„Regeln sind kein Selbstzweck“

Rita Wittmann, Leiterin der Abteilung Legal & Compliance der UNIQA Insurance Group AG und der UNIQA Österreich Versicherungen AG, über die explodierende Regulierungsdichte, sensible Daten und Wildwuchs im Regelwald

2016 wurden die Abteilungen Legal und Compliance zusammengeführt. Was sind die Schwerpunkte Ihrer Tätigkeit?

Wir sehen uns als Serviceabteilung für den Konzern. Versicherungen stehen vor großen Herausforderungen, weil die Regulierungsdichte geradezu explodiert und die gesetzlichen Vorgaben immer strenger werden. Deren Umsetzung bedeutet für den Konzern einen enormen Aufwand, den ich aber auch als Chance betrachte: Wir sind dadurch gezwungen, effiziente Prozesse zu gestalten, Abläufe zu harmonisieren und Selbstdisziplin zu üben. Das führt zu mehr Transparenz und Effizienz, was letztlich den Kunden und dem Unternehmen zugutekommt.

Die Kunden sind aber nicht immer glücklich über die vielen Fragen, die sie nun beantworten müssen.

Stimmt, mittlerweile müssen jede Menge Formulare ausgefüllt und teilweise wirklich intime Fragen beantwortet werden. Aber nicht, weil wir den Kunden ausspionieren wollen, sondern weil das regulatorische Netz immer engmaschiger wird und wir gesetzliche Anforderungen zu erfüllen haben. Nehmen wir zum Beispiel FATCA (Foreign Account Tax Compliance Act) & CRS (Common Reporting Standard): Die Implementierung dieser Meldegesetze, die durch internationalen Datenaustausch Steuerhinterziehung und Geldwäsche verhindern sollen, bedeutet einen hohen Aufwand, der uns selbst im Grunde nichts bringt. (Lacht) Außer Kosten. Im Ernst: Es geht um sensible Daten, die niemand gerne hergibt, und der Mehrwert für den Kunden ist nicht ersichtlich.
Deshalb ist es umso wichtiger, die Hintergründe gut zu erklären, damit auch beim Kunden ein Lern- und Umdenkprozess einsetzt – wie beim Bankgeheimnis, das in Österreich geradezu eine heilige Kuh war, aber eben nicht mehr zu halten ist.

Um Geheimnisse geht’s auch im Bereich Börsen-Compliance, der 2016 verstärkt wurde?

Durch verschiedene organisatorische Maßnahmen, unter anderem die Einrichtung ständiger und projektbezogener Vertraulichkeitsbereiche im Haus, sollen Marktmissbrauch verhindert und die Einhaltung der gesetzlichen Anforderungen gewährleistet werden. Personen, die mit vertraulichen Informationen zu tun haben, also selbstverständlich Vorstand und Aufsichtsrat, aber auch Mitarbeiter in Abteilungen wie Finance oder IR, erhalten Schulungen in den Grundregeln der Geheimhaltung.

Welche anderen Aufgaben standen 2016 im Fokus?

Ein wichtiges Thema der Konzernsteuerung war und ist internationale Compliance. Der Konzern ist ja in 18 Ländern vertreten, teilweise sogar mit mehreren Gesellschaften, die wir mit jährlichen Company Visits überprüfen. Wir stellen Fragen, ziehen Stichproben, nehmen Einsicht in lokale Dokumente und verfassen Berichte über den jeweiligen Status. Seit 2016 gibt es außerdem ein Assessment-Tool, mit dem sich die Länder anhand von Fragen und Antworten im Ampelsystem selbst beurteilen können. Wobei wir natürlich gegenchecken, ob der Länderbericht mit unseren Hintergrundinformationen übereinstimmt. Letztlich sollen mit diesem Tool die lokalen Verantwortlichen stärker in die Pflicht genommen und ihre Sensibilisierung gefördert werden.

„Richtlinien haben ja eine Tendenz zum Wildwuchs, aber Regeln sind kein Selbstzweck: Sie müssen schlank und überschaubar sein.“

Die Umsetzung der Datenschutz-Grundverordnung bis 2018 – ebenfalls ein großes Thema?

Ja, weil für die bereits bestehenden Systeme zur Verwaltung der Verträge neue Funktionalitäten vorgesehen werden müssen, um den Anforderungender Datenschutz-Grundverordnung gerecht zu werden. Dazu zählen etwa die Pseudonymisierung, die Einschränkung der Verarbeitung oder die Sicherstellung der Datenübertragbarkeit. Die Informationspflichten bei Datenerhebungen werden umfassend ausgeweitet, und das macht auch die Überarbeitung zahlreicher Formulare erforderlich. Das alles fristgerecht zu bewerkstelligen, bedeutet einen enormen administrativen und technischen Aufwand.

Beim Stichwort Datenschutz denkt man automatisch auch an Whistleblower. Gibt es bei Ihnen eine Hotline für Hinweisgeber?

Wir sind gerade dabei, eine eigene Plattform einzurichten; sie soll noch in der ersten Jahreshälfte 2017 in Betrieb gehen.

Was könnte dort angezeigt werden? Versicherungsbetrug? Korruption?

Versicherungsbetrug wird primär im Fachbereich Versicherungstechnik bearbeitet; wir wollen uns diesem Bereich aber verstärkt widmen, weil hier viel Geld liegen bleibt. Korruption fällt in die Kategorie Reputations-Compliance: Mit unserem „Code of Conduct“, zusammengefasst in einer handlichen Broschüre, definieren wir hier neben der ethischen und rechtskonformen Geschäftsführung auch angemessene Umgangsformen – mit Kunden ebenso wie mit Behörden, Geschäftspartnern und Kollegen – sowie den richtigen Umgang mit Geschenken und Einladungen. Gegen kleine Präsente oder eine bescheidene Einladung zum Essen ist sicher nichts einzuwenden; liegt der Wert der Zuwendung aber bei mehr als 100 Euro, muss eine Genehmigung eingeholt werden. Für den Umgang mit Amtsträgern gelten noch strengere Regelungen.

Wie koordinieren Sie diese Vielzahl an internen Regeln?

Wir sind gerade dabei, unser Policy-Management zu verschlanken und neu aufzusetzen – sowohl als Instrument der Konzernsteuerung als auch zur Umsetzung der neuen regulatorischen Vorgaben. Über allem steht die Governance Policy, die definiert, wie dieser Konzern funktioniert. Darunter rangieren auf verschiedenen Ebenen und unterschiedlich detailliert Policies, Standards, Richtlinien und Manuals, quasi interne Gesetze darüber, wie Prozesse abzulaufen haben. Diese Vorschriften müssen miteinander akkordiert werden, damit sich immer dann, wenn wir hier ein Rädchen drehen, auch das Gegenstück in Bosnien oder der Slowakei verlässlich mitdreht. Richtlinien haben ja eine Tendenz zum Wildwuchs, aber Regeln sind kein Selbstzweck: Sie müssen schlank und überschaubar sein. Und sie müssen vor allem lebbar sein.