Telekom Logo
Verantwortung leben. Nachhaltigkeit ermöglichen.
  • Corporate Responsibility Bericht 2020

Unser Ansatz zu Datenschutz

Unser Beitrag zu den SDG

Höchste Standards bei Datenschutz und Datensicherheit gehören zu unserer Markenidentität. Unsere über zehn Jahre aufgebaute aktive Datenschutz- und Compliance-Kultur setzt nationale und internationale Standards.

Der 2008 eingerichtete Vorstandsbereich „Datenschutz, Recht und Compliance“ (DRC) wurde über das Ende der Amtszeit des DRC-Vorstands Dr. Thomas Kremer zum 31. März 2020 hinaus nicht fortgeführt. Zum 1. Januar 2020 wurden die einzelnen Bereiche dieses Ressorts anderen Vorstandsbereichen zugeordnet („Finanzen“, „Personal“, „Technologie und Innovation“). Die Personalvorständin Birgit Bohle führt das erweiterte Ressort „Personal und Recht“ seit dem 1. Januar 2020.

Der Konzernvorstand wird seit 2009 von einem unabhängigen Datenschutzbeirat beraten, der mit namhaften Expert*innen aus Politik, Wissenschaft, Wirtschaft und unabhängigen Organisationen besetzt ist. Zum Jahreswechsel 2019/2020 wurde der Beirat durch die Aufnahme weiterer Mitglieder aus den Reihen des Vorstands und des Aufsichtsrats der Deutschen Telekom AG in seiner Rolle gestärkt.
Die Deutsche Telekom Security GmbH bündelt die Sicherheitsaktivitäten aus verschiedenen Konzernbereichen und stärkt so unser Angebot an Cyber-Security-Lösungen.

Zugrunde liegende Richtlinien
Datenschutz und Datensicherheit unterliegen bei der Deutschen Telekom folgenden Richtlinien:

  • Die Konzernrichtlinie Datenschutz („Binding Corporate Rules Privacy“) regelt den Umgang mit personenbezogenen Daten.
  • Die Konzernrichtlinie Sicherheit enthält die wesentlichen sicherheitsrelevanten Grundsätze des Konzerns

Beide Richtlinien setzen verbindliche Standards, die sich an der internationalen Norm ISO 27001 orientieren. So gewährleisten wir ein adäquat hohes und beständiges Sicherheits- und Datenschutzniveau innerhalb des Konzerns.

So sorgen wir für effektiven Datenschutz:

  • Konsequente Transparenz gegenüber der Öffentlichkeit
    Wir informieren umfassend über unsere Datenschutzaktivitäten wie die Umsetzung der DSGVO auf www.telekom.com/datenschutz. Seit 2014 veröffentlichen wir darüber hinaus jährlich einen Transparenzbericht. Zudem erläutern wir im vorliegenden CR-Bericht unter Verbraucherschutz, wie wir unsere Produkte und Dienste für die Nutzer*innen sicher machen.
  • Regelmäßige Schulung unserer Beschäftigten
    Telekommunikationsunternehmen müssen ihre neuen Beschäftigten zu Beginn des Arbeitsverhältnisses datenschutzrechtlich schulen. Wir gehen über diese gesetzliche Anforderung hinaus: Alle zwei Jahre schulen wir konzernweit unsere Mitarbeiter*innen und verpflichten sie, das Daten- und Fernmeldegeheimnis zu wahren.
    Im Kunden- und Personalbereich führen wir zusätzlich spezifische Schulungen durch – etwa Online-Schulungen zum Selbststudium, Datenschutzvorträge oder Präsenzveranstaltungen zu speziellen Themen wie „Datenschutz in Callcentern“. So stellen wir sicher, dass alle Beschäftigten die Datenschutzbestimmungen verinnerlichen.
  • Regelmäßige Überprüfung und Anpassung der Maßnahmen
    Alle zwei Jahre führen wir ein sogenanntes Konzerndatenschutzaudit durch. Ziel ist es, das allgemeine Datenschutzniveau konzernweit zu messen und zu verbessern. Hierzu befragen wir online 15 Prozent der Konzernbeschäftigten, die nach dem Zufallsprinzip ausgewählt werden. Ergänzt wird das Konzerndatenschutzaudit durch interne und externe Kontrollen vor Ort.
    Der Bereich Konzerndatenschutz wertet die Ergebnisse aus und prüft, ob in den jeweiligen Einheiten Handlungsbedarf besteht. Wo nötig, fordert der Konzernbeauftragte für den Datenschutz Verbesserungsmaßnahmen ein: Hierzu führt er Einzelgespräche mit den verantwortlichen Geschäftsführern, Führungskräften und den Themenverantwortlichen auf Fachebene. Bei der Umsetzung der Maßnahmen unterstützt der Konzerndatenschutz beratend und prüft, ob sie wirksam sind. Auffällige Auditergebnisse berücksichtigen wir entsprechend bei der Planung der Folgeaudits.
  • Zertifizierungen
    Die Sicherheit von Prozessen, Managementsystemen, Produkten und Diensten lassen wir durch externe, unabhängige Stellen zertifizieren, etwa TÜV, DEKRA oder Wirtschaftsprüfungsgesellschaften. Für das Berichtsjahr bestätigte der TÜV Nord erneut, dass die IT-Systeme der Telekom Deutschland sicher sind.

