Weitere Berichte

Datenschutz und Cybersicherheit

Aufgabe und Ziel unserer konzernweiten Datenschutzeinheit (Group Data Privacy) ist es, Risiken zu senken und einen globalen Rahmen für datenschutzkonforme Geschäftstätigkeiten zu schaffen. Die Einheit sorgt dafür, dass geschultes Personal Daten richtig und mit klaren Verantwortlichkeiten bearbeitet. Zudem soll sie unser Unternehmen durch eine verstärkte Datenschutz-Risikoabsicherung und die Einhaltung aller relevanten Datenschutzgesetze weltweit schützen. Unsere Datenschutzeinheit unterstützt außerdem die Entwicklung digitaler Geschäftsmodelle.

Für unser Geschäft ist es entscheidend, dass wir unsere Informationssysteme, deren Inhalte und unsere Kommunikationskanäle vor kriminellen oder unerlaubten Aktivitäten schützen. Dazu gehören E-Crime und Cyberangriffe – etwa unberechtigte Zugriffe, Informationsverlust und Missbrauch von Daten oder Systemen. Bis Mitte 2023 wollen wir ein weltweites, einheitliches Datenschutz-Managementsystem einführen.

Rollen und Verantwortlichkeiten

Unsere unabhängige, konzernweite Datenschutzeinheit ist organisatorisch in die Funktion Group Compliance and Data Privacy integriert. Daneben gibt es einen Konzerndatenschutzbeauftragten und ein konzernweites Netz von lokalen Datenschutzbeauftragten. Diese und ihre jeweiligen Teams handeln gemäß den externen Regularien unabhängig und ohne interne oder externe Weisungsgebundenheit. Die konzernweite Datenschutzeinheit erstellt regelmäßige Datenschutz-Updates sowie einen umfassenden Datenschutzbericht, der regelmäßig erscheint. Diesen Bericht erhalten die Geschäftsleitung und der Aufsichtsrat.

Die Funktion Cybersicherheit gehört dem Group Corporate Security Office an. Zudem verfügen wir über einen Group Chief Information Security Officer und ein Netzwerk von Information Security Officers innerhalb der Unternehmensbereiche; diese wiederum werden von spezialisierten Netzwerken unterstützt. Die einzelnen Bereiche sind Risikoverantwortliche und fungieren als erste Verteidigungslinie für die Cybersicherheit. Als zweite Verteidigungslinie dient unsere globale Funktion Cyber Security; sie ist auch für die Steuerung und Überwachung von Cybersicherheitsrisiken zuständig. Interne Audits stellen unsere dritte Verteidigungslinie dar.

Neue Funktion Cybersicherheit

Anfang 2022 schufen wir die Funktion Cyber Security. Mit ihr wollen wir mehr Vertrauen schaffen und die Widerstandsfähigkeit gegen Cyberangriffe und Datenschutzverletzungen stärken.

Unser Cyber-Security-Team legt Richtlinien und Standards für die Cybersicherheit (einschließlich Datensicherheit) fest und übernimmt gleichzeitig eine Kontrollfunktion. Außerdem stellt es Tools und Systeme zur Verfügung, mit denen wir unser gesamtes Cybersicherheitsrisiko verwalten und überwachen können. Daneben ist das Team für die Rund-um-die-Uhr-Überwachung der Cybersicherheit und die Reaktion auf konzernweite Zwischenfälle zuständig; auch schult es das Personal im gesamten Unternehmen hinsichtlich eines angemessenen Datenschutzes.

Wozu wir uns verpflichten: Richtlinien und Standards

Unsere Richtlinie zum Datenschutz sowie die dazugehörigen Standards und Verfahren definieren unsere Grundsätze für die Verarbeitung personenbezogener Daten. Dieser Ansatz zielt darauf ab, ein hohes Maß an Datenschutz für unsere Mitarbeitenden, Vertragspartner, Kunden und Lieferanten sowie für Patienten und Teilnehmer an klinischen Studien zu erreichen. Unser konzernweites Datenschutzverständnis basiert auf der europäischen Gesetzgebung, vor allem auf der Datenschutz-Grundverordnung der Europäischen Union (EU-DSGVO). Wir ergreifen auch Maßnahmen, um lokale Datenschutzanforderungen zu erfüllen, wenn diese strenger sind als unsere konzernweiten Standards.

Um Cyber- und Informationssicherheit zu gewährleisten, verfügen wir über organisatorische, prozessorientierte und technische Maßnahmen, die auf anerkannten internationalen Standards aufbauen. Zudem wenden wir harmonisierte elektronische und physische Sicherheitskontrollen an – beispielsweise bei der Zugangskontrolle oder Sicherheitsüberwachung. Damit wollen wir unsere Kompetenz im Umgang mit sensiblen Daten, etwa Betriebsgeheimnissen, stärken.

Schulungen und IT-Tools

Im Einklang mit der EU-DSGVO und unserem weltweiten Ansatz für Datenschutz führen wir regelmäßige E-Learning-Schulungen in zehn Sprachen durch. Im Jahr 2022 lag die Abschlussquote unserer E-Learning-Kurse bei 98 %.

Wir verfügen über ein zentrales IT-Tool, das alle unsere Datenschutzprozesse bündelt. Zu diesen Prozessen gehören beispielsweise die Erfassung von Datenverarbeitungstätigkeiten oder Meldungen möglicher Datenschutzverstöße. 2022 führten wir ein neues Tool für den Datenschutz ein. Im Berichtsjahr verzeichneten wir keine geahndeten Beschwerden oder Vorfälle, die sich auf die Verletzung der Privatsphäre unseres Kundenkreises, auf Datenlecks oder -diebstahl beziehungsweise auf den Verlust von Kundendaten beziehen. In drei von 57 Fällen meldeten wir geringfügige Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde. Sie wurden nicht geahndet.

Datenschutz

 

 

2019

 

2020

 

2021

 

2022 Merck-Gruppe

 

2022 Davon: Merck KGaA

Gemeldete Fälle von Missachtung der Richtlinien zum Datenschutz

 

1

 

3

 

3

 

4

 

1

Schutz von Kundendaten1

 

 

 

 

 

 

 

 

 

 

Gesamtzahl der berechtigten Beschwerden von externen Parteien

 

0

 

0

 

0

 

0

 

0

Gesamtzahl der Beschwerden von Zulassungsbehörden

 

1

 

0

 

0

 

0

 

0

Gesamtzahl der identifizierten Datenlecks, Diebstähle oder Verluste von Kundendaten

 

1

 

0

 

0

 

0

 

0

1

Die Daten beziehen sich nur auf die als wesentlich eingestuften Vorfälle.

Diese Seite teilen: