Datenschutz
Umsetzung der Datenschutzgrundverordnung
Auch im Berichtsjahr standen die Umsetzungsbemühungen rund um die Datenschutzgrundverordnung (DSGVO) im Mittelpunkt der Arbeit des Konzerndatenschutzes. Zum einen ging es darum, neue Anforderungen wie die erweiterten Transparenzpflichten gegenüber Kunden und Beschäftigten umzusetzen. Zum anderen waren aber auch bestehende Prozesse und Vertragsmuster auf die neuen Regelungen hin anzupassen und die neuen Vorschriften mussten vorausschauend in die tägliche Beratung einfließen. Nicht zuletzt wurden die Verantwortlichen auf verschiedenen Kanälen für das Thema Datenschutz sensibilisiert.
In der Beratung spielten neben den typischen Prozessen wie Recruiting und HR-Services zunehmend Initiativen wie DB Digital Ventures, mindbox und beyond1435 eine Rolle, mit denen der DB-Konzern seine Digitalisierungsbemühungen vorantreibt. Unter der Überschrift Videoüberwachung erfuhr der Einsatz von Bodycams durch die DB Sicherheit ein gewisses Medienecho. Vorausgegangen waren auch hier eine umfassende datenschutzrechtliche Beratung und Erörterung mit der zuständigen Datenschutzaufsichtsbehörde sowie eine wissenschaftliche Be-gleitung durch Prof. Dr. Jürgen Taeger von der Universität Oldenburg, der auch Mitglied des Datenschutzbeirats des DB-Konzerns ist.
Der Konzerndatenschutz legt Wert auf eine offene und proaktive Kommunikation mit den für die jeweiligen Konzernunternehmen zuständigen Datenschutzaufsichtsbehörden, insbesondere bei der Einführung innovativer Verfahren und Prozesse.
Technischer Datenschutz und Audit
Schwerpunkte der Auditabteilung waren die Prüfung wichtiger Verfahren und Prozesse hinsichtlich der Umsetzung der Anforderungen der DSGVO, allen voran die Verfahren »BahnCard« – inklusive Prüfung des Dienstleisters – sowie die zentralen DB-Personalsysteme. Weiterer Schwerpunkt im Berichtsjahr war die Auditierung des neuen international eingesetzten Recruitingverfahrens beim DB-Konzern.
Auf der Beratungsseite stand die Begutachtung diverser neu erarbeiteter Auftragsverarbeitungsverträge (AV-Verträge) hinsichtlich der Umsetzung von technisch-organisatorischen Maßnahmen im Mittelpunkt. Auch die Betreuung großer Projekte im Kunden- und Beschäftigtendatenschutz mit datenschutztechnischer Expertise hinsichtlich noch zu treffender Maßnahmen zur Erfüllung der DSGVO waren Teil der Beratungspraxis. Hier seien das neue Vertriebssystem VENDO im Personenverkehr und Verfahrensweiterentwicklungen speziell im betriebsärztlichen Dienst genannt.
Eine innovative Arbeitsgruppe mit dem Namen AG SoNeT forschte an datenschutzrechtlichen Empfehlungen zur Nutzung von Künstliche- Intelligenz-(KI-)Anwendungen mit dem Ziel der Erarbeitung einer Handlungshilfe für DB-Konzernunternehmen. Die Ergebnisse der DOM-Umfrage, die zu Beginn des Berichtsjahres vorlagen, bescheinigten den Teilnehmern bei Rekordteilnehmerzahlen ein gutes Datenschutzniveau.
Weiterentwicklung der fachlichen Qualifizierung und Awareness
Die hohe fachliche Qualität in der Beratungstätigkeit der Datenschutzorganisation durch maßgeschneiderte fachliche Schulungsangebote haben wir weiter verbessert. Um alle Mitarbeiter und Führungskräfte zielgruppengerecht für Datenschutzthemen zu sensibilisieren, wurden unter anderem das neue Web-based Training »Grundlagen des Datenschutzes« veröffentlicht und der Blog »Neues zum Datenschutz« auf DB Planet durchgängig mit aktuellen News zum Datenschutz bespielt.
Internationaler Datenschutz
Den roten Faden, der im Berichtsjahr die internationalen datenschutzrechtlich relevanten Themen miteinander verband, bildete die digitale Transformation im DB-Konzern. Von Flottenmanagementsystemen in der internationalen Logistik über digitale Finanzlösungen bis hin zum Einsatz internationaler Recruitingsoftware – die Verwendung innovativer digitaler Technologien erfordert klar den verantwortungsvollen und sicheren Umgang mit personenbezogenen Daten.
Ein weiteres Schwerpunktthema war auch hier die Umsetzung der DSGVO. Gemeinsam mit den internationalen Privacy Managern als Ansprechpartnern innerhalb der internationalen dezentralen Datenschutzorganisation konnte der Konzerndatenschutz die Umsetzung der neuen Anforderungen an Datenverarbeitungsprozesse innerhalb der EU beziehungsweise zwischen EU-Gesellschaften und internationalen Gesellschaften sicherstellen.
Neben der europäischen Gesetzgebung haben wir auch internationale Rechtsentwicklungen aufmerksam im Blick. Datenschutzrechtlich relevant waren hierbei im Berichtsjahr für uns unter anderem der US-amerikanische CLOUD Act, verschiedene nationale Datenlokalisierungsgesetze und durch das Beispiel der EU-Datenschutzgrundverordnung inspirierte Datenschutzgesetze.
Datenschutz-Beirat DB-Konzern
Das Gremium »Datenschutz-Beirat DB-Konzern« berät den Konzernvorstand in den strategischen und zentralen datenschutzrelevanten Fragestellungen. Damit leistet er einen erheblichen Beitrag für einen möglichst vorbildlichen Datenschutz im DB-Konzern. Insbesondere im Rahmen der Beratungen zur digitalen Transformation sichert die im Beirat vorhandene Expertise der einzelnen Stakeholdergruppen die Berücksichtigung der berechtigten datenschutzrelevanten Interessen aller Beteiligten. Die Arbeit des Beirats ist damit ein wichtiger Beitrag zum Stakeholderdialog des DB-Konzerns beim Datenschutz.
Grundlegend für die zielführende Beratung sind die frühzeitige und strukturierte Einbindung in die datenschutzrelevanten Überlegungen, Planungen und Vorhaben sowie die Kontinuität im Einsatz für einen vorbildlichen Datenschutz im DB-Konzern. Im Beirat werden neue, innovative und pragmatische Lösungsansätze zum Schutz der Persönlichkeitsrechte der Betroffenen beraten: ein wichtiger Beitrag zur Datenschutzkonformität der Digitalisierungsvorhaben und zugleich ein wichtiger Erfolgsfaktor der jeweiligen Projekte. Die vorausschauende, kritisch-konstruktive Diskussion und die vertrauensvolle Beratung im Gremium helfen, die in diesem Zusammenhang bestehenden Herausforderungen bestmöglich zu meistern. Die jährliche Verleihung des inzwischen etablierten Datenschutz-Awards des Beirats trägt zur Sicherung der notwendigen Aufmerksamkeit beim Datenschutz im DB-Konzern bei.