• Verantwortung leben. Nachhaltigkeit ermöglichen.
  • Corporate Responsibility Bericht 2015
Corporate Responsibility Bericht 2015

Datensicherheit & Datenschutz

Alle ausklappen

Hier findet sich eine Auswahl relevanter Inhalte aus dem CR-Bericht 2015. Mehr Informationen befinden sich in den Kapiteln Strategie & Management und Kunden & Produkte.

Inhalt durch PwC geprüfticon_check

 Bereits 2008 haben wir ein eigenes Vorstandsressort für Datenschutz, Recht und Compliance und den Konzernbereich Konzerndatenschutz (Group Privacy) eingerichtet. Damit haben wir im Unternehmen die notwendigen Kapazitäten für effektiven Datenschutz geschaffen. Der Vorstand wird von einem unabhängigen Datenschutzbeirat beraten, der mit namhaften Experten aus Politik, Wissenschaft, Wirtschaft und Organisationen besetzt ist. Er wurde im Februar 2009 gegründet.

Auch politisch setzen wir uns dafür ein, die Rahmenbedingungen für umfassenden Datenschutz zu verbessern: Dazu haben wir beispielsweise auf dem nationalen IT-Gipfel 2015 zusammen mit dem Bundesinnenminister und anderen Organisationen die „Charta zur Stärkung der vertrauenswürdigen Kommunikation“ unterzeichnet. Sie macht sich insbesondere dafür stark, dass die Verschlüsselung privater Kommunikation zum Standard wird.

Konsequente Transparenz gegenüber der Öffentlichkeit
Als erstes DAX-30-Unternehmen haben wir 2008 begonnen, einen jährlichen Datenschutzbericht zu veröffentlichen, der sämtliche für einen wirksamen Datenschutz relevanten Vorgänge im Konzern dokumentiert. Seit 2011 geben wir einen integrierten Bericht zu den Themen Datenschutz und Datensicherheit heraus. Download Bericht Datenschutz und Datensicherheit 2015.

Seit 2014 veröffentlichen wir zudem jährlich einen Transparenzbericht. Darin legen wir offen, wie wir in Deutschland und international mit Sicherheitsbehörden zusammenarbeiten müssen.

Ergänzend finden sich unter www.telekom.com/datenschutz umfassende und aktuelle Informationen zum Datenschutz. So berichten wir beispielsweise im Statusreport über alle datenschutzrelevanten Vorgänge bei der Telekom. Wir präsentieren aktuelle Maßnahmen zur Verbesserung des Datenschutzes und geben wichtige Hinweise für einen sicheren Umgang mit persönlichen Daten.

Wie wir unsere Produkte und Dienste sicher gestalten, berichten wir im Kapitel Verbraucher- und Jugendschutz.

Regelmäßige Schulung unserer Beschäftigten
Telekommunikationsunternehmen müssen ihre Mitarbeiter zu Beginn des Arbeitsverhältnisses datenschutzrechtlich schulen. Die Deutsche Telekom geht über diese gesetzliche Anforderung hinaus: Alle zwei Jahre schulen wir unsere Mitarbeiter in Deutschland und verpflichten sie auf das Daten- und Fernmeldegeheimnis. Für die internationalen Tochtergesellschaften sind entsprechende Vorgaben implementiert. Im Kunden- und Personalbereich, wo ein höheres Risiko für Datenmissbrauch besteht, führen wir zudem spezifische Schulungen durch. Hierzu nutzen wir Online-Schulungen zum Selbststudium, Datenschutzvorträge sowie Präsenzveranstaltungen zu speziellen Themen wie „Datenschutz in Callcentern“. So ist sichergestellt, dass alle Beschäftigten die Datenschutzbestimmungen verinnerlichen.

Jährliche Überprüfung der Maßnahmen durch Audits img und Zertifizierungen
Wir führen jährlich ein sogenanntes Basisdatenschutzaudit durch, mit dem Ziel, das allgemeine Datenschutzniveau bei der Telekom in Deutschland und bei 34 internationalen Beteiligungsgesellschaften zu messen und zu verbessern. 2015 wurden hierzu zufällig ausgewählte 30 Prozent der Konzernbeschäftigten online befragt. Ergänzt wird das Basisdatenschutzaudit durch eine Selbsteinschätzung der Datenschutzbeauftragten in den Landesgesellschaften, inwieweit die Anforderungen aus den Binding Corporate Rules Privacy erfüllt werden.

Der Bereich Konzerndatenschutz (Group Privacy) identifiziert auf Basis der Ergebnisse Handlungsbedarf in den jeweiligen Einheiten und fordert sie auf, Verbesserungsmaßnahmen umzusetzen. Hierzu führt der Konzernbeauftragte für den Datenschutz Einzelgespräche mit den verantwortlichen Geschäftsführern, Führungskräften und den Themenverantwortlichen auf Fachebene. Der Bereich Konzerndatenschutz unterstützt bei der Umsetzung der Maßnahmen mit Informationen, Beratung sowie einer anschließenden Überprüfung. Auffällige Auditergebnisse werden bei der Planung der Folgeaudits entsprechend berücksichtigt.

Darüber hinaus lassen wir Prozesse, Managementsysteme oder Produkte und Dienste durch externe, unabhängige Stellen wie etwa TÜV, DEKRA oder Wirtschaftsprüfungsgesellschaften zertifizieren.

Im Januar 2015 haben wir eine internationale Kampagne gestartet, mit der wir unsere Mitarbeiter für die Bedeutung des Datenschutzes sensibilisieren. Hauptfigur der Kampagne ist der „Datenschlonz“. Er verkörpert den Schlendrian im Umgang mit Daten und Informationen und zeigt die Risiken eines laxen Umgangs mit dem Datenschutz auf. Im TSN, dem sozialen Netzwerk der Telekom, riefen wir unsere Mitarbeiter unter dem Motto „Keine Chance dem Datenschlonz“ in einem Ideenwettbewerb auf, diese Risiken anschaulich darzustellen. Rund 150 Mitarbeiter folgten dem Aufruf und nahmen das Thema textlich, grafisch (siehe Cartoons) und zum Teil sogar filmisch aufs Korn.

Darüber hinaus können Mitarbeiter Hinweise auf Missachtung des Datenschutzes jederzeit über Datenschutz@telekom.de signalisieren.

  • Sei kein Datenschlonz
  • Sei kein Datenschlonz
  • Sei kein Datenschlonz

Inhalt durch PwC geprüfticon_check

Datenschutz und Datensicherheit sind für uns von großer Bedeutung. Wir haben hierfür bereits 2008 ein eigenes Vorstandsressort eingerichtet und mit der Konzernrichtlinie Datenschutz („Binding Corporate Rules Privacy“) verbindlich konzernweit geregelt, wie personenbezogene Daten innerhalb der Telekom-Gruppe erhoben, gespeichert und weiterverarbeitet werden dürfen. In einem eigenen jährlichen Bericht Datenschutz und Datensicherheit informieren wir nicht nur transparent über alle unsere Aktivitäten und Maßnahmen, sondern ziehen auch Zwischenbilanz: Was hat die Telekom erreicht? Wo sieht die Politik den größten Handlungsbedarf? Und wie beurteilen Experten den Status quo bei Datenschutz und Datensicherheit?

Unsere Produkte und Dienste bieten seit jeher ein hohes Niveau an Datenschutz und Datensicherheit. Wachsende Datenmengen erfordern besondere Vorkehrungen zum Schutz der Privatsphäre der Bürger. Bereits seit 2013 gelten für unser Handeln deshalb acht verbindliche Leitsätze für den Umgang mit Big Data – großen Mengen personenbezogener Daten. Mit einem „Zehn-Punkte-Programm für mehr Sicherheit im Netz“ haben wir im Januar 2015 außerdem konkrete Maßnahmen zum Schutz von Daten und Infrastruktur beschlossen. Im Zuge dessen haben wir neue Schutzprodukte entwickelt, darunter die Mobile Encryption App img zur Verschlüsselung der gesamten Mobilfunk-Kommunikation.

Auch in der Entwicklung unserer übrigen Produkte und Dienste spielen Datenschutz- und Sicherheitsaspekte eine wesentliche Rolle. Mithilfe des „Privacy and Security Assessment“(PSA)-Verfahrens werden unsere Systeme bei jedem Entwicklungsschritt auf ihre Sicherheit überprüft. Dies gilt für neu entwickelte Systeme ebenso wie für bestehende, die technisch oder in der Art der Datenverarbeitung angepasst werden. Außerdem dokumentieren wir mithilfe eines standardisierten Verfahrens den Datenschutz- und Datensicherheitsstatus unserer Produkte über ihren gesamten Lebenszyklus. Jugendschutzkriterien fließen ebenfalls in die Entwicklung unserer Dienste und Produkte ein. In Deutschland beziehen wir bei Fragen der Planung und Gestaltung jugendschutzrelevanter Angebote unsere Jugendschutzbeauftragte ein, die Beschränkungen oder Änderungen vorschlagen kann. Wir haben uns 2013 außerdem verpflichtet, in jeder Landesgesellschaft innerhalb der EU für jugendschutzrelevante Themen einen Child Safety Officer (CSO) zu benennen. Daraufhin beriefen wir 2014 in allen unseren europäischen Märkten mindestens einen CSO. Der CSO ist zum einen zentraler Ansprechpartner für gesellschaftliche Akteure des jeweiligen EU-Markts. Zum anderen nimmt er intern eine Schlüsselrolle bei der Koordinierung jugendschutzrelevanter Themen ein. Diese Maßnahme erhöht somit das konsistente und transparente Engagement der Telekom im Bereich Jugendschutz.

Strategischer Ansatz zum Jugendmedienschutz
Unsere Strategie zum Schutz von Kindern und Jugendlichen bei der Nutzung digitaler Medien ruht auf drei Säulen: Wir

  • stellen attraktive und altersgerechte Angebote für Kinder bereit und geben Erziehungsberechtigten Instrumente (Filter) an die Hand, mit denen sie den Zugang Minderjähriger zu gefährdenden Inhalten unterbinden können,
  • beteiligen uns an der Bekämpfung von Kindesmissbrauch und dessen Darstellung und
  • fördern den Aufbau von Medienkompetenz im sicheren Umgang mit den Angeboten im Netz.

Darüber hinaus arbeiten wir eng mit Strafverfolgungsbehörden und NGOs sowie anderen Partnern aus Wirtschaft, Politik und Gesellschaft zusammen, um kinder- und jugendgefährdende Inhalte aus dem Netz zu verbannen. In Deutschland haben wir unsere Verpflichtung zum Jugendmedienschutz in entsprechenden Grundsätzen fixiert und Mindeststandards implementiert. EU-weit verpflichteten wir uns bereits 2007, die Darstellung von Kindesmissbrauch im Internet zu bekämpfen. Auf globaler Ebene sind wir seit 2008 im internationalen Verband der Mobilfunk-Anbieter GSMA, der dasselbe Ziel verfolgt. Um unser Vorgehen im Konzern besser zu koordinieren, verabschiedeten wir darüber hinaus im Oktober 2013 einen international gültigen Katalog mit verbindlichen Rahmenvorgaben für unsere Aktivitäten im Jugendmedienschutz und setzten damit in unseren Märkten neue Standards. Jede Landesgesellschaft in der EU kann die darin enthaltenen Vorgaben an die jeweiligen kulturellen Gegebenheiten und Geschäftsmodelle anpassen, weitergehende Maßnahmen beschließen und so zusätzlich eigene strategische Schwerpunkte setzen.

Da der Jugendmedienschutz eine branchenübergreifende Herausforderung darstellt, kooperieren wir mit verschiedenen Jugendschutzorganisationen und beteiligen uns an Allianzen, die das Engagement der Akteure aus der Internet- und Medienwirtschaft koordinieren. Beispielsweise wirken wir mit an der „CEO Coalition to make the Internet a better place for kids“, die sich zum Ziel gesetzt hat, das Internet zu einem sichereren Ort für Kinder zu machen. Eine führende Rolle übernehmen wir außerdem in der „ICT img Coalition for the Safer Use of Connected Devices and Online Services by Children and Young People in the EU“. Mit ihr verfolgen wir einen umfassenden, auf sechs Prinzipien beruhenden branchenübergreifenden Ansatz, der ausdrücklich auch den Aufbau von Medienkompetenz einschließt.

Im Rahmen beider Allianzen kündigte die Telekom im Januar 2013 die Umsetzung eines EU-weiten, auf den Prinzipien der ICT Coalition beruhenden Maßnahmenpakets an. Die ICT Coalition publizierte im April 2014 einen Jahresbericht zur Umsetzung entsprechender Maßnahmen bei allen in der ICT Coalition vertretenen Unternehmen. Der von einem unabhängigen Gutachter des Dublin Institute of Technology erstellte Report kommt zu dem Ergebnis, dass der Ansatz der Telekom zur Umsetzung der Prinzipen der ICT Coalition vorbildlich ist.

Die Telekom ist in Bezug auf den Datenschutz das vertrauenswürdigste Unternehmen der Telekommunikations- und Internet-Branche in Deutschland – zu diesem Ergebnis kommt eine Umfrage des Instituts für Demoskopie Allensbach für den Sicherheitsreport 2015. Generell wird dem Schutz der persönlichen Daten in Deutschland im internationalen Vergleich ein besonders hoher Stellenwert eingeräumt. Auf dieser Grundlage bieten wir unseren Kunden besonders sichere Rechenzentren an.

Unsere vielfältigen Datenschutzaktivitäten dokumentieren wir in unserem jährlichen Bericht Datenschutz und Datensicherheit. Die folgenden Beispiele geben einen kleinen Ausschnitt unserer Arbeit im Berichtszeitraum wieder.

Verschlüsselte E-Mails für alle
Die Telekom und das Fraunhofer-Institut für Sichere Informationstechnologie (SIT) bieten ab Mitte 2016 mit der „Volksverschlüsselung“ eine einfache und kostenlose Möglichkeit an, E-Mails zu verschlüsseln. Die Lösung wird von der Telekom in einem Hochsicherheitsrechenzentrum betrieben. Sie soll kryptografische Methoden aus der Forschung für alle zugänglich machen. Kryptografische Schlüssel werden direkt auf dem Endgerät des Nutzers erzeugt und verbleiben ausschließlich in seiner der Hand: Sie befinden sich folglich zu keiner Zeit in den Händen des Betreibers der Infrastruktur. Zur Nutzung der Verschlüsselung genügen die Installation der Software und eine einfache, sichere Identifikation. Im ersten Schritt erfolgt die Authentifizierung über die etablierten Anmeldeverfahren der Telekom oder mithilfe des elektronischen Personalausweises. Später sind weitere Verfahren zur sicheren Identifikation geplant.

Telekom-Apps auf dem Prüfstand
Im Oktober 2015 überprüften die Datenschutz- und Datensicherheitsexperten der Telekom das Schutzniveau von 30 unternehmenseigenen Apps. Dabei lag der Fokus auf den Apps, die in den Download-Stores von Apple und Google am meisten nachgefragt sind, darunter das App-Magazin „We Care“. Unter anderem prüften sie, wie und wann die Apps die geforderten Datenschutzhinweise bereitstellen: Kann sich der Kunde bereits im Store – also noch vor dem Download der Software – ausreichend informieren? Wie detailliert sind die Datenschutzhinweise?

Die Tester waren insgesamt zufrieden mit dem Ergebnis: Vor allem für die Punkte Datensparsamkeit und Zweckbindung gab es gute Ergebnisse. Das bedeutet, dass die Apps keine persönlichen Daten der Nutzer speichern oder verwenden, die nicht für die Funktionsfähigkeit der jeweiligen App img benötigt werden. Die Tester konnten aber auch noch Verbesserungspotenzial ermitteln. Häufigster Kritikpunkt waren Schwächen bei den Datenschutzhinweisen, zum Beispiel bei der inhaltlichen Gestaltung oder der Auffindbarkeit innerhalb der App. Leider verwendeten auch noch nicht alle Apps das Privacy Icon der Telekom. Dabei handelt es sich um ein von der Telekom entwickeltes Datenschutzsymbol, das den Nutzer auf Privacy-by-Design-Funktionen hinweisen soll. Bei der Datensicherheit zeigte sich ebenfalls noch Optimierungspotenzial. Für die Schwachstellenanalyse banden die Sicherheitsexperten der Telekom das Fraunhofer-Institut für Sichere Informationstechnologie (Fraunhofer SIT) mit ein. Diese stellten eine Prüfsoftware bereit, mit der kritische potenzielle Sicherheitslücken überprüft wurden, die von Angreifern bevorzugt genutzt werden. Die ermittelten Schwächen wurden detailliert festgehalten und behoben.

V-Datenschutzsiegel für die Telefonrechnung
Jeden Monat erstellt die Telekom allein im Privatkundensegment in Deutschland etwa 27 Millionen Telefonrechnungen. 2015 zertifizierte der TÜViT erneut die Abrechnungsprozesse bei der Telekom Deutschland. Hierbei bewerteten die Prüfer sowohl den Datenschutz als auch die IT-Sicherheit. Mit dem TÜV-Siegel bescheinigen sie der Telekom den gesetzeskonformen und sicheren Umgang mit den Daten ihrer Kunden.

Vorsicht vor gefälschten Rechnungen
Immer wieder versuchen Kriminelle, über gefälschte Telekom-Rechnungen Schadcode auf Rechnern zu verbreiten. Seit Februar 2015 versendet die Telekom ihre Online-Rechnungen mit zusätzlichen Sicherheitsmerkmalen. Neben der persönlichen Anrede und Buchungskontonummer finden Kunden jetzt zusätzlich Straße und Hausnummer in ihrer RechnungOnline. Durch das fälschungssichere E-Mail-Siegel können Kunden authentische Online-Rechnungen der Telekom zweifelsfrei erkennen. Die hervorgehobene Darstellung in ihrem Posteingang gibt ihnen einen schnellen Überblick, ob die E-Mails tatsächlich von der Telekom stammen. Außerdem wurde eine neue Signatur eingeführt, die nicht sichtbar ist, beim E-Mail-Versand aber von den Internet-Providern ausgelesen wird. Anhand der Signatur können die Provider erkennen, ob die E-Mail von einem vertrauenswürdigen Absender stammt oder ob es sich um gefälschte E-Mails mit Telekom-Absender handelt.

Der Telekom-Sicherheitsratgeber im Netz
Informationen über Cyberkriminelle, Schadsoftware oder Phishingbetrug sind im Internet auf Tausende Webseiten verteilt. Die Website www.sicherdigital.de bündelt diese Infos und bietet den Besuchern so einen einfachen Zugang zu sicherheitsrelevanten Themen. Jugendliche, Erwachsene und Unternehmen finden nützliche Hinweise und konkrete Hilfe rund um die Themen Sicherheit und Datenschutz.

Auch die Ausgabe „Vertraulich“ unserer „We Care“-App informiert die Nutzer anschaulich darüber, wie gefährlich Hacker-Angriffe sein können und wie man sich davor schützen kann.

Inhalt durch PwC geprüfticon_check

Es ist uns ein zentrales Anliegen, unsere Kunden vor Gefahren aus dem Netz zu schützen. Im Geschäftsfeld „Cyber Security“ schaffen wir die nötigen Kapazitäten, um Cyberangriffe nicht nur frühzeitig zu erkennen, sondern auch schnell Gegenmaßnahmen einleiten zu können. Zudem entwickeln wir laufend neue Verfahren zur Abwehr von Angriffen. Dazu haben wir ein eigenes Cyber Defense Center eingerichtet, in dem wir Verhaltensmuster im Netz analysieren und Verteidigungsstrategien erarbeiten.

Kooperationen im Dienste der Sicherheit
Cyber Security ist eine gemeinschaftliche Aufgabe. Weltweit arbeiten wir mit Forschungseinrichtungen, Industriepartnern, Initiativen, Standardisierungsgremien, öffentlichen Institutionen und anderen Internet-Dienstleistern zusammen, um der Cyberkriminalität entgegenzutreten und die Internet-Sicherheit zu verbessern. Beispielsweise kooperieren wir bundesweit mit dem Bundesamt für Sicherheit und Informationstechnik (BSI) und auf EU-Ebene mit der Europäischen Agentur für Netzwerk- und Informationssicherheit (ENISA).

Für unsere Geschäftskundensparte haben wir 2015 eine Partnerschaft mit dem Unternehmen AlienVault geschlossen. Gemeinsam bieten wir eine speziell für den Mittelstand entwickelte Sicherheitslösung gegen Cyberattacken an. Die Lösung erlaubt mittleren Unternehmen ein Abwehrsystem zu nutzen, das bislang nur Konzernen mit entsprechenden IT-Ressourcen vorbehalten war. Das neue Angebot haben wir auf der CeBIT 2015 erstmals vorgestellt.

Mit dem Ziel, die Zusammenarbeit in der digitalen Gefahrenabwehr weiter zu verbessern, veranstalten wir zusammen mit der Münchner Sicherheitskonferenz außerdem regelmäßig den Cyber Security Summit. Die nächste Konferenz ist für 2016 geplant.

Telekom Security bündelt Sicherheitsexpertise der Telekom
Der Vorstand hat im Berichtszeitraum beschlossen, die neue Einheit „Telekom Security“ ins Leben zu rufen. Hier sollen die bislang verteilten Einheiten zum Thema Sicherheit – wie das bisherige Geschäftsfeld „Cyber Security“ – zentral unter einem Dach gebündelt werden. Durch die Bündelung wollen wir unsere Wettbewerbsfähigkeit stärken und neue, innovative Angebote für unsere Kunden entwickeln. Zum 1. April 2016 soll der formale Aufbau der Telekom Security beginnen, zum 1. Januar 2017 die neue Organisation als eigener Geschäftsbereich starten.

Die Deutsche Telekom ist in Deutschland führender Anbieter von Managed Security Services. Zu diesem Ergebnis kommen die Analysten von Experton in ihrem „Security Vendor Benchmark 2015“ Sie bescheinigen der Telekom ein attraktives Portfolio und ausgewiesene Wettbewerbsstärke. Für die Studie hat das Analystenhaus erstmals die Angebote von 450 Security-Anbietern umfassend bewertet. Dabei schneidet die Deutsche Telekom in den Kategorien „Analyse-Lösungen zur Sammlung und Auswertung von Sicherheits-Informationen und Events“, „Sicherheitslösungen aus der Cloud für mobile Endgeräte“ und „Sicherheitsinfrastruktur“ sehr gut ab.

Ich interessiere mich für das Engagement der Telekom im Bereich...