Governance

Datenschutz im DB-Konzern

Neben dem branchenübergreifenden Trend zur Digitalisierung und Vernetzung war 2020 geprägt von der Corona-Pandemie. Die datenschutzrechtliche Beratung befasste sich daher mit Fragen rund um die Corona-App, zu den Arbeitsbedingungen im Homeoffice und dem Einsatz von Video-Tools, mit Datenerhebungen zu Kontaktnachverfolgungen und mit den erforderlichen Informationen für Kund*innen und Mitarbeitende.

Um der hohen Nachfrage nach datenschutzrechtlicher Beratung nachzukommen, wurde im Zuge der Weiterentwicklung der nationalen und internationalen dezentralen Datenschutzorganisation sowie zur Unterstützung der Starken Schiene das Konzept Datenschutzorganisation 4.0 weiter vorangetrieben. Ziel des Konzepts ist die Professionalisierung des Datenschutzes im DB-Konzern. Dazu wurde eine starke Regelorganisation durch klare Aufgaben-, Rollen- und Zuständigkeitsbeschreibungen geschaffen, die durch ein Schnittstellenmanagement zur Steuerung der datenschutz­recht­lichen Themen mit und zwischen Konzernleitung, Geschäftsfeldern und Konzernunternehmen unterstützt wird.

Unerlässlich für ein hohes Sicherheitsniveau innerhalb des DB-Kon­­zerns ist auch die bereichsübergreifende Zusammenarbeit der Governance-Bereiche Datenschutz, Informationssicherheit, Konzernsicherheit und Compli­ance. Durch eine stetig verbesserte Zusammenarbeit können Syner­gien genutzt und kann gemeinsam der bestmögliche Schutz der Mitarbeiten­­den und Kund*innen ermöglicht werden.

Datenschutzmanagementsystem

Zur zentralen Aufgabe des Konzerndatenschutzes gehörte auch die Optimierung und Weiterentwicklung des Datenschutzmanagementsystems (DSMS). Dabei handelt es sich um ein systematisches Zusammenspiel aus Rollen und Verantwortlichkeiten für den Datenschutz, systematischen Prozessen, detaillierten Vorgaben, intensiver Schulung, Beratung der Fachseiten und Kontrolle der Umsetzung. Ziele des DSMS sind die Verbesserung des Wissensmanagements in der Datenschutzorganisation und für alle Verantwortlichen im DB-Konzern, die Schaffung von mehr Transparenz im Datenschutzbereich und die Umsetzung der neuen gesetzlichen Accountability-Pflichten für alle, die personenbezogene Daten verarbeiten.

Innerhalb des DSMS wurden im Berichtsjahr die datenschutzrechtliche Selbstbefähigung, die Weiterentwicklung und die Prozessoptimierung der Datenschutzorganisation verfolgt. Dazu wurden verschiedene zielgruppenspezifische Formate entwickelt, die Mitarbeitenden und Führungskräften datenschutzrelevante Inhalte anhand von anschaulichen Praxisbeispielen sowohl für das Selbststudium als auch durch Web-Talks vermitteln. Diese Formate dienen sowohl der Wissensvermittlung als auch der besseren Sichtbarkeit der Datenschutzorganisation im DB-Konzern.

Bisherige Formate zur Zusammenarbeit und zum Austausch wurden verschlankt, umgestaltet und standardisiert (zum Beispiel das Beschwerdemanagement). Die internen und externen Auftritte des Datenschutzes wurden für eine vereinfachte Auffindbarkeit von Informationen neu gestaltet und überarbeitet. Für einen einheitlichen Wissensstand in der Beratung wurde eine Toolbox erstellt, die insbesondere neue Mitarbeitende im Datenschutz in ihrem Beratungsalltag unterstützt.

In der datenschutzrechtlichen Beratung drehte sich 2020 sehr viel um europäische Vorgaben. Dabei wirkten sich vor allem die Rechtsprechung des Europäischen Gerichtshofes (EuGH) und die sich ändernde Rechtslage im Bereich E-Privacy sehr stark auf die Beratung aus. So stellten insbesonde­re die Urteile des EuGH zum Privacy Shield (»Schrems II«) und in Sachen Cookies (»Planet49«) einen Schwerpunkt der Beratung dar, da sie es erfor­derlich machten, umfassend die bisher eingegangenen Kooperationen mit Dritten außerhalb des DB-Konzerns zu überprüfen.

Ein weiterer Fokus lag auf der datenschutzrechtlichen Betrachtung von Automatisierung, insbesondere der Pilotierung des autonomen Fahrens, und der Beratung zu Digitalisierungsthemen, wie HR-Analytics, Cybersecurity und der Beratung von DB-Start-ups. Ständiger Schwerpunkt ist das Themenfeld Beschäftigtendatenschutz. Hier war der Datenschutz vor allem bei der schnellen Umsetzung eines virtuellen Onboardings gefragt, um die Einstellungen von rund 25.000 neuen Mitarbeitenden zu ermöglichen und alle datenschutzrechtlichen Fragen rund um das Homeoffice zu klären.

Aufgrund der Corona-Pandemie war viel datenschutzrechtliche Beratung gefragt zum Einsatz von Kollaborationstools und Videokonferenzsystemen. Darüber hinaus ist aufgrund des Evergreen-Ansatzes von Microsoft die Weiterentwicklung von Office 365 ein Dauerberatungsthema, ebenso die
Überprüfungen von auf DB-Webseiten und DB-Apps eingesetzten Cookie-Layer-Lösungen sowie die regelmäßige und strukturierte Auditierung der Cloudlösungen im DB-Konzern.

Darüber hinaus gewährleistet der Konzerndatenschutz die fortwährende Kommunikation und Konsultation mit den zuständigen Datenschutzaufsichtsbehörden.

Neben der fortlaufenden Auditierung konzernrelevanter Verfahren im Kunden- und Beschäftigtendatenschutz stellte die Prüfung rund um den Einsatz und Rollout mobiler Endgeräte für alle Beschäftigten im DB-Konzern einen Schwerpunkt im Berichtsjahr da. Darüber hinaus waren die Prüfungen zahlreicher Apps für Kund*innen und Mitarbeitende sowie neuer Technologien zur optisch-visuellen Beobachtung (zum Beispiel Drohnen) Auditschwerpunkte in 2020.

Wo würden Sie sich am ehesten einordnen?Vielen Dank für Ihre Teilnahme!
Hallo, ich bin Larissa
Ihre interaktive Assistentin!
Gerne helfe ich Ihnen weiter.