Unser Umgang mit „Big Data“ & „Künstlicher Intelligenz“
Werden sehr große Datenmengen verarbeitet, müssen wir besondere Vorkehrungen treffen, um die Privatsphäre der Bürger*innen zu schützen. Deshalb gelten für unseren Umgang mit Big Data seit 2013 acht verbindliche Leitsätze. Zudem haben wir 2015 mit einem „Zehn-Punkte-Programm für mehr Sicherheit im Netz“ konkrete Maßnahmen beschlossen, um Daten und Infrastruktur zu schützen. In diesem Rahmen haben wir spezielle Schutzprodukte entwickelt – darunter die „Mobile Encryption App“, mit der Smartphone-Nutzer komplett verschlüsselt kommunizieren können. Darüber hinaus haben wir 2018 einen Leitfaden zur datenschutzkonformen Gestaltung von Künstlicher Intelligenz (KI) veröffentlicht.

Überprüfung unserer Produkte
Bereits bei der Entwicklung unserer Produkte und Dienste spielen Datenschutz- und Sicherheitsaspekte eine wesentliche Rolle. Mithilfe des „Privacy and Security Assessment (PSA)“-Verfahrens werden unsere Systeme bei jedem Entwicklungsschritt auf ihre Sicherheit überprüft. Dies gilt für neu entwickelte Systeme ebenso wie für bestehende, die technisch oder in der Art der Datenverarbeitung angepasst werden. Den Datenschutz- und Datensicherheitsstatus unserer Produkte dokumentieren wir außerdem mit einem standardisierten Verfahren über ihren gesamten Lebenszyklus.

Relevant für die Abdeckung folgender Nachhaltigkeitsstandards

 

Sustainability Accounting Standards Board (SASB)

  • Code TC-TL-220a.1 (Data Privacy)
  • Code TC-TL-230a.2 (Data Security)

Transparenzbericht

Als Telekommunikationsunternehmen sind wir gesetzlich verpflichtet, Sicherheitsbehörden zu unterstützen: Darunter fällt beispielsweise, Telekommunikationsverbindungen von bestimmten Strafverdächtigen zu überwachen und aufzuzeichnen oder Auskunft über Anschlussinhaber*innen zu geben.

Die rechtlichen Rahmenbedingungen sind international sehr unterschiedlich. In einigen Ländern ist uns die Auskunft zu Sicherheitsmaßnahmen verboten, in anderen führen die Behörden Überwachungen direkt aus – ohne dass sich Telekommunikationsunternehmen beteiligen. Details zu den nationalen Gegebenheiten finden Sie in den jeweiligen Landesinformationen auf unserer Website.

Bereits seit 2014 gibt die Telekom einen jährlichen Transparenzbericht für Deutschland heraus, seit 2016 veröffentlichen wir ebenfalls einen internationalen Transparenzbericht. Dort legen wir im Rahmen der rechtlichen Möglichkeiten die Art und den Umfang unserer Auskünfte an Sicherheitsbehörden offen. Grundsätzlich sehen wir die Behörden in der Pflicht, Sicherheitsmaßnahmen transparent zu machen. Dies haben wir 2015 auch in einem „Zehn-Punkte-Programm für mehr Sicherheit im Netz“ gefordert. Solange sie von staatlicher Seite nicht gewährleistet ist, bemühen wir uns im Rahmen der rechtlichen Möglichkeiten selbst um die nötige Transparenz.

Relevant für die Abdeckung folgender Nachhaltigkeitsstandards

 

Sustainability Accounting Standards Board (SASB)

  • Code TC-TL-220a.4 (Data Privacy)

Cyber Security

Zum 1. Juli 2020 haben wir unsere Einheit Telekom Security in eine eigenständige Gesellschaft überführt: die Deutsche Telekom Security GmbH. Der Sicherheitsspezialist mit jahrelanger Erfahrung in der internen Sicherheit des Konzerns bietet auch unseren Kund*innen passende Security-Lösungen über die gesamte Wertschöpfung an: von der Produktentwicklung über Anwendungen bis hin zu sicheren und leistungsfähigen Netzen und Hochsicherheitsrechenzentren.

Aus der zunehmenden Vernetzung und Digitalisierung können sich auch Gefahren für uns alle ergeben. Deshalb entwickeln wir gezielt Maßnahmen, um mögliche neue Sicherheitsrisiken abzuwenden und einige Bedrohungen gar nicht erst entstehen zu lassen.

Wir wollen die Zusammenarbeit in der digitalen Gefahrenabwehr weiter verbessern. Daher veranstalten wir gemeinsam mit der Münchner Sicherheitskonferenz regelmäßig den Cyber Security Summit.

Weltweit arbeiten wir zudem mit Forschungseinrichtungen, Industriepartnern, Initiativen, Standardisierungsgremien, öffentlichen Institutionen und anderen Internet-Dienstleistern zusammen. Gemeinsam wollen wir der Cyberkriminalität entgegentreten und die Internet-Sicherheit verbessern. Beispielsweise kooperieren wir bundesweit mit dem Bundesamt für Sicherheit und Informationstechnik (BSI) und auf EU-Ebene mit der Europäischen Agentur für Netzwerk- und Informationssicherheit (ENISA).

Über unsere vielfältigen Sicherheits- und Datenschutzaktivitäten berichten wir tagesaktuell auf unserer Konzernwebsite.

Relevant für die Abdeckung folgender Nachhaltigkeitsstandards

 

Sustainability Accounting Standards Board (SASB)

  • Code TC-TL-230a.2 (Data Security)

Unsere Cyber-Security-Infrastruktur

Cyber Emergency Response Team
Um Angriffe abzuwehren, entwickeln wir laufend neue Verfahren. Schon seit Mitte der 1990er-Jahre gibt es bei der Telekom ein sogenanntes Cyber Emergency Response Team (CERT): International verantwortet es das Management von Sicherheitsvorfällen für unsere Informations- und Netzwerktechnologien. Seither bauen wir unsere Aktivitäten zur Cyberabwehr kontinuierlich aus und engagieren uns für mehr Information und Austausch. Seit 2020 ist unser CERT offiziell nach dem Standard SIM3 (Security Incident Management Maturity Model) zertifiziert. Damit ist es aktuell nur eine von zwei deutschen CSIRT(Computer Security Incident Response Team)/CERT-Organisationen, die diesem Standard entsprechen.

Cyber Defense Center
Das Abwehrzentrum der Deutschen Telekom Security GmbH ist das größte integrierte Cyber Defense and Security Operations Center (SOC) in Europa. Fast vollautomatisiert werden dort jeden Tag circa eine Milliarde sicherheitsrelevante Daten aus rund 3 000 Datenquellen analysiert. Unsere Security-Spezialisten erkennen Angriffe nahezu in Echtzeit, wehren sie ab und analysieren, wie die Angreifer vorgegangen sind. Bis zu 70 Millionen Angriffe auf die Telekom-Honeypot-Systeme – absichtlich für Angreifer gestellte Fallen – sind heutzutage nicht ungewöhnlich. Im Netz der Deutschen Telekom AG bekämpfen wir außerdem als einziger Internet-Provider in Europa aktiv Botnetze (miteinander verbundene, mit Schadprogrammen infizierte Rechner). So schützen wir unsere Infrastruktur – und somit auch die Daten unserer Kund*innen. Im SOC in Bonn und den angeschlossenen nationalen und internationalen Standorten arbeiten rund 200 Sicherheitsexpert*innen rund um die Uhr.

Unsere Maßnahmen gegen Cyberangriffe bieten wir genauso auch anderen Unternehmen an: Mehr als 30 deutsche DAX- und mittelständische Unternehmen nutzen unsere Leistungen für ihren eigenen Schutz.

Relevant für die Abdeckung folgender Nachhaltigkeitsstandards

 

Sustainability Accounting Standards Board (SASB)

  • Code TC-TL-230a.2 (Data Security)

Schutz persönlicher Daten

Der Schutz der Daten unserer Kund*innen ist für uns von höchster Bedeutung. Über unser Engagement berichten wir regelmäßig und teilweise tagesaktuell auf unserer Konzernwebsite unter Datenschutz und Datensicherheit. Die folgenden Beispiele geben einen kleinen Ausschnitt unserer Arbeit in jüngerer Vergangenheit wieder:

Im Jahr 2020 haben wir gemeinsam mit dem Software-Konzern SAP die Corona-Warn-App img entwickelt: Sie informiert Nutzer*innen in Deutschland und einigen anderen Ländern über mögliche Kontakte mit Coronavirus-Infizierten. Schon im Vorfeld der Entwicklung wurde intensiv über das Datenschutz- und Sicherheitskonzept diskutiert. Um einen maximalen Schutz der persönlichen Daten zu gewährleisten, entschied sich die Bundesregierung für einen dezentralen Ansatz: Damit bleiben die Daten auf dem eigenen Handy und werden nicht zentral gespeichert. Dieses Konzept hat sich ausgezahlt: In Deutschland allein wurde die App so oft installiert wie ähnliche Lösungen in anderen europäischen Ländern zusammen – bis Dezember 2020 mehr als 23 Millionen Mal.

Internationale Kooperation für Cybersicherheit
Auch 2020 haben wir uns auf internationaler Ebene für Datensicherheit eingesetzt. Unter anderem sind wir Gründungspartner der „Charter of Trust“. Eines ihrer Ziele: allgemeine Mindeststandards für Cybersicherheit zu etablieren, die sich am Stand der Technik orientieren. Gemeinsam mit unseren Partnern zeigen wir in diesem Rahmen zehn Handlungsfelder auf, in denen mehr getan werden muss, um Cybersicherheit zu gewährleisten.
Unser Engagement für Sicherheit in der digitalen Welt haben wir bereits 2018 durch die Unterzeichnung des „Paris Call for Trust and Security in Cyberspace“ unterstrichen. Darin verpflichten wir uns, die Zusammenarbeit zugunsten der Integrität und der Sicherheit der digitalen Welt zu intensivieren.

Keine Macht den Botnetzen
Der internationale Vergleich zeigt: Die Deutsche Telekom AG unterdrückt als einziger Netzbetreiber Europas aktiv die sogenannten Botnetze (Stand: Dezember 2020). Der Begriff steht für zahllose, unbefugt miteinander verbundene Geräte, die für vielfältige Angriffe von Kriminellen missbraucht werden. Je größer solch ein Netz, desto drastischer kann sich ein Cyberangriff auswirken. Damit sich die Geräte nicht mehr von Hacker*innen steuern lassen, analysieren die Expert*innen der Deutschen Telekom Security GmbH die Strukturen des Verbunds und unterdrücken die Kommunikation mit den Steuerungsservern. Es kann durchaus vorkommen, dass Botnetze die Geräte unserer Kund*innen vereinnahmen. Im Jahr 2019 haben wir unseren Kund*innen in solchen Fällen 155 000 Mal geholfen und ihre Systeme zurück unter ihre Kontrolle gebracht.

Gestohlene Identitäten aufspüren
Die Fraud-Scouts (Betrugexpert*innen) des Telekom-Sicherheitsteams durchsuchen mithilfe einer speziellen Anwendung das World Wide Web und das Darknet nach gestohlenen Identitäten. Sollten sie fündig werden, warnen und helfen wir unseren Kund*innen.

Mobil geschützt
Seit 2017 bieten wir in Zusammenarbeit mit dem Unternehmen Check Point Software Technologies die Sicherheitslösung „Protect Mobile“ an. Unsere Privatkund*innen können Protect Mobile für ihre Smartphones nutzen: Es wehrt Cyberangriffe durch die Kombination von Netzschutz und App zuverlässig ab – etwa beim Download von Apps, Online-Banking oder Surfen im Browser. Telekom-Kund*innen können diese kostenlose Option zu ihrem bestehenden Mobilfunk-Vertrag hinzubuchen und für den vollständigen Schutz die App für Android oder iOS herunterladen.

Smart geht auch sicher und transparent
Wir wollen nicht nur gesetzliche Vorgaben erfüllen, sondern aktiv sicherstellen, dass die Daten unserer Kund*innen geschützt sind. Dafür entwickeln wir technische Standards permanent weiter und engagieren uns für größtmögliche Transparenz.

Beispielsweise speichern wir bei dem Dienst „SprachID“ nicht die Stimme der Kund*innen. Stattdessen wird ein mathematisches Muster aufgezeichnet, das aus vielen Merkmalen der Stimme berechnet wird. Dies lässt somit keine Rückschlüsse auf Personen zu.

Ein weiteres Beispiel ist der „Magenta Speaker“ – der erste intelligente Sprachassistent aus Europa. Wenn Kund*innen diesen Smart Speaker einrichten, erfahren sie leicht verständlich, welche Daten wir zu welchen Zwecken verarbeiten und speichern. Im laufenden Betrieb können die Kund*innen jederzeit ihre Daten in der Smart-Speaker-App einsehen und bei Bedarf löschen.

Umgang mit Kundendaten ausgezeichnet
Bereits zum vierten Mal hat uns das unabhängige Prüfinstitut TÜV Informationstechnik (TÜViT) 2020 für den Umgang mit unseren Kundendaten ausgezeichnet. TÜViT bescheinigte uns, dass unsere Verarbeitung der Daten, beispielsweise zur Rechnungserstellung, stets gewissenhaft und geschützt geschieht.

Vertrauen in die Cloud stärken
Zusammen mit der Telekom und weiteren Expert*innen hat das Bundeswirtschaftsministerium einen Standard für die Zertifizierung von Cloud-Diensten nach der Datenschutz-Grundverordnung (DSGVO) entwickelt: AUDITOR. Der Standard soll von „GAIA X“ angewendet werden, einem europäischen Cloud-Projekt für eine leistungsfähige und sichere Dateninfrastruktur. Auch wir zertifizieren unsere Cloud-Lösungen Open Telekom Cloud und die vCloud-Services im Rahmen eines Piloten nach AUDITOR. Auch wenn unser Standard beispielhaft ist: Bislang haben die zuständigen Aufsichtsbehörden noch keine einheitliche Datenschutzzertifizierung von Cloud-Diensten genehmigt. Die Telekom erachtet dies für eine geschützte Dateninfrastruktur in Deutschland und Europa jedoch als unverzichtbar.

