Datenschutz
Angabepflicht |
|
Bezeichnung mit Referenz |
|---|---|---|
S4 SBM-2 |
|
|
S4 SBM-3 |
|
|
S4-1 |
|
|
S4-2 |
|
Verfahren zur Einbeziehung von Verbrauchern und Endnutzern in Bezug auf Auswirkungen |
S4-3 |
|
|
S4-4 |
|
|
S4-5 |
|
Unsere Auswirkungen, Risiken und Chancen [S4 SBM-3] Wesentliche Auswirkungen, Risiken und Chancen und ihr Zusammenspiel mit Strategie und Geschäftsmodell
Die Digitalisierung eröffnet entscheidende Möglichkeiten für eine hochwertige und zukunftsfähige Versorgung von Patientinnen und Patienten. Gleichzeitig erfordert sie im Konzern einen besonders sorgfältigen Umgang mit personenbezogenen und insbesondere sensiblen medizinischen Daten.
Unser konzernweites Datenschutzkonzept bildet das Fundament, um hochwertige Gesundheitsdienstleistungen anbieten zu können. Dank unseres resilienten Datenschutzkonzepts haben wir tatsächliche positive Auswirkungen auf die Informationssicherheit der persönlichen Patientendaten sowie auf die Sicherheit der Unternehmensdaten der Unternehmensbereiche. Das Datenschutzkonzept wirkt sich zudem positiv auf die Kommunikation zwischen Fachleuten und Institutionen im Gesundheitswesen aus. Weiterhin unterstützt es die datenschutzkonforme Durchführung von Aktivitäten im Bereich Forschung und Entwicklung (F & E) sowie von klinischen Studien und trägt damit zu dem Ziel bei, die Gesundheitsversorgung weiter zu verbessern.
Durch unzureichenden Datenschutz, etwaige Datenschutzverletzungen und Datenlecks können sich jedoch potenziell negative Auswirkungen auf unsere Patientinnen und Patienten ergeben. Diese Faktoren können uns zudem an der effektiven Bereitstellung von Gesundheitsdienstleistungen hindern. In diesem Zusammenhang bestehen kurzfristige finanzielle Risiken für den Konzern: Die Nichteinhaltung rechtlicher Bestimmungen und der mangelnde Schutz von Gesundheitsdaten können zu Reputationsschäden, Sanktionen und weitreichenden Compliance-Vorfällen führen.
Unser Ansatz [S4-1] Konzepte im Zusammenhang mit Verbrauchern und Endnutzern
Unternehmensweites Datenschutzkonzept
Es gilt hohe Qualitätsstandards in regulierten Tätigkeitsfeldern mit wirtschaftlichen, effizienten IT-gestützten Prozessen in Einklang zu bringen. Wir sind uns ebenfalls der Sensibilität und des zunehmenden Schutzbedarfs der Daten und Informationen, die wir verarbeiten, bewusst.
Der Konzern und seine operativen Einheiten verarbeiten in der gesamten Wertschöpfungskette u. a. personenbezogene Daten von unseren
- Patientinnen und Patienten,
- Beschäftigten,
- Kunden sowie
- Lieferanten und anderen Geschäftspartnern.
Wir verpflichten uns, die Rechte und Freiheiten aller betroffenen Personen zu respektieren und zu wahren. Personenbezogene Daten werden nur zweckgebunden unter Beachtung der gesetzlichen Vorgaben verarbeitet. Auch von Dritten, mit denen wir Daten zu festgelegten Zwecken wie der Bereitstellung von Dienstleistungen teilen, verlangen wir, die geltenden Datenschutzanforderungen einzuhalten.
Um neuen Anforderungen oder neuen Technologien gerecht zu werden, entwickeln wir unsere Datenschutzmanagementsysteme und die damit verbundenen Datenschutzmaßnahmen kontinuierlich weiter. Der Überwachungsprozess von Auswirkungen, Risiken oder Chancen wird im Standard ESRS 2, im Abschnitt GOV-1 Unsere Nachhaltigkeitsorganisation erläutert. Weiter finden Sie dort Ausführungen zu unseren internen Kontrollen, unseren Aktivitäten in geografischen Gebieten sowie Ausführungen zur vor- und nachgelagerten Wertschöpfungskette und unserer Stakeholder.
Unternehmensweite Datenschutz-Governance und Verantwortlichkeiten
Im Vorstand übernimmt der Vorstand Sustainability die Verantwortung für Datenschutz auf Konzernebene. Der Datenschutzbeauftragte1 der Fresenius SE & Co. KGaA berichtet in direkter Linie an diese Person.
Im Jahr 2024 wurde die Konzernfunktion Datenschutz eingeführt, die vom Group Head Data Protection geleitet wird. Datenschutzexpertinnen und -experten für die einzelnen Unternehmensbereiche wurden ebenfalls ernannt. Zusammen bilden sie das Group Data Protection Management Team.
Die Verantwortung in den Unternehmensbereichen für die Implementierung datenschutzbezogener Governance-Strukturen obliegt den jeweiligen Geschäftsführungen. Die Unternehmensbereiche haben die Zuständigkeit für Datenschutz z. B. über einen Geschäftsverteilungsplan geregelt. Die Datenschutzexpertinnen und -experten der Unternehmensbereiche agieren bei der Ausübung ihrer Aufgaben eigenständig und berichten an ihre jeweilige Geschäftsführung.
Darüber hinaus ist Datenschutz ein regelmäßiges Thema im Risk Steering Committee, dem u. a. der Vorstand Sustainability angehört.
Zusätzlich zu den oben genannten Funktionen führen die Fresenius SE & Co. KGaA sowie alle Unternehmensbereiche Datenschutzorganisationen im Einklang mit ihrer Organisations- und Geschäftsstruktur, einschließlich der oben genannten unabhängigen Datenschutzexpertinnen und -experten. Die Datenschutzorganisationen unterstützen die Führungskräfte und Fachabteilungen der zugeordneten Gesellschaften in operativen Fragen des Datenschutzes. In diesem Zusammenhang helfen sie dabei, die in den jeweiligen Ländern geltenden datenschutzrechtlichen Anforderungen zu beachten und einzuhalten. Die jeweiligen Datenschutzexpertinnen und -experten sind dafür verantwortlich, die Einhaltung der datenschutzrechtlichen Anforderungen zu überwachen. Sie sind Ansprechpersonen für nationale und internationale Aufsichtsbehörden und werden intern durch weitere Fachleute unterstützt. Je nach Unternehmensbereich sind die Datenschutzexpertinnen und -experten zentral, regional und / oder lokal organisiert. Sie haben im Konzern die Aufgabe, die Business Process Owner (BPOs) und weitere Mitarbeiterinnen und Mitarbeiter in Datenschutzfragen zu beraten und Aktivitäten zum Datenschutz zu koordinieren. Ein BPO ist eine natürliche Person im Unternehmen, die Prozesse verantwortet, in denen u. a. Datenverarbeitungen stattfinden.
Die operativen Aufgaben des Datenschutzes sind in den Fachabteilungen verankert, die dabei durch Prozesse des Datenschutzmanagementsystems unterstützt werden. Zu bestimmten Themen unterstützt zusätzlich unser Compliance-Management-System mit z. B. Risikoanalysen.
Richtlinien und Regularien
Die Umsetzung von Datenschutz ist eine Gemeinschaftsaufgabe aller Mitarbeiterinnen und Mitarbeiter von Fresenius. Kern ist hierbei das Bekenntnis aller Unternehmensbereiche und der Fresenius SE & Co. KGaA zum sorgfältigen Umgang mit Daten und dem Recht auf informationelle Selbstbestimmung, das im Fresenius-Verhaltenskodex und in den Verhaltenskodizes der Unternehmensbereiche festgelegt ist. Weitere Informationen zum Verhaltenskodex des Unternehmens sind unter dem Themenstandard G1 Unternehmensführung zu finden.
Wir haben zudem verbindliche interne Richtlinien zum Datenschutz und zum Umgang mit personenbezogenen Daten eingeführt. Für die Übermittlung personenbezogener Daten aus der EU in Drittländer wurden unternehmensinterne Vorschriften (Binding Corporate Rules, BCR) als datenschutzkonforme Datenübertragungsmechanismen implementiert, die für Fresenius Corporate (Fresenius Management SE, Fresenius SE & Co. KGaA und alle Tochterunternehmen im Berichtssegment Fresenius Group) und Fresenius Kabi (Unternehmen, die direkt oder indirekt von Fresenius Kabi AG kontrolliert werden) gelten. Andere Tochtergesellschaften des Konzerns verwenden Standardvertragsklauseln (Standard Contractual Clauses – SCCs). Deren BCR, SCCs und die Datenschutzrichtlinien anderer Segmente werden durch weitere Standardverfahrensanweisungen (Standard Operating Procedures – SOPs), Arbeitsrichtlinien oder Konzernvorschriften ergänzt. Im Rahmen der betrieblichen Beratung machen die jeweiligen Fachfunktionen der Datenschutzorganisation die geltenden Richtlinien und SOPs für Stakeholder zugänglich und nachvollziehbar. Unsere Richtlinien beziehen sich dabei auf die geografischen Gebiete, in denen wir Produktionsstandorte oder Gesundheitseinrichtungen betreiben. Sofern wir vertraglich oder gesetzlich verpflichtet sind, umfassen unsere Richtlinien auch die vor- oder nachgelagerte Wertschöpfungskette, z. B. durch Kundenservices nach dem Erwerb eines medizintechnischen Geräts. Unsere Stakeholdergruppen erläutern wir im Standard ESRS 2, Abschnitt SBM-2 Stakeholder und Partnerschaften.
Außerdem werden ausführliche Informationen zum Datenschutz bereitgestellt. Die Privacy Employee Notice (Datenschutzhinweise für Mitarbeiterinnen und Mitarbeiter) informiert über die im jeweiligen Unternehmen stattfindende Datenverarbeitung; sie wird Mitarbeiterinnen und Mitarbeitern online und über Aushänge an Standorten zur Verfügung gestellt. Darüber hinaus sind die Datenschutzinformationen auf der Website der Fresenius SE & Co. KGaA www.fresenius.com/de zugänglich.
Um die Einhaltung datenschutzrechtlicher Vorgaben zu sichern, setzen mehrere Funktionen im Konzern regelmäßig Überwachungsmaßnahmen um. Internal-Audit-Abteilungen führen in allen Unternehmensbereichen unabhängige Prüfungen durch, um die Effektivität von Risikomanagement-, Kontroll- und Governance-Prozessen zu verbessern. Dabei werden risikobasiert auch Aspekte des Datenschutzes wie Datenschutzmaßnahmen (z. B. Richtlinien und deren Umsetzung) berücksichtigt. Im Jahr 2024 wurden acht Prüfungen mit Schwerpunkt Datenschutz durchgeführt. Die Ergebnisse dieser Prüfungen werden von den jeweiligen Datenschutzexpertinnen und -experten analysiert und fließen in die kontinuierliche Verbesserung bestehender Maßnahmen ein. Darüber hinaus führen u. a. die Datenschutzexpertinnen und -experten regelmäßig spezifische Datenschutzaudits durch. Außerdem unterliegen wir externen Kontrollen und führen bei Bedarf über Dritte Audits bei Geschäftspartnern durch, die an unseren Datenverarbeitungstätigkeiten beteiligt sind.
Datenschutzkontrollen und Datenschutzrisikobewertungen sind zudem integrale Bestandteile verschiedener interner Kontrollrahmenwerke der Unternehmensbereiche. Die Erkenntnisse zu Verbesserungspotenzialen aus Datenschutzaudits, Risikobewertungen und Prüfungen nutzen wir, um unsere Datenschutzprozesse kontinuierlich zu verbessern.
Risikobeurteilung
Wir beurteilen Risiken im Zusammenhang mit Datenschutz, IT-Sicherheit und Informationssicherheit regelmäßig mithilfe standardisierter Methoden. Alle Unternehmensbereiche und die Fresenius SE & Co. KGaA erfassen Datenverarbeitungstätigkeiten in zentralen IT-Anwendungen und unterziehen sie möglichst früh im Einführungs- oder Anpassungsprozess einer datenschutzrechtlichen Überprüfung, einschließlich einer Risikobewertung. In diesem Zusammenhang unterstützen die Datenschutzexpertinnen und -experten bei Bedarf die Verantwortlichen bei der Erstellung einer Datenschutzfolgenabschätzung. Wir implementieren angemessene technische und organisatorische Maßnahmen bei der Verarbeitung von personenbezogenen Daten und können so u. a. die Datenschutzanforderungen umsetzen und eventuelle Risiken minimieren. Diese werden regelmäßig auf Aktualität, z. B. technische Weiterentwicklungen, überprüft. Unser internes Kontrollsystem unterstützt auch die Überprüfung der Datenschutzkontrollen und die Durchführung von Tests. Die Durchführung bestehender Kontrollen wird ebenfalls überprüft. Darüber hinaus liegt es in der Verantwortung des jeweiligen Prozessverantwortlichen, relevante geplante Änderungen der Datenverarbeitungstätigkeiten zu melden, sodass gegebenenfalls eine neue Datenschutzprüfung durchgeführt werden kann.
Internationaler Datentransfer
Als multinationale, weltweit tätige Organisation legen wir großen Wert darauf, bei allen internationalen Datentransfers ein angemessenes Datenschutzniveau im Sinne der Anforderungen der Datenschutz-Grundverordnung der Europäischen Union (EU-DSGVO) sowie weiteren rechtlichen Anforderungen zu gewährleisten. Dazu gehören auch unsere BCR sowie verbindliche unternehmensinterne Richtlinien und Vorgaben. Unsere BCR sollen sicherstellen, dass die teilnehmenden Gesellschaften ein einheitliches, an den Maßstäben der EU-DSGVO ausgerichtetes Datenschutzniveau schaffen und dazu beitragen, personenbezogene Daten auf internationaler Ebene innerhalb der Unternehmen rechtmäßig zu verarbeiten. Wir verfolgen intensiv die neuesten Entwicklungen im Bereich des internationalen Datentransfers und beziehen sie in den erläuterten Risikoanalysen sowie bei Vertragsabschlüssen ein. Intern verfügbare Vorlagen werden entsprechend angepasst. Wenn Daten in einem anderen Staat durch externe Unternehmen verarbeitet werden, wird der Auftragnehmer einer sorgfältigen Prüfung unterzogen. Wir ergreifen dabei Maßnahmen, z. B. zusätzliche Schutzvorkehrungen wie Pseudonymisierungsmaßnahmen, um die Einhaltung datenschutzrechtlicher Bestimmungen und das erforderliche Sicherheitsniveau zu gewährleisten. Die Datenschutzabteilungen sind an allen Verhandlungen über Datenschutzverträge beteiligt.
Schulungen
Wir schulen Mitarbeiterinnen und Mitarbeiter zu aktuellen Anforderungen und Bedrohungen im Zusammenhang mit Datenschutz und Datensicherheit im Rahmen von E-Learnings, Präsenzveranstaltungen und weiteren Trainingsmaßnahmen. Dabei unterscheiden wir hinsichtlich Fachfunktionen und Verantwortlichkeiten den Umfang der Schulung sowie zwischen freiwilligen und verpflichtenden Schulungen. Allgemeine Schulungen ergänzen wir um zielgruppenspezifische Trainingsmaßnahmen. Dadurch stellen wir sicher, dass die mit der Verarbeitung von Daten betrauten Mitarbeiterinnen und Mitarbeiter über die aktuelle Gesetzeslage und die entsprechenden internen Vorgaben informiert sind. Für alle Beschäftigten ist ein Basistraining zum Datenschutz verpflichtend vorgesehen.
Neue Mitarbeiterinnen und Mitarbeiter weisen wir bei der Aufnahme ihrer Tätigkeit auf den Umgang mit sensiblen Daten hin und verpflichten sie zur Vertraulichkeit. Darüber hinaus erhalten sie innerhalb festgelegter Fristen eine Online-Pflichtunterweisung im Bereich Datenschutz. Es wurde weiter festgelegt, wann bzw. wie häufig ein Nachweis bezüglich der Unterweisung der Beschäftigten im Bereich Datenschutz zu erbringen ist. Der Zeitraum liegt zwischen acht Wochen für die Basisschulung und mindestens alle zwei Jahre für Folgeschulungen.
Wir berücksichtigen die Interessen von Patientinnen und Patienten mittels der Verfahren, die im nachfolgenden Abschnitt zu deren Einbeziehung erläutert sind.
1 Im weiteren Kapitel verwenden wir den Begriff Datenschutzexpertinnen und -experten stellvertretend für die verschiedenen Funktionen und Bezeichnungen für die Fachverantwortlichen im Bereich Datenschutz; dies schließt auch die Datenschutzbeauftragten ein.
Einbeziehung von Patientinnen und Patienten [S4-2] Verfahren zur Einbeziehung von Verbrauchern und Endnutzern in Bezug auf Auswirkungen [S4-3] Verfahren zur Verbesserung negativer Auswirkungen und Kanäle, über die Verbraucher und Endnutzer Bedenken äußern können
Betroffenenrechte
Alle Unternehmensbereiche und die Fresenius SE & Co. KGaA verpflichten sich, die Rechte von Betroffenen zu wahren, indem sie sie angemessen über ihre Rechte informieren. Außerdem sind Prozesse und Anwendungen etabliert, die gewährleisten sollen, dass Datenschutzanfragen ausreichend und fristgerecht beantwortet werden. Fresenius informiert Betroffene – unabhängig davon, ob Beschäftigte oder Externe – mit Datenschutzhinweisen über die Verarbeitung, z. B. die Erhebung und Speicherung, ihrer Daten. Zudem teilen wir den Mitarbeiterinnen und Mitarbeitern über interne Kommunikationskanäle alle Anpassungen der Datenschutzhinweise mit, die sie betreffen.
Wir stellen Betroffenen Informationen in präziser, transparenter, verständlicher und leicht zugänglicher Form zur Verfügung, damit sie genau nachvollziehen können, welche personenbezogenen Daten wir von ihnen verarbeiten. Anfragen können im Konzern zentral, auf Ebene der Unternehmensbereiche oder auf beiden Ebenen bzw. auch lokal in der jeweiligen Landessprache bearbeitet und beantwortet werden. Unsere technischen und organisatorischen Maßnahmen, inklusive der Implementierung von entsprechenden Anwendungen, dienen der Wahrung der Betroffenenrechte gemäß der EU-DSGVO.
Ziel unserer Maßnahmen ist es, Betroffene dabei zu unterstützen, ihr Recht auf Auskunft, Berichtigung, Einschränkung, Widerspruch, Übertragbarkeit und Löschung ihrer personenbezogenen Daten zeitgerecht wahrnehmen zu können. Wir kommen solchen Betroffenenanfragen bzw. -rechten unter Einhaltung der gesetzlichen Vorgaben nach.
Als Grundlage unserer Entscheidungen und Aktivitäten im Bereich Datenschutz arbeiten wir regelmäßig mit Fachleuten auf diesem Gebiet zusammen, die die Interessen von Stakeholdern wie Patientinnen und Patienten sowie Endnutzern unserer Produkte vertreten. Diese Gespräche sowie eine mögliche operative Umsetzung liegen in Verantwortung der jeweils zuständigen Datenschutzorganisationen. Regelmäßige Abstimmungstreffen von Expertinnen und Experten aus dem Datenschutz und anderen Abteilungen wie der IT stellen in speziellen Ausschüssen sicher, dass IT-Sicherheits-, Informationssicherheits- und Datenschutzthemen besprochen werden. Die Ergebnisse dieser Gespräche können zur Umsetzung konkreter Maßnahmen führen oder zu strategischen Entscheidungen, die dem jeweiligen Management zum Beschluss vorgelegt werden.
Zudem tauschen sich die Datenschutzexpertinnen und -experten regelmäßig zu Best Practices und Initiativen aus, u. a. im Rahmen von konzernweiten Koordinationstreffen und Konferenzen, Jours fixes und weiteren Formaten.
Grundsätzlich werden alle personenbezogenen Daten sowie Unternehmensdaten geschützt. Insbesondere die Gesundheitsdaten unserer Patientinnen und Patienten unterliegen strengen Datenschutzvorgaben. Dazu gehört auch die Umsetzung geeigneter technischer und organisatorischer Maßnahmen zum Schutz der personenbezogenen Daten.
Meldesysteme
Externe sowie alle Mitarbeiterinnen und Mitarbeiter des Konzerns können Bedenken hinsichtlich Datenschutz über die bestehenden Hinweisgebersysteme, die von einem Drittanbieter bereitgestellt werden, oder eigens dafür eingerichtete E-Mail-Adressen melden. Auf der Website steht ebenfalls ein entsprechendes Kontaktformular zur Verfügung. Über unsere Compliance-Organisation stellen wir Informationen zu unseren Hinweisgebersystemen bereit. Auch Datenschutzverstöße können über dieses System gemeldet werden. Die Datenschutzinformationen enthalten die Kontaktdaten der Datenschutzexpertinnen und -experten sowie die Adressen der allgemeinen Funktionspostfächer, die Nachrichten direkt an die jeweilige Datenschutzorganisation weiterleiten.
Jeden Hinweis auf mögliche Verstöße gegen datenschutzrechtliche Vorschriften nehmen wir zum Anlass, den gemeldeten Sachverhalt schnellstmöglich aufzuklären, zu evaluieren, unsere Unternehmensprozesse bei Bedarf zu hinterfragen und gegebenenfalls anzupassen. Wenn erforderlich, melden wir Datenschutzverstöße den zuständigen Behörden und informieren Betroffene unverzüglich und im Einklang mit den gesetzlichen Vorgaben. Die Datenschutzorganisationen führen eigene Prüfungen und Dokumentationen von möglichen Verstößen durch.
Wie in den jeweiligen Richtlinien beschrieben, werden eingehende Meldungen zum Schutz der meldenden Personen vertraulich behandelt. Über Anzahl, Art und Bearbeitungsstand von Datenschutzvorkommnissen und Betroffenenanfragen fertigen die Datenschutzexpertinnen und -experten Berichte an, die gemäß der erläuterten Organisationsstruktur kommuniziert werden. Sofern es unmittelbare negative Auswirkungen auf Verbraucher oder Endnutzer gab, wird die Wirksamkeit von Abhilfemaßnahmen überprüft. Die Verantwortung für diese Prüfung liegt in der zuständigen Datenschutzorganisation. Ausführliche Informationen über unsere Berichterstattungssysteme, ihre Vertraulichkeit und die Ergebnisse des Berichtsjahres finden sich auch im Themenstandard G1 Unternehmensführung.
Im Jahr 2024 fanden auf Segment- oder lokaler Ebene die Audits und Risikobewertungen unserer Berichterstattungssysteme bzw. der Einhaltung von Datenschutzbestimmungen und Kontrolle der entsprechenden Risiken statt. Falls erforderlich, werden festgestellte Fälle der Nichteinhaltung von Datenschutzvorschriften auf der jeweiligen Ebene behoben. Die Wirksamkeit der identifizierten risikomindernden Maßnahmen wird evaluiert und mit den Fachfunktionen und betroffenen Abteilungen abgestimmt. Maßnahmen zur Vorbeugung gleicher oder ähnlicher Fälle werden identifiziert und sowohl technisch als auch organisatorisch umgesetzt, z. B. durch Verschlüsselung oder Arbeitsanweisungen. Die Ergebnisse der Audits werden von den Datenschutzorganisationen auch zum Anlass genommen, bei Bedarf risikomindernde Maßnahmen zu ergreifen.
Unsere Maßnahmen [S4-4] Ergreifung von Maßnahmen in Bezug auf wesentliche Auswirkungen auf Verbraucher und Endnutzer und Ansätze zum Management wesentlicher Risiken und zur Nutzung wesentlicher Chancen im Zusammenhang mit Verbrauchern und Endnutzern sowie die Wirksamkeit dieser Maßnahmen und Ansätze
Im Fall von Datenschutzverletzungen können je nach Schwere der festgestellten Verletzung zusätzliche Schutzmaßnahmen oder die Anpassung von Vertragsklauseln erforderlich sein, um den Schutz der Rechte und Freiheiten zu verbessern. Da im Jahr 2024 keine wesentlichen Datenschutzvorfälle gemeldet wurden, hat der Fresenius keine zentralen Maßnahmen im Zusammenhang mit den identifizierten Auswirkungen, Risiken und Chancen ergriffen.
Wir ergreifen konkrete Maßnahmen, wenn Schwachstellen identifiziert wurden, es neue Geschäftsbereiche gibt oder sich die Regulatorik ändert. Die im Berichtsjahr durchgeführten Projekte, mit denen wir die identifizierten wesentlichen Auswirkungen, Risiken oder Chancen adressieren, unterstützen unsere Mitarbeiterinnen und Mitarbeiter dabei, angemessen zu reagieren, wenn Fehlverhalten, oder Nichteinhaltung unserer internen Bestimmungen oder externer Vorschriften festgestellt werden. So haben wir z. B. die Gestaltung des KI-Governance-Prozesses proaktiv unterstützt und eine datenschutzspezifische Risikobewertung für KI-Anwendungen implementiert, die insbesondere dazu dient, im Rahmen der gesetzlichen Vorgaben zu agieren.
Die Wirksamkeit unserer Maßnahmen bewerten wir anhand der eingegangenen Meldungen und Datenschutzvorfälle sowie Erkenntnisse von Audits und Risikobewertungen, wie im Abschnitt S4-3 Einbeziehungen von Patientinnen und Patienten beschrieben. Unser Anspruch ist, dass die getroffenen Maßnahmen dazu dienen, einen positiven Beitrag zum Datenschutz von Verbrauchern und / oder Endnutzern zu bewirken.
Die Verbesserungen oder abgeleiteten Maßnahmen im Bereich Datenschutz basieren auf den internen operativen Beratungsgremien sowie dem regelmäßigen Austausch der Datenschutzexpertinnen und -experten im Konzern.
In unserer Geschäftstätigkeit setzen wir zunehmend KI ein. Dabei ist die Einhaltung des Datenschutzes von Beginn an eine Priorität. Weitere Informationen finden Sie im unternehmensspezifischen Standard Digitale Transformation im Abschnitt Digitalisierungsethik.
Unsere Ziele und Ambitionen [S4-5] Ziele im Zusammenhang mit der Bewältigung wesentlicher negativer Auswirkungen, der Förderung positiver Auswirkungen und dem Umgang mit wesentlichen Risiken und Chancen
Es ist unser Anspruch, Datenschutzverstöße zu vermeiden. Zur Erreichung dieses Ziels messen wir unsere Vorfälle und arbeiten an der weiteren Verfeinerung von Metriken und KPIs, um Datenschutztrends gezielt zu erkennen.
Durch die beschriebenen Aktivitäten im Bereich des Datenschutzes wollen wir unsere Mitarbeiterinnen und Mitarbeiter für einen datenschutzkonformen Umgang mit personenbezogenen Daten sensibilisieren. Wir streben an, sie mit umfangreichem Wissen und sorgfältigen Handlungsweisen zu befähigen, Datenschutzverletzungen zu vermeiden. Darüber hinaus wollen wir sie in die Lage versetzen, Datenschutzverstöße frühzeitig zu erkennen und unverzüglich erforderliche Maßnahmen zu ergreifen.
Die Wirksamkeit unserer Konzepte messen wir anhand der Anzahl auftretender Datenschutzverstöße sowie ggf. das erneute Auftreten eines ähnlichen Vorfalls. Sofern diese vorkommen, wird gemäß einem definierten Evaluationsprozess eine Bewertung vorgenommen. Diese kann dazu führen, dass Maßnahmen zur zukünftigen Vermeidung getroffen, interne Vorgaben angepasst oder zusätzliche Schulungen initiiert werden. Im Rahmen unserer Risikobewertungs- und Überwachungsaktivitäten überwachen wir kontinuierlich die Einhaltung der Datenschutzgesetze und -vorschriften.
Kennzahlen S4-Unternehmensspezifisch
Im Berichtsjahr haben wir insgesamt 21 Berichte mit Datenschutzbezug im Compliance-Case-Management dokumentiert. Über die Hinweisgebersysteme wurde im Berichtsjahr keine Datenschutzverletzung gemeldet, die sich unmittelbar auf die Finanzlage oder Reputation des Unternehmens ausgewirkt hat. Das System, die Berichtskategorien sowie die Kennzahlen werden im Themenstandard G1 Unternehmensführung erläutert.