HanseMerkur – Datenschutz, Informationssicherheit & internes Kontrollsystem (IKS) „all in one“ auf der Basis des integrierten Managementsystems QSEC

Die HanseMerkur ist eine konzernunabhängige mittelständische Versicherungsgruppe mit Sitz in Hamburg. Sie bietet Versiche­rungsschutz für die Versicherungsrisiken Gesundheit, Pflege, Le­ben, Risiko- und Altersvorsorge, Reise und Freizeit, Schaden und Unfall sowie betrieblicher Zusatzversicherung.

Innovative Produkte, finanzielle Stärke und Traditionsbewusstsein – diese Eigenschaften schätzen Kunden und Vertriebspartner an der HanseMerkur. Das Unternehmen ist ein finanziell solider mit­telständischer Personenversicherer und die einzige selbständige und konzernunabhängige Versicherungsgruppe am Finanzplatz Hamburg, die bundesweit tätig ist. Als „Versicherungsverein auf Gegenseitigkeit“ ist die Organisation nur Kunden und Mitarbei­tern verpflichtet – nicht Aktionären oder Investoren. Dieses Prin­zip prägt das Handeln, ist Teil der Unternehmenskultur und äu­ßert sich in einer klaren Haltung. Das alte hanseatische Prinzip des Ehrbaren Kaufmannes ist für eine traditionsreiche hanseatische Versicherung wie die HanseMerkur grundlegend. Einschlägige ge­setzliche Vorschriften und interne Regelungen einzuhalten ist für uns deshalb Bestandteil unserer Unternehmensphilosophie.

Das Motto „Hand in Hand ist… HanseMerkur“ spiegelt dieses Selbstverständnis wider. Es geht dabei sowohl um die partner­schaftliche Zusammenarbeit im Haus, zwischen Mitarbeitern und Führungskräften sowie den Mitgliedern des Vorstandes, als auch um das ehrliche Bemühen den Kunden gegenüber. Die Leitidee „Hand in Hand ist HanseMerkur“ übersetzt den Gemeinschafts­gedanken in ein zutiefst menschliches Prinzip. Denn mit gegen­seitiger Unterstützung – also Hand in Hand – funktioniert einfach alles besser.

Die Ausgangssituation

Als Versicherungsunternehmen unterliegt die HanseMerkur ne­ben den grundsätzlich geltenden Anforderungen an Informati­onssicherheit und Datenschutz ergänzend den regulatorischen Bestimmungen der BaFin (Bundesanstalt für Finanzdienstleis­tungsaufsicht). Im Kontext der Informationssicherheit hat die BaFin die versicherungsaufsichtlichen Anforderungen an die IT, abgekürzt VAIT, im März 2019 veröffentlicht. Erläutert werden hier im Wesentlichen die aufsichtsrechtlichen Anforderungen an IT-Strategie, IT-Governance, Informationsrisiko-Management, In­formationssicherheitsrisikomanagement, Benutzerberechtigungs-Management, IT-Projekte, IT-Betrieb und Ausgliederungen von IT-Dienstleistungen.

Bereits vor dem Inkrafttreten der VAIT-Anforderungen hat sich die HanseMerkur seit 2017 auf künftig steigende Herausforderungen zu Datenschutz, Informationssicherheit und Risikomanagement vorbereitet. Während der intensiv betriebenen IST-Analyse in diesen Themenbereichen wurde deutlich, dass nachhaltige Ver­fahren und Prozesse für zukünftige Anforderungen mit den bis zu diesem Zeitpunkt etablierten Bordmitteln wie Word, Excel oder PowerPoint nicht sinnvoll und ressourcensparend abgebildet wer­den können.

Es wurde klar, dass die komplexen Anforderungen toolgestützt deutlich besser zu managen sein würden. Für die Auswahl eines geeigneten Lösungsanbieters war die erklärte Anforderung, ei­nen Partner zu finden, der nicht nur eine im Markt gut etablierte Managementlösung für Datenschutz und Informationssicherheit nach allen Anforderungen der Versicherungsbranche anbietet, sondern auch den gewünschten Zusatznutzen zum Aufbau ei­nes ganzheitlichen internen Kontrollsystems (IKS) innerhalb der Software darstellen kann. Außerdem war es für die HanseMerkur wesentlich, dass der zukünftige Partner über langjährige Bera­tungserfahrung und Referenzen in großen Sicherheits- und Da­tenschutzprojekten verfügt, weil für die Umsetzung ein partner­schaftliches und professionelles Hand in Hand arbeiten zwischen Auftraggeber und Auftragnehmer vorausgesetzt wurde.

Der Entscheidungsprozess

Einige wesentliche Anforderungen für den Entscheidungsprozess waren, einen Hersteller zu evaluieren, der in seiner Lösung

[…]

Wie genau der Entscheidungsprozess und die Umsetzung des ganzheitlichen Managementsystems verlaufen sind und welchen weiteren Nutzen die Softwarelösung QSEC hat, erfahren Sie in der informativen Case Study, die auf der Webseite von WMC zum Download zur Verfügung steht.

HanseMerkur Case Study zum Download:

https://wmc-direkt.de/hansemerkur-case-study