Verpflichtung aller Mitarbeiter geregelt, die datenschutzrechtlichen Bestimmungen einzuhalten und aktiv dazu beizutragen, dass personenbezogene Daten zuverlässig gegen unberechtigte Zugriffe gesichert werden. Personenbezogene Daten dürfen von Konzernmitarbeitern und ihren Dienstleistern nur erhoben und verarbeitet werden, soweit dies für einen genau definierten Zweck zur rechtmäßigen Aufgabenerfüllung erforderlich und eine Rechtsgrundlage vorhanden ist. In Zweifelsfällen ist die Abteilung Konzerndatenschutz einzubinden.

Zusätzlich bestehen die Konzern-Datenschutzrichtlinie und Arbeitsanweisungen. In diesen werden u. a. die Rechte der Kunden sowie erforderliche organisatorische Maßnahmen zur Sicherstellung der gesetzlichen Anforderungen beschrieben.

Am 1. Januar 2014 sind die Versicherungsgesellschaften des Konzerns dem Datenschutzkodex der Versicherungswirtschaft beigetreten. Diese Verhaltensregeln für den Umgang mit personenbezogenen Daten wurden vom Gesamtverband der Deutschen Versicherungswirtschaft (GDV) gemeinsam mit Unternehmensvertretern, Datenschutzbehörden und Verbraucherschützern erarbeitet und als verbindliche Verhaltensrichtlinie anerkannt. Die Umsetzungsbestätigungen zum Datenschutzkodex wurden der zuständigen Landesdatenschutzbehörde übermittelt.

Im Jahr 2016 wurden die Vorbereitungen zur Gewährleistung der Anforderungen der EU-Datenschutz-Grundverordnung konzernintern begonnen. Die neuen Anforderungen wurden identifiziert und entsprechende Maßnahmen erhoben. Diese sollen bis Mai 2018 umgesetzt sein. Die europäische Datenschutzgrundlage wird dann das aktuelle deutsche Datenschutzrecht ablösen.

Jedes Konzernunternehmen der W&W, bei dem die gesetzlichen Voraussetzungen erfüllt sind, bestellt einen betrieblichen Datenschutzbeauftragten. Der betriebliche Datenschutzbeauftragte leistet einen wesentlichen Beitrag zur Einhaltung der Bestimmungen des Bundesdatenschutzgesetzes und der EU-Datenschutz-Grundverordnung. Hierfür nimmt er die ihm kraft Gesetzes und in der Konzern-Datenschutzrichtlinie zugewiesenen Aufgaben im Rahmen der weisungsfreien Anwendung seiner Fachkunde wahr.

Bei der Ausübung seiner Aufgaben erfolgt eine enge Zusammenarbeit und Abstimmung mit wichtigen Schnittstellen wie Revision, Compliance, Recht und Informationssicherheit. In der Informationssicherheit wird im Rahmen der Zuständigkeit des IT-Sicherheitsbeauftragten die Vermeidung von Schäden durch den Verlust der Verfügbarkeit, Vertraulichkeit oder Integrität von Kunden-, Geschäfts- und Mitarbeiterdaten verfolgt. Sämtliche Datenschutzrisiken werden an das Risikomanagement gemeldet.

Die Abteilung Konzerndatenschutz berichtet in Form eines Jahresberichts den Unternehmensvorständen sowie den Geschäftsbereichen über stattgefundene Prüfungen, Beanstandungen und gegebenenfalls noch zu beseitigende Organisationsmängel. Bei relevanten Datenschutzvorkommnissen wird zudem unterjährig an die Geschäftsleitung berichtet.

Den Fachbereichen und Projekten der W&W-Gruppe steht die Abteilung Konzerndatenschutz in allen Fragen des Datenschutzes beratend zur Verfügung. Jeder Mitarbeiter kann sich unmittelbar mit Hinweisen, Anregungen oder Beschwerden an den Konzerndatenschutz wenden, wobei die Vertraulichkeit gewahrt wird. Für die Kunden und Geschäftspartner sind die Kontaktdaten des Konzerndatenschutzes auf den Webseiten der W&W-Gruppe veröffentlicht. In Deutschland gab es im Jahr 2017 keine wesentlichen Beschwerden in Bezug auf eine Verletzung des Datenschutzes.