Telekom Logo
Verantwortung leben. Nachhaltigkeit ermöglichen.

Unser Ansatz zu Datenschutz

Unser Beitrag zu den SDG

Höchste Standards bei Datenschutz und Datensicherheit sind wesentliche Merkmale unserer Markenidentität. Daher haben wir bereits 2008 ein eigenes Vorstandsressort für Datenschutz, Recht und Compliance eingerichtet und den Bereich Konzerndatenschutz (Group Privacy) etabliert. Der Vorstand wird von einem unabhängigen Datenschutzbeirat unterstützt, der mit namhaften Experten aus Politik, Wissenschaft, Wirtschaft und unabhängigen Organisationen besetzt ist. Er wurde im Februar 2009 gegründet. 

Der Aufsichtsrat der Deutschen Telekom hat in seiner Sitzung am 22. Mai 2019 die Umstrukturierung des Konzernvorstands beschlossen. Zum 31. März 2020 scheidet der amtierende Vorstand für Datenschutz, Recht und Compliance altersbedingt aus dem Unternehmen aus. Per Jahresbeginn 2020 werden die Vorstandsbereiche Datenschutz, Recht und Compliance (DRC) sowie Personal unter der Leitung des Vorstands Personal zusammengelegt. Der Datenschutzbeirat des Unternehmens wird durch die Aufnahme weiterer Mitglieder aus den Reihen des Konzernvorstands und des Aufsichtsrats in seiner Rolle gestärkt.

2017 hat die Geschäftseinheit „Telekom Security“ ihr operatives Geschäft aufgenommen. Die Einheit bündelt die Sicherheitsaktivitäten aus verschiedenen Konzernbereichen und stärkt so unser Angebot an Cyber-Security-Lösungen.

Zugrunde liegende Richtlinien
Datenschutz und Datensicherheit unterliegen bei der Deutschen Telekom folgenden Richtlinien: 

  • Die Konzernrichtlinie Datenschutz („Binding Corporate Rules Privacy“) regelt den Umgang mit personenbezogenen Daten. Im ergänzenden Dokument „Binding Interpretations“ sind konkrete Empfehlungen und Best-Practice-Beispiele zur Umsetzung der EU-Datenschutz-Grundverordnung festgehalten, die 2018 in Kraft getreten ist.
  • Die Konzernrichtlinie Sicherheit enthält die wesentlichen sicherheitsrelevanten Grundsätze des Konzerns. 

Beide Richtlinien setzen verbindliche Standards, die sich an der internationalen Norm ISO 27001 orientieren. So gewährleisten wir ein adäquat hohes und konsistentes Sicherheits- und Datenschutzniveau innerhalb des Konzerns. 

So sorgen wir für effektiven Datenschutz:

  • Konsequente Transparenz gegenüber der Öffentlichkeit
    Wir informieren umfassend über unsere Datenschutzaktivitäten, wie beispielsweise die Umsetzung der DSGVO, zunächst in regelmäßigen Datenschutzberichten und seit 2016 online auf www.telekom.com/datenschutz. Seit 2014 veröffentlichen wir jährlich einen Transparenzbericht. Zudem erläutern wir im vorliegenden CR-Bericht unter der Überschrift Verbraucherschutz darüber, wie wir unsere Produkte und Dienste für die Nutzer sicher machen.  
  • Regelmäßige Schulung unserer Beschäftigten
    Telekommunikationsunternehmen müssen ihre Mitarbeiterinnen und Mitarbeiter zu Beginn des Arbeitsverhältnisses datenschutzrechtlich schulen. Wir gehen über diese gesetzliche Anforderung hinaus: Alle zwei Jahre schulen wir konzernweit unsere Mitarbeiterinnen und Mitarbeiter und verpflichten sie auf das Daten- und Fernmeldegeheimnis. 
    Im Kunden- und Personalbereich, wo ein höheres Risiko für Datenmissbrauch besteht, führen wir zudem spezifische Schulungen durch. Hierzu nutzen wir Online-Schulungen zum Selbststudium, Datenschutzvorträge sowie Präsenzveranstaltungen zu speziellen Themen wie „Datenschutz in CallCentern“. So ist sichergestellt, dass alle Beschäftigten die Datenschutzbestimmungen verinnerlichen.
  • Jährliche Überprüfung und Anpassung der Maßnahmen
    Wir führen alle zwei Jahre ein sogenanntes Konzerndatenschutzaudit durch, mit dem Ziel, das allgemeine Datenschutzniveau konzernweit zu messen und zu verbessern. Hierzu werden zufällig ausgewählte 15 Prozent der Konzernbeschäftigten online befragt. Ergänzt wird das Konzerndatenschutzaudit durch eine Selbsteinschätzung der Datenschutzbeauftragten in den Landesgesellschaften, inwieweit diese die Anforderungen aus unseren „Binding Corporate Rules Privacy“ erfüllen.
    Der Bereich Konzerndatenschutz wertet die Befragungen aus, prüft, ob in den jeweiligen Einheiten Handlungsbedarf besteht, und fordert, wo nötig, Verbesserungsmaßnahmen ein. Hierzu führt der Konzernbeauftragte für den Datenschutz Einzelgespräche mit den verantwortlichen Geschäftsführern, Führungskräften und den Themenverantwortlichen auf Fachebene. Der Bereich hilft zudem mit Informationen und Beratung bei der Umsetzung der Maßnahmen und prüft deren Wirksamkeit. Auffällige Auditergebnisse werden bei der Planung der Folgeaudits entsprechend berücksichtigt.
  • Zertifizierungen
    Die Sicherheit von Prozessen, Managementsystemen, Produkten und Diensten lassen wir durch externe, unabhängige Stellen wie etwa TÜV, DEKRA oder Wirtschaftsprüfungsgesellschaften zertifizieren. Für das Berichtsjahr bestätigte der TÜV Nord wie zuvor, dass die IT-Systeme der Telekom Deutschland sicher sind. Außerdem haben wir unsere Datenschutzorganisation 2014 als erstes DAX-Unternehmen nach dem Standard IDW PS 980 prüfen und zertifizieren lassen.

Unser Umgang mit „Big Data“
Wachsende Datenmengen erfordern besondere Vorkehrungen zum Schutz der Privatsphäre der Bürgerinnen und Bürger. Bereits seit 2013 gelten für unser Handeln deshalb acht verbindliche Leitsätze für den Umgang mit Big Data. Mit einem „Zehn-Punkte-Programm für mehr Sicherheit im Netz“ haben wir zudem 2015 konkrete Maßnahmen zum Schutz von Daten und Infrastruktur beschlossen. Im Zuge dessen haben wir spezielle Schutzprodukte entwickelt, darunter die Mobile Encryption App img zur Verschlüsselung der gesamten Mobilfunk-Kommunikation.

Überprüfung unserer Produkte
Bereits bei der Entwicklung unserer Produkte und Dienste spielen Datenschutz- und Sicherheitsaspekte eine wesentliche Rolle. Mithilfe des „Privacy and Security Assessment (PSA)“-Verfahrens werden unsere Systeme bei jedem Entwicklungsschritt auf ihre Sicherheit überprüft. Dies gilt für neu entwickelte Systeme ebenso wie für bestehende, die technisch oder in der Art der Datenverarbeitung angepasst werden. Außerdem dokumentieren wir mithilfe eines standardisierten Verfahrens den Datenschutz- und Datensicherheitsstatus unserer Produkte über ihren gesamten Lebenszyklus. 

Transparenzbericht

Telekommunikationsunternehmen sind gesetzlich verpflichtet, Sicherheitsbehörden zu unterstützen: Dies umfasst beispielsweise Überwachungsmaßnahmen zur Aufzeichnung von Telekommunikationsverbindungen oder Auskünfte zu Anschlussinhabern.

Bereits seit 2014 gibt die Telekom einen jährlichen Transparenzbericht für Deutschland heraus, in dem sie Art und Umfang ihrer Auskünfte an Sicherheitsbehörden offenlegt.

2016 wurde der Transparenzbericht auf sämtliche Landesgesellschaften ausgedehnt. Der entsprechende internationale Transparenzbericht wurde zuletzt im Februar 2019 veröffentlicht.

Die rechtlichen Rahmenbedingungen sind international sehr unterschiedlich. In einigen Ländern ist uns die Auskunft zu Sicherheitsmaßnahmen verboten, in anderen werden Überwachungen direkt durch die Behörden ausgeführt – ohne Beteiligung des Telekommunikationsunternehmens.

