Einbindung von Verbrauchern und Endnutzern, Kanäle zur Äußerung von Bedenken oder Bedürfnissen und Ansätze zur Abhilfe
Verfahren zur Einbeziehung von Verbrauchern und Endnutzern in Bezug auf Auswirkungen (S4-2)
Der DB-Konzern berücksichtigt die Perspektiven von Kund:innen im Bereich Datenschutz bei der kontinuierlichen Weiterentwicklung interner Prozesse. Dies erfolgt über direkte Rückmeldungen unserer Kund:innen sowie indirekt über Verbraucherverbände und Datenschutzaufsichtsbehörden. Direkte Rückmeldungen unserer Kund:innen zu Datenschutzfragen erfolgen über Anhörungsverfahren, Datenschutz- und Betroffenenanfragen sowie Beschwerden, die über die vorgesehenen Kommunikationskanäle (E-Mail und Post) eingereicht werden . Darüber hinaus engagiert sich der DB-Konzern in Brancheninitiativen und Arbeitsgruppen, um praxis- und regulierungsnahe Entwicklungen in seine Entscheidungen zu integrieren.
Die Einbeziehung erfolgt fortlaufend über das Eingabemanagement sowie anlassbezogen im Austausch mit Verbraucherverbänden und Aufsichtsbehörden. Eine »Eingabe« umfasst jedes an den DB-Konzern gerichtete datenschutzbezogene Anliegen, unabhängig davon, ob es sich um eine Beschwerde, Anfrage, einen Hinweis oder die Geltendmachung von Betroffenenrechten handelt. Rechtsentwicklungen werden regelmäßig berücksichtigt, und die Mitwirkung in Brancheninitiativen erfolgt themenabhängig.
Die Datenschutzorganisation unter Leitung der Konzerndatenschutzbeauftragten wertet eingehende Anliegen aus, berichtet an den Vorstand und gewährleistet so die Wirksamkeit der Einbindung.
Datenschutz-Beirat
Der Datenschutz-Beirat des DB-Konzerns ist seit mehr als 15 Jahren ein etabliertes Beratungsgremium des Vorstands zu den strategischen und zentralen Fragen des Datenschutzes. Mit seiner unabhängigen, interdisziplinären Expertise leistet das Gremium einen Beitrag, dass die datenschutzrelevanten Interessen von Mitarbeitenden, Kund:innen und Geschäftspartnern in die strategische Entscheidungsfindung des Vorstands einfließen. Die Beratungen dienen dem Ziel, einen effektiven und möglichst vorbildlichen Datenschutz im DB-Konzern zu gewährleisten, der Innovationen und Fortschritt datenschutzkonform ermöglicht.
Die Beratungsschwerpunkte 2025 spiegeln die dynamischen Entwicklungen und Herausforderungen in Zeiten fortschreitender Digitalisierung und dem zunehmenden Einsatz von KI wider. Im Rahmen der Beratungen liefert das »Digital.Trend.Radar«, ein strukturierter Überblick über alle DB-relevanten digitalen Trends, als strategisches Instrument wichtige Impulse für die Beratung mit dem Vorstand, den Vertreter:innen des Konzerndatenschutzes sowie weiteren Fachabteilungen. Gegenstand der Beratungen waren Herausforderungen rund um die EU-Regulierung zu Digitalisierung und KI. Ein weiterer Schwerpunkt lag auf den Themen Data and AI Governance, AI Portfolio Management sowie moderne und zukunftsweisende IT-Dienstleistungen, wie Cloud- und Quantencomputing. Zum Beratungsspektrum gehörten zudem Projekte der integrierten Alltagsmobilität (SMILE24) sowie die Entwicklungen zu autonomem Fahren (KIRA). Beratungsschwerpunkte waren darüber hinaus der Einsatz von Videotechnik in Eisenbahninfrastruktur und Zügen, das Forschungsprojekt Sicherheitsbahnhof Berlin Südkreuz sowie der Datenschutz im Rahmen interner Ermittlungen. Datenschutzrelevante Aspekte zahlreicher Anwendungen (u. a. DB Navigator, Microsoft Copilot und BahnGPT) rundeten die Agenda ab.
Im Rahmen der Beratungen hob das Gremium die Bedeutung des Ausbaus von Datenschutzkompetenz durch gezielte Sensibilisierungsmaßnahmen und Trainingsinitiativen hervor. Zusätzliche Herausforderungen für die Datenschutzorganisation durch Transformations- und Sanierungsprojekte im DB-Konzern wurden betont und beraten.
Die Verleihung des Datenschutz-Awards soll einen Beitrag zur Förderung einer positiven Datenschutzkultur im DB-Konzern leisten, indem innovative und mit Blick auf den Datenschutz vorbildliche Projekte im DB-Konzern gewürdigt werden. 2025 wurden sieben Beiträge nominiert. Das Projekt zum »KI-Rahmenpapier« als konzernweites Leitdokument für den verantwortungsvollen Einsatz von künstlicher Intelligenz erhielt den Datenschutz-Award 2025 in Gold. Ein Sonderpreis für »Datenschutz+ CyberSecurity« ging an das Projekt »CyberSecurity@DB«, das auf die Themen Datenschutz, Datensicherheit und Mitbestimmung einzahlt.
Verfahren zur Verbesserung negativer Auswirkungen und Kanäle, über die Verbraucher und Endnutzer Bedenken äußern können (S4-3)
Das konzernweite Datenschutzmanagementsystem gewährleistet die rechtssichere Umsetzung der DSGVO-Anforderungen. Es umfasst Prozesse zur Identifikation, Bearbeitung und Behebung von Datenschutzvorfällen sowie zur transparenten Erfüllung von Informations- und Auskunftspflichten.
Datenschutzvorfälle werden zentral erfasst und bewertet sowie mit geeigneten technischen und organisatorischen Maßnahmen behoben und, sofern sie der Meldepflicht unterliegen, an die jeweils zuständige Aufsichtsbehörde gemeldet. Betroffenenanfragen werden nach standardisierten Verfahren bearbeitet.
Die kontinuierliche Verbesserung unserer Datenschutzprozesse basiert auf Rückmeldungen von Kund:innen, Mitarbeitenden und Fachbereichen sowie auf Erkenntnissen aus Datenschutzvorfällen, internen Audits und Prüfungen durch Datenschutzexpert:innen. Verbraucher:innen können sich über verschiedene Kommunikationskanäle wie E-Mail und Post an den DB-Konzern wenden. Eingehende Anfragen werden vertraulich behandelt.
Schulungen und Sensibilisierungsmaßnahmen befähigen Mitarbeitende, Datenschutzanliegen sachgerecht und einheitlich zu bearbeiten.
Die Bekanntheit der Meldemöglichkeiten bei Kund:innen wird durch eine transparente Kommunikation – etwa durch Datenschutzhinweise, die vom DB-Konzern im Rahmen seiner Produkte und Dienstleistungen gegenüber Kund:innen bereitgestellt werden – sichergestellt. Dass Kund:innen die Datenschutzverfahren kennen und ihnen vertrauen, zeigt sich insbesondere in der Nutzung dieser Kanäle, in inhaltlich gezielten Anfragen sowie in Feedbacks aus der Bearbeitung von Anliegen.