Der rechtmäßige Umgang mit Informationen ist für ein führendes innovatives, wissenschafts- und technologieorientiertes Unternehmen entscheidend. Personenbezogene Daten müssen so verarbeitet werden, dass die Rechte jeder einzelnen Person gewahrt bleiben. Wir wollen die Rechte aller Menschen schützen, deren Daten wir erheben. Dazu gehören unter anderem unsere Mitarbeitenden, alle Patienten- und Kundengruppen sowie medizinische Fachkräfte. Auch das Thema Cybersicherheit nehmen wir sehr ernst. Besonders wichtig ist es, unser Unternehmen vor Cyberkriminalität zu schützen – und somit unsere vertraulichen Informationen vor allen damit verbundenen internen und externen Risiken.
Unser Ansatz für Datenschutz
Aufgabe und Ziel unserer konzernweiten Datenschutzeinheit (Group Data Privacy) ist es, Risiken zu minimieren und einen globalen Rahmen für datenschutzkonforme Geschäftstätigkeiten zu schaffen. Die Einheit sorgt dafür, dass geschultes Personal Daten richtig und mit klaren Verantwortlichkeiten bearbeitet. Zudem soll sie unser Unternehmen durch eine verstärkte Datenschutz-Risikoabsicherung und die Einhaltung aller relevanten Datenschutzgesetze weltweit schützen. Unsere Datenschutzeinheit unterstützt außerdem die Entwicklung digitaler Geschäftsmodelle.
Unser Datenschutz-Managementsystem
Mitte 2023 schlossen wir die Einrichtung der Kernbestandteile unseres weltweiten, einheitlichen Datenschutz-Managementsystems (DSMS) ab. Unser DSMS wendet ähnliche Elemente an wie das Compliance-Portfolio, angepasst an die Erfordernisse des Datenschutzes. Dazu gehören Richtlinien und Verfahren, Risikobewertung und Dokumentation, Schulungen und Awareness, Programme und Tools, Betroffenenrechte, Monitoring und Berichterstattung, Vorfallsmanagement und kontinuierliche Verbesserung.
Unser Ansatz für Cybersicherheit
Für unser Geschäft ist es entscheidend, dass wir unsere Informationssysteme, deren Inhalte und unsere Kommunikationskanäle vor kriminellen oder unerlaubten Aktivitäten schützen. Dazu gehören E-Crime und Cyberangriffe – etwa unberechtigte Zugriffe, Informationsverlust und Missbrauch von Daten oder Systemen.
Im Rahmen unseres Projektmanagement-Prozesses werden alle einschlägigen Projekte einer Bewertung im Hinblick auf das Informationssicherheitsrisiko unterzogen. Zusätzlich durchlaufen auch bestehende Anwendungen, die als kritische Ressourcen oder Ressourcen mit hoher Wirkung eingestuft werden, diese Art von Risikobewertung. Die Ergebnisse werden von unserer Cyber-Security-Organisation anhand eines internen Risikoregisters zur Cybersicherheit überwacht. Werden entsprechende Risiken erkannt, findet eine Abstimmung mit den Verantwortlichen der jeweiligen Ressourcen über Strategien zur Risikobehandlung statt, die bis zur vollständigen Umsetzung nachverfolgt werden. Identifizierte Cybersicherheitsrisiken werden zweimal jährlich im Rahmen der Berichterstattung zu Unternehmensrisiken in zusammengefasster Form an die Geschäftsleitung gemeldet.
Rollen und Verantwortlichkeiten
Unsere unabhängige, konzernweite Datenschutzeinheit ist organisatorisch in die Funktion Group Compliance and Data Privacy integriert. Daneben gibt es einen Konzerndatenschutzbeauftragten und ein konzernweites Netz von lokalen Datenschutzbeauftragten. Diese und ihre jeweiligen Teams handeln gemäß den externen Regularien unabhängig und ohne interne oder externe Weisungsgebundenheit. Die konzernweite Datenschutzeinheit erstellt regelmäßige Datenschutz-Updates sowie einen umfassenden Datenschutzbericht. Diesen Bericht erhalten die Geschäftsleitung und der Aufsichtsrat.
Die Funktion Cybersicherheit gehört dem Group Corporate Security Office an. Wir verfügen darüber hinaus über einen Group Chief Information Security Officer und ein Netzwerk aus Information Security Officers in den Unternehmensbereichen und Gruppenfunktionen. Diese sind Risikoverantwortliche, fungieren als erste Verteidigungslinie für Cybersicherheit und werden von spezialisierten Netzwerken unterstützt. Als zweite Verteidigungslinie dient unsere globale Funktion Cyber-Security; sie ist für die Steuerung und Überwachung von Cybersicherheitsrisiken zuständig. Unsere dritte Verteidigungslinie stellen interne Audits dar.
Unsere Cyber-Security-Organisation stärkt unsere Resilienz gegenüber Cyberangriffen und Datenverstößen. Sie legt Richtlinien und Standards für die Cybersicherheit (einschließlich Datensicherheit) fest und übernimmt gleichzeitig eine Kontrollfunktion. Außerdem stellt sie Tools und Systeme zur Verfügung, mit denen wir unser gesamtes Cybersicherheitsrisiko verwalten und überwachen. Daneben ist sie konzernweit für die Überwachung der Cybersicherheit und die Reaktion auf Zwischenfälle zuständig. Zudem schulen wir in diesem Rahmen das Personal im gesamten Unternehmen im Hinblick auf angemessenen Datenschutz.
Wozu wir uns verpflichten: Richtlinien und Standards
Regelwerk für den Datenschutz
Unsere Richtlinie zum Datenschutz sowie die dazugehörigen Standards und Verfahren definieren unsere Grundsätze für die Verarbeitung personenbezogener Daten. So erreichen wir ein hohes Datenschutzniveau für unser Personal, unsere Vertragspartner, Geschäftskunden und Lieferanten sowie für Patientinnen und Patienten und Teilnehmende klinischer Studien. Unser konzernweites Datenschutzverständnis basiert auf der europäischen Gesetzgebung, vor allem auf der Datenschutz-Grundverordnung der Europäischen Union (EU-DSGVO). Wir ergreifen auch Maßnahmen, um lokale Datenschutzanforderungen zu erfüllen, wenn diese strenger sind als unsere konzernweiten Standards.
Regelwerk für Cybersicherheit
Unser konzernweites Rahmenwerk für Cyber- und Informationssicherheit umfasst organisatorische, prozessorientierte und technische Maßnahmen, die auf anerkannten internationalen Standards aufbauen. Zudem wenden wir harmonisierte elektronische und physische Sicherheitskontrollen an – beispielsweise bei der Zugangskontrolle oder Sicherheitsüberwachung. Damit wollen wir unsere Kompetenz im sicheren Umgang mit sensiblen Daten, etwa Betriebsgeheimnissen, stärken.
Datenschutzschulungen und IT-Tools zur Dokumentation
Im Einklang mit der EU-DSGVO und unserem weltweiten Ansatz für Datenschutz führen wir regelmäßige E-Learning-Schulungen in zehn Sprachen durch. Im Jahr 2023 lag die Abschlussquote unserer E-Learning-Kurse bei 99 %. Darüber hinaus bieten die lokalen Datenschutzbeauftragten auf Anfrage Trainings für bestimmte Zielgruppen an; so helfen sie, unseren konzernweiten Schulungsplan umzusetzen. 2023 nutzten wir außerdem den europäischen Datenschutztag, um über unsere internen Kommunikationskanäle alle Mitarbeitenden noch einmal verstärkt für die Bedeutung von Datenschutz zu sensibilisieren.
Wir verfügen über ein zentrales IT-Tool, das unsere Kerndatenschutzprozesse bündelt. Zu diesen Prozessen gehören beispielsweise die Erfassung von Datenverarbeitungstätigkeiten oder Meldungen möglicher Datenschutzverstöße. Im Berichtsjahr meldeten wir in sieben Fällen Verletzungen des Schutzes personenbezogener Daten an die zuständige lokale Aufsichtsbehörde. Ein Fall davon bezog sich auf identifizierte Datenlecks, Diebstähle oder Verluste von Kundendaten. Keiner dieser Fälle wurde jedoch geahndet.
Bewusstsein für Cybersicherheit
Die Cyber-Security-Organisation führt – zusätzlich zu den verpflichtenden E-Learning-Schulungen zum Thema IT-Sicherheit – mehrere Kampagnen durch, um interne und externe Mitarbeitende stärker für das Thema zu sensibilisieren. Dazu gehört etwa die Cyber-Hero-Kampagne: Hier zeigen mehrere Videos mit Alltagsbeispielen auf, wie Informationssicherheit effektiv umgesetzt wird. Darüber hinaus erhalten alle Beschäftigten monatliche Phishing-E-Mails, die ihnen auf interaktive Art und Weise helfen sollen, potenzielle Verstöße zu erkennen und zu melden.