Datenschutz
Managementansatz und Ziele
Datenschutz ist ein Grundrecht. Denn Datenschutz und informationelle Selbstbestimmung sind Grundlage unserer freien und demokratischen Gesellschaft. Deshalb ist der Schutz der Persönlichkeitsrechte bei der Verarbeitung personenbezogener Daten unserer Kund:innen, Mitarbeitenden und Geschäftspartner eine unserer zentralen Aufgaben im DB-Konzern. Der Begriff Mitarbeitendendatenschutz ist hier i. S. d. datenschutzrechtlichen Begriffs des »Beschäftigtendatenschutzes« zu verstehen, sodass hierunter u. a. auch der Zeitpunkt der Datenerhebung ab der Bewerbung zu verstehen ist.
Wir sind uns unserer besonderen Verantwortung für die uns anvertrauten Daten bewusst und haben zahlreiche Maßnahmen ergriffen, um diese zu schützen.Dies verfolgen wir durch einheitliche und verbindliche Datenschutzregelungen, unser Verarbeitungsverzeichnis, eine konzernweite Datenschutzorganisation, Kommunikations- und Trainingsmaßnahmen sowie unser Eingabe- und Beschwerdemanagement. Dabei erfüllen wir die datenschutzrechtlichen Vorgaben, insbesondere die der EU-Datenschutz-Grundverordnung (DSGVO) sowie die der internen Datenschutzregelwerke.
Unser übergeordnetes Ziel ist, einen datenschutzkonformen Datenverkehr innerhalb und mit Stellen außerhalb des DB-Konzerns sicherzustellen. Gleichzeitig setzen wir uns dafür ein, dass unsere Kund:innen, Mitarbeitenden und Geschäftspartner die Kontrolle über die Verwendung ihrer Daten behalten. Dazu gehört auch Transparenz über unsere rechtskonforme und integre Datenverarbeitung, sowohl bei unseren Produkten als auch in der Aufklärung unserer Kund:innen, ihre digitale Souveränität wahrzunehmen.
Dies wollen wir u. a. durch die Verankerung des Datenschutzes im breiten Bewusstsein des DB-Konzerns schaffen, insbesondere durch Sensibilisierung und Schulung der Mitarbeitenden, vielfältige digitale und analoge Awareness-Maßnahmen und eine hohe fachliche Qualität in unserer Datenschutzberatung. Auch der Ausbau von internen und externen Netzwerken zur Verbesserung der Außenwahrnehmung des DB-Konzerns im Themenbereich Datenschutz bildet einen Schwerpunkt. Hierzu zählen bspw. regelmäßige Austauschformate mit Datenschutzaufsichtsbehörden, Fahrgastverbänden und Datenschutzbeauftragten anderer Unternehmen.
Darüber hinaus setzen wir auf Innovation, Automatisierung, die Weiterentwicklung von bestehenden Instrumenten und Methoden sowie die Standardisierung von Prozessen für ein professionelles Datenschutzmanagement. Für die handlungssichere Anwendung und Umsetzung des Datenschutzes im DB-Konzern und um die Informations- und Auskunftsansprüche sowie Nachweispflichten jederzeit transparent und rechtssicher erfüllen zu können, betreiben wir ein Datenschutzmanagementsystem. Zudem sollen regelmäßige Datenschutzaudits für eine hohe datenschutzrechtliche Qualität sorgen.
Unsere Datenschutzziele verfolgen wir anhand von vier Leitlinien:
- Wir haben das Ziel, dem Schutz der Persönlichkeitsrechte unserer Kund:innen, unserer Mitarbeitenden und unserer Geschäftspartner jederzeit nachzukommen.
- Wir wollen datenschutzseitig innovative und zugleich rechtssichere Lösungen, die den DB-Konzern voranbringen, ermöglichen. Gemeinsam wollen wir dafür sorgen, dass von der Entwicklung bis zur Realisierung digitaler Geschäftsmodelle, Produkte und Dienstleistungen die juristischen und technischen Anforderungen aus Sicht des Schutzes natürlicher Personen erfolgreich umgesetzt werden.
- Unsere Datenschutzberatung soll eine rechtskonforme und integre Datenverarbeitung im DB-Konzern sowie mit unseren externen Schnittstellen ermöglichen.
- Wir wollen als Teil des unternehmerischen Risikomanagements dazu beitragen, Schaden vom DB-Konzern abzuwenden. Durch unsere Beratung zu einem datenschutzkonformen Umgang mit personenbezogenen Daten wollen wir kontinuierlich sicherstellen, dass durch die Erfüllung gesetzlicher Anforderungen die angestrebten Unternehmensziele nicht gefährdet werden.
Unsere Ziele wollen wir durch eine leistungsfähige Datenschutzorganisation mit klarer Struktur von Verantwortlichkeiten und einheitlichen Standards für unsere Produkte und Dienstleistungen umsetzen. Die Datenschutzorganisation gliedert sich im DB-Konzern in eine zentrale und dezentrale Organisation:
- Zentral unterstützt und berätder Konzerndatenschutz die Konzerngesellschaften. Innerhalb der zentralen Datenschutzorganisation gibt es fünf Abteilungen:
- zwei für den Mitarbeitenden- und Kundendatenschutz mit unterschiedlichen Verantwortungsbereichen (u. a.die Leitung des Konzerndatenausschusses, Training sowie Kommunikation, Koordination von Gerichtsverfahren mit Datenschutzbezug, Bearbeitung der Eingaben von Kund:innen, Externen und Mitarbeitenden sowie Betreuung der Anhörungen von Datenschutzaufsichtsbehörden).
- Eine kümmert sich um Auditierung sowie die datenschutzinternen Systeme,
- eine führt die datenschutzrechtliche Beratung zur Digitalisierung von Prozessen und dem Einsatz neuester Technologien durch.
- Die fünfte verantwortet die globale sowie die nationale Richtlinie zum Datenschutz, steuert die Identifikation und Umsetzung von Digitalisierungs- und Automatisierungsprojekten im Datenschutz und führt die gesamte dezentrale Datenschutzorganisation. Diese besteht national aus Fachkräften für Datenschutz, den Vertrauenspersonen für Datenschutz sowie international aus Privacy Managern.
- Die dezentralen Datenschutzexpert:innen in den Konzerngesellschaften weltweit stehen den Mitarbeitenden und Verantwortlichen bei Fragen und Anliegen zum Datenschutz zur Verfügung und sollen für eine gesetzeskonforme Um- und Durchsetzung des Datenschutzes in den Konzerngesellschaften bzw. Geschäftsfeldern sorgen.
Ein integriertes Schnittstellenmanagement und verschiedene Austauschformate sollen für einen Informationsaustausch sowie eine zielgerichtete fachliche Steuerung der dezentralen Datenschutzorganisation sorgen, insbesondere vor dem Hintergrund der diversen Leistungen und Produkte im DB-Konzern und der damit einhergehenden, breit gefächerten Beratungsanforderungen.
2010 wurde ein Datenschutz-Beirat gegründet, bestehend aus Vertreter:innen aus Gesellschaft, Politik und Wissenschaft. Er berät den Vorstand bei datenschutzrechtlichen Angelegenheiten, soll die Berücksichtigung der berechtigten datenschutzrelevanten Interessen der vertretenen Gruppen sichern und zugleich einen Beitrag zum Stakeholderdialog des DB-Konzerns beim Thema Datenschutz leisten.
Ausgehend von der Strategie Starke Schiene, wurde 2023 eine Fünf-Jahres-Datenschutzstrategie erstellt, mit der Schwerpunktsetzung auf der Ausgestaltung der DSGVO sowie Digitalisierung. Insbesondere die Rechtsentwicklung durch Datenschutzaufsichtsbehörden und Gerichte in Deutschland und Europa sowie die zunehmende Digitalisierung, etwa im Bereich der künstlichen Intelligenz, führen zu einem verstärkten internen Beratungsbedarf. Ziel ist, die Rechtsunsicherheiten, etwa beim Einsatz neuer Technologien, zu minimieren. Die Schwerpunkte sind aufbau- wie ablauforganisatorisch im Datenschutzmanagement verankert, u. a. durch einfache Prozesse und klare Verantwortlichkeiten.
Anhand klarer Verantwortlichkeiten, Regelungen, Instrumente, Awareness-Maßnahmen, intensiver Schulungen, Standardisierungen sowie Datenschutzaudits soll unser Datenschutzmanagementsystem (DSMS) für eine handlungssichere Anwendung und Umsetzung des Datenschutzes im DB-Konzern sorgen. Auf diese Weise soll es gleichsam risikominimierend sowie als Mechanismus zur einfachen Integration des Datenschutzes in bestehende Geschäftsprozesse wirken.
2024 wurden verschiedene Maßnahmen in der Datenschutzberatung, Prozessen, Auditierung sowie Trainings umgesetzt.
Ein essenzielles Kernelement unseres DSMS ist die Beratung der Mitarbeitenden und verantwortlichen Stellen durch unsere Datenschutzorganisation. Im Zuge nationaler und internationaler Regulierungen zum Datenschutz wurde zu verschiedenen Maßnahmen beraten, diese begleitet und mit den Verantwortlichen umgesetzt.
Zudem wurde die Einführung des neuen DB-Personalsystems datenschutzrechtlich begleitet. Insbesondere bei der Etablierung neuer und der Migration bestehender Prozesse sowie Daten wurde umfassend beraten. Eine begleitende Programm-Auditreihe hatte darüber hinaus die Themen Einstieg bei der DB, Qualifizierungen und Vergütungsgrundsätze im Fokus. Ein weiterer Beratungsschwerpunkt war die Begleitung von gesellschaftsrechtlichen und organisatorischen Veränderungen im DB-Konzern, wie z. B. die Etablierung der DB InfraGO AG, der Verkauf von DB Arriva sowie der Verkauf von DB Schenker.
In der technischen Datenschutzberatung lagen 2024 die Schwerpunkte v. a. auf den Themen künstliche Intelligenz (KI) sowie mobile Apps. Mit Inkrafttreten des EUAI Acts wurden die Vorgaben für den Einsatz von digitaler Automatisierung und Entscheidungsfindung geprüft, die entsprechenden Umsetzungsmaßnahmen wurden vorbereitet und sollen implementiert werden. Eine zentrale Stelle prüft, konsolidiert und genehmigt die Einführung von GenAI-Systemen im DB-Konzern wie z. B. BahnGPT. Der Privacy-by-Design-Ansatz soll den unzulässigen Umgang mit sensiblen Daten verhindern und gewährleisten, dass alle Interaktionen DSGVO-konform ablaufen und den Schutz der Persönlichkeitsrechte wahren.
Zudem wurde zumkonzerninternen App-Freigabeprozess datenschutzrechtlich beraten und eine interaktive Anleitung zur datenschutzkonformen Gestaltung und Entwicklung von mobilen Apps bereitgestellt. Auf diese Weise sollen konzerninterne Entwicklungen mit den nötigen IT-Sicherheits- und Datenschutzstandards ausgestattet sein. Ein weiterer Schwerpunkt lag 2024 auf der Beratung bezüglich Tracking und Analysefunktionen, die in Internetseiten und mobilen Apps verwendet werden sollen.
Die Prüfschwerpunkte in der Auditierung lagen 2024 erneut bei den zentralen Verfahren im Kunden- und Mitarbeitendendatenschutz. Ein besonderer Fokus lag u. a. auf der Auditierung von Einsätzen auditiver und visueller Überwachungssysteme im Sicherheitsbereich, insbesondere auch auf dem Einsatz von Drohnen und anderen Flugkörpern mit Videotechnologie. Ebenfalls standen Technik und Prozesse beim Identitäts- und Zugangsmanagement zu öffentlichen Vertriebssystemen sowie Ticketkontrollprozesse im Fokus. Im Bereich Mitarbeitendendaten stand eine begleitende Auditreihe rund um die 2024 durchgeführte Inbetriebnahme des neuen DB-Personalsystems im Mittelpunkt. Im Bereich App-Prüfungen lag der Schwerpunkt auf der Auditierung von verschiedenen Mobilitätslösungen (Call a bike, Flinkster) sowie einer internen App-Anwendung zur Unterstützung der Personaldisposition. Die App-Prüfungen haben stets die Nutzung von Cookies, den Umfang und die Verarbeitung personenbezogener Daten sowie die technische Absicherung der Datenübertragungen und -speicherung im Fokus. Ein wesentliches Augenmerk im Austausch mit den auditierten Stellen lag auf der Verbesserung von Prozessen und der datenschutzrechtlichen Selbstbefähigung der verantwortlichen Stellen.
Der Konzerndatenschutz vertritt die Interessen des DB-Konzerns in Bezug auf den Datenschutz in mehreren Verbänden. So wurde z. B. der Referentenentwurf eines Gesetzes zur Stärkung eines fairen Umgangs mit Mitarbeitendendaten und für mehr Rechtssicherheit für Arbeitgeber und Mitarbeitende in der digitalen Arbeitswelt (Beschäftigtendatengesetz; BeschDG) geprüft und eine Stellungnahme hierzu erarbeitet. Diese wurde über den Arbeitskreis Arbeitsrecht der Bundesvereinigung der Deutschen Arbeitgeberverbände (BDA) eingebracht.
Um unsere Datenschutzziele nachhaltig zu erreichen, wollen wir unsere Instrumente kontinuierlich verbessern und beraten zu Datenschutzfragen. Dazu gehören die Implementierung eines Prozessportals, die Digitalisierung von bestehenden und neu identifizierten Prozessen und die Optimierung des Eingabe- und Beschwerdemanagements. Zum anderen müssen die Mitarbeitenden der Datenschutzorganisation über aktuelle fachliche Entwicklungen informiert sein. Zu ihrer regelmäßigen Qualifizierung wurden interne Veranstaltungen angeboten.
Bei der Einhaltung der datenschutzrechtlichen Prinzipien sowie der Schulung der Mitarbeitenden kommt den Führungskräften eine besondere Rolle zu. Zur vereinfachten und effektiven Umsetzung wurde ein neues E-Learning zur Sensibilisierung im Datenschutz bereitgestellt, das unser umfassendes und zielgruppenspezifisches Schulungsangebot ergänzt. Zudem wurden 2024 konzernweite Online-Kampagnen zur Mitarbeitendensensibilisierung umgesetzt.
Der Datenschutz-Beirat des DB Konzerns berät den Vorstand in zentralen und strategischen Fragen des Datenschutzes. Im Mittelpunkt der Beratungen stehen dabei der Schutz der Persönlichkeitsrechte von Mitarbeitenden, Kund:innen und Geschäftspartnern. Die Einbindung der im Datenschutz-Beirat vertretenen Stakeholdergruppen und gebündelte (interdisziplinäre) Expertise sollen die Berücksichtigung der berechtigten datenschutzrelevanten Interessen aller Beteiligten sichern. Die Arbeit des Gremiums leistet damit einen Beitrag für einen umfassenden Datenschutz im DB-Konzern. Zugleich ist sie eine besondere Form des Stakeholderdialogs.
Die mit der fortschreitenden Digitalisierung sowie dem Einsatz von KI-Systemen im Arbeitskontext verbundenen Chancen und Risiken waren 2024 Gegenstand intensiver Betrachtungen. Die Beratungen haben das Ziel, Fortschritt und Innovationen zu ermöglichen und dabei die Vorgaben des Datenschutzes, der Datensicherheit und der Mitbestimmung einzuhalten sowie miteinander in Einklang zu bringen. Weitere Schwerpunkte der Beiratsarbeit lagen u. a. in den Bereichen Audit und technischer Datenschutz, Videotechnik in der Infrastruktur, Digitalisierung und KI in der Personalgewinnung und (generative) KI für die Personalarbeit, Cybersecurity und Quantencomputing.
Der Datenschutz-Award ist ein wichtiger Beitrag zur Sensibilisierung für den Datenschutz im DB-Konzern. Der Datenschutz-Award 2024 in Gold ging an die Projektteams »Integrierter Datenschutz bei KI-Projekten: Datenschutz by Design und by Default« von DB Fernverkehr und an »BahnGPT – Datenschutz und Innovation vereint durch die AI Governance Gilde« der DB AG und vonDB Systel.