Telekom Logo
  • Verantwortung leben. Nachhaltigkeit ermöglichen.
  • Corporate Responsibility Bericht 2018
Corporate Responsibility Bericht 2018

Datensicherheit & Datenschutz

Hier findet sich eine Auswahl relevanter Inhalte aus dem CR-Bericht 2018. Mehr Informationen befinden sich in den Kapiteln Strategie & Management und Kunden & Produkte.

So sorgen wir für effektiven Datenschutz

Unser Beitrag zu den SDG

Höchste Standards bei Datenschutz und Datensicherheit sind wesentliche Merkmale unserer Markenidentität. Daher haben wir bereits 2008 ein eigenes Vorstandsressort für Datenschutz, Recht und Compliance und den Bereich Konzerndatenschutz (Group Privacy) eingerichtet. Damit haben wir im Unternehmen die notwendigen Kapazitäten für effektiven Datenschutz geschaffen. Der Vorstand wird von einem unabhängigen Datenschutzbeirat unterstützt, der mit namhaften Experten aus Politik, Wissenschaft, Wirtschaft und unabhängigen Organisationen besetzt ist. Er wurde im Februar 2009 gegründet.

Anfang 2017 hat die Geschäftseinheit „Telekom Security“ ihr operatives Geschäft aufgenommen. Die Einheit bündelt die Sicherheitsaktivitäten aus verschiedenen Konzernbereichen und stärkt so unser Angebot an Cyber-Security-Lösungen.

Konsequente Transparenz gegenüber der Öffentlichkeit
Transparente Kommunikation zum Thema Datenschutz hat bei uns Tradition: Seit 2008 informieren wir über unsere Aktivitäten, zunächst in regelmäßigen Datenschutzberichten und seit 2016 auf unserer Datenschutz-Seite www.telekom.com/datenschutz. Neue Entwicklungen im Bereich Datenschutz und wichtige Hinweise für einen sicheren Umgang mit persönlichen Daten finden sich nun dort – schnell und tagesaktuell aufbereitet.

Seit 2014 veröffentlichen wir jährlich einen Transparenzbericht. Darin legen wir offen, wie wir mit deutschen und internationalen Sicherheitsbehörden zusammenarbeiten. Über die sichere Gestaltung unserer Produkte und Dienste berichten wir in diesem CR-Bericht im Kapitel Verbraucher- und Jugendschutz.

Regelmäßige Schulung unserer Beschäftigten
Telekommunikationsunternehmen müssen ihre Mitarbeiterinnen und Mitarbeiter zu Beginn des Arbeitsverhältnisses datenschutzrechtlich schulen. Wir gehen über diese gesetzliche Anforderung hinaus: Alle zwei Jahre schulen wir unsere Mitarbeiterinnen und Mitarbeiter in Deutschland und verpflichten sie auf das Daten- und Fernmeldegeheimnis. Für die internationalen Gesellschaften sind entsprechende Vorgaben implementiert. Im Kunden- und Personalbereich, wo ein höheres Risiko für Datenmissbrauch besteht, führen wir zudem spezifische Schulungen durch. Hierzu nutzen wir Online-Schulungen zum Selbststudium, Datenschutzvorträge sowie Präsenzveranstaltungen zu speziellen Themen wie „Datenschutz in CallCentern“. So ist sichergestellt, dass alle Beschäftigten die Datenschutzbestimmungen verinnerlichen.

Jährliche Überprüfung der Maßnahmen durch Audits img und Zertifizierungen
Wir führen jährlich ein sogenanntes Konzerndatenschutzaudit durch, mit dem Ziel, das allgemeine Datenschutzniveau konzernweit zu messen und zu verbessern. Hierzu werden zufällig ausgewählte 30 Prozent der Konzernbeschäftigten online befragt. Ergänzt wird das Konzerndatenschutzaudit durch eine Selbsteinschätzung der Datenschutzbeauftragten in den Landesgesellschaften, inwieweit die Anforderungen aus unseren „Binding Corporate Rules Privacy“ erfüllt werden.

Der Bereich Konzerndatenschutz identifiziert auf Basis der Ergebnisse Handlungsbedarf in den jeweiligen Einheiten und fordert sie auf, Verbesserungsmaßnahmen umzusetzen. Hierzu führt der Konzernbeauftragte für den Datenschutz Einzelgespräche mit den verantwortlichen Geschäftsführern, Führungskräften und den Themenverantwortlichen auf Fachebene. Der Bereich Konzerndatenschutz unterstützt bei der Umsetzung der Maßnahmen mit Informationen, Beratung sowie einer anschließenden Überprüfung. Auffällige Auditergebnisse werden bei der Planung der Folgeaudits entsprechend berücksichtigt.

Darüber hinaus lassen wir Prozesse, Managementsysteme oder Produkte und Dienste durch externe, unabhängige Stellen wie etwa TÜV, DEKRA oder Wirtschaftsprüfungsgesellschaften zertifizieren. Dass die IT-Systeme der Telekom Deutschland sicher sind, bestätigte der TÜV Nord in diesem Jahr erneut.

Umsetzung der EU-Datenschutz-Grundverordnung

Im Mai 2016 ist die EU-Datenschutz-Grundverordnung (DSGVO) in Kraft getreten. Nach einer Übergangsfrist von zwei Jahren gilt sie seit dem 25. Mai 2018 verbindlich. Da Gesetze immer eine Interpretation brauchen, wie sie im Alltag umzusetzen sind, hat der Bereich Group Privacy für den gesamten Konzern einheitliche Regeln erstellt: die sogenannten Binding Interpretations (dt. „verbindliche Interpretationen“). Sie wurden in Zusammenarbeit mit den Datenschutzexperten in den Landesgesellschaften erstellt. Die Binding Interpretations beinhalten konkrete Empfehlungen und Best-Practice-Beispiele zur Umsetzung der EU-Verordnung. Sie erläutern beispielsweise, wie eine Kundeneinwilligung aussehen muss oder auf welche Weise Kundendaten auf Wunsch gelöscht werden müssen. Von Januar 2017 bis zum 25. Mai 2018 wurden auf Basis der Binding Interpretations in einer zweiten Phase die neuen Anforderungen im gesamten Konzern eingeführt. Dazu wurden alle IT-Systeme überprüft und gegebenenfalls angepasst. Alle Mitarbeiter wurden über die Datenschutz-Grundverordnung informiert und über 10 000 Experten intensiv geschult. An die Implementierung schloss sich die dritte und letzte Phase des EU-weiten Projekts an: die Kontrollphase. In dieser Phase wurden alle betroffenen Gesellschaften des Konzerns befragt, ob sie alle relevanten Anforderungen umgesetzt haben. Begleitend wurden bei 28 Gesellschaften zusätzlich Stichprobenkontrollen auf Einhaltung der DSGVO durchgeführt.

Persönliche Daten schützen

Der Schutz der Daten unserer Kunden ist für uns von höchster Bedeutung. Über unsere vielfältigen Datenschutzaktivitäten berichten wir tagesaktuell auf unserer Konzernwebsite unter Datenschutz und Datensicherheit. Die folgenden Beispiele geben einen kleinen Ausschnitt unserer Arbeit in jüngerer Vergangenheit wieder: Im Mai 2016 ist die DSGVO in Kraft getreten. Nach einer Übergangsfrist von zwei Jahren gilt sie seit dem 25. Mai 2018 verbindlich.

Internationale Kooperation für Cybersicherheit
2018 haben wir uns erneut auf internationaler Ebene für Datensicherheit eingesetzt. Unter anderem sind wir Gründungspartner der „Charter of Trust“, die auf der Münchner Sicherheitskonferenz im Februar unterzeichnet wurde. Eines ihrer Ziele: allgemeine Mindeststandards für Cybersicherheit zu etablieren, die sich am Stand der Technik orientieren. Gemeinsam mit unseren Partnern zeigen wir zehn Handlungsfelder auf, in denen mehr Aktivität erforderlich ist, um Cybersicherheit zu gewährleisten.

Im November 2018 haben wir zudem unser Engagement für Sicherheit in der digitalen Welt durch die Unterzeichnung des „Paris Call for Trust and Security in Cyberspace“ unterstrichen. Darin verpflichten wir uns, die Zusammenarbeit zugunsten der Integrität und der Sicherheit der digitalen Welt zu intensivieren und aktiv zu gestalten.

