Aufgabe und Ziel unserer konzernweiten Datenschutzeinheit (Group Data Privacy) ist es, Risiken zu minimieren und einen globalen Rahmen für datenschutzkonforme Geschäftstätigkeiten zu schaffen. Die Einheit sorgt dafür, dass geschultes Personal Daten richtig und mit klaren Verantwortlichkeiten bearbeitet. Zudem soll sie unser Unternehmen durch eine verstärkte Datenschutz-Risikoabsicherung und die Einhaltung aller relevanten Datenschutzgesetze weltweit schützen. Unsere Datenschutzeinheit unterstützt außerdem die Entwicklung digitaler Geschäftsmodelle.
Für unser Geschäft ist es entscheidend, dass wir unsere Informationssysteme, deren Inhalte und unsere Kommunikationskanäle vor kriminellen oder unerlaubten Aktivitäten schützen. Dazu gehören E-Crime und Cyberangriffe – etwa unberechtigte Zugriffe, Informationsverlust und Missbrauch von Daten oder Systemen.
Rollen und Verantwortlichkeiten
Unsere unabhängige, konzernweite Datenschutzeinheit ist organisatorisch in die Funktion Group Compliance and Data Privacy integriert. Daneben gibt es einen Konzerndatenschutzbeauftragten und ein konzernweites Netz von lokalen Datenschutzbeauftragten. Diese und ihre jeweiligen Teams handeln gemäß den externen Regularien unabhängig und ohne interne oder externe Weisungsgebundenheit. Die konzernweite Datenschutzeinheit erstellt regelmäßige Datenschutz-Updates sowie einen umfassenden Datenschutzbericht, der regelmäßig erscheint. Diesen Bericht erhalten die Geschäftsleitung und der Aufsichtsrat.
Die Funktion Cybersicherheit gehört dem Group Corporate Security Office an. Wir verfügen darüber hinaus über einen Group Chief Information Security Officer und ein Netzwerk aus Information Security Officers in den Unternehmensbereichen und Konzernfunktionen. Diese sind Risikoverantwortliche, fungieren als erste Verteidigungslinie für Cybersicherheit und werden von spezialisierten Netzwerken unterstützt. Als zweite Verteidigungslinie dient unsere globale Funktion Cyber-Security; sie ist für die Steuerung und Überwachung von Cybersicherheitsrisiken zuständig. Unsere dritte Verteidigungslinie stellen interne Audits dar.
Unsere Cyber-Security-Organisation stärkt unsere Resilienz gegenüber Cyberangriffen und Datenverstößen. Sie legt Richtlinien und Standards für die Cybersicherheit (einschließlich Datensicherheit) fest und übernimmt gleichzeitig eine Kontrollfunktion. Außerdem stellt sie Tools und Systeme zur Verfügung, mit denen wir unser gesamtes Cybersicherheitsrisiko verwalten und überwachen. Daneben ist sie konzernweit für die Überwachung der Cybersicherheit und die Reaktion auf Zwischenfälle zuständig. Zudem schulen wir in diesem Rahmen das Personal im gesamten Unternehmen im Hinblick auf angemessenen Datenschutz.
Wozu wir uns verpflichten: Richtlinien und Standards
Unsere Richtlinie zum Datenschutz sowie die dazugehörigen Standards und Verfahren definieren unsere Grundsätze für die Verarbeitung personenbezogener Daten. So erreichen wir ein hohes Datenschutzniveau für unser Personal, unsere Vertragspartner, Geschäftskunden und Lieferanten sowie für Patientinnen und Patienten und Teilnehmende klinischer Studien. Unser konzernweites Datenschutzverständnis basiert auf der europäischen Gesetzgebung, vor allem auf der Datenschutz-Grundverordnung der Europäischen Union (EU-DSGVO). Wir ergreifen auch Maßnahmen, um lokale Datenschutzanforderungen zu erfüllen, wenn diese strenger sind als unsere konzernweiten Standards.
Unser konzernweites Rahmenwerk für Cyber- und Informationssicherheit umfasst organisatorische, prozessorientierte und technische Maßnahmen, die auf anerkannten internationalen Standards aufbauen. Zudem wenden wir harmonisierte elektronische und physische Sicherheitskontrollen an – beispielsweise bei der Zugangskontrolle oder Sicherheitsüberwachung. Damit wollen wir unsere Kompetenz im sicheren Umgang mit sensiblen Daten, etwa Betriebsgeheimnissen, stärken.
Schulungen und IT-Tools
Im Einklang mit der EU-DSGVO und unserem weltweiten Ansatz für Datenschutz führen wir regelmäßige E-Learning-Schulungen in zehn Sprachen durch. Im Jahr 2023 lag die Abschlussquote unserer E-Learning-Kurse bei 99 %.
Wir verfügen über ein zentrales IT-Tool, das unsere Kerndatenschutzprozesse bündelt. Zu diesen Prozessen gehören beispielsweise die Erfassung von Datenverarbeitungstätigkeiten oder Meldungen möglicher Datenschutzverstöße. Im Berichtsjahr meldeten wir in sieben Fällen Verletzungen des Schutzes personenbezogener Daten an die zuständige lokale Aufsichtsbehörde. Ein Fall davon bezog sich auf identifizierte Datenlecks, Diebstähle oder Verluste von Kundendaten. Keiner dieser Fälle wurde jedoch geahndet.
|
|
2020 |
|
2021 |
|
2022 |
|
2023 |
|
2023 Davon: |
||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
Gemeldete Fälle von Missachtung der Richtlinien zum Datenschutz |
|
3 |
|
3 |
|
4 |
|
7 |
|
0 |
||||
Schutz von Kundendaten1 |
|
|
|
|
|
|
|
|
|
|
||||
Gesamtzahl der berechtigten Beschwerden von externen Parteien |
|
0 |
|
0 |
|
0 |
|
0 |
|
0 |
||||
Gesamtzahl der Beschwerden von Zulassungsbehörden |
|
0 |
|
0 |
|
0 |
|
0 |
|
0 |
||||
Gesamtzahl der identifizierten Datenlecks, Diebstähle oder Verluste von Kundendaten |
|
0 |
|
0 |
|
0 |
|
1 |
|
0 |
||||
|
||||||||||||||