Weitere Berichte

Datenschutz & Cybersicherheit

TAG übersicht

Ergebnisse für

Der rechtmäßige Umgang mit Informationen ist für ein führendes innovatives, wissenschafts- und technologieorientiertes Unternehmen entscheidend. Personenbezogene Daten müssen so verarbeitet werden, dass die Rechte jeder einzelnen Person gewahrt bleiben. Wir wollen die Rechte aller Menschen schützen, deren Daten wir erheben. Dazu gehören unter anderem unsere Mitarbeitenden, alle Patienten- und Kundengruppen sowie medizinische Fachkräfte. Auch das Thema Cybersicherheit nehmen wir sehr ernst. Besonders wichtig ist es, unser Unternehmen vor Cyberkriminalität zu schützen – und somit unsere vertraulichen Informationen vor allen damit verbundenen internen und externen Risiken.

Unser Ansatz für Datenschutz

Aufgabe und Ziel unserer konzernweiten Datenschutzeinheit (Group Data Privacy) ist es, Risiken zu senken und einen globalen Rahmen für datenschutzkonforme Geschäftstätigkeiten zu schaffen. Die Einheit sorgt dafür, dass geschultes Personal Daten richtig und mit klaren Verantwortlichkeiten bearbeitet. Zudem soll sie unser Unternehmen durch eine verstärkte Datenschutz-Risikoabsicherung und die Einhaltung aller relevanten Datenschutzgesetze weltweit schützen. Unsere Datenschutzeinheit unterstützt außerdem die Entwicklung digitaler Geschäftsmodelle.

Unser Ansatz für Cybersicherheit

Für unser Geschäft ist es entscheidend, dass wir unsere Informationssysteme, deren Inhalte und unsere Kommunikationskanäle vor kriminellen oder unerlaubten Aktivitäten schützen. Dazu gehören E-Crime und Cyberangriffe – etwa unberechtigte Zugriffe, Informationsverlust und Missbrauch von Daten oder Systemen.

Rollen und Verantwortlichkeiten

Unsere unabhängige, konzernweite Datenschutzeinheit ist organisatorisch in die Funktion Group Compliance and Data Privacy integriert. Daneben gibt es einen Konzerndatenschutzbeauftragten und ein konzernweites Netz von lokalen Datenschutzbeauftragten. Diese und ihre jeweiligen Teams handeln gemäß den externen Regularien unabhängig und ohne interne oder externe Weisungs­gebundenheit. Die konzernweite Datenschutzeinheit erstellt regelmäßige Datenschutz-Updates sowie einen umfassenden Datenschutzbericht, der regelmäßig erscheint. Diesen Bericht erhalten die Geschäftsleitung und der Aufsichtsrat.

Die Funktion Cybersicherheit gehört dem Group Corporate Security Office an. Zudem verfügen wir über einen Group Chief Information Security Officer und ein Netzwerk von Information Security Officers innerhalb der Unternehmensbereiche; diese wiederum werden von spezialisierten Netzwerken unterstützt. Die einzelnen Bereiche sind Risikoverantwortliche und fungieren als erste Verteidigungslinie für die Cybersicherheit. Als zweite Verteidigungslinie dient unsere globale Funktion Cyber Security; sie ist auch für die Steuerung und Überwachung von Cybersicherheits­risiken zuständig. Interne Audits stellen unsere dritte Verteidigungslinie dar.

Unser Datenschutz-Managementsystem

Bis Mitte 2023 wollen wir ein weltweites, einheitliches Datenschutz-Managementsystem (DSMS) einführen. Unser DSMS wendet ähnliche Elemente an wie das Compliance-Portfolio, angepasst an die Erfordernisse des Datenschutzes. Dazu gehören Richtlinien und Verfahren, Risikobewertung und Dokumentation, Schulungen und Awareness, Programme und Tools, Betroffenenrechte, Monitoring und Berichterstattung, Vorfallsmanagement und kontinuierliche Verbesserung.

Neue Funktion Cybersicherheit

Anfang 2022 schufen wir die Funktion Cyber Security. Mit ihr wollen wir mehr Vertrauen schaffen und die Widerstandsfähigkeit gegen Cyberangriffe und Datenschutzverletzungen stärken.

Unser Cyber-Security-Team legt Richtlinien und Standards für die Cybersicherheit (einschließlich Datensicherheit) fest und übernimmt gleichzeitig eine Kontrollfunktion. Außerdem stellt es Tools und Systeme zur Verfügung, mit denen wir unser gesamtes Cybersicherheitsrisiko verwalten und überwachen können. Daneben ist das Team für die Rund-um-die-Uhr-Überwachung der Cybersicherheit und die Reaktion auf konzernweite Zwischenfälle zuständig; auch schult es das Personal im gesamten Unternehmen hinsichtlich eines angemessenen Datenschutzes.

Wozu wir uns verpflichten: Richtlinien und Standards

Regelwerk für den Datenschutz

Unsere Richtlinie zum Datenschutz sowie die dazugehörigen Standards und Verfahren definieren unsere Grundsätze für die Verarbeitung personenbezogener Daten. So erreichen wir ein hohes Datenschutzniveau für die Daten unseres Personals, für die Informationen über Unternehmen, mit denen wir Verträge schließen, die bei uns einkaufen oder die uns beliefern sowie für Patientendaten und Informationen über Teilnehmende klinischer Studien. Unser konzernweites Datenschutzverständnis basiert auf der europäischen Gesetzgebung, vor allem auf der Datenschutz-Grundverordnung der Europäischen Union (EU-DSGVO). Wir ergreifen auch Maßnahmen, um lokale Datenschutzanforderungen zu erfüllen, wenn diese strenger sind als unsere konzernweiten Standards.

Regelwerk für die Cybersicherheit

Um Cyber- und Informationssicherheit zu gewährleisten, verfügen wir über organisatorische, prozessorientierte und technische Maßnahmen, die auf anerkannten internationalen Standards aufbauen. Zudem wenden wir harmonisierte elektronische und physische Sicherheits­kontrollen an – beispielsweise bei der Zugangskontrolle oder Sicherheitsüberwachung. Damit wollen wir unsere Kompetenz im Umgang mit sensiblen Daten, etwa Betriebsgeheimnissen, stärken.

Datenschutzschulungen

Im Einklang mit der EU-DSGVO und unserem weltweiten Ansatz für Datenschutz führen wir regelmäßige E-Learning-Schulungen in zehn Sprachen durch. Im Jahr 2022 lag die Abschlussquote unserer E-Learning-Kurse bei 98 %. Darüber hinaus bieten die lokalen Datenschutzbeauftragten auf Anfrage Trainings für bestimmte Zielgruppen an; so helfen sie, unseren konzernweiten Schulungsplan umzusetzen.

IT-Tools zur Dokumentation

Wir verfügen über ein zentrales IT-Tool, das alle unsere Datenschutzprozesse bündelt. Zu diesen Prozessen gehören beispielsweise die Erfassung von Datenverarbeitungstätigkeiten oder Meldungen möglicher Datenschutzverstöße. 2022 führten wir ein neues Tool für den Datenschutz ein. Außerdem nutzen wir unser Intranet für die weitere Kommunikation: Dort beantworten wir unter anderem Fragen zum Datenschutz und stellen standardisierte Vorlagen bereit. Im Berichtsjahr verzeichneten wir keine geahndeten Beschwerden oder Vorfälle, die sich auf die Verletzung der Privatsphäre unseres Kundenkreises, auf Datenlecks oder -diebstahl beziehungsweise auf den Verlust von Kundendaten beziehen. In drei von 57 Fällen meldeten wir geringfügige Verletzungen des Schutzes personen­bezogener Daten an die Aufsichtsbehörde. Sie wurden nicht geahndet.

Bewusstsein für Cybersicherheit

Die Funktion Cybersicherheit führt – zusätzlich zu den obligatorischen E-Learning-Schulungen zum Thema IT-Sicherheit – mehrere Kampagnen durch, um interne und externe Mitarbeitende stärker für das Thema zu sensibilisieren. Dazu gehört etwa die Cyber-Hero-Kampagne: Hier zeigen mehrere Videos mit Alltagsbeispielen auf, wie Informationssicherheit effektiv umgesetzt wird. Darüber hinaus erhalten alle Beschäftigten monatlich Phishing-E-Mails zu Übungszwecken. So lernen sie auf interaktive Art und Weise, wie sie potenzielle Verstöße erkennen und melden können.

Cyber-Angriff
Jeder absichtliche unbefugte Versuch, auf ein Informations- und Kommunikationstechnologie- oder Betriebstechnologiesystem zuzugreifen, um böswillige Zwecke wie Datendiebstahl oder -veränderung, Einschleusen von Schadsoftware oder das Einleiten weiterer Angriffe zu erreichen.
Cyber-Security-Risiko
Potenzieller Verlust oder Schaden infolge eines Cyberangriffs oder einer Datenschutzverletzung im Zusammenhang mit der technischen Infrastruktur, der Nutzung der Technologie.
Verletzung der Datensicherheit
Ein Sicherheitsvorfall, bei dem vertrauliche Informationen kopiert, übertragen, eingesehen, gestohlen oder von einer unbefugten Person eingesehen werden.

tags

Diese Seite teilen: