Datenschutz

Datenschutz als Menschenrecht

Mit zunehmender Digitalisierung erhöhen sich Umfang und Komplexität von Informationen und digitalen Spuren, die wir im Internet hinterlassen. Der Schutz persönlicher Daten und Fragen nach der Zulässigkeit von Datenverarbeitungen gemäß der seit 2018 anzuwendenden Datenschutz-Grundverordnung rücken immer stärker in den Fokus der Öffentlichkeit und von Internet-Nutzerinnen und -Nutzern. Es ist unser Anspruch, den Kundinnen und Kunden einen selbstbestimmten Umgang mit ihren Daten zu ermöglichen, daher gehört der Schutz personenbezogener Daten zu unserem Selbstverständnis und ist gleichzeitig Grundvoraussetzung für unsere Geschäftstätigkeit. Folglich entsprechen unsere Produkte und Services den hohen europäischen und deutschen Datenschutzstandards. Wir bekennen uns insofern ausdrücklich zur Stellung des Datenschutzrechts als unabdingbares Menschenrecht und berücksichtigen dies fortlaufend im Unternehmensalltag.

Datenschutz-Grundverordnung (DSGVO) & Datenschutzpraxis

Mit der seit Mai 2018 anzuwendenden europäischen DSGVO und dem dahingehend überarbeiteten Bundesdatenschutzgesetz (BDSG) gelten für Unternehmen strengere Regeln in Bezug auf personenbezogene Daten und deren Verarbeitung. Diese Rechtsmaterie ist durch technologischen Fortschritt, Rechtsprechung und aufsichtsbehördliche Konkretisierungen ständig im Fluss.

Bedingt durch das Urteil des Europäischen Gerichtshofs (EuGH) in Sachen „Schrems II⁽¹⁾“ und den damit verbundenen neuformulierten bzw. im Laufe des Geschäftsjahres konkretisierten Anforderungen an den Transfer von Daten in Drittländer, konzentrierte sich das allgemeine gesellschaftliche Interesse sowie das Marktinteresse 2021 vordergründig auf außereuropäische Datentransfers. Der steigenden Nachfrage nach europäischen Internetlösungen sowie der zunehmenden Verantwortung für einen möglichst sicheren und nachhaltigen Umgang mit Kundendaten kommen wir jeden Tag aufs Neue nach. Die sich aus der Rechtslage nach dem „Schrems II-Verfahren“ ergebenden Anforderungen werden durch entsprechende konzernweite Projekte adressiert.

(1) Urteil des Europäischen Gerichtshof vom 16. Juli 2020 in der Rechtssache C‑311/18 (ECLI:EU:C:2020:559). Verfahrensgegenstand: Übermittlungen personenbezogener Daten zu gewerblichen Zwecken in Drittländer.

Die Arbeitsschwerpunkte der Datenschutzbereiche der United Internet Gruppe bildeten 2021, wie bereits in den vorausgegangenen Geschäftsjahren, die Optimierung und Anpassung innerbetrieblicher Umsetzungsmaßnahmen im Hinblick auf Anforderungen europäischer und nationaler Datenschutzregulatorik sowie der aufsichtsbehördlichen Vorgaben. Neben dem im Fokus stehenden operativen Datenschutzgeschäft (beispielsweise das Beantworten von Betroffenenanfragen, die Betreuung produktbezogener Datenschutzanliegen oder die anlassbezogene Projektarbeit), wurde parallel intensiv an der strukturellen Weiterentwicklung der Datenschutzorganisation gearbeitet. Um für die Herausforderungen der Zukunft gerüstet zu sein und um in einem dynamischen Arbeitsumfeld gestalterisch aktiv sein zu können, wurde deshalb in der United Internet Gruppe der Aufbau organisatorischer Verantwortung in den operativen Geschäftsbereichen weiter vorangetrieben. Seit September 2021 ist für die United Internet Tochter IONOS SE, inklusive der einschlägigen nationalen und internationalen Beteiligungen, eine übergeordnete Datenschutzbeauftragte bestellt. Zudem wurde ein eigener Datenschutzbereich mit entsprechenden Zuständigkeiten geschaffen. Mit dem Ausbau der dezentralen Datenschutzorganisation und der eigenverantwortlichen organisatorischen Steuerung folgt IONOS dem Vorbild anderer United Internet Töchter.

