Datenschutz

  • Wesentliches Thema: Datenschutz

Datenschutz als Menschenrecht

Der Schutz persönlicher Daten und Fragen nach der Zulässigkeit von Datenverarbeitungen gemäß der seit 2018 anzuwendenden Datenschutz-Grundverordnung (DSGVO) stehen nicht erst seit diesem Jahr im Fokus der Öffentlichkeit und insbesondere von Internet-Nutzerinnen und -Nutzern. Es ist unser Anspruch, den Kundinnen und Kunden einen selbstbestimmten Umgang mit ihren Daten zu ermöglichen, daher gehört der Schutz personenbezogener Daten zu unserem Selbstverständnis und ist gleichzeitig Grundvoraussetzung für unsere Geschäftstätigkeit. Wir bekennen uns insofern ausdrücklich zur Stellung des Datenschutzrechts als unabdingbares Menschenrecht und haben dazu Prozesse aufgesetzt, die gewährleisten sollen, dass die Datenschutzrechte fortlaufend im Unternehmensalltag berücksichtigt werden.

Verletzungen datenschutzrechtlicher Vorschriften können unter anderem durch menschliches Fehlverhalten oder technische Schwachstellen hervorgerufen werden. Neben dem Risiko drohender Bußgelder könnte United Internet auch das Vertrauen von Kundinnen und Kunden verlieren. Zur Sicherstellung des Datenschutzes bei United Internet werden die im Folgenden beschriebenen Instrumente eingesetzt, um den Risiken zu begegnen.

Siehe „Risiko-, Chancen- und Prognosebericht“ im Geschäftsbericht.

Datenschutz-Grundverordnung (DSGVO) & Datenschutzpraxis

Seit dem Inkrafttreten der DSGVO und einem überarbeiteten Bundesdatenschutzgesetz (BDSG) gelten für Unternehmen strengere Regeln in Bezug auf personenbezogene Daten und deren Verarbeitung. Das Datenschutzrecht ist gekennzeichnet durch technologischen Fortschritt, Rechtsprechung und aufsichtsbehördliche Konkretisierungen, die ständig im Fluss sind.

Das Urteil des Europäischen Gerichtshofs (EuGH) in Sachen „Schrems II“ (1) führte zu neu formulierten und konkretisierten Anforderungen an den Transfer von Daten in Drittländer. In diesem Kontext konzentrierten sich sowohl das allgemeine gesellschaftliche Interesse als auch das Marktinteresse 2022 - wie bereits im Vorjahr – auf außereuropäische Datentransfers. Die Berichterstattung zu aufsichtsbehördlichen Maßnahmen oder gerichtlich bedingten Entwicklungen sowie das Auslaufen der Umstellungsfrist der sogenannten „Standarddatenschutzklauseln“ stellten die Datenschutzwelt vor große Herausforderungen. Der steigenden Nachfrage nach europäischen Internetlösungen sowie der Verantwortung für einen sicheren und nachhaltigen Umgang mit Kundendaten kommen wir jeden Tag aufs Neue nach.

Im Dezember 2021 trat das sogenannte Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) in Kraft. Das Gesetz stellt unter anderem klar, dass die Speicherung von Cookies grundsätzlich nur mit einer DSGVO-konformen Einwilligung möglich ist. In der Folge der Neuregelung im TTDSG wird Nutzerinnen und Nutzern der Webseiten und Webshops der United Internet Gruppe ein selbstbestimmter Umgang mit Cookies ermöglicht. Somit können diese durch ein gestuftes Einwilligungsverfahren selbst entscheiden, welche Informationen verarbeitet werden sollen, um die eigene Privatsphäre bestmöglich zu schützen.

(1) Urteil des Europäischen Gerichtshof vom 16. Juli 2020 in der Rechtssache C-311/18 (ECLI:EU:C:2020:559). Verfahrensgegenstand: Übermittlungen personenbezogener Daten zu gewerblichen Zwecken in Drittländer.

Datenschutz bei United Internet sicherstellen

Unser Ziel ist es, Datenschutzkonformität konzernweit sicherzustellen und in unseren Systemen, Prozessen und Produkten zu verankern. Die dezentralen Datenschutzbereiche wirken gemeinsam auf die Einhaltung eines konzernweit einheitlichen Vorgehens sowie eines hohen Datenschutzniveaus hin.

Um für die Herausforderungen der Zukunft gerüstet zu sein und um in einem dynamischen Arbeitsumfeld datenschutzfreundliche Prozesse gestalten zu können, wurde im Jahr 2022 in der United Internet Gruppe der Aufbau organisatorischer und operativer Datenschutz-Verantwortlichkeiten in den Geschäftsbereichen weiter vorangetrieben. In allen Segmenten sind nunmehr Datenschutzbeauftragte benannt sowie eigenständige Datenschutzbereiche geschaffen worden. Diese übernehmen die vollständige Kontrolle der Datenschutz-Compliance für das jeweilige Segment und werden durch Ansprechpartnerinnen und -partner in den Fachbereichen zur Umsetzung von Datenschutzanforderungen unterstützt. Die Datenschutzbeauftragten der Konzernsegmente sowie der Konzerndatenschutzbeauftragte berichten jeweils an die Vorstände der Segmente bzw. an den Finanzvorstand der United Internet AG.

Die Arbeitsschwerpunkte der Datenschutzbereiche der United Internet Gruppe bildeten 2022, wie bereits in den vorausgegangenen Geschäftsjahren, die Optimierung und Anpassung innerbetrieblicher Umsetzungsmaßnahmen im Hinblick auf Anforderungen europäischer und nationaler Datenschutz-Regulatorik sowie der aufsichtsbehördlichen Vorgaben.

Mit nachfolgenden Instrumenten wurde das Zielbild der Datenschutz-Compliance in der Unternehmensgruppe verankert:

  • Einbindung der Datenschutzexpertise in den Produktentwicklungsprozess
    Die Datenschutzfachabteilungen und Datenschutzkoordinatorinnen und -koordinatoren beraten intern zu datenschutzrechtlichen Fragestellungen, die z. B. bei Produktdesign und Produktentwicklung (Privacy by Design oder Privacy by Default) oder im Rahmen von vertraglichen Vereinbarungen auftreten.

  • Umfangreiche und verständliche Regelwerke
    Mit internen Richtlinien und Prozessen, die datenschutzrechtliche Anforderungen verständlicher und transparenter machen, fördern wir die Einhaltung datenschutzrechtlicher Vorgaben und Best Practices. Es wird unter anderem festgehalten, welche Grundregeln des Datenschutzes einzuhalten sind, wie E - Mail und Internet sicher genutzt werden können oder was es bei Vor-Ort-Besuchen von externen Besucherinnen und Besuchern im Unternehmen zu beachten gilt.

  • Prävention durch regelmäßige Datenschutzschulungen
    Unser Anspruch ist es, dass jede und jeder Mitar­bei­tende dazu beiträgt, persönliche Daten rechtmäßig zu verarbeiten und dafür Sorge zu tragen, dass insbesondere sensible Informationen nicht in unbefugte Hände gelangen. Dafür schulen wir regelmäßig Mitar­bei­tende in Präsenz und/oder in Form von E-Learnings in Datenschutzgrundlagen. Seit Ende 2021 gibt es ein vollständig neu konzipiertes Datenschutz-E-Learning in der United Internet Gruppe, welches das bisherige E-Learning aus den Vorjahren ersetzt. Darüber hinaus werden regelmäßig weiterführende Schulungsveranstaltungen zu Datenschutz/Datensicherheit angeboten. So findet neben Basis- und Fortgeschrittenenschulungen für Mitar­bei­tende und/oder Führungskräfte in regelmäßigen Abständen eine Vertiefungsveranstaltung statt, die das Rollenverständnis und Prinzipien der Verantwortlichkeiten von Führungskräften in Sachen Datenschutz/Datenschutz-Compliance vermittelt.
  • GRI 418-1
  • Kontakt zu den Aufsichtsbehörden
    Die Datenschutzbereiche der United Internet Gruppe stehen im regelmäßigen Kontakt mit den zuständigen Datenschutzaufsichtsbehörden, um insbesondere Eingaben von Kundinnen und Kunden zu bearbeiten, die über Aufsichtsbehörden weitergeleitet wurden. Auch Meldungen von Datenschutzverletzungen – im Jahr 2022 waren es 36 (1) (2021: 78; 2020: 39) (2) – geben wir an die zuständigen Aufsichtsbehörden für Datenschutz weiter.

    • (1) Inklusive „Consumer Access“, „Business Access” „Consumer Applications“ und „Business Applications“, exklusive eigenständig geführter Unternehmen.

    (2) Inklusive „Consumer Access“, „Consumer Applications“ und „Business Applications“, exklusive eigenständig geführter Unternehmen.


  • Wirksame Detektion durch Beschwerdemechanismen
    Datenschutzbezogene Anfragen und Beschwerden seitens Kundinnen und Kunden werden von geschulten Mitar­bei­tenden in speziellen Datenschutzteams des Beschwerdemanagements in enger Abstimmung mit den Datenschutzfachabteilungen der jeweiligen Konzernunternehmen bearbeitet. Darüber hinaus haben Mitar­bei­tende jederzeit die Möglichkeit, sich vertraulich an die Datenschutzbereiche zu wenden, um datenschutzrelevante Vorgänge ihres Arbeitsalltags zu besprechen.

  • Wirksamkeitsüberwachung durch Kontrollen
    Die Datenschutzfachabteilungen der United Internet Gruppe haben jederzeit die Möglichkeit und Befugnis, interne Datenschutzkontrollen durchzuführen. Ergänzend dazu werden unabhängige Auditorganisationen beauftragt, externe objektive Datenschutzaudits durchzuführen, um interne Verbesserungspotentiale zu identifizieren. Daneben sind die Datenschutzfachabteilungen im Rahmen von Kontrollmaßnahmen zur Überprüfung von Dienstleistungsunternehmen und Subdienstleistungsunternehmen einbezogen.

    Im Rahmen des risikoorientierten Prüfungsansatzes erfolgt regelmäßig eine Beurteilung durch die Innenrevision in allen Teilkonzernen, ob die Datenschutzanforderungen angemessen umgesetzt sind und ob das interne Kontrollsystem insgesamt angemessen ist. Dazu werden bei Bedarf externe Expertinnen und Experten hinzugezogen, die mit Begleitung der Innenrevision Prüfungen durchführen. Die Umsetzung der daraus abgeleiteten Maßnahmen wird durch die Innenrevision nachverfolgt.

  • Mehr Datensicherheit durch technische Schutzmaßnahmen
