Datenschutz

Datenschutz ist Persönlichkeitsschutz

Mit zunehmender Digitalisierung erhöhen sich auch Umfang und Komplexität von Informationen und digitalen Spuren, die wir im Internet hinterlassen. Der Schutz persönlicher Daten und Fragen nach der Zulässigkeit der Datenverarbeitung gemäß der seit 2018 anzuwendenden Datenschutzgrundverordnung rücken immer stärker in den Fokus der Öffentlichkeit und jedes einzelnen Nutzers.

Unsere Kunden sind sensibilisiert für Gefahren wie Datenmissbrauch oder mangelnde Datensicherheit und berücksichtigen Datenschutzfaktoren bei ihrer Produktwahl. Dies zeigt sich auch in den zahlreichen Nachfragen der Kunden zum Thema Datenschutz (2020: 1.872; 2019: 1.686⁽¹⁾; 2018: 35.445). Es ist unser Anspruch, den Kunden einen selbstbestimmten Umgang mit ihren Daten zu ermöglichen, daher gehört der Schutz personenbezogener Daten zu unserem Selbstverständnis und ist gleichzeitig Grundvoraussetzung für unsere Geschäftstätigkeit. Folglich entsprechen unsere Produkte und Services den hohen europäischen und deutschen Datenschutzstandards.

(1) Der starke Rückgang ist auf die Veränderung der Abfrage zurückzuführen. Seit 2019 werden die bereinigten Anfragen der Kunden zum Thema Datenschutz erfasst und nicht sämtliche Ein- und Ausgänge der Anfragen der Kunden.

Datenschutzgrundverordnung (DSGVO)

Mit der seit Mai 2018 anzuwendenden DSGVO der EU und dem dahingehend überarbeiteten Bundesdatenschutzgesetz (BDSG) gelten für Unternehmen strengere Regeln in Bezug auf personenbezogene Daten und deren Verarbeitung.

Die Fortführung und Konsolidierung von Maßnahmen aus den Anforderungen der neuen EU-Regelung und der nationalen Normen bildeten im Jahr 2020 – wie bereits im Jahr zuvor – einen Schwerpunkt der Arbeit der Datenschutzbereiche von United Internet. Während weiterhin regelmäßige Tätigkeiten wie die Pflege des Verarbeitungsverzeichnisses und die Durchführung von Datenschutz-Folgenabschätzungen für Verfahren, die voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge haben, einen großen Teil der operativen Arbeit ausmachten, standen vor allem der weitere Ausbau der Datenschutzorganisation im Mittelpunkt. Darüber hinaus wurden weitere Implementierungsprojekte auf den Weg gebracht.

Exemplarisch zu nennen sind die Umsetzung von Löschkonzepten, der anhaltende Ausbau des Risikomanagements sowie die Umsetzung sogenannter Cookie-Layer zur Einholung von Einwilligungen im Rahmen der Verwendung von Cookies. Darüber hinaus gab es Anpassungen der jeweiligen Datenschutzhinweise in den Segmenten.

Die Umsetzung von im Jahr 2020 gefällten Entscheidungen des Europäischen Gerichtshofs (EuGH) und von inländischen Gerichten sowie der Datenschutz-Behörden stellte einen weiteren Schwerpunkt im Geschäftsjahr dar. Hervorzuheben sind die Entscheidungen des Bundesgerichtshofs zur Erforderlichkeit der Einholung von Cookie-Consents in Folge einer Entscheidung des EuGH aus 2019 sowie eine Entscheidung des EuGH zur Zulässigkeit des sogenannten „Privacy Shield Abkommens“ zwischen der EU und den USA zur Übermittlung personenbezogener Daten in die USA. Erstmals seit Inkrafttreten der DSGVO brachten diese Entscheidungen konkrete Klarstellungen und Anforderungen zur Umsetzung entsprechender Anpassungen für viele Unternehmen mit sich.

Datenschutz bei United Internet sicherstellen

Unser Ziel ist es, Datenschutz konzernweit sicherzustellen und in unseren Systemen und Prozessen zu verankern. Die Datenschutzbereiche wirken auf die Einhaltung eines konzernweit einheitlichen Vorgehens hin. Im operativen Geschäft haben wir den Datenschutz durch die Installierung von Datenschutzkoordinatoren und den weiteren Ausbau der dezentralen Organisationen gestärkt. Die Datenschutzbeauftragten in den Segmenten und der Konzerndatenschutzbeauftragte berichten an die Vorstände der Segmente bzw. an den Finanzvorstand der United Internet AG.

Mit folgenden Instrumenten haben wir den Datenschutz im Unternehmen verankert:

• Einbindung der Datenschutzexperten in den Produktentwicklungsprozess
  Der Datenschutzbereich und die Datenschutzkoordinatoren beraten intern zu datenschutzrechtlichen Fragestellungen, die z. B. bei Produktdesign und Produktentwicklung (Privacy by Design) oder im Rahmen von Vertragsschlüssen auftreten.


• Umfangreiche und verständliche Regelwerke
  Mit internen Richtlinien und Prozessen, die datenschutzrechtliche Anforderungen verständlicher und transparenter machen, fördern wir deren Einhaltung. In unserer Informationsbroschüre „Informationssicherheit und Datenschutz“ erläutern wir unseren Mitarbeitern auf verständliche Weise den verantwortungsvollen Umgang mit personenbezogenen Daten und Informationen. Hierzu zählen unter anderem die Fragen, welche Grundregeln des Datenschutzes einzuhalten sind, wie E-Mail und Internet sicher genutzt werden können und was beim Umgang mit Besuchern im Unternehmen zu beachten ist.


