Governance

Datenschutz im DB-Konzern

Datenschutz und damit verbundene Regulierungen werden immer komplexer, die Vorschriften und Gesetze nehmen stetig zu. Unternehmen sind zudem immer häufiger auch im internationalen Kontext tätig und müssen internationale Regelungen mitbeachten.

Die Datenschutzorganisation wurde 2021 weiterentwickelt. Durch den engen Austausch der Datenschutzexpert:innen im gesamten nationalen wie internationalen Umfeld wurden wichtige Synergien erzielt sowie wertvoller Knowledge-Transfer in alle Richtungen bewältigt. Insofern geht das nach wie vor gültige Konzept Datenschutz 4.0 direkt Hand in Hand mit dem Datenschutzmanagementsystem (DSMS). Die dort erzielten Ergebnisse kommen durch den regelmäßigen, schnellen und vielfältigen Austausch u.a. über das Schnittstellenmanagement erst zustande.

Datenschutzmanagementsystem

Zu einer der zentralen Aufgaben des Konzerndatenschutzes gehörte 2021 die Op­timierung und Weiterentwicklung des DSMS des DB-Konzerns. Das DSMS ist ein systematisches Zusammenspiel aus Rollen und Verantwortlichkeiten für den Datenschutz, systematischen Prozessen, detaillierten Vorgaben, intensiver Schulung, Beratung der Fachseiten und Kontrolle der Umsetzung. Es besteht aus vielen kleinen und großen Bausteinen vom Onepager als Handlungshilfe bis zum Top-Beratungsprojekt.

Um die Integration des Datenschutzes in Geschäftsprozesse weiter zu vereinfachen, wurde 2021 eine Neuausrichtung der jährlichen DSMS-Planung umgesetzt sowie ein sog. Think Tank DSMS ins Leben gerufen. Der Think Tank besteht aus Vertreter:innen der Datenschutzorganisation und begleitet den kontinuierlichen Verbesserungsprozess des DSMS.

Datenschutzschwerpunkte

Zum Datenschutzprogramm 2021 gehörte u.a. das Thema Datenschutzrechtliche Selbstbefähigung für alle Verantwortlichen im DB-Konzern. Hierzu wurde umfangreiches Datenschutzwissen im Intranet zur Verfügung gestellt. Daneben wurde die Datenschutz-Awareness im DB-Konzern kontinuierlich erhöht: In Zusammenarbeit mit den Governance-Bereichen sorgten konzernweite Kampagnen für eine verstärkte Mitarbeitendensensibilisie­rung (z.B. die digitale Tagesveranstaltung »Tag der Sicherheit« oder die Vortragsreihe »Einfach sicher … «).

Ein weiterer Schwerpunkt lag 2021 auf der Umsetzung einer einheit­lichen Beratungspraxis. Hier sind besonders die konzernweiten Projekte »Mobiles Arbeiten von Morgen«, »Blockchain/Self-Sovereign Identity (SSI)« sowie »Smart HR« zu nennen. In alle drei Projekte war der Konzerndatenschutz eingebunden und wirkte auf die Entwicklung neuer, konzernweiter Standards ein.

Die Schwerpunkte der technischen Beratung lagen u.a. auf den The­men Tracking und Analytics, Microsoft Office 365 und dem Evergreen-Ansatz im DB-Konzern sowie auf der Begleitung der Cybersecurity und der Konzernsicherheit.

2021 umfasste die datenschutzrechtliche Beratung auch internatio­­nale Themen. So galt es nach dem EuGH-Urteil zum grenzüberschreitenden Datentransfer (»Schrems II«), die zahlreichen Vorgaben der EU-Kommission sowie des Europäischen Datenausschusses zu monitoren und umzusetzen. Nicht zuletzt erließ die EU-Kommission mit einer neuen Version der Standarddatenschutzklauseln die in der datenschutzrechtlichen Pra­­xis dringend erforderliche Rechtsgrundlage, um einen Transfer personen­be­zo­­­gener Daten in sog. Drittstaaten außerhalb der Grenzen der EU möglich zu machen. Die neuen Klauseln und deren Anwendung wurden in der Datenschutzorganisation vorgestellt, geschult und diskutiert. Daneben ist der Austritt des Vereinigten Königreichs aus der EU auch auf dem Feld des Datenschutzes ein Vorgang mit weitreichenden Folgen, da das Vereinigte Königreich somit nicht mehr unter die Bestimmungen der EU-Datenschutzgrundverordnung (DSGVO) fällt. Daher war es erforderlich, die für den DB-Konzern relevanten Verträge sowie die damit verbundenen Datenflüsse zu identifizieren und datenschutzrechtlich abzusichern.

Zudem gab es Beratung auf dem Gebiet des Gesundheitsdatenschutzes: Da im Zusammenhang mit der Corona-Pandemie im DB-Konzern personenbezogene Daten erhoben werden, die Bezüge zwischen Personen und deren Gesundheitszustand zulassen, müssen diese Gesundheitsdaten nach Art. 9 DSGVO besonders geschützt werden. Hierzu wurde u.a. ein umfangreiches Fragen-und-Antworten-Papier entwickelt, das den Verantwortlichen und Mitarbeitenden Handlungssicherheit gibt. Im Rahmen der Test- und Impfstrategie des DB-Konzerns war die Datenschutzorganisation in allen Phasen der Vorbereitung, Planung und Durchführung ständig eng eingebunden. Die Entwicklung der Fragen und Antworten führte auch hier zu einer Verschlankung der Prozesse und Standardabläufe innerhalb des DB-Konzerns.

Das dritte Schwerpunktthema drehte sich um die Identifikation und Beschreibung der datenschutzrechtlichen Kernprozesse. Hier ist zum einen die stetige Optimierung des Beschwerdemanagements für Kund:innen und Mitarbeitende des DB-Konzerns zu nennen. Zum anderen wurde der Meldeprozess für Datenschutzvorfälle mit den Maßgaben aus der DSGVO weiterentwickelt, sodass den Anforderungen des Datenschutzes noch schneller und reibungsloser nachgekommen wird. Ziel dabei ist es, den Datenschutz sowohl risikominimierend als auch als Hebel zur einfachen Integration in bestehende Geschäftsprozesse zu implementieren.

Die Auditschwerpunkte lagen 2021 in der Prüfung konzernrelevanter Verfahren im Beschäftigtendatenschutz und der Auditierung von optischen Beobachtungsgeräten, wie Drohnen, Kameras und Bodycams. Außerdem wurden die im DB-Konzern eingesetzten Office-Systeme und Browser auditiert. Darüber hinaus wurden Prüfungen von Auftragsverar­beitern durchgeführt und zahlreiche Apps, die für Kund:innen und Mitar­beitende entwickelt worden waren, geprüft. Ein wesentliches Augenmerk im Austausch mit den auditierten Stellen lag dabei immer auch auf der Verbesserung von Prozessen und der datenschutzrechtlichen Selbstbefähigung der verantwortlichen Stellen.

Datenschutz-Beirat

Der Datenschutz-Beirat des DB-Konzerns berät den Vorstand zu strategischen und zentralen Fragen des Datenschutzes und leistet damit einen Beitrag für einen vorbildlichen Datenschutz im DB-Konzern.

Die im Beirat vorhandene Expertise der vertretenen Stakeholdergruppen sichert die Berücksichtigung der berechtigten datenschutzrelevan­ten Interessen der Beteiligten und ist zugleich ein wichtiger Beitrag zum Stake­holder-Dialog des DB-Konzerns beim Thema Datenschutz. Im Datenschutz-Beirat werden neue, innovative und pragmatische Lösungsansätze zum Schutz der Persönlichkeitsrechte der Betroffenen beraten. Im Fokus steht dabei der digitale Wandel im DB-Konzern einschließlich seiner ethischen Dimension. Das Gremium sucht den Austausch mit den zuständigen Fachabteilungen, bspw. zu den Arbeiten des Data Intelligence Center und des House of AI oder den Aktivitäten von HR Data Science, Insights and Innovation. Einen Beratungsschwerpunkt bildet darüber hinaus das Themen­feld Videoüberwachung auf Bahnhöfen und in Zügen.

Die Verleihung des Datenschutz-Awards ist ein wichtiger Beitrag zur Awareness: ein Preis, den das Gremium jährlich für innovative und vor­bildliche Projekte im DB-Konzern vergibt. Das Projektteam Kundenkonto Personenverkehr wurde mit dem Datenschutz-Award 2021 in Gold ausgezeichnet. Im Rahmen der Vereinheitlichung der Kundenschnittstelle ist es gelungen, ein transparentes und datenschutzfreundliches Omnichannel-Kundenkonto auf Basis von Nutzungsbedingungen bereitzustellen.

Wo würden Sie sich am ehesten einordnen?Wie gefällt Ihnen unser digitaler Bericht?Vielen Dank für Ihre Teilnahme!
Wo sehen Sie Verbesserungsbedarf?

Kurz und Kompakt: Unsere Quick Reads

Hier haben Sie die Möglichkeit sich durch unsere sog. Quick Reads zu klicken. Es handelt sich dabei um Zusammenfassungen von spannenden Themen. Über den Themenfilter können Sie die Rubrik auswählen.
Themenfilter: