Governance

Datenschutz

Managementansatz und Ziele

Datenschutz ist ein Grundrecht. Denn Datenschutz und infor­mationelle Selbstbestimmung sind Grundlage unserer freien und demokratischen Gesellschaft. Deshalb ist der Schutz der Persönlichkeitsrechte bei der Verarbeitung personenbezogener Daten unserer Kund:innen, Mitarbeitenden und Geschäftspartner eine unserer zentralen Aufgaben im DB-Konzern.

Wir sind uns unserer besonderen Verantwortung für die uns anvertrauten Daten bewusst und haben zahlreiche Maßnahmen ergriffen, um diese zu schützen. Dazu gehören bspw. verbindliche Datenschutzregelungen, unser Verarbeitungs­v­­erzeichnis, Kommunikations- und Trainingsmaßnahmen sowie unser Eingabe- und Beschwerdemanagement. Dabei erfüllen wir die datenschutzrechtlichen Vorgaben, insbeson­dere die der EU-Datenschutz-Grundverordnung (DSGVO) sowie die der internen Datenschutzregelwerke, zur Umsetzung eines vorbildlichen, innovativen und nachhaltigen Datenschutzes.

Unser übergeordnetes Ziel ist, einen datenschutzkonformen Datenverkehr innerhalb und mit Stellen außerhalb des DB-Konzerns sicherzustellen. Dafür sorgen wir mit einem hohen Datenschutzniveau. Gleichzeitig setzen wir uns dafür ein, dass unsere Kund:innen, Mitarbeitenden und Geschäftspartner die Kontrolle über die Verwendung ihrer Daten behalten. Dazu gehört auch Transparenz über unsere rechtskonforme und integre Datenverarbeitung, sowohl bei unseren Produkten als auch in der Aufklärung unserer Kund:innen, ihre digitale Souveränität wahrzunehmen.

Dies schaffen wir u. a. durch die Verankerung des Datenschutzes im breiten Bewusstsein des DB-Konzerns, insbesondere durch Sensibilisierung und Schulung der Mitarbeitenden, vielfältige digitale und analoge Awareness-Maßnahmen und eine hohe fachliche Qualität in unserer Datenschutzberatung. Auch der Ausbau von internen und externen Netzwerken zur Verbesserung der Außenwahrnehmung des DB-Konzerns im Themenbereich Datenschutz bildet einen Schwerpunkt.

Darüber hinaus setzen wir auf Innovation, die Weiterentwicklung von bestehenden Instrumenten und Methoden und die Standardisierung von Prozessen für ein professionelles Datenschutzmanagement. Für die handlungssichere Anwendung und Umsetzung des Datenschutzes im DB-Konzern betreiben wir ein Datenschutzmanagementsystem, um die Infor­ma­tions- und Auskunftsansprüche sowie Nachweispflichten jederzeit trans­parent und rechtssicher erfüllen zu können.Zu­­dem sorgen regelmäßige Datenschutzaudits für eine hohe datenschutzrechtliche Qualität.

Unsere Datenschutzziele verfolgen wir entlang der folgenden vier Leitlinien:

  • Wir kommen dem Schutz der Persönlichkeitsrechte unserer Kund:innen, unserer Mitarbeitenden und unserer Geschäftspartner jederzeit nach.
  • Wir ermöglichen datenschutzseitig innovative und zugleich rechtssichere Lösungen, die den DB-Konzern voran­bringen. Gemeinsam sorgen wir dafür, dass von der Entwicklung bis zur Realisierung digitaler Geschäftsmodelle, Produkte und Dienstleistungen die juristischen und technischen Anforderungen aus Sicht des Schutzes natürlicher Personen erfolgreich umgesetzt werden.
  • Unsere Datenschutzberatung ermöglicht eine rechtskonforme und integre Datenverarbeitung im DB-Konzern so­wie mit unseren externen Schnittstellen.
  • Wir tragen als Teil des unternehmerischen Risikomanagements dazu bei, den Geschäftserfolg des DB-Konzerns zu gewährleisten und Schaden vom DB-Konzern abzuwenden. Durch unsere Beratung zu einem datenschutzkon­formen Umgang mit personenbezogenen Daten stellen wir kontinuierlich sicher, dass durch die Erfüllung gesetzlicher Anforderungen die angestrebten Konzernziele nicht gefährdet werden.

Unsere Ziele setzen wir durch eine schlagkräftige Datenschutzorganisation um, mit klarer Struktur von Verantwortlichkeiten und einheitlichen Standards für unsere Produkte und Dienstleistungen. Die Datenschutzorganisation gliedert sich im DB-Konzern in eine zentrale und dezentrale Organisation:

  • Zentral gibt es das Team Konzerndatenschutz, das die Konzerngesellschaften bei der Einhaltung des Datenschutzes unterstützt und berät, insbesondere in konzernrelevan­ten Fragestellungen im Themenfeld des Datenschutzes. Innerhalb der zentralen Datenschutzorganisation gibt es vier Abteilungen, davon zwei für den Beschäftigten- und Kundendatenschutz mit unterschiedlichen Verantwortungsbereichen (Administration bzw. Training sowie Kommunikation und die Leitung des Konzerndatenausschusses). Eine weitere Abteilung kümmert sich um Auditierung, den technischen Datenschutz sowie die datenschutzinternen Systeme. Die vierte verantwortet die globale sowie die nationale Richtlinie zum Datenschutz und führt die gesamte dezentrale Datenschutzorganisation. Diese besteht national aus Fachkräften für Datenschutz, den Vertrauenspersonen für Datenschutz sowie international aus Privacy Managern.
  • Die dezentralen Datenschutzexpert:innen in den Konzerngesellschaften weltweit stehen den Mitarbeitenden und Verantwortlichen bei Fragen und Anliegen zum Datenschutz zur Verfügung und sorgen für eine gesetzeskonforme Um- und Durchsetzung der Regeln.

Ein integriertes Schnittstellenmanagement und verschiedene Austauschformate sorgen für einen Informationsaustausch sowie eine zielgerichtete fachliche Steuerung der dezentralen Datenschutzorganisation, insbesondere vor dem Hintergrund der diversen Leistungen und Produkte im DB-Konzern und der damit einhergehenden breit gefächerten Beratungsanforderungen.

2010 wurde ferner ein Datenschutz-Beirat gegrün­­det, bestehend aus Vertreter:innen aus Gesellschaft, Politik und Wissenschaft. Er berät den Vorstand bei datenschutzrechtlichen Angelegenheiten, sichert die Berücksichtigung der berechtigten datenschutzrelevanten Interessen der vertretenen Gruppen und leistet zugleich einen wichtigen Beitrag zum Stakeholderdialog des DB-Konzerns beim Thema Datenschutz.

Ausgehend von der Strategie Starke Schiene wurde 2023 eine 5-Jahres-Datenschutzstrategie erstellt, mit der Schwerpunktsetzung auf der Ausgestaltung der DSGVO sowie Digitalisierung. Insbesondere die Rechtsentwicklung durch Datenschutzaufsichtsbehörden und Gerichte in Deutschland und Europa sowie die zunehmende Digitalisierung etwa im Bereich der künstlichen Intelligenz (KI) führen zu einem ver­­stärkten internen Beratungsbedarf durch die Datenschutzorganisation. Ziel ist, die Rechtsunsicherheiten, etwa beim Einsatz neuer Technologien, zu minimieren. Die Schwerpunkte sind aufbau- wie ablauforganisatorisch in unserem Datenschutzmanagement verankert, u. a. durch einfache Prozesse und klare Verantwortlichkeiten.

Um unsere Datenschutzziele zu erreichen, setzen wir auf ein professionelles Datenschutzmanagement. Anhand klarer Verantwortlichkeiten, Regelungen, Instrumente, Aware­ness-Maßnahmen, intensiver Schulung, Standardisierungen sowie Datenschutz-Audits sorgt unser Datenschutzmanagementsystem (DSMS) für eine handlungssichere Anwendung und Umsetzung des Datenschutzes im DB-Konzern. Auf diese Weise wirkt es gleichsam risikominimierend sowie als Mechanismus zur einfachen Integration des Datenschutzes in bestehende Geschäftsprozesse.

2023 wurde das DSMS anhand verschiedener Maßnahmen in der Datenschutzberatung, Prozessen, Auditierung sowie Trainings umgesetzt.

Ein Kernelement unseres DSMS ist die Beratung der Mitarbeitenden und verantwortlichen Stellen durch unsere Datenschutzorganisation, um eine datenschutzkonforme Verarbeitung personenbezogener Daten sicherzustellen. Im Zuge nationaler und internationaler Regulierungen zum Datenschutz wurden verschiedene Maßnahmen beraten, begleitet und mit den Verantwortlichen umgesetzt. So sorgten in der Bearbeitung von Betroffenenrechten die vermehrten Urteile des EuGH und des BGH im Bereich des Auskunftsrechts und Rechts auf Kopie für mehr Rechtssicherheit. Aufgrund der gesetzlichen Vorgaben wurden in den entsprechenden Geschäftsfeldern Anpassungen vorgenommen, bspw. im Umfang der Beauskunftung. Der Konzerndatenschutz vertritt die Unternehmensinteressen in Bezug auf den Datenschutz in mehreren Verbänden. Ein weiterer Beratungsschwerpunkt war die Begleitung der Umsetzung der DB InfraGO AG . Im Zuge dieser gesellschaftsrechtlichen Veränderung wurden 2023 die inhaltlichen datenschutzrechtlichen Aspekte, insbesondere die Auswirkung auf Informationen zum Datenschutz, betrachtet und die notwendigen Anpassungen in die Wege geleitet.

In der internationalen Beratung stand der neue Angemessenheitsbeschluss für die USA im Fokus. Die Europäische Kommission hat im Juli 2023 den Angemessenheitsbeschluss für das EU-U.S. Data Privacy Framework (Nachfolger des Privacy Shields) angenommen, der das Schutzniveau für die Datenübermittlungen an zertifizierte Organisationen in den USA regelt. Aufgrund dessen wurde die Anwendung des EU-U.S. Data Privacy Framework im DB-Konzern einer kritischen Prüfung unterzogen mit dem Ergebnis, dass die bestehenden Prozesse weitestgehend beibehalten und nur Anpassungen im Umfang der Prüfung vorgenommen werden.

In der technischen Datenschutzberatung lagen 2023 die Schwerpunkte v. a. auf den Themen KI, Big Data und Data-driven Marketing. Darüber hinaus ist das Thema Microsoft Office 365 durch Weiterentwicklung und Einführung neuer Funktionen insbesondere im Innenverhältnis mit laufender technischer Beratung verbunden. Die Begleitung der Ausschreibungen für Telekommunika­tionsdienstleister, datenschutzrechtliche Betreuung der diver­sen IT-Security-Anforderungen an mobile Endgeräte sowie die Cloudvergabe stellten den technischen Datenschutz vor herausfordernde Beratungsaufgaben.

Die Prüfschwerpunkte in der Auditierung lagen auf zentralen Verfahren im Kundendatenschutz und Mitarbeitendendatenschutz. Ein besonderer Fokus lag 2023 darüber hinaus auf der Auditierung der SharePoint-Umsetzung. Zudem wurden zahlreiche Apps geprüft, die für Kund:innen und Mit­arbeitende entwickelt wurden (bspw. S-Bahn-Berlin-App, Bonvoyo-App, Mosaik und neuer DB Navigator). Bei den App-Prüfungen standen die Nutzung von Cookies, der Umfang und die Verarbeitung personenbezogener Daten sowie die technische Absicherung der Datenübertragungen und -speicherung im Fokus. Der App-Bereitstellungs- und Qualitätssicherungsprozess im DB-Konzern wurde aus datenschutzrechtlicher und -technischer Sicht beraten und wurde 2023 umgesetzt. Ein wesentliches Augenmerk im Austausch mit den auditierten Stellen lag dabei immer auch auf der Verbesserung von Prozessen und der datenschutzrechtlichen Selbstbefähigung der verantwortlichen Stellen.