Zu guter Letzt sahen sich die Unternehmen der United Internet Gruppe im Geschäftsjahr 2021 mit gesetzgeberischen Aktivitäten im Kontext der Verarbeitung sogenannter Cookies und der EuGH- und BGH-Urteile zu deren Einwilligungserforderlichkeit konfrontiert. Im Dezember 2021 trat das sogenannte Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) in Kraft. Das Gesetz stellt klar, dass die Speicherung von Cookies grundsätzlich nur mit einer DSGVO-konformen Einwilligung möglich ist. In der United Internet Gruppe verfolgen wir laufend Entwicklungen in Gesetzgebung und Rechtsprechung, um bestehende Prozesse zu evaluieren und gegebenenfalls anzupassen. Ziel ist es, Nutzerinnen und Nutzern der Webseiten und Webshops der United Internet Gruppe einen selbstbestimmten Umgang mit Cookies zu ermöglichen. Somit können diese durch ein gestuftes Einwilligungsverfahren selbst entscheiden, welche Informationen verarbeitet werden sollen, um die eigene Privatsphäre bestmöglich zu schützen.

Datenschutz bei United Internet sicherstellen

Unser Ziel ist es, Datenschutzkonformität konzernweit sicherzustellen und in unseren Systemen, Prozessen und Produkten zu verankern. Die dezentralen Datenschutzbereiche wirken jeweils auf die Einhaltung eines konzernweit einheitlichen Vorgehens sowie eines hohen Datenschutzniveaus hin. Das operative Geschäft wird jeweils durch ein System von Datenschutzkoordinatorinnen und -koordinatoren, Datenschutzmanagerinnen und -managern und dezentralen Datenschutzorganisationen unterstützt. Die Datenschutzbeauftragten der Konzernsegmente sowie der Konzerndatenschutzbeauftragte berichten jeweils an die Vorstände der Segmente bzw. an den Finanzvorstand der United Internet AG.

Mit nachfolgenden Instrumenten wurde das Zielbild der Datenschutz-Compliance in der Unternehmensgruppe verankert:

• Einbindung der Datenschutzexpertise in den Produktentwicklungsprozess
  Die Datenschutzfachabteilungen und Datenschutzkoordinatorinnen und -koordinatoren beraten intern zu datenschutzrechtlichen Fragestellungen, die z. B. bei Produktdesign und Produktentwicklung (Privacy by Design oder Privacy by Default) oder im Rahmen von vertraglichen Vereinbarungen auftreten.


• Umfangreiche und verständliche Regelwerke
  Mit internen Richtlinien und Prozessen, die datenschutzrechtliche Anforderungen verständlicher und transparenter machen, fördern wir die Einhaltung datenschutzrechtlicher Vorgaben und Best Practices. In unserer Informationsbroschüre „Informationssicherheit und Datenschutz“ erläutern wir unseren Mitar­bei­tenden auf verständliche Art und Weise den verantwortungsvollen Umgang mit personenbezogenen Daten und Informationen. Hierzu zählen unter anderem die Fragen, welche Grundregeln des Datenschutzes einzuhalten sind, wie E-Mail und Internet sicher genutzt werden können oder was es bei Vor-Ort-Besuchen von externen Besucherinnen und Besuchern im Unternehmen zu beachten gilt.


• Prävention durch regelmäßige Datenschutzschulungen
  Unser Anspruch ist es, dass jede und jeder Mitar­bei­tende dazu beiträgt, persönliche Daten rechtmäßig zu verarbeiten und dafür Sorge zu tragen, dass insbesondere sensible Informationen nicht in unbefugte Hände gelangen. Dafür schulen wir regelmäßig Mitar­bei­tende in Präsenz und/oder in Form von E-Learnings in Datenschutzgrundlagen. Seit Ende 2021 gibt es ein vollständig neu konzipiertes Datenschutz-E-Learning in der United Internet Gruppe, was das bisherige E-Learning aus den Vorjahren ersetzt. Darüber hinaus werden regelmäßig weiterführende Schulungsveranstaltungen zu Datenschutz/Datensicherheit angeboten.
  
  Neben Basis- und Fortgeschrittenenschulungen für Mitar­bei­tende und/oder Führungskräfte, findet in regelmäßigen Abständen eine Vertiefungsveranstaltung statt, die das Rollenverständnis und Prinzipien der Verantwortlichkeiten von Führungskräften in Sachen Datenschutz/Datenschutz-Compliance vermittelt.


• NFE: Verfolgte Konzepte
• NFE: Nichtfinanzielle Leistungsindikatoren
• GRI 418-1
• Kontakt zu den Aufsichtsbehörden
  Der Datenschutzbereich von United Internet steht im regelmäßigen Kontakt mit den zuständigen Datenschutzaufsichtsbehörden, um insbesondere Eingaben von Kundinnen und Kunden zu bearbeiten, die über Aufsichtsbehörden weitergeleitet wurden. Auch Meldungen von Datenschutzverletzungen – im Jahr 2021 waren es 50 (2020: 39; 2019: 86)⁽¹⁾ – geben wir an die zuständigen Aufsichtsbehörden für Datenschutz weiter.



(1) Inklusive „Consumer Access“, „Consumer Applications“ und „Business Applications“, exklusive eigenständig geführter Unternehmen.



• Wirksame Detektion durch Beschwerdemechanismen
  Datenschutzbezogene Anfragen und Beschwerden seitens Kundinnen und Kunden werden von geschulten Mitar­bei­tenden in speziellen Datenschutzteams des Beschwerdemanagements in enger Abstimmung mit den Datenschutzfachabteilungen der jeweiligen Konzernunternehmen bearbeitet. Auf auffällige Vorgänge wird beispielsweise mit der Anpassung von Richtlinien und Sensibilisierungsmaßnahmen für involvierte Mitar­bei­tende reagiert. Darüber hinaus haben Mitar­bei­tende jederzeit die Möglichkeit, sich vertraulich an die Datenschutzbereiche zu wenden, um datenschutzrelevante Vorgänge ihres Arbeitsalltags zu besprechen.


• Wirksamkeitsüberwachung durch Kontrollen
  Die Datenschutzfachabteilungen der United Internet Gruppe haben jederzeit die Möglichkeit und Befugnis interne Datenschutzkontrollen durchzuführen. Ergänzend dazu werden unabhängige Auditorganisationen beauftragt, externe objektive Datenschutzaudits durchzuführen, um interne Verbesserungspotentiale zu identifizieren. Daneben sind die Datenschutzfachabteilungen im Rahmen von Kontrollmaßnahmen zur Überprüfung von Dienstleistungsunternehmen und Subdienstleistungsunternehmen einbezogen.


• Mehr Datensicherheit durch technische Schutzmaßnahmen
  Kundinnen und Kunden vertrauen uns ihre persönlichen Daten an. Um diese Daten schützen zu können, werden unsere implementierten Sicherheitsstandards permanent weiterentwickelt und verbessert. Im Dezember 2019 wurde beispielsweise im Segment „Consumer Access“ die 1&1 Service-PIN eingeführt. Diese besteht aus einer individuellen 5-stelligen Zahlenkombination, die durch Kundinnen und Kunden selbstständig im 1&1 Control-Center eingesehen und geändert werden kann. Im Falle telefonischer Kontaktaufnahme gleichen Servicemitarbeitende im Rahmen des Authentifizierungsverfahrens jeweils drei Stellen der PIN ab. Die 1&1 Service-PIN löste die bisherige Drei-Faktor-Authentifizierung als zentrale Authentifizierungsmethode ab. In den Segmenten „Consumer Applications“ und „Business Applications“ werden ebenfalls Sicherheitsmaßnahmen, wie beispielsweise Support-PIN oder Zwei-Faktor-Authentifizierung, umgesetzt oder stehen Kundinnen und Kunden als individuelle Konfigurationsmöglichkeit nach Bedarf zur Verfügung.