• Prävention durch regelmäßige Datenschutzschulungen
  Unser Anspruch ist es, dass jeder Mitarbeiter dazu beiträgt, dass Daten ausschließlich rechtmäßig verarbeitet werden und weder verloren gehen noch in unbefugte Hände geraten. Dafür schulen wir Mitarbeiter persönlich und in Form von E-Learnings über datenschutzrechtliche Vorgaben. Im Jahr 2020 haben wir ein neues E-Learning zur Datenschutzgrundlagenschulung evaluiert, das in den Segmenten „Consumer Applications“ und „Business Applications“ im ersten Quartal 2021 eingeführt wurde. Darüber hinaus wurden vielfältige Schulungsveranstaltungen zu Datenschutz und Datensicherheit durchgeführt, insbesondere im Rahmen der DSGVO. Neben Basisschulungen für die Mitarbeiter und Führungskräfte fanden Präsenzschulungen – z. B. für die Datenschutzkoordinatoren – statt sowie Veranstaltungen, die speziell auf die Verantwortlichkeiten unserer Führungskräfte im Bereich Datenschutz ausgerichtet sind.


• Regelmäßiger Dialog mit den Aufsichtsbehörden
  Der Datenschutzbereich von United Internet steht im regelmäßigen Kontakt mit den zuständigen Datenschutzaufsichtsbehörden, um insbesondere Eingaben von Kunden zu bearbeiten, die über Aufsichtsbehörden weitergeleitet wurden. Auch Meldungen von Datenschutzverletzungen entsprechend DSGVO, im Jahr 2020 waren es 39⁽¹⁾ (2019: 86⁽¹⁾; 2018: 49), geben wir an die zuständigen Aufsichtsbehörden für Datenschutz weiter. Mit diesen treten unsere Mitarbeiter des Datenschutzbereichs regelmäßig in Austausch, um aktuelle Datenschutzthemen zu erörtern und abzustimmen.



(1) Inklusive „Consumer Access“, „Consumer Applications“ und „Business Applications“, exklusive eigenständig geführter Unternehmen. Der Anstieg der Meldungen im Jahr 2019 im Vergleich zu 2018 war auf die strikten Meldepflichten der DSGVO zurückzuführen.



• Wirksame Detektion durch Beschwerdemechanismen
  Datenschutzbezogene Kundenanfragen und Kundenbeschwerden werden von geschulten Mitarbeitern in speziellen Datenschutzabteilungen in enger Abstimmung mit den Datenschutzbeauftragten der jeweiligen Bereiche bearbeitet. Auf etwaige Vorfälle reagieren wir konzernintern gegebenenfalls mit der Anpassung von Richtlinien und Sensibilisierungsmaßnahmen für die Mitarbeiter. Darüber hinaus haben Mitarbeiter die Möglichkeit, sich vertraulich an die Bereiche Compliance und Datenschutz zu wenden, um datenschutzrelevante Fragen zu erörtern, die sich ihnen im Rahmen ihrer Tätigkeit stellen.


• Wirksamkeitsüberwachung durch Kontrollen
  Der Datenschutzbereich führt intern anlassbezogene Datenschutzkontrollen durch. Darüber hinaus ist er im Rahmen von Kontrollmaßnahmen in die Sicherstellung des Datenschutzes bei Dienstleistern involviert. Ergänzend wurde im Jahr 2020 auch ein externes Datenschutz-Audit durch den TÜV Rheinland für die 1&1 Mail & Media GmbH sowie 1&1 Telecommunications SE erfolgreich durchgeführt.


• Mehr Sicherheit durch die 1&1 Service-PIN
  Kunden vertrauen uns ihre Daten zur weiteren Verarbeitung an. Um diese Daten zukünftig noch besser schützen zu können, haben wir unsere Sicherheitsstandards weiterentwickelt und im Dezember 2019 im Segment „Consumer Access“ die 1&1 Service-PIN eingeführt. Diese besteht aus einer individuellen 5-stelligen Zahlenkombination, die durch unsere Kunden selbstständig im 1&1 Control-Center eingesehen und geändert werden kann. Bei Anrufen fragen die Kundenberater drei Stellen der PIN ab. Die gesamte Zahlenkombination ist ihnen nicht bekannt. Die 1&1 Service-PIN löst die bisherige „3-Faktoren-Authentifizierung“ als zentrale Authentifizierungsmethode ab. In den Segmenten „Consumer Applications“ und „Business Applications“ werden gleichfalls weitere Maßnahmen wie die Support-PIN umgesetzt, um eine Erhöhung der Sicherheit zu gewährleisten.


• Cookie-Layer
  Wie fast alle Webseiten und Apps verwenden auch die 1&1 Anwendungen kleine Textdateien (Cookies), die auf der Festplatte des Computers oder im App-Cache des mobilen Geräts abgelegt werden und eine Wiedererkennung ermöglichen. Veranlasst durch die Rechtsprechung des EuGH im Jahr 2019 sowie des BGH im Geschäftsjahr 2020, haben wir in Zusammenarbeit mit dem Landesbeauftragten für den Datenschutz und die Informationsfreiheit (LfDI) Rheinland-Pfalz die Cookie-Einstellungen auf den Homepages der Segmente überarbeitet. Besucher können durch ein gestuftes Einwilligungsverfahren selbst bestimmen, welche Informationen gespeichert werden sollen, um die eigene Privatsphäre bestmöglich zu schützen.