Einfache Datenschutzerklärung für jedermann
Datenschutzhinweise sind für Laien oft unverständlich. Mit unserem sogenannten One-Pager bieten wir unseren Kund*innen eine leicht lesbare, kurze Übersicht über wesentliche Datenverarbeitungen. Er ersetzt nicht die förmliche Datenschutzerklärung, die juristischen Anforderungen entsprechen muss und auf die wir zusätzlich verlinken. Mit dem One-Pager folgen wir einer Initiative des Nationalen IT-Gipfels unter Beteiligung des Bundesministeriums der Justiz und für Verbraucherschutz.

Verschlüsselung für alle
Zusammen mit dem Fraunhofer-Institut für Sichere Informationstechnologie (SIT) bieten wir seit 2016 die IT-Lösung „Volksverschlüsselung“ an. Damit können E-Mails einfach und kostenlos verschlüsselt werden. Die Schlüssel werden direkt auf dem Endgerät des Nutzers/der Nutzerin erzeugt. Sie verbleiben ausschließlich in seiner/ihrer Hand und gelangen nicht zum Betreiber der Infrastruktur. Um die Verschlüsselung zu nutzen, genügt es, die Software zu installieren und sich einfach und sicher zu identifizieren. Die Infrastruktur wird von uns in einem Hochsicherheitsrechenzentrum betrieben. Mit dem Angebot unterstützen wir die digitale Agenda der Bundesregierung. Zudem erfüllen wir die Forderungen der „Charta zur Stärkung der vertrauenswürdigen Kommunikation“, die von Vertreter*innen aus Wirtschaft, Wissenschaft und Politik vorgestellt und unterzeichnet wurde.

Weitere Projekte finden sich in unserem CR-Wissen.

IT-Sicherheit & Datenschutz KPI

Alle zwei Jahre fragen wir 50.000 Beschäftigte der Deutschen Telekom stichprobenartig, wie es um das Datenschutz- und Sicherheitsbewusstsein im Unternehmen steht. Auf Basis der Umfrageergebnisse werden unter anderem der Security Awareness Index (SAI) sowie die Datenschutz-Awardkennzahl berechnet. Die Indikatoren dienen dazu die Effektivität unserer Maßnahmen im Bereich IT-Sicherheit und Datenschutz zu überprüfen. Die Datenschutz-Award-Kennzahl wurde zuletzt 2020 erhoben und lag bei 86 Prozent (ohne T‑Mobile US). Der Security Awareness erreichte 2018 bei der letzten Befragung 80,3 (ohne T‑Mobile US) von maximal 100 Punkten (und liegt damit höher als bei allen anderen Unternehmen im Benchmark).

Die Datenschutz-Awardkennzahl misst das Datenschutzniveau in den Einheiten auf einer Skala von 0 bis 12. Sie wird aus den Antworten der Mitarbeiterinnen und Mitarbeiter zu ihrem Denken, Handeln und Wissen bezüglich Datenschutz berechnet.

Der Security Awareness Index ist ein Maßstab für die Mitarbeiterwahrnehmung der IT-Sicherheit bei der Telekom. Grundlage für die Bewertung sind die Antworten der Telekom-Mitarbeiter zu der Aufmerksamkeit der Geschäftsführung für das Thema, der Sicherheitskultur, dem Einfluss von Sicherheitsvorgaben auf die eigene Arbeit sowie ihre persönliche Verantwortung für und Einstellung zu IT-Sicherheit. Der Index umfasst eine Skala von 0 bis 100 – je höher der Wert desto besser wurde die IT-Sicherheit bei der Telekom bewertet.

Relevant für die Abdeckung folgender Nachhaltigkeitsstandards

 

Global Reporting Initiative (GRI)

  • GRI 418-1 (Schutz der Privatsphäre von Kunden)

Global Compact

  • Prinzip 1 (Unterstützung und Respektierung der internationalen Menschenrechte)