Informationen zu den nationalen Gegebenheiten finden Sie in den jeweiligen Landesinformationen auf unserer Website.

Grundsätzlich sehen wir die Behörden in der Pflicht, für Transparenz über Sicherheitsmaßnahmen zu sorgen, und haben dies im Januar 2015 auch in einem Zehn-Punkte-Programm für mehr Sicherheit im Netz gefordert. Solange sie von staatlicher Seite nicht gewährleistet ist, bemühen wir uns im Rahmen der rechtlichen Möglichkeiten selbst um die nötige Transparenz.

Cyber Security

Wir bieten Security-Produkte und -Dienstleistungen in Europa an.

Unsere Einheit Telekom Security bearbeitet Themen der internen Sicherheit und entwickelt Sicherheitslösungen für Privat- und Geschäftskunden. So können wir unseren Kunden passende Security-Lösungen über die gesamte Wertschöpfung anbieten: von der Produktentwicklung über Anwendungen bis hin zu sicheren und leistungsfähigen Netzen und Hochsicherheitsrechenzentren.

Aus technologischen Neuentwicklungen können sich auch Gefahren ergeben. Deshalb entwickeln wir gezielt Maßnahmen, um mögliche neue Sicherheitsrisiken abzuwenden – etwa im Zusammenhang mit Drohnen. Gemeinsam mit unserem Partner Dedrone haben wir das Magenta Drohnenschutzschild entwickelt.

Um die Zusammenarbeit in der digitalen Gefahrenabwehr weiter zu verbessern, veranstalten wir zusammen mit der Münchner Sicherheitskonferenz regelmäßig den Cyber Security Summit.

Weltweit arbeiten wir zudem mit Forschungseinrichtungen, Industriepartnern, Initiativen, Standardisierungsgremien, öffentlichen Institutionen und anderen Internet-Dienstleistern zusammen. Gemeinsam wollen wir der Cyberkriminalität entgegentreten und die Internet-Sicherheit verbessern. Beispielsweise kooperieren wir bundesweit mit dem Bundesamt für Sicherheit und Informationstechnik (BSI) und auf EU-Ebene mit der Europäischen Agentur für Netzwerk- und Informationssicherheit (ENISA).

Über unsere vielfältigen Datenschutzaktivitäten berichten wir tagesaktuell auf unserer Konzernwebsite unter Datenschutz und Datensicherheit.
 

Unsere Cyber Security Infrastruktur

Cyber Emergency Response Team

Zur Abwehr von Angriffen entwickeln wir laufend neue Verfahren. Schon seit Mitte der 1990er Jahre unterhalten wir ein sogenanntes Cyber Emergency Response Team (CERT), das international das Management von Sicherheitsvorfällen für unsere Informations- und Netzwerktechnologien verantwortet. Seither bauen wir unsere Aktivitäten zur Cyberabwehr, Information über Angriffe und den Austausch kontinuierlich aus.

Cyber Defense Center

Zuletzt haben wir 2017 ein neues Cyber Defense Center mit integriertem Security Operation Center (SOC) in Bonn eröffnet. Dort analysieren wir Verhaltensmuster im Netz und erarbeiten Verteidigungsstrategien. Das neue Abwehrzentrum ist eines der größten und modernsten Europas: Nahezu vollautomatisiert werden dort jeden Tag 2,5 Milliarden sicherheitsrelevante Daten aus rund 3 300 Datenquellen analysiert. Außerdem bearbeitet die Cyberabwehr täglich etwa 200 Anfragen, filtert circa 5 000 Viren und Schadsoftwares heraus und untersucht im Schnitt 100 Millionen bei uns eingehende E-Mails auf Spam. So schützen wir unsere Infrastruktur – und somit auch die Daten unserer Kunden. Im neuen SOC in Bonn und den angeschlossenen nationalen und internationalen Standorten arbeiten rund 200 Sicherheitsexperten rund um die Uhr.

Die Maßnahmen, die wir gegen Cyberangriffe auf unsere eigene Infrastruktur ergreifen, bieten wir auch anderen Unternehmen an: Mehr als 30 deutsche DAX- und mittelständische Unternehmen nutzen unsere Leistungen für ihren eigenen Schutz.

Schutz persönlicher Daten

Der Schutz der Daten unserer Kunden ist für uns von höchster Bedeutung. Über unsere vielfältigen Datenschutzaktivitäten berichten wir tagesaktuell auf unserer Konzernwebsite unter Datenschutz und Datensicherheit. Die folgenden Beispiele geben einen kleinen Ausschnitt unserer Arbeit in jüngerer Vergangenheit wieder:

Internationale Kooperation für Cybersicherheit
Auch 2019 haben wir uns auf internationaler Ebene für Datensicherheit eingesetzt. Unter anderem sind wir Gründungspartner der „Charter of Trust“, die wir bereits auf der Münchner Sicherheitskonferenz 2018 unterzeichnet haben. Eines ihrer Ziele: allgemeine Mindeststandards für Cybersicherheit zu etablieren, die sich am Stand der Technik orientieren. Gemeinsam mit unseren Partnern zeigen wir zehn Handlungsfelder auf, in denen mehr Aktivität erforderlich ist, um Cybersicherheit zu gewährleisten. Das Jahr 2019 stand im Zeichen der Verstetigung der gemeinsamen Arbeit und des Netzwerkausbaus.

Zudem  haben wir 2018 unser Engagement für Sicherheit in der digitalen Welt durch die Unterzeichnung des „Paris Call for Trust and Security in Cyberspace“ unterstrichen. Darin verpflichten wir uns, die Zusammenarbeit zugunsten der Integrität und der Sicherheit der digitalen Welt zu intensivieren und aktiv zu gestalten. In diesem Kontext haben wir nicht nur das Thema im politischen Diskurs platziert, sondern unter anderem auch im Rahmen des Internet Governance Forum 2019 aktiv vorangetrieben.

Umgang mit Kundendaten ausgezeichnet
Bereits zum dritten Mal hat uns das unabhängige Prüfinstitut TÜV Informationstechnik (TÜViT) 2018 für den Umgang mit unseren Kundendaten ausgezeichnet. TÜViT bescheinigte uns, dass unsere Verarbeitung von Kundendaten, beispielsweise zur Rechnungserstellung, stets gewissenhaft und geschützt geschieht.

Mobil geschützt
Seit 2017 bieten wir in Zusammenarbeit mit dem Unternehmen Check Point Software Technologies die Sicherheitslösung „Protect Mobile“ für Smartphones unserer Privatkunden an. Protect Mobile wehrt Cyberangriffe durch die Kombination von Netzschutz und App img auf dem Smartphone zuverlässig ab – egal, ob beim Download von Apps, Online-Banking oder beim Surfen im Browser. Telekom-Kunden können diese kostenlose Option zu ihrem bestehenden Mobilfunk-Vertrag hinzubuchen. Für den vollständigen Schutz steht die App für Android und iOS in den App-Stores zur Verfügung.

Einfache Datenschutzerklärung für jedermann
Datenschutzhinweise sind für Laien oft unverständlich. Mit unserem One-Pager möchten wir unseren Kundinnen und Kunden eine leicht lesbare Übersicht zum Thema Datenschutz bieten. Der One-Pager ist eine einfache, konzentrierte Information über wesentliche Datenverarbeitungen. Er ersetzt nicht die verlinkte förmliche Datenschutzerklärung, die juristischen Anforderungen entsprechen muss. Vielmehr werden dem Nutzer der Umfang und die Art der genutzten persönlichen Informationen transparent gemacht. Mit dem One-Pager folgen wir einer Initiative des Nationalen IT-Gipfels unter Beteiligung des Bundesministeriums der Justiz und für Verbraucherschutz.

Größtmögliche Transparenz für unsere Kunden
Datenschutz hat bei der Deutschen Telekom oberste Priorität. Wir wollen nicht nur gesetzliche Vorgaben erfüllen, sondern Datenschutz aktiv gestalten. Dafür arbeiten wir eng mit unseren Datenschutzexperten zusammen, entwickeln technische Standards permanent weiter und engagieren uns für größtmögliche Transparenz. Alles, damit sich unsere Kundinnen und Kunden immer sicher sein können, dass wir ihre Daten vertrauensvoll behandeln.

So haben wir beispielsweise bei der Einführung des Dienstes Sprach ID besonders darauf geachtet, dass nicht die Stimme des Kunden bei uns gespeichert wird, sondern ein mathematisches Muster, das aus vielen charakteristischen Merkmalen der Stimme berechnet wird. Somit lässt der Stimmabdruck für sich betrachtet keine Rückschlüsse auf Personen zu.

Ein weiteres aktuelles Beispiel ist der „Magenta Speaker“ – der erste intelligente Sprachassistent aus Europa. Bei dem erstmaligen Einrichtungsprozess des Smart-Speakers haben wir auf größtmögliche Transparenz geachtet. So wird in einfacher Sprache erklärt, welche Daten zu welchen Zwecken verarbeitet und bei uns gespeichert werden. Die Kunden können auch nach dem Einrichtungsprozess jederzeit ihre Daten in der Smart-Speaker App einsehen und bei Bedarf löschen."

Verschlüsselung für alle
Zusammen mit dem Fraunhofer-Institut für Sichere Informationstechnologie (SIT) bieten wir seit 2016 die „Volksverschlüsselung“ an. Dies ist eine einfache und kostenlose Möglichkeit, E-Mails zu verschlüsseln. Die Lösung wird von uns in einem Hochsicherheitsrechenzentrum betrieben. Die Schlüssel werden direkt auf dem Endgerät des Nutzers erzeugt. Sie verbleiben ausschließlich in seiner Hand und gelangen nicht zum Betreiber der Infrastruktur. Um die Verschlüsselung zu nutzen, genügt die Installation der Software und eine einfache, sichere Identifikation. Mit dem Angebot unterstützen wir die digitale Agenda der Bundesregierung. Zudem erfüllen wir die Forderungen der „Charta zur Stärkung der vertrauenswürdigen Kommunikation“, die von Vertretern aus Wirtschaft, Wissenschaft und Politik vorgestellt und unterzeichnet wurde.

Weitere Projekte finden sich in unserem CR-Wissen.

IT-Sicherheit & Datenschutz KPI

Alle zwei Jahre fragen wir 50.000 Beschäftigte der Deutschen Telekom stichprobenartig, wie es um das Datenschutz- und Sicherheitsbewusstsein im Unternehmen steht. Auf Basis der Umfrageergebnisse werden unter anderem der Security Awareness Index (SAI) sowie die Datenschutz-Awardkennzahl berechnet. Die Indikatoren dienen dazu die Effektivität unserer Maßnahmen im Bereich IT-Sicherheit und Datenschutz zu überprüfen. Die Datenschutz-Award-Kennzahl wurde zuletzt 2018 erhoben und lag bei 76 % (ohne T‑Mobile US). Der Security Awareness erreichte 2018 bei der letzten Befragung 78,3 (ohne T‑Mobile US) von maximal 100 Punkten (und liegt damit höher als bei allen anderen Unternehmen im Benchmark).

Die Datenschutz-Awardkennzahl misst das Datenschutzniveau in den Einheiten auf einer Skala von 0 bis 12. Sie wird aus den Antworten der Mitarbeiterinnen und Mitarbeiter zu ihrem Denken, Handeln und Wissen bezüglich Datenschutz berechnet.

Der Security Awareness Index ist ein Maßstab für die Mitarbeiterwahrnehmung der IT-Sicherheit bei der Telekom. Grundlage für die Bewertung sind die Antworten der Telekom-Mitarbeiter zu der Aufmerksamkeit der Geschäftsführung für das Thema, der Sicherheitskultur, dem Einfluss von Sicherheitsvorgaben auf die eigene Arbeit sowie ihre persönliche Verantwortung für und Einstellung zu IT-Sicherheit. Der Index umfasst eine Skala von 0 bis 100 – je höher der Wert desto besser wurde die IT-Sicherheit bei der Telekom bewertet.

Relevant für die Abdeckung folgender Nachhaltigkeitsstandards

Die Angabe der Kennzahlen "IT-Sicherheit & Datenschutz" ist relevant für den GRI-Indikator GRI 418-1 (Gesamtzahl begründeter Beschwerden in Bezug auf den Schutz der Privatsphäre des Kunden und die Verletzung des Datenschutzes). Sie dient außerdem unserer Berichterstattung im Sinne der Global Compact-Prinzipien 1 (Schutz der internationalen Menschenrechte).