Darüber hinaus konnte die Zusammenarbeit mit den verschiedenen Prüfeinheiten der IT-Revision und des Bereiches Informationssicherheit im DB-Konzern weiter intensiviert werden. Hierbei standen der Austausch zu relevanten Findings zu den Prüfungen zwischen den Bereichen und die Sicherstellung der Beratung im Fokus.

Neben der Beratung ist die datenschutzkonforme Prozess­optimierung ein weiterer Bestandteil unseres DSMS. Bspw. wurden die Fachbereiche bei der datenschutzkonformen Um­- setzung des Hinweismanagements begleitet, die sich ­seit dem Inkrafttreten des Hinweisgeberschutzgesetzes (HinwSchG) als Umsetzung der Hinweisgeberrichtlinie 2019/1937 er­gaben. Hierzu zählen u. a. die Ausgestaltung datenschutzkonformer Prozesse im Rahmen des Hinweismanagements, sichere Kommunikation, Schutz der Hinweisgeber:innen sowie die rechtssichere Umsetzung der Betroffenenrechte.

Der gestiegene Beratungsbedarf, insbesondere bei Themen der Digitalisierung und generativen KI, setzt voraus, dass die Datenschutzorganisation über aktuelle fachliche Entwicklungen informiert ist. Zu ihrer regelmäßigen Qualifi­zierung werden interne Veranstaltungen angeboten, in denen u. a. die Berater:innen in ihrer Multiplikator:innenrolle ihr Wissen weitergeben.

2023 stand erneut die Datenschutz-Awareness aller Mitar­beitenden im Fokus. Durch die mobilen Arbeitsformen besteht weiterhin ein hoher Bedarf an Online-Sensibilisierungsformaten. Das neue E-Learning zum Thema »Datenschutz beim mobilen Arbeiten« wurde 2023 veröffentlicht und es wurden bislang 3.464 E-Learning-Einheiten absolviert. In
enger Zusam­menarbeit mit den Bereichen Konzernsicherheit, Informationssicherheit und Compliance wurden konzernweite Online-Kampagnen zur Mitarbeitendensensibilisierung umgesetzt.

Der Datenschutz-Beirat des DB-Konzerns ist ein etabliertes Beratungsgremium des Vorstands zu den aktuellen zentralen und strategischen Fragen des Datenschutzes. Die Beratungen dienen dem Schutz der Persönlichkeitsrechte von Kund:innen, Mitarbeitenden und Geschäftspartnern. Die Einbindung der im Beirat vertretenen Stakeholdergruppen sichert die Berücksichtigung der berechtigten datenschutzrelevanten Interessen auf breiter Basis. Die Arbeit des Gremiums leistet damit einen wichtigen Beitrag zu einem möglichst innovativen und vorbildlichen Datenschutz im DB-Konzern.

Im Fokus der Beratungen 2023 stand die fortschreitende Digitalisierung, insbesondere im beruflichen Kontext. Dabei wurden die unterschiedlichen Aspekte der Digitalisierung unter Einbeziehung der zuständigen Fachabteilungen sowie den Vertreter:innen der Datenschutzorganisation diskutiert. Insbesondere das Zusammenwirken von Datenschutz, Datensicherheit und Mitbestimmung wurde anhand zentraler Projekte umfassend beraten. Intensiv und interdisziplinär wurde über die Chancen und Risiken des Einsatzes von KI, insbesondere Anwendungen der generativen KI, diskutiert. Zu den weiteren Beratungsschwerpunkten gehörten die Themen Kommunikation und Training, Betroffenenrechte, Videotechnik in der Infrastruktur sowie der internationale Datenschutz im DB-Konzern.

Wo würden Sie sich am ehesten einordnen?Wie gefällt Ihnen unser digitaler Bericht?Wo sehen Sie Verbesserungsbedarf?Vielen Dank für Ihr Feedback!

Nachhaltigkeitsindizes

Bericht filtern nach: