Telekom Logo
  • Corporate Responsibility Bericht 2019

Unser Ansatz zu Datenschutz

Unser Beitrag zu den SDG

Höchste Standards bei Datenschutz und Datensicherheit sind wesentliche Merkmale unserer Markenidentität. Daher haben wir bereits 2008 ein eigenes Vorstandsressort für Datenschutz, Recht und Compliance eingerichtet und den Bereich Konzerndatenschutz (Group Privacy) etabliert. Der Vorstand wird von einem unabhängigen Datenschutzbeirat unterstützt, der mit namhaften Experten aus Politik, Wissenschaft, Wirtschaft und unabhängigen Organisationen besetzt ist. Er wurde im Februar 2009 gegründet. 

Der Aufsichtsrat der Deutschen Telekom hat in seiner Sitzung am 22. Mai 2019 die Umstrukturierung des Konzernvorstands beschlossen. Zum 31. März 2020 scheidet der amtierende Vorstand für Datenschutz, Recht und Compliance altersbedingt aus dem Unternehmen aus. Per Jahresbeginn 2020 werden die Vorstandsbereiche Datenschutz, Recht und Compliance (DRC) sowie Personal unter der Leitung des Vorstands Personal zusammengelegt. Der Datenschutzbeirat des Unternehmens wird durch die Aufnahme weiterer Mitglieder aus den Reihen des Konzernvorstands und des Aufsichtsrats in seiner Rolle gestärkt.

2017 hat die Geschäftseinheit „Telekom Security“ ihr operatives Geschäft aufgenommen. Die Einheit bündelt die Sicherheitsaktivitäten aus verschiedenen Konzernbereichen und stärkt so unser Angebot an Cyber-Security-Lösungen.

Zugrunde liegende Richtlinien
Datenschutz und Datensicherheit unterliegen bei der Deutschen Telekom folgenden Richtlinien: 

  • Die Konzernrichtlinie Datenschutz („Binding Corporate Rules Privacy“) regelt den Umgang mit personenbezogenen Daten. Im ergänzenden Dokument „Binding Interpretations“ sind konkrete Empfehlungen und Best-Practice-Beispiele zur Umsetzung der EU-Datenschutz-Grundverordnung festgehalten, die 2018 in Kraft getreten ist.
  • Die Konzernrichtlinie Sicherheit enthält die wesentlichen sicherheitsrelevanten Grundsätze des Konzerns. 

Beide Richtlinien setzen verbindliche Standards, die sich an der internationalen Norm ISO 27001 orientieren. So gewährleisten wir ein adäquat hohes und konsistentes Sicherheits- und Datenschutzniveau innerhalb des Konzerns. 

So sorgen wir für effektiven Datenschutz:

  • Konsequente Transparenz gegenüber der Öffentlichkeit
    Wir informieren umfassend über unsere Datenschutzaktivitäten, wie beispielsweise die Umsetzung der DSGVO, zunächst in regelmäßigen Datenschutzberichten und seit 2016 online auf www.telekom.com/datenschutz. Seit 2014 veröffentlichen wir jährlich einen Transparenzbericht. Zudem erläutern wir im vorliegenden CR-Bericht unter der Überschrift Verbraucherschutz darüber, wie wir unsere Produkte und Dienste für die Nutzer sicher machen.  
  • Regelmäßige Schulung unserer Beschäftigten
    Telekommunikationsunternehmen müssen ihre Mitarbeiterinnen und Mitarbeiter zu Beginn des Arbeitsverhältnisses datenschutzrechtlich schulen. Wir gehen über diese gesetzliche Anforderung hinaus: Alle zwei Jahre schulen wir konzernweit unsere Mitarbeiterinnen und Mitarbeiter und verpflichten sie auf das Daten- und Fernmeldegeheimnis. 
    Im Kunden- und Personalbereich, wo ein höheres Risiko für Datenmissbrauch besteht, führen wir zudem spezifische Schulungen durch. Hierzu nutzen wir Online-Schulungen zum Selbststudium, Datenschutzvorträge sowie Präsenzveranstaltungen zu speziellen Themen wie „Datenschutz in CallCentern“. So ist sichergestellt, dass alle Beschäftigten die Datenschutzbestimmungen verinnerlichen.
  • Jährliche Überprüfung und Anpassung der Maßnahmen
    Wir führen alle zwei Jahre ein sogenanntes Konzerndatenschutzaudit durch, mit dem Ziel, das allgemeine Datenschutzniveau konzernweit zu messen und zu verbessern. Hierzu werden zufällig ausgewählte 15 Prozent der Konzernbeschäftigten online befragt. Ergänzt wird das Konzerndatenschutzaudit durch eine Selbsteinschätzung der Datenschutzbeauftragten in den Landesgesellschaften, inwieweit diese die Anforderungen aus unseren „Binding Corporate Rules Privacy“ erfüllen.
    Der Bereich Konzerndatenschutz wertet die Befragungen aus, prüft, ob in den jeweiligen Einheiten Handlungsbedarf besteht, und fordert, wo nötig, Verbesserungsmaßnahmen ein. Hierzu führt der Konzernbeauftragte für den Datenschutz Einzelgespräche mit den verantwortlichen Geschäftsführern, Führungskräften und den Themenverantwortlichen auf Fachebene. Der Bereich hilft zudem mit Informationen und Beratung bei der Umsetzung der Maßnahmen und prüft deren Wirksamkeit. Auffällige Auditergebnisse werden bei der Planung der Folgeaudits entsprechend berücksichtigt.
  • Zertifizierungen
    Die Sicherheit von Prozessen, Managementsystemen, Produkten und Diensten lassen wir durch externe, unabhängige Stellen wie etwa TÜV, DEKRA oder Wirtschaftsprüfungsgesellschaften zertifizieren. Für das Berichtsjahr bestätigte der TÜV Nord wie zuvor, dass die IT-Systeme der Telekom Deutschland sicher sind. Außerdem haben wir unsere Datenschutzorganisation 2014 als erstes DAX-Unternehmen nach dem Standard IDW PS 980 prüfen und zertifizieren lassen.

Unser Umgang mit „Big Data“
Wachsende Datenmengen erfordern besondere Vorkehrungen zum Schutz der Privatsphäre der Bürgerinnen und Bürger. Bereits seit 2013 gelten für unser Handeln deshalb acht verbindliche Leitsätze für den Umgang mit Big Data. Mit einem „Zehn-Punkte-Programm für mehr Sicherheit im Netz“ haben wir zudem 2015 konkrete Maßnahmen zum Schutz von Daten und Infrastruktur beschlossen. Im Zuge dessen haben wir spezielle Schutzprodukte entwickelt, darunter die Mobile Encryption App img zur Verschlüsselung der gesamten Mobilfunk-Kommunikation.

Überprüfung unserer Produkte
Bereits bei der Entwicklung unserer Produkte und Dienste spielen Datenschutz- und Sicherheitsaspekte eine wesentliche Rolle. Mithilfe des „Privacy and Security Assessment (PSA)“-Verfahrens werden unsere Systeme bei jedem Entwicklungsschritt auf ihre Sicherheit überprüft. Dies gilt für neu entwickelte Systeme ebenso wie für bestehende, die technisch oder in der Art der Datenverarbeitung angepasst werden. Außerdem dokumentieren wir mithilfe eines standardisierten Verfahrens den Datenschutz- und Datensicherheitsstatus unserer Produkte über ihren gesamten Lebenszyklus.