Der rechtmäßige Umgang mit Informationen ist für ein führendes innovatives, wissenschafts- und technologieorientiertes Unternehmen entscheidend. Personenbezogene Daten müssen so verarbeitet werden, dass die Rechte jedes Einzelnen gewahrt werden. Wir wollen die Rechte aller Personen schützen, deren Daten wir erheben. Dazu gehören unter anderem unsere Mitarbeiter, Patienten, Kunden und medizinische Fachkräfte.
Unser Ansatz für Datenschutz
Aufgabe und Ziel unserer konzernweiten Datenschutzeinheit („Group Data Privacy“) ist es, Risiken zu senken und einen globalen Rahmen für datenschutzkonforme Geschäftstätigkeiten zu schaffen. Die Einheit sorgt dafür, dass geschulte Mitarbeiter Daten richtig und mit klaren Verantwortlichkeiten bearbeiten. Zudem soll sie unser Unternehmen durch eine verstärkte Datenschutz-Risikoabsicherung und die Einhaltung aller relevanten Datenschutzgesetze weltweit schützen. Unsere Datenschutzeinheit unterstützt außerdem die Entwicklung digitaler Geschäftsmodelle.
Rollen und Verantwortlichkeiten
Unsere konzernweite Datenschutzeinheit ist in unsere globale Funktion „Group Compliance and Data Privacy“ integriert. Außerdem gibt es unseren Konzerndatenschutzbeauftragten und ein konzernweites Netz von lokalen Datenschutzbeauftragten. Diese handeln unabhängig und in Übereinstimmung mit externen Vorschriften. Im Zuge unserer Compliance-Berichterstattung erstellt die konzernweite Datenschutzeinheit regelmäßige Datenschutz-Updates sowie einen regelmäßigen umfassenden Datenschutzbericht. Dieser Bericht ist Teil des umfassenden Compliance-Berichts, den die Geschäftsleitung und der Aufsichtsrat erhalten.
Unser Datenschutz-Managementsystem
Bis Ende 2022 wollen wir ein globales und einheitliches Datenschutz-Managementsystem (DSMS) einführen, das auf drei Säulen basiert: Datenschutzportfolio, Mitarbeiter und Kommunikation. Das Datenschutzportfolio besteht aus acht zentralen Elementen, die – im Einklang mit gesetzlichen Anforderungen und Branchenstandards – alle Bestandteile eines wirksamen DSMS abdecken. Im Jahr 2021 führten wir unter anderem eine überarbeitete Datenschutzrichtlinie und einen erneuerten Standard für den Umgang mit Datenschutzverletzungen ein und aktualisierten die E-Learning-Bedingungen.
Unser DSMS wendet ähnliche Elemente an wie das Compliance-Portfolio, angepasst an die Erfordernisse des Datenschutzes. Dazu gehören Richtlinien und Verfahren, Risikobewertung und Dokumentation, Schulungen und Awareness, Programme und Tools, Betroffenenrechte, Monitoring und Berichterstattung, Vorfallsmanagement und kontinuierliche Verbesserung.
IT-Sicherheit gewährleisten
Für unsere Geschäftstätigkeiten ist es entscheidend, dass wir unsere Informationssysteme und deren Daten sowie unsere Kommunikationskanäle gegen kriminelle Aktivitäten wie E-Crime und Cyber-Angriffe schützen. Hierzu zählen unter anderem unberechtigter Zugang, Informationsabfluss oder Missbrauch von Daten oder Systemen. Unsere Konzernfunktionen „Group Security“ und „IT Security“ stellen organisatorische, prozessorientierte und technische Maßnahmen zum Schutz der Informationssicherheit bereit, die auf anerkannten internationalen Standards basieren. Wir setzen auf harmonisierte elektronische und physische Sicherheitskontrollen – beispielsweise bei der Zugangskontrolle oder Sicherheitsüberwachung. Damit wollen wir unsere Kompetenz im Umgang mit sensiblen Daten, etwa Betriebsgeheimnissen, stärken.
Wozu wir uns verpflichten: Richtlinien und Standards
Unsere Richtlinie zum Datenschutz samt den dazugehörigen Standards und Verfahren definieren unsere Grundsätze für die Verarbeitung personenbezogener Daten. So erreichen wir ein hohes Datenschutzniveau für die Daten unserer Mitarbeiter, Vertragspartner, Kunden und Lieferanten – sowie für die Daten von Patienten und Teilnehmern an klinischen Studien. Unser konzernweites Datenschutzverständnis basiert auf der europäischen Gesetzgebung, vor allem auf der Datenschutz-Grundverordnung der Europäischen Union (EU-DSGVO). Zudem ergreifen wir Maßnahmen, um lokale Datenschutzvorschriften zu erfüllen, wenn diese strenger sind als unsere konzernweiten Standards.
Datenschutzschulungen
Im Einklang mit der EU-DSGVO und unserem weltweiten Ansatz für Datenschutz führen wir regelmäßige E-Learning-Schulungen in zehn Sprachen durch. Im Mai 2021 aktualisierten wir die Inhalte hierfür. Darüber hinaus bieten die lokalen Datenschutzbeauftragten auf Anfrage Trainings für bestimmte Zielgruppen an; so helfen sie, unseren konzernweiten Schulungsplan umzusetzen.
IT-Tools zur Dokumentation
Wir verfügen über ein zentrales IT-Tool, das alle unsere Datenschutzprozesse bündelt. Zu diesen Prozessen gehören beispielsweise die Erfassung von Datenverarbeitungstätigkeiten oder Meldungen möglicher Datenschutzverstöße. Im Jahr 2021 begannen wir ein neues, verbessertes Tool vorzubereiten, das 2022 an den Start gehen soll. Außerdem nutzen wir unser Intranet für die weitere Kommunikation: Dort beantworten wir unter anderem Fragen zum Datenschutz und stellen standardisierte Vorlagen bereit. Im Berichtsjahr verzeichneten wir keine geahndeten Beschwerden oder Vorfälle, die sich auf die Verletzung der Privatsphäre von Kunden, auf Datenlecks oder -diebstahl beziehungsweise auf den Verlust von Kundendaten beziehen. Drei Fälle einer geringfügigen Verletzung des Schutzes personenbezogener Daten meldeten wir der Aufsichtsbehörde. Sie wurden nicht geahndet.