In Zeiten zunehmender Digitalisierung ist der Schutz der personenbezogenen Daten ein hohes Gut. Sowohl unsere Kund*innen als auch Mitarbeitende dürfen darauf vertrauen, dass gesetzliche Vorschriften zum Schutze des informationellen Selbstbestimmungsrechts eingehalten werden und dieser Schutz einen hohen Stellenwert im Unternehmen genießt.
Das Datenschutzmanagementsystem ist auf die Einhaltung datenschutzrechtlicher Vorgaben ausgerichtet. Konkrete Maßnahmen, die sich an der Unternehmensstrategie orientieren, bieten unserer Belegschaft eine Beratungs- und Orientierungsfunktion. Mit festgelegten Grundsätzen wollen wir das Ziel erreichen, ein einheitliches und angemessenes Datenschutzniveau zu schaffen. In konzerninternen Regelwerken sind diese Vorgaben beschrieben, werden jährlich geprüft und bei Bedarf überarbeitet.
Die Datenschutzorganisation im EnBW-Konzern besteht aus einem zentralen Konzerndatenschutz und einer dezentralen Datenschutzorganisation, die gemeinsam auf eine wirksame Um- und Durchsetzung der Datenschutzregelungen hinwirken. Alle relevanten Funktionaleinheiten, Geschäftseinheiten sowie weisungsgebundene Konzerngesellschaften sind eingebunden. Sie sind angewiesen, Datenschutz in allen relevanten Prozessen zu beachten. Den Datenschutzbeauftragten sowie dem Konzerndatenschutz gewährt das Managementsystem eine direkte Berichtslinie zu unserem Vorstand und eine Kontrollfunktion mit Auditrechten entsprechend dem gesetzlichen Auftrag.
Unsere Datenschutzorganisation
Der Konzerndatenschutz berichtet dem Aufsichtsrat und dem Vorstand mehrmals jährlich über den aktuellen Stand der Managementaktivitäten. Unser Vorstand ist oberste Entscheidungsinstanz für die Festlegung und Umsetzung der Datenschutzstrategie und die Erreichung der Datenschutzziele im Einklang mit der Unternehmensstrategie. Er beschließt die Umsetzung von Managementaktivitäten, das Programm sowie die Durchführung durch Audits. Dezentral definierte Rollen in Geschäfts- und Funktionaleinheiten werden in einem Treffen der Datenschutz-Community regelmäßig mit wichtigen Informationen ausgestattet und zur Maßnahmenumsetzung angeleitet. Der Konzerndatenschutz wirkt in einem interdisziplinär besetzten Gremium der Geschäfts- und Funktionaleinheiten mit, das Datentransparenz gewährleisten und die Zusammenarbeit zum Umgang mit (auch personenbezogenen) Daten innerhalb des Unternehmens gestalten soll. Darüber hinaus wirkt er anlassbezogen in Gremien anderer Konzernmanagementsysteme mit.
Mit dem Ziel, ein einheitliches Datenschutzniveau im Konzern zu erreichen, haben wir effiziente und effektive Datenschutzstandards für alle weisungsgebundenen Konzerngesellschaften etabliert. Fachbereiche erhalten damit das Handwerkszeug, in relevanten Prozessen datenschutzrechtliche Anforderungen angemessen umzusetzen.
Das Verzeichnis der Verarbeitungstätigkeiten ist das Kernelement einer wirksamen Datenschutz-Compliance. Es enthält alle zur Beurteilung einer Datenschutzkonformität relevanten Angaben. Werden personenbezogene Daten verarbeitet, ist zum Zeitpunkt der Datenerhebung über deren Verarbeitung zu informieren. Dies schließt den Zweck der Verarbeitung ein, an den diese Datenverwendung gebunden ist. Die Erhebung von Daten wird auf das erforderliche Maß für diese Verarbeitung begrenzt. Die Daten sind zu löschen, wenn kein Zweck mehr für die Verarbeitung vorliegt oder einzuschränken, wenn beispielsweise lediglich Aufbewahrungspflichten bestehen. Dabei entwickeln wir individuelle Konzepte für Speicher- bzw. Aufbewahrungsfristen sowie Zugriffsberechtigungen. Zum Schutz der Daten werden angemessene organisatorische Maßnahmen ebenso ergriffen wie Maßnahmen, die dem aktuellen Stand der Technik entsprechen.
Neben Regelungen zur Datenspeicherung und -sicherung sind klare Bestimmungen zur Erfüllung der Betroffenenrechte nach der EU-DSGVO wie unter anderem das Recht auf Auskunft, Aktualisierung, Löschung oder Sperrung getroffen. Geregelt ist ebenfalls die Umsetzung des Rechts auf Widerspruch und Datenübertragbarkeit. Wir bedienen uns auch Dienstleistern zur Verarbeitung personenbezogener Daten. Bei der Auswahl der Auftragsverarbeiter wird deren Zuverlässigkeit und Erfüllung datenschutzrechtlicher Anforderungen auf ein angemessenes Datenschutzniveau überprüft. Die Beauftragung erfolgt ausschließlich auf Basis einer schriftlichen Vereinbarung.
Eine regelmäßige Betrachtung datenschutzrechtlicher Risiken erfolgt durch den Konzerndatenschutz in Zusammenarbeit und in der Logik des integrierten Risikomanagements. Jährliche Audits werden nach einem vom Vorstand beschlossenen Auditplan durchgeführt.
Darüber hinaus sind datenschutzrechtliche Prüfungen regelmäßig Gegenstand der Konzernrevision. Die gesetzlich vorgeschriebenen Datenschutzfolgeabschätzungen erfolgen toolgestützt, werden vom Konzerndatenschutz beraten und vom Fachbereich dokumentiert.
Datenschutzrelevante Prozesse und das größtenteils digital geführte Verarbeitungsverzeichnis werden jährlich überprüft und bedarfsweise aktualisiert.
Neue Mitarbeitende werden in einem Standardprozess auf die Einhaltung von Anforderungen aus Datenschutz und Informationssicherheit verpflichtet. Außerdem ist ein risikobasiertes Schulungskonzept etabliert: Ein verpflichtendes E-Training schafft ein Basiswissen. Flankiert wird dieses E-Training durch Spezialschulungen für Mitarbeitende in datenschutzrelevanten Positionen. Die Inhalte dieser Trainings werden jährlich auf Aktualität geprüft und bei Bedarf neugestaltet.
In unseren internen Medien werden die Mitarbeitenden regelmäßig über datenschutzrechtliche Inhalte informiert. Dies erfolgt durch gezielte Nachrichten zu aktuellen Themen ebenso wie durch zur Verfügung gestellte ausführliche Hintergrundinformationen, Vorlagen und Handreichungen.
Damit sich das Datenschutzmanagementsystem kontinuierlich weiterentwickelt, findet ein Austausch mit internen und externen Beratern statt. Hierzu gehört die Konzernrevision ebenso wie unabhängige Beratungsgesellschaften.
Meldung bei datenschutzrechtlichen Vorfällen
Wir verfügen über ein etabliertes Meldesystem bei möglichen Datenschutzverstößen. Dabei ist auch eine anonyme Meldung möglich. Zur Aufklärung von Vorfällen bedient sich die Datenschutzorganisation der bewährten Instrumente des Konzerns.