Datenschutz
Managementansatz und Ziele
Datenschutz und informationelle Selbstbestimmung sollen als Grundlage von freien und demokratischen Gesellschaften vorangetrieben werden. Wir wollen im DB-Konzern einen vorbildlichen, innovativen und nachhaltigen Datenschutz etablieren sowie ein hohes Datenschutzniveau als Qualitätsmerkmal positionieren und dadurch erreichen, dass der DB-Konzern von den Mitarbeitenden, Kund:innen und Geschäftspartnern im datenschutzrechtlichen Kontext mit Vertrauen, Respekt, Transparenz und Integrität in Verbindung gebracht wird. Dabei erfüllen wir die datenschutzrechtlichen Vorgaben, insbesondere die der EU-Datenschutz-Grundverordnung (DSGVO) sowie der internen Datenschutzregelwerke.
Um unsere Vision entsprechend umzusetzen, verfolgen wir engagiert und nachdrücklich das übergeordnete Ziel, einen datenschutzkonformen Datenverkehr innerhalb und mit Stellen außerhalb des DB-Konzerns sicherzustellen. Dies schaffen wir u. a. durch die Verankerung des Datenschutzes im breiten Bewusstsein des DB-Konzerns, insbesondere durch Sensibilisierung und Schulung der Mitarbeitenden, vielfältige digitale und analoge Awareness-Maßnahmen und eine hohe fachliche Qualität in unserer Datenschutzberatung. Auch der Ausbau von internen und externen Netzwerken zur Verbesserung der Außenwahrnehmung des DB-Konzerns im Themenbereich Datenschutz bildet einen Schwerpunkt.
Darüber hinaus setzen wir auf Innovation, die Weiterentwicklung von bestehenden Instrumenten und Methoden und die Standardisierung von Prozessen für ein professionelles Datenschutzmanagement. Für die handlungssichere Anwendung und Umsetzung des Datenschutzes im DB-Konzern betreiben wir ein Datenschutzmanagementsystem, um die Informations- und Auskunftsansprüche sowie Nachweispflichten jederzeit transparent und rechtssicher erfüllen zu können. Zudem sorgen regelmäßige Datenschutzaudits für eine hohe datenschutzrechtliche Qualität.
Diese Ziele setzen wir durch eine schlagkräftige Datenschutzorganisation um. Sie gliedert sich im DB-Konzern in die zentrale und dezentrale Organisation: Zentral gibt es das Team Konzerndatenschutz, das die Konzernunternehmen bei der Einhaltung des Datenschutzes unterstützt und berät, insbesondere in konzernrelevanten Fragestellungen im Themenfeld des Datenschutzes.
Innerhalb der zentralen Datenschutzorganisation gibt es vier Abteilungen, davon zwei für den Mitarbeitenden- und Kundendatenschutz mit unterschiedlichen Verantwortungsbereichen (Administration bzw. Training sowie Kommunikation und die Leitung des Konzerndatenausschusses). Eine weitere Abteilung kümmert sich um Audit, den technischen Datenschutz sowie die datenschutzinternen Systeme. Die vierte verantwortet die globale sowie die nationale Richtlinie zum Datenschutz und führt die gesamte dezentrale Datenschutzorganisation. Diese besteht national aus Fachkräften für Datenschutz, den Vertrauenspersonen für Datenschutz sowie international aus den Privacy Managern.
Die dezentralen Datenschutzexpert:innen in den DB-Unternehmen weltweit stehen den Mitarbeitenden und Verantwortlichen bei Fragen und Anliegen zum Datenschutz zur Verfügung und sorgen für eine gesetzeskonforme Um- und Durchsetzung der Regeln.
Der Datenschutz-Beirat des DB-Konzerns besteht aus renommierten Persönlichkeiten aus Wissenschaft, Politik, Verbänden, unabhängigen Organisationen sowie Arbeitnehmendenvertreter:innen, sichert die Berücksichtigung datenschutzrelevanter Interessen und berät den Vorstand zu strategischen und zentralen Fragen des Datenschutzes.
Kund:innen, Mitarbeitende und Bewerber:innen können sich daher darauf verlassen, dass wir bspw. bei der Entwicklung neuer Geschäftsmodelle sowie bei der Einführung und Änderung der Verarbeitung von personenbezogenen Daten ein hohes Datenschutzniveau sicherstellen.
Datenschutz im DB-Konzern
Neben der Datenschutz-Grundverordnung (DSGVO) gab es neue oder geplante Gesetze und Vorschriften mit Anforderungen und Auswirkungen auf den Datenschutz im nationalen und internationalen Bereich. Damit wurde die Regelungsdichte größer und komplexer. Insbesondere die Ausgestaltung der Inhalte der DSGVO durch Datenschutzaufsichtsbehörden und Gerichte in Deutschland und Europa sowie die Entscheidung des EuGH-Urteils zum grenzüberschreitenden Datentransfer (»Schrems II«) führten zu einem verstärkten internen Beratungsbedarf durch die Datenschutzorganisation.
Zu einer der zentralen Aufgaben des Konzerndatenschutzes gehört die Optimierung und Weiterentwicklung des Datenschutzmanagementsystems (DSMS) des DB-Konzerns. Das DSMS ist ein systematisches Zusammenspiel aus Rollen und Verantwortlichkeiten für den Datenschutz, systematischen Prozessen, detaillierten Vorgaben, intensiver Schulung, Beratung der Fachseiten und Kontrolle der Umsetzung. Es besteht aus vielen kleinen und großen Bausteinen vom Kurzpapier als Handlungshilfe bis zum Top-Beratungsprojekt.
Um die Integration des Datenschutzes in Geschäftsprozesse weiter zu vereinfachen, begleitete der Think Tank DSMS auch 2022 schwerpunktmäßig die Umsetzungen der jährlichen Fokusthemen. Der Think Tank unterstützt als Ideenschmiede und begleitet den kontinuierlichen Verbesserungsprozess des DSMS, etwa durch die Mitentwicklung der Themenschwerpunkte (2022: Kundendatenschutz).
Zum Datenschutzprogramm 2022 gehörte u. a. das Thema Kundendatenschutz als einer der Schwerpunkte. Hierzu wurden viele verschiedene Maßnahmen beraten, begleitet und mit den Verantwortlichen umgesetzt. Insbesondere das Thema »Ausgestaltung und Umgang mit Betroffenenrechten aus zentraler Governance sowie operativer Sicht« stand im Fokus. Das Thema »konzernweit einheitliches Einwilligungs- und Analysemanagement auf Internetseiten und mobilen Apps« sowie die Nutzung von Cloud-Dienstleistern für konzerninterne sowie externe Verfahren, Prozesse, Services und IT-Anwendungen bildeten den Beratungsschwerpunkt. Auch wenn 2022 durch die sukzessive Zurücknahme von gesetzlichen Pflichten im Zusammenhang mit der Corona-Pandemie geprägt war, musste auf vielfältige Gesetzesänderungen insbesondere auf Länderebene reagiert werden, um Rechtssicherheit in der Umsetzung der Corona-Verordnungen innerhalb des DB-Konzerns zu geben. Zudem betrachten wir auch weiterhin kontinuierlich unsere internen Prozesse und passen sie entsprechend den Entwicklungen und Gegebenheiten an, um optimal in den Bereichen des Kunden- und Mitarbeitendendatenschutzes positioniert zu sein.
2022 beinhaltete auch verschiedene internationale Themen. Zum einen standen die chinesischen Datenschutzgesetze im Fokus und es wurde geprüft, inwiefern aufgrund deren strenger Vorgaben Anpassungen an wichtigen Systemen und Prozessen des DB-Konzerns und der betroffenen Konzernunternehmen notwendig sind. Entsprechende Anpassungen wurden identifiziert und an die Verantwortlichen adressiert und befinden sich nun in der schrittweisen Umsetzung und der fortlaufenden Überprüfung. Zum anderen lag ein Schwerpunkt weiterhin auf den Auswirkungen des EuGH-Urteils zum grenzüberschreitenden Datentransfer (»Schrems II«). Diese Auswirkungen äußerten sich darin, dass konzernweit dort, wo grenzüberschreitender Datentransfer stattfindet, notwendige Aktualisierungen bis Ende 2022 umgesetzt werden mussten. Dies betraf sowohl vertragliche Vereinbarungen als auch teilweise die Umsetzung stärkerer technisch-organisatorischer Maßnahmen. Die notwendigen Aktualisierungen insbesondere in Form des Austauschs der EU-Standardvertragsklauseln wurden an alle Verantwortlichen und Beteiligten adressiert. Gleichzeitig wurden Vorlagen für die neuen EU-Standardvertragsklauseln, Transfer Impact Assessments und Checklisten zur Prüfung der Supplementary Measures erstellt und verteilt. Es wurden ferner Trainings zum rechtmäßigen Umgang mit diesen Vorlagen durchgeführt, sodass alle Beteiligten in die Lage versetzt wurden, die notwendigen Anpassungen fristgemäß vorzunehmen.
Des Weiteren stand die Awareness aller Mitarbeitenden im Fokus. So wurde verstärkt auf eine Mitarbeitendensensibilisierung durch konzernweite Kampagnen in Zusammenarbeit mit den Bereichen Konzernsicherheit, Informationssicherheit und Compliance gesetzt (z. B. die digitalen Tagesveranstaltungen »Tag der Sicherheit« und »Daten- und Cyber-Snacks« oder die Vortragsreihe »Einfach sicher …«). Ebenfalls zahlt die Bereitstellung eines neuen E-Learnings zum Thema »Datenschutz beim mobilen Arbeiten« hierauf ein. Zusätzlich wurden die Mitarbeitenden zum Thema »Datenschutz beim mobilen Arbeiten« in diversen Formaten (z. B. Lunch&Learn) sensibilisiert.
In der technischen Datenschutzberatung lagen 2022 die Schwerpunkte v. a. auf den Themen Big Data, Tracking und Analytics. Darüber hinaus ist das Thema Microsoft Office 365 durch Weiterentwicklung und Einführung neuer Funktionen insbesondere im Innenverhältnis mit laufender technischer Beratung verbunden. Die Begleitung der Ausschreibungen für Telekommunikationsdienstleister, das Advocacy Tool im Bereich Personalmarketing, für die Media- und Marktforschungsagenturen sowie die Cloudvergabe stellten den technischen Datenschutz vor herausfordernde Beratungsaufgaben. Ebenfalls stellte die datenschutzrechtliche Betreuung der neuen Plattform SEMYOU für Mitarbeitendenbefragungen einen Beratungsschwerpunkt dar. Letztere wurde im Vorfeld der konzernweiten Einführung durch das Datenschutzauditteam auch geprüft. Weitere Prüfschwerpunkte lagen 2022 in der Auditierung zentraler Verfahren im Kundendatenschutz (BahnCard, Marketinganalysetool bei MarTech) und Mitarbeitendendatenschutz (Zeiterfassungssystem KANDIS sowie Personalpostprozesse). Das neue Personalmanagementsystem SMART HR wird bis zur Einführung in 2023 fortlaufend und begleitend auditiert.
Zudem wurden zahlreiche Apps geprüft, die für Kund:innen und Mitarbeitende entwickelt wurden (bspw. DB Navigator, BahnBonus, Flinkster). Bei den App-Prüfungen standen die Nutzung von Cookies, der Umfang und die Verarbeitung personenbezogener Daten sowie die technische Absicherung der Datenübertragungen und -speicherung im Fokus. Hierbei hat sich die intensive Zusammenarbeit mit dem Team von Mobile Security im Bereich der Prüfungen für Apps bewährt und der Prüfprozess für Mobile Apps wurde aktualisiert. Der App-Bereitstellungs- und Qualitätssicherungsprozess wurde aus datenschutzrechtlicher und -technischer Sicht beraten. Ein wesentliches Augenmerk lag dabei immer auch auf der Verbesserung von Prozessen und der datenschutzrechtlichen Selbstbefähigung der verantwortlichen Stellen.
Darüber hinaus wurde die Zusammenarbeit mit den verschiedenen Prüfeinheiten der IT-Revision und des Bereichs Information Security intensiviert, sodass es hier regelmäßige Abstimmungen zu Prüfprogrammen und aktuellen Trends gab. Hierbei standen der Austausch zu relevanten Findings zu den Prüfungen zwischen den Bereichen und die Sicherstellung der Beratung (z. B. Identity Access Management, AIP – Umgang mit streng vertraulichen Dokumenten – sowie Regelung des Zugriffsmanagements auf die einzelnen Unternehmens-Tenants) im Fokus.
Der Datenschutz-Beirat unterstützt den Stakeholderdialog zum Thema Datenschutz im DB-Konzern. Die Mitglieder des Gremiums beraten den Vorstand zu den aktuellen strategischen und zentralen Fragen des Datenschutzes. Ziel ist die Förderung der datenschutzrelevanten Interessen aller Beteiligten, insbesondere der Mitarbeitenden und der Kunden. Das Gremium leistet dabei einen wichtigen Beitrag zu einem möglichst vorbildlichen Datenschutz im DB-Konzern.
Die Beratungen zu den datenschutzrelevanten Aspekten des digitalen Wandels sowie zu den Vorgaben und Ableitungen aus der Strategie Starke Schiene dienen dem Schutz der berechtigten Interessen der Betroffenen. Im Fokus stehen dabei die Herausforderungen für einen modernen, effizienten und v. a. guten Datenschutz im DB-Konzern. Im Rahmen der Diskussionen und Beratungen mit dem Vorstand, den Vertreter:innen der Fachabteilungen und der Datenschutzorganisation findet ein regelmäßiger und intensiver Austausch zu den entsprechenden datenschutzrelevanten Aspekten statt. Dazu gehören die zahlreichen Anwendungen und Digitalisierungsprojekte im DB-Konzern, so auch zum DB Navigator und zur DB EnterpriseCloud. Weitere Beratungsschwerpunkte liegen in den Bereichen Kommunikation&Training, Betroffenenrechte, Informationssicherheit sowie Data Governance im DB-Konzern.
Der Datenschutz-Beirat hat zum achten Mal in Folge den Datenschutz-Award ausgelobt, einen Preis für Mitarbeitende, die einen hervorragenden Beitrag zu einem innovativen und vorbildlichen Datenschutz im DB-Konzern leisten. Das Projektteam Pandemiestab wurde mit dem Datenschutz-Award 2022 in Gold ausgezeichnet. Ihm ist es unter besonders herausfordernden Rahmenbedingungen gelungen, eine optimale Verbindung von Gesundheitsschutz und Mitarbeitendendatenschutz während der Corona-Pandemie sicherzustellen. Der Datenschutz-Award ist ein wichtiger Awareness-Beitrag für die Belange des Datenschutzes im DB-Konzern.