Umgang mit Kundendaten ausgezeichnet
Bereits zum dritten Mal hat uns das unabhängige Prüfinstitut TÜV Informationstechnik (TÜViT) 2018 für den Umgang mit unseren Kundendaten ausgezeichnet. TÜViT bescheinigte uns, dass unsere Verarbeitung von Kundendaten, beispielsweise zur Rechnungserstellung, stets gewissenhaft und geschützt geschieht.

Mobil geschützt
Seit 2017 bieten wir in Zusammenarbeit mit dem Unternehmen Check Point Software Technologies die Sicherheitslösung „Protect Mobile“ für Smartphones unserer Privatkunden an. Protect Mobile wehrt Cyberangriffe durch die Kombination von Netzschutz und App img auf dem Smartphone zuverlässig ab – egal, ob beim Download von Apps, Online-Banking oder beim Surfen im Browser. Telekom-Kunden können diese kostenlose Option zu ihrem bestehenden Mobilfunk-Vertrag hinzubuchen. Für den vollständigen Schutz steht die App für Android und iOS in den App-Stores zur Verfügung.

Einfache Datenschutzerklärung für jedermann
Datenschutzhinweise sind für Laien oft unverständlich. Mit unserem One-Pager möchten wir unseren Kunden eine leicht lesbare Übersicht zum Thema Datenschutz bieten. Der One-Pager ist eine einfache, konzentrierte Information über wesentliche Datenverarbeitungen. Er ersetzt nicht die verlinkte förmliche Datenschutzerklärung, die juristischen Anforderungen entsprechen muss. Vielmehr werden dem Nutzer der Umfang und die Art der genutzten persönlichen Informationen transparent gemacht. Mit dem One-Pager folgen wir einer Initiative des Nationalen IT-Gipfels unter Beteiligung des Bundesministeriums der Justiz und für Verbraucherschutz.

Verschlüsselung für alle
Zusammen mit dem Fraunhofer-Institut für Sichere Informationstechnologie (SIT) bieten wir seit 2016 die „Volksverschlüsselung“ an. Dies ist eine einfache und kostenlose Möglichkeit, E-Mails zu verschlüsseln. Die Lösung wird von uns in einem Hochsicherheitsrechenzentrum betrieben. Die Schlüssel werden direkt auf dem Endgerät des Nutzers erzeugt. Sie verbleiben ausschließlich in seiner Hand und gelangen nicht zum Betreiber der Infrastruktur. Um die Verschlüsselung zu nutzen, genügt die Installation der Software und eine einfache, sichere Identifikation. Mit dem Angebot unterstützen wir die digitale Agenda der Bundesregierung. Zudem erfüllen wir die Forderungen der „Charta zur Stärkung der vertrauenswürdigen Kommunikation“, die von Vertretern aus Wirtschaft, Wissenschaft und Politik vorgestellt und unterzeichnet wurde.

Weitere Beispiele für unser breites Angebot rund um Datenschutz und Sicherheit:

  • Anfang 2018 haben wir auf unserer Website praktische Datenschutz-Tipps für unsere Kunden veröffentlicht. Mit den Tipps unterstützen wir unsere Kunden beispielsweise im Umgang mit den Vorgaben der Datenschutz-Grundverordnung (DGSVO).
  • Informationen über Cyberkriminelle, Schadsoftware oder Phishingbetrug sind im Internet auf Tausende Webseiten verteilt. Die Website www.sicherdigital.de bündelt diese Infos und bietet den Besuchern so einen einfachen Zugang zu sicherheitsrelevanten Themen. Jugendliche, Erwachsene und Unternehmen finden dort nützliche Hinweise und konkrete Hilfe rund um die Themen Sicherheit und Datenschutz.
  • Die Ausgabe „Vertraulich unseres „We Care“-Magazins informiert die Nutzer anschaulich darüber, wie gefährlich Hacker-Angriffe sein können und wie man sich vor ihnen schützen kann. In der Ausgabe „Inkognito“ zeigen wir, wie man seine Privatsphäre schützt, ohne zum digitalen Außenseiter zu werden.
  • Auf unserem Sicherheitstacho können Cyberangriffe auf unser Netz in Echtzeit nachverfolgt werden. Dabei zeigen wir auf einer Landkarte, von welchen Ländern aus die Angriffe erfolgen. Mehr dazu auf www.sicherheitstacho.eu.
  • Auch unsere Netzgeschichten greifen Themen im Bereich Jugend- und Verbraucherschutz auf. Auf unserem YouTube-Kanal lassen sich alle Videos einsehen: https://www.youtube.com/user/deutschetelekom.

So schützen wir uns und unsere Kunden

Im Einklang mit unserer Konzernstrategie treiben wir unser Geschäft mit Security-Produkten und -Dienstleistungen in Europa voran. 2016 haben wir dazu konzernweit alle Sicherheitsbereiche unter einem Dach gebündelt und so die Kapazitäten erweitert, um Cyberangriffe frühzeitig zu erkennen sowie schnell Gegenmaßnahmen einleiten zu können. Unsere Einheit Telekom Security bearbeitet Themen der internen Sicherheit und entwickelt Sicherheitslösungen für Privat- und Geschäftskunden. So können wir unseren Kunden noch besser passende Security-Lösungen über die gesamte Wertschöpfung anbieten: von der Produktentwicklung über Anwendungen bis hin zu sicheren und leistungsfähigen Netzen und Hochsicherheitsrechenzentren.

Zur Abwehr von Angriffen entwickeln wir laufend neue Verfahren. Schon seit Mitte der 1990er Jahre unterhalten wir ein sogenanntes Cyber Emergency Response Team (CERT), das international das Management von Sicherheitsvorfällen für unsere Informations- und Netzwerktechnologien verantwortet. Seither bauen wir unsere Aktivitäten zur Cyberabwehr, Information über Angriffe und den Austausch kontinuierlich aus. Zuletzt haben wir 2017 ein neues Cyber Defense Center mit integriertem Security Operation Center (SOC) in Bonn eröffnet. Dort analysieren wir Verhaltensmuster im Netz und erarbeiten Verteidigungsstrategien. Das neue Abwehrzentrum ist eines der größten und modernsten Europas: Nahezu vollautomatisiert werden dort jeden Tag 2,5 Milliarden sicherheitsrelevante Daten aus rund300 Datenquellen analysiert. Außerdem bearbeitet die Cyberabwehr täglich etwa 200 Anfragen, filtert circa000 Viren und Schadsoftwares heraus und untersucht im Schnitt 100 Millionen bei uns eingehende E-Mails auf Spam. So schützen wir unsere Infrastruktur – und somit auch die Daten unserer Kunden. Im neuen SOC in Bonn und den angeschlossenen nationalen und internationalen Standorten arbeiten rund 200 Sicherheitsexperten rund um die Uhr.

Die Maßnahmen, die wir gegen Cyberangriffe auf unsere eigene Infrastruktur ergreifen, bieten wir auch anderen Unternehmen an: Mehr als 30 deutsche DAX- und mittelständische Unternehmen nutzen unsere Leistungen für ihren eigenen Schutz.

Neue Gefahren erfordern neue Lösungen
Aus technologischen Neuentwicklungen können sich auch Gefahren ergeben. Deshalb entwickeln wir gezielt Maßnahmen, um mögliche neue Sicherheitsrisiken abzuwenden – etwa im Zusammenhang mit Drohnen. Gemeinsam mit unserem Partner Dedrone haben wir das Magenta Drohnenschutzschild entwickelt.

Kooperationen im Dienste der Sicherheit
Cyber Security ist eine gemeinschaftliche Aufgabe. Um die Zusammenarbeit in der digitalen Gefahrenabwehr weiter zu verbessern, veranstalten wir zusammen mit der Münchner Sicherheitskonferenz regelmäßig den Cyber Security Summit, zuletzt im Mai 2018. Zum dritten Mal haben wir 2018 außerdem den Fachkongress Magenta Security ausgerichtet.

Weltweit arbeiten wir zudem mit Forschungseinrichtungen, Industriepartnern, Initiativen, Standardisierungsgremien, öffentlichen Institutionen und anderen Internet-Dienstleistern zusammen. Gemeinsam wollen wir der Cyberkriminalität entgegentreten und die Internet-Sicherheit verbessern. Beispielsweise kooperieren wir bundesweit mit dem Bundesamt für Sicherheit und Informationstechnik (BSI) und auf EU-Ebene mit der Europäischen Agentur für Netzwerk- und Informationssicherheit (ENISA).

Über unsere vielfältigen Datenschutzaktivitäten berichten wir tagesaktuell auf unserer Konzernwebsite unter Datenschutz und Datensicherheit.