Telekom Logo
  • Verantwortung leben. Nachhaltigkeit ermöglichen.
  • Corporate Responsibility Bericht 2018
Corporate Responsibility Bericht 2018

Datenschutz und Datensicherheit

Was vielen Internet-Nutzern – ob privat oder beruflich im Internet unterwegs – kaum bewusst ist: Jeder Klick hinterlässt eine Datenspur im Netz, die möglicherweise nachverfolgt werden kann. Hackern ist es auf diese Weise möglich, gezielt Informationen zu sammeln und nach Schwachstellen in Hard- und Software Ausschau zu halten. Fast jeder zweite deutsche Internet-Nutzer (49 %) ist bereits einmal Opfer von Cybercrime geworden. Das ist das Ergebnis einer repräsentativen Befragung von017 Internet-Nutzern im Auftrag des Digitalverbands Bitkom, die 2017 veröffentlicht wurde. Für uns als ICT-Unternehmen ist das Vertrauen unserer Kunden die Grundlage für unser Geschäft. Datenschutz und Datensicherheit sind für uns daher von zentraler Bedeutung.

So sorgen wir für effektiven Datenschutz

Unser Beitrag zu den SDG

Höchste Standards bei Datenschutz und Datensicherheit sind wesentliche Merkmale unserer Markenidentität. Daher haben wir bereits 2008 ein eigenes Vorstandsressort für Datenschutz, Recht und Compliance und den Bereich Konzerndatenschutz (Group Privacy) eingerichtet. Damit haben wir im Unternehmen die notwendigen Kapazitäten für effektiven Datenschutz geschaffen. Der Vorstand wird von einem unabhängigen Datenschutzbeirat unterstützt, der mit namhaften Experten aus Politik, Wissenschaft, Wirtschaft und unabhängigen Organisationen besetzt ist. Er wurde im Februar 2009 gegründet.

Anfang 2017 hat die Geschäftseinheit „Telekom Security“ ihr operatives Geschäft aufgenommen. Die Einheit bündelt die Sicherheitsaktivitäten aus verschiedenen Konzernbereichen und stärkt so unser Angebot an Cyber-Security-Lösungen.

Konsequente Transparenz gegenüber der Öffentlichkeit
Transparente Kommunikation zum Thema Datenschutz hat bei uns Tradition: Seit 2008 informieren wir über unsere Aktivitäten, zunächst in regelmäßigen Datenschutzberichten und seit 2016 auf unserer Datenschutz-Seite www.telekom.com/datenschutz. Neue Entwicklungen im Bereich Datenschutz und wichtige Hinweise für einen sicheren Umgang mit persönlichen Daten finden sich nun dort – schnell und tagesaktuell aufbereitet.

Seit 2014 veröffentlichen wir jährlich einen Transparenzbericht. Darin legen wir offen, wie wir mit deutschen und internationalen Sicherheitsbehörden zusammenarbeiten. Über die sichere Gestaltung unserer Produkte und Dienste berichten wir in diesem CR-Bericht im Kapitel Verbraucher- und Jugendschutz.

Regelmäßige Schulung unserer Beschäftigten
Telekommunikationsunternehmen müssen ihre Mitarbeiterinnen und Mitarbeiter zu Beginn des Arbeitsverhältnisses datenschutzrechtlich schulen. Wir gehen über diese gesetzliche Anforderung hinaus: Alle zwei Jahre schulen wir unsere Mitarbeiterinnen und Mitarbeiter in Deutschland und verpflichten sie auf das Daten- und Fernmeldegeheimnis. Für die internationalen Gesellschaften sind entsprechende Vorgaben implementiert. Im Kunden- und Personalbereich, wo ein höheres Risiko für Datenmissbrauch besteht, führen wir zudem spezifische Schulungen durch. Hierzu nutzen wir Online-Schulungen zum Selbststudium, Datenschutzvorträge sowie Präsenzveranstaltungen zu speziellen Themen wie „Datenschutz in CallCentern“. So ist sichergestellt, dass alle Beschäftigten die Datenschutzbestimmungen verinnerlichen.

Jährliche Überprüfung der Maßnahmen durch Audits img und Zertifizierungen
Wir führen jährlich ein sogenanntes Konzerndatenschutzaudit durch, mit dem Ziel, das allgemeine Datenschutzniveau konzernweit zu messen und zu verbessern. Hierzu werden zufällig ausgewählte 30 Prozent der Konzernbeschäftigten online befragt. Ergänzt wird das Konzerndatenschutzaudit durch eine Selbsteinschätzung der Datenschutzbeauftragten in den Landesgesellschaften, inwieweit die Anforderungen aus unseren „Binding Corporate Rules Privacy“ erfüllt werden.

Der Bereich Konzerndatenschutz identifiziert auf Basis der Ergebnisse Handlungsbedarf in den jeweiligen Einheiten und fordert sie auf, Verbesserungsmaßnahmen umzusetzen. Hierzu führt der Konzernbeauftragte für den Datenschutz Einzelgespräche mit den verantwortlichen Geschäftsführern, Führungskräften und den Themenverantwortlichen auf Fachebene. Der Bereich Konzerndatenschutz unterstützt bei der Umsetzung der Maßnahmen mit Informationen, Beratung sowie einer anschließenden Überprüfung. Auffällige Auditergebnisse werden bei der Planung der Folgeaudits entsprechend berücksichtigt.

Darüber hinaus lassen wir Prozesse, Managementsysteme oder Produkte und Dienste durch externe, unabhängige Stellen wie etwa TÜV, DEKRA oder Wirtschaftsprüfungsgesellschaften zertifizieren. Dass die IT-Systeme der Telekom Deutschland sicher sind, bestätigte der TÜV Nord in diesem Jahr erneut.

Umsetzung der EU-Datenschutz-Grundverordnung

Im Mai 2016 ist die EU-Datenschutz-Grundverordnung (DSGVO) in Kraft getreten. Nach einer Übergangsfrist von zwei Jahren gilt sie seit dem 25. Mai 2018 verbindlich. Da Gesetze immer eine Interpretation brauchen, wie sie im Alltag umzusetzen sind, hat der Bereich Group Privacy für den gesamten Konzern einheitliche Regeln erstellt: die sogenannten Binding Interpretations (dt. „verbindliche Interpretationen“). Sie wurden in Zusammenarbeit mit den Datenschutzexperten in den Landesgesellschaften erstellt. Die Binding Interpretations beinhalten konkrete Empfehlungen und Best-Practice-Beispiele zur Umsetzung der EU-Verordnung. Sie erläutern beispielsweise, wie eine Kundeneinwilligung aussehen muss oder auf welche Weise Kundendaten auf Wunsch gelöscht werden müssen. Von Januar 2017 bis zum 25. Mai 2018 wurden auf Basis der Binding Interpretations in einer zweiten Phase die neuen Anforderungen im gesamten Konzern eingeführt. Dazu wurden alle IT-Systeme überprüft und gegebenenfalls angepasst. Alle Mitarbeiter wurden über die Datenschutz-Grundverordnung informiert und über 10 000 Experten intensiv geschult. An die Implementierung schloss sich die dritte und letzte Phase des EU-weiten Projekts an: die Kontrollphase. In dieser Phase wurden alle betroffenen Gesellschaften des Konzerns befragt, ob sie alle relevanten Anforderungen umgesetzt haben. Begleitend wurden bei 28 Gesellschaften zusätzlich Stichprobenkontrollen auf Einhaltung der DSGVO durchgeführt.

Internationaler Transparenzbericht veröffentlicht

Telekommunikationsunternehmen sind gesetzlich verpflichtet, mit Sicherheitsbehörden zu kooperieren: Dies umfasst beispielsweise Überwachungsmaßnahmen zur Aufzeichnung von Telekommunikationsverbindungen oder Auskünfte zu Anschlussinhabern. Bereits seit 2014 gibt die Telekom einen jährlichen Transparenzbericht für Deutschland heraus, in dem sie Art und Umfang ihrer Auskünfte an Sicherheitsbehörden offenlegt. 2016 wurde der Transparenzbericht um sämtliche Landesgesellschaften erweitert. Zuletzt wurde der internationale Transparenzbericht im Februar 2018 veröffentlicht.

Die rechtlichen Rahmenbedingungen sind international sehr unterschiedlich. In einigen Ländern ist uns die Auskunft zu Sicherheitsmaßnahmen verboten, in anderen werden Überwachungen direkt durch die Behörden ausgeführt – ohne Beteiligung des Telekommunikationsunternehmens. Weitere Informationen zu den Gegebenheiten vor Ort finden Sie in den jeweiligen Landesinformationen unter www.telekom.com/transparenzbericht.

Grundsätzlich sehen wir die Behörden in der Pflicht, für Transparenz über Sicherheitsmaßnahmen zu sorgen, und haben dies im Januar 2015 auch in einem Zehn-Punkte-Programm für mehr Sicherheit im Netz gefordert. Solange dies nicht gewährleistet ist, bemühen wir uns im Rahmen der rechtlichen Möglichkeiten um die nötige Transparenz.