Datenschutz Online Monitoring bei der Deutschen Bahn Ein Erfahrungsbericht DB Mobility Logistics AG Konzerndatenschutz Berlin, 01.12.2015
Günther Kalbskopf guenther.kalbskopf@deutschebahn.com seit 2010 im Konzern Deutsche Bahn als 2010 Auditor im Konzerndatenschutz (Schwerpunkt Beschäftigtendatenschutz, Systemaudits) Betrieblicher Datenschutzbeauftragter (udis.cert), Datenschutzauditor (DAS-TÜV), IT-Grundschutzexperte 2
Torsten Job Dipl. Wirtsch. Inf. (FH) torsten.job@deutschebahn.com seit 2001 im Konzern Deutsche Bahn in verschiedenen Softwareentwicklungsprojekten seit 2010 Auditor Konzerndatenschutz (System- und Projektaudits, neue Technologien) Betrieblicher Datenschutzbeauftragter (GDD.cert), Datenschutzauditor (DAS-TÜV), IT-Grundschutzexperte 3
Zahlen und Fakten 4
DOM Die Aufgabe Ermittlung des konzernübergreifenden Datenschutzniveaus Zeitlich und inhaltlich einheitliche Bestandsaufnahme Werkzeug zur Selbstauditierung Aber: Keine Abfrage individuellen Wissens Positiver Nebeneffekt: Wahrnehmung und Sensibilisierung 5
DOM Die Grundlagen Ergebnisaufbereitung Kommunikationsstrategie Konzeptentwicklung Erzeugung eines Verteilers email-wellen Erstellung des Fragebogens und technische Umsetzung Abstimmung und Einbeziehung der Interessenvertretungen 6
DOM Die Grundlagen Konzeptentwicklung Erzeugung eines Verteilers Beschaffung Führungskräfteverzeichnis Ergebnisaufbereitung Abbilden der Hierarchien (Berichtsstruktur) Aufbau Verteilerdatenbank Kommunikationsstrategie Pflege durch Datenschutzorganisation Einspielung in Produktion Erstellung des Fragebogens und technische Umsetzung Abstimmung und Einbeziehung der Interessenvertretungen email-wellen 7
DOM Die Grundlagen Ergebnisaufbereitung Kommunikationsstrategie Konzeptentwicklung Erzeugung eines Verteilers email-wellen Erstellung des Fragebogens und technische Umsetzung Abstimmung und Einbeziehung der Interessenvertretungen 8
DOM Die Grundlagen Ergebnisaufbereitung Kommunikationsstrategie Konzeptentwicklung Erzeugung eines Verteilers email-wellen Erstellung des Fragebogens und technische Umsetzung Abstimmung und Einbeziehung der Interessenvertretungen 9
DOM Die Grundlagen Ergebnisaufbereitung Kommunikationsstrategie Konzeptentwicklung Erzeugung eines Verteilers email-wellen Erstellung des Fragebogens und technische Umsetzung Abstimmung und Einbeziehung der Interessenvertretungen 10
DOM Die Rahmenbedingungen Erhebungsumfang und Zielgruppe alle Führungskräfte Freiwilligkeit Anonymität Kontinuität (alle zwei Jahre) Bearbeitung des Fragebogens Zugangs-Link per email Verschlüsselung der Übertragung auf mobilen Endgeräten nutzbar 11
DOM Das Themenspektrum 10. Datenschutz im Konzern 9.Nutzung sozialer Medien 1. Allgemeines 1 0,9 0,8 0,7 0,6 0,5 0,4 0,3 0,2 0,1 0 2. Organisatorischer Datenschutz 3. Umgang mit Personaldaten 8. Auftragsdatenverarbei tung 4. Datenerhebung und -nutzung 7. Betreiben eigener Verfahren 6. Datensicherheit im Netzwerk 5. Umgang mit mobilen Endgeräten 12
DOM Die Umsetzung verschiedene Antwortoptionen (Radiobutton, Check-Box, Freitext) Info-Fenster mit zusätzlichen Erläuterungen 13
DOM 2015 Der Verlauf 7,0% 6,0% 5,0% 4,0% 3,0% 2,0% 1,0% 0,0% 23.09.2015 24.09.2015 25.09.2015 26.09.2015 27.09.2015 28.09.2015 29.09.2015 30.09.2015 01.10.2015 02.10.2015 03.10.2015 04.10.2015 05.10.2015 06.10.2015 07.10.2015 08.10.2015 09.10.2015 10.10.2015 11.10.2015 12.10.2015 13.10.2015 14.10.2015 15.10.2015 16.10.2015 17.10.2015 18.10.2015 19.10.2015 20.10.2015 21.10.2015 22.10.2015 23.10.2015 24.10.2015 25.10.2015 26.10.2015 27.10.2015 28.10.2015 29.10.2015 30.10.2015 DOM 2015: Teilnahmequoten isoliert Zugangslink Erinnerung Verlängerung Ankündigung Abschluss Abschluss 14
DOM Die Selbstauditierung Nach Abschluss des Fragebogens kann das Ergebnis mit Kennzeichnung der falschen Antworten vom Teilnehmer ausgedruckt werden. Eine Interpretationshilfe unterstützt bei der Einordnung des individuellen Ergebnisses. Künftig sind Verlinkungen in die entsprechenden Module des E- Learning Angebotes oder auf Beiträge im Intranet- Datenschutzportal der DB geplant. 15
DOM Die Auswertung Unternehmen Kumulierung von unten nach oben Bereich 1 Bereich 2 Erste Auswertungsebene Teamleiter mit der OE- Leitung OE-Leitung 1a OE-Leitung 1b OE-Leitung 1c Dann nach Bereichen und Konzernunternehmen TL1 TL2 TL1 TL2 Höchste Ebene ist der Konzern TLn TLn Aggregation immer auf Rohdatenbasis Aggregation 1 Aggregation 1 Aggregation 2 Aggregation 3 16
DOM Das Ergebnis Ergebnisbereitstellung zusammenfassender Bericht der OE mit dem Konzernergebnis als Referenzgröße grafische Darstellung der Ergebnisse nach Themenblöcken auf den einzelnen Auswertungsebenen jeweils im Vergleich zum Konzern DDO erhält Diagramme und detailliertere Ergebnisse für den eigenen Bereich vorab zur Vorbereitung 17
DOM Das Ergebnis 18
DOM 2015 Die Entwicklung 2012 2013 2015 Konzernkennziffer 68 71 81 Teilnehmer (absolut) 3.567 3.581 3.697 Teilnehmerquote 52% 51% 49% 19
DOM 2015: Die Interpretation 20
DOM Die Chancen und Grenzen Die Chancen Unternehmensweite Abdeckung bei begrenztem Ressourceneinsatz Erkennen und Verfolgen von Entwicklungen und Trends Gut vermittelbare Status-Informationen für den Konzern Aufmerksamkeit für die Anliegen des Datenschutzes Individuelle Standortbestimmung je Organisationseinheit Maßnahmenableitung aus Ergebnissen Die Grenzen Aussagekraft bei wenigen Teilnehmern Nicht alle Führungskräfte nehmen teil Kein Ersatz für Audits oder Vor-Ort-Kontrollen Auch ein ansprechendes OE-Ergebnis ist kein Zertifikat guter Datenschutz 21
DOM Der Ausblick Verknüpfung mit den E-Learning Angeboten Instrument zur Selbstauditierung Internationalisierung Erstellung einer Datenschutz-App 22