Datenschutz & Informationssicherheit im Fokus

Seite vorlesen

Commitment

Wir setzen uns dafür ein, dass die Hoheit über die Daten bei den Kunden bleibt und sie ihr digitales Leben souverän gestalten können. Dafür schützen wir die Daten unserer Kunden, Mitarbeiter, Partner und Investoren in allen Produkten und Prozessen und stellen eine datenschutzkonforme Geschäftstätigkeit von Telefónica Deutschland sicher. Wir agieren dabei einfach und transparent und tauschen uns frühzeitig mit allen relevanten Interessengruppen über Innovationen aus.

Telefónica nimmt Datenschutz und Informationssicherheit sehr ernst

Das digitale Zeitalter birgt Herausforderungen, Datenschutz und Privatsphäre neu zu denken, auch vor dem Hintergrund der zunehmenden allgemeinen Bedrohungslage bezüglich Cyberattacken. Millionen Kunden vertrauen jeden Tag dem Mobilfunknetz und den Diensten von Telefónica Deutschland. Wir nehmen deshalb den Schutz und die Sicherheit der Kundendaten sehr ernst und stellen sicher, dass die Menschen die Hoheit über ihre Daten behalten. Datenschutz und IT-Sicherheit gewährleisten wir auf Grundlage der relevanten Gesetze und Verordnungen. In unseren Geschäftsgrundsätzen verpflichten wir uns zudem zur Wahrung der Informationssicherheit und Transparenz. Alle personenbezogenen und sensiblen Daten behandelt Telefónica Deutschland vertraulich und sichert sie gegen mögliche Zugriffe von unberechtigten Dritten ab. In unseren Prozessen und Produkten schützen wir die Daten unserer Kunden sowie unserer Mitarbeiter, Partner und Investoren. Mit geeigneten Maßnahmen wollen wir eine datenschutzkonforme Geschäftstätigkeit von Telefónica Deutschland sicherstellen. Unsere Schwerpunkte lagen im Berichtszeitraum insbesondere auf der internen Umsetzung der von Behörden und Gerichten verfügten Klarstellungen zur Datenschutz-Grundverordnung (DSGVO) in Bezug auf Prozesse und Dokumente sowie auf der Sensibilisierung unserer Mitarbeiter bei der Umsetzung der neuen Datenschutzanforderungen. Unser Datenschutz-Management-System (DSMS) und Informationssicherheits-Management-System (ISMS) im Bereich Corporate Security aktualisieren wir kontinuierlich und entwickeln beide Systeme gezielt weiter. So haben wir das Monitoring und Reporting von Sicherheitskenngrößen zur unternehmensweiten Steuerung der Informationssicherheit neu ausgerichtet. Das bestehende Krisenmanagementkonzept wird konsequent umgesetzt und ist in der Praxis erprobt.

Klare Regeln und Prozesse etabliert

Strikte Regeln und Prozesse tragen dazu bei, den Datenschutz konsequent zu sichern, Informationssicherheit zu gewährleisten und relevante Gesetze sowie Verordnungen einzuhalten. Dafür überarbeiten wir regelmäßig bestehende und verabschieden neue Richtlinien, sofern erweiterter Regelungsbedarf identifiziert wird, und implementieren diese im Unternehmen. Zu den maßgeblichen Rahmenwerken gehören der Konzernstandard Datenschutz als Grundlage des DSMS sowie unsere Leitlinien zum Datenschutz. Damit stellen wir unsere Prinzipien im Umgang mit Daten und in der Kommunikation mit unseren Kunden sowie der Öffentlichkeit transparent dar. Für die gesamte Organisation gelten die internen Vorgaben zur Sicherheit (Security Global Policy) sowie Regeln für Mindestsicherheitsanforderungen (Corporate Rule on Minimum Controls). Diese werden durch eine Vielzahl weiterer Richtlinien, Normen und Verfahrensanweisungen zu verschiedenen Datenschutzaspekten ergänzt. Dazu gehören die Richtlinie zur Meldung von Datenschutz- und Informationssicherheitsvorfällen, die Richtlinie Datenschutz Informationspflichten, die Checkliste für Betroffenenrechte nach DSGVO bezüglich der Verarbeitung von Daten von Nutzern bzw. Kunden, der neu angelegte PCP (Privacy Consulting Process) sowie verschiedene Verfahrensanweisungen. Unsere Datenschutzrichtlinie umfasst klare Vorgaben zum Schutz personenbezogener Daten, die oftmals sogar über die gesetzlichen Bestimmungen hinausgehen. Unsere Mitarbeiter erhalten dazu jedes Jahr eine Schulung. Alle Beschäftigten werden zudem auf das Daten- und Fernmeldegeheimnis verpflichtet. Die Verantwortung für Datenschutz und Informationssicherheit tragen der Datenschutzbeauftragte sowie der Chief Security Officer. Diese berichten direkt an den Chief Officer Legal and Corporate Affairs von Telefónica Deutschland. Effiziente Strukturen und Prozesse sollen Verstöße im Bereich des Datenschutzes und der Informationssicherheit verhindern. Mit unserem unternehmensweiten DSMS und ISMS steuern wir die Prozesse zur Sicherung von Datenschutzstandards, unsere Zielvorgaben, Verantwortlichkeiten und Trainings sowie eine regelmäßige Kontrolle der realisierten Maßnahmen. In den Fachbereichen sind außerdem Security Manager für die Informationssicherheit sowie Datenschutzkoordinatoren zur besseren Steuerung des DSMS als feste Ansprechpartner etabliert. Wir arbeiten nur mit Geschäftspartnern zusammen, die unsere datenschutzrechtlichen Vorgaben gemäß der Richtlinie zu Datenschutzverträgen und den entsprechenden Verträgen akzeptieren. Darüber hinaus führen wir Audits u. a. bei Dienstleistern vor Ort durch. Für die Einbindung von Subdienstleistern verfolgt Telefónica Deutschland ebenfalls klare Prozesse und Regelungen und macht entsprechende Vorgaben für Verträge.
Auch hinsichtlich der Meldung von Datenschutzvorfällen handeln wir nach festen Regeln. Unsere Datenschutz-Hotline stellt eine erste, gut erreichbare Anlaufstelle dar. Unsere Lieferanten und ihre Mitarbeiter können sich bei Beschwerden zudem über das Lieferantenportal von Telefónica Deutschland an uns wenden. Bei allen Anfragen zum Datenschutz streben wir eine schnelle und eindeutige Beantwortung an und haben dafür klare operative Prozesse definiert. Vor der Einbindung von Daten in IT-Entwicklungs- und Analyse-Prozesse nehmen wir standardisierte Prüfungsschritte vor. Über ein dreistufiges Anonymisierungsverfahren sorgt unsere TÜV-zertifizierte Datenanonymisierungsplattform zusätzlich dafür, dass bei statistischen Analysen jeglicher Personenbezug bei Daten entfernt wird. Unsere Ziele im Bereich Datenschutz und Informationssicherheit sind:
-Ausschluss der Einleitung von Verfahren wegen Verletzung datenschutzrechtlicher Bestimmungen durch bestmögliche Einhaltung der Datenschutzbestimmungen
-Minimierung des Verhältnisses von eingeleiteten Verfahren zu tatsächlichen Verstößen
-Transparenz hinsichtlich der Datennutzung
-schnelle Reaktionsfähigkeit bei eintretenden Großstörungen und Gefährdungslagen wie Netzausfällen, Datenmissbrauch, Bombendrohungen o. Ä.
-Lokalisierung von Handlungsfeldern bezüglich der Informationssicherheit
Im abgelaufenen Geschäftsjahr wurden keine Verfahren wegen Verletzung des Datenschutzes und Verstoßes gegen gesetzliche Vorschriften in diesem Bereich eingeleitet. Es gab keine Verletzungen des Datenschutzes, die zu Sanktionen in Form von Bußgeldern führten. Es wurden 26 meldepflichtige Sicherheitsverletzungen bzw. Vorfälle im Hinblick auf Vertraulichkeit, Integrität und Verfügbarkeit bezüglich der Netz- und Informationssicherheit identifiziert. Die aufgetretenen Ereignisse beziehen sich ausschließlich auf das Schutzziel Verfügbarkeit und sind im Wesentlichen auf Arbeiten im Rahmen der Netzkonsolidierung oder auf Störungen von Netzelementen zurückzuführen.

Unsere Fokus-SDGs

Strikte Regeln und Prozesse tragen dazu bei, den Datenschutz konsequent zu sichern, Informationssicherheit zu gewährleisten und relevante Gesetze sowie Verordnungen einzuhalten. Unsere Kunden sollen stets die Souveränität über ihre persönlichen Daten behalten.

Sensibilisierung und Aufklärung vorantreiben

Wir klären regelmäßig, zielgerichtet und verständlich über die Art unserer Datenverarbeitung auf. Dabei richten wir uns an den Prinzipien Selbstbestimmung, Transparenz, Schutz personenbezogener Daten sowie Innovation aus, die auch in unseren Leitlinien im Bereich Datenschutz verankert sind. Zu den wichtigsten Informationsinstrumenten zählen die Datenschutzwebsite von Telefónica Deutschland sowie die jeweils eigenen Datenschutzwebsites unserer Marken für einen direkten und zielgerichteten Zugriff unserer Kunden. Hier erklären wir detailliert, welche Arten von Daten Telefónica Deutschland nutzt, wie wir die Daten unserer Kunden schützen und was sie selbst für ihren eigenen Schutz tun können. Zudem haben Verbraucher hier die Möglichkeit, von ihren Rechten gemäß DSGVO Gebrauch zu machen. Die Datenschutzinformationen zu unseren Verträgen erhalten die Kunden zusätzlich auch bei Vertragsschluss. Das im Jahr 2017 gestartete Projekt zur Umsetzung der DSGVO wurde mit dem Ziel fortgeführt, temporäre durch automatisierte Prozesse abzulösen, beispielsweise im Rahmen des Beauskunftungsprozesses. Auf diese Weise wird auch die Kundenbetreuung entlastet, die sich so auf die schnelle Beantwortung anderer Kundenanfragen und die Qualitätssicherung konzentrieren kann. Regelmäßige Schulungen zur Steigerung des Sicherheitsbewusstseins richten sich an verschiedene Zielgruppen. Auf diese Weise sensibilisieren wir entweder einzelne Abteilungen, ausgewählte Sicherheitsansprechpartner oder auch alle Mitarbeiter an unterschiedlichen Standorten. Unsere Mitarbeiter werden regelmäßig und verpflichtend zum Datenschutz und zur Informationssicherheit geschult, auch mit Unterstützung externer Datenschutzexperten. Mitarbeiter, die als Multiplikatoren fungieren und ihrerseits weitere Mitarbeiter schulen sollen, erhalten regelmäßig eine besonders umfangreiche Schulung. Diese Datenschutzkoordinatoren gibt es in allen Fachbereichen, sie dienen als Schnittstelle zwischen den Kollegen im Fachbereich und dem Datenschutzteam. Die Koordinatoren priorisieren Anfragen aus ihrem Geschäftsbereich, beantworten Standardthemen sowie einfache Anliegen selbst und stellen bei Bedarf den Kontakt zu den relevanten Datenschutzexperten her. Sie sind damit erster Ansprechpartner für das Umsetzen des DSMS. Zu den aktuellen Schwerpunkten der Mitarbeitertrainings zu Datenschutz und Informationssicherheit zählt etwa der verantwortungsbewusste Umgang mit Bestands- und Verkehrsdaten, welche Telefónica Deutschland zur Erbringung von Telekommunikationsdienstleistungen und bei Datenanalyseprozessen für die Entwicklung neuer Serviceangebote nutzt. 2019 haben wir beispielsweise mit Informations- und Aufklärungsmaßnahmen für eine erhöhte Aufmerksamkeit bei der Erkennung und Verhinderung des geplanten Diebstahls von persönlichen Zugangsdaten über Phishing-Mails gesorgt. Zum Start des Jahres 2020 haben wir zudem eine Awareness-Kampagne zur Sensibilisierung bei der Verarbeitung personenbezogener Daten im Tagesgeschäft gestartet, die im zweiten Halbjahr 2019 intensiv vorbereitet wurde. Sie richtet sich an Mitarbeiter an allen Standorten von Telefónica Deutschland einschließlich der Shops und des Kundenservices. Dabei greifen wir Situationen aus dem Arbeitsalltag auf, mit denen sich möglichst alle Beschäftigten identifizieren können. Ziel ist es, die Aufmerksamkeit zu erhöhen und den Dialog über Fragen rund um den Datenschutz zu fördern. Unsere Datenschutzexperten haben die Kampagne daher mithilfe von verschiedenen Postern und digitalen Motiven rund um typische Fallbeispiele anschaulich aufgebaut. Kampagnenmotive wurden dabei auch an ungewöhnlichen, zu den Motiven passenden Orten platziert. Beispielsweise wurden in den Druckerräumen und auf Konferenztischen Hinweise zur Problematik liegengelassener Unterlagen angebracht. Die Kampagnenmotive verweisen jeweils auf weitere Informationen im Intranetbereich „Datenschutz“ mit Tipps, wie in den einzelnen Situationen am besten zu verfahren ist. Zur Steigerung des Sicherheitsbewusstseins führen wir an unseren Standorten Informationsveranstaltungen, Workshops und Übungen durch, die den richtigen Umgang mit Bedrohungslagen im Online-Bereich vermitteln. Dabei arbeiten wir eng mit Sicherheitsbehörden wie der Polizei und dem Verfassungsschutz zusammen. Mit konkreten Handlungsanweisungen für wesentliche Krisenszenarien wie etwa Netzausfälle, Datenmissbrauch oder Bombendrohungen sind wir auf derartige Situationen vorbereitet. Wir binden sowohl unsere internen wie auch unsere externen Stakeholder über vielfältige Aktivitäten auf den Gebieten Datenschutz und Informationssicherheit mit ein. So führen wir den Dialog über unser Datenschutzforum, dem relevante interne Stakeholder angehören, und sind auch mit externen Partnern oder maßgeblichen Behörden kontinuierlich im Gespräch. Dazu zählen beispielsweise die Bundesnetzagentur (BNetzA), das Bundesamt für Sicherheit in der Informationstechnik (BSI) und der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI). Über die Telefónica, S.A. Group ist Telefónica Deutschland zudem in globalen Initiativen rund um den Datenschutz vertreten, wie beispielsweise in der Global Network Initiative. Darüber hinaus sind wir Mitglied in diversen Fachverbänden, wie etwa dem Bitkom, der Gesellschaft für Datenschutz und Datensicherheit (GDD), dem Information Security Forum und dem Bayerischen Verband für Sicherheit in der Wirtschaft (BVSW). Angesichts der wachsenden Vereinheitlichung der datenschutzrechtlichen Regelungen in Europa haben wir zudem die konzerninterne Vernetzung und den fachlichen Austausch mit den Verantwortlichen für den Datenschutz in Spanien und Großbritannien deutlich intensiviert. Dies zeigt sich vor allem an den neu eingeführten halbjährlichen europäischen Datenschutzkonferenzen von Telefónica Deutschland, bei denen alle relevanten Rechtsthemen besprochen und praktische Erfahrungen ausgetauscht werden.

Kundenfreundliche Innovationen im Datenschutz

Unseren Mobilfunkkunden in Deutschland wollen wir ihr digitales Leben künftig noch einfacher und sicherer machen. Zu den wichtigsten Angeboten mit dem Fokus auf Datensicherheit zählt Mobile Connect. Die von Telefónica Deutschland gemeinsam mit der Deutschen Telekom und Vodafone Deutschland entwickelte Lösung ermöglicht die geschützte Anmeldung bei Internetdiensten ohne Eingabe von Usernamen und Passwort. Die Kunden können ihre persönliche Mobilfunknummer beim Einkauf in Online-Shops sowie bei der Anmeldung auf Internetportalen verwenden und sich so eindeutig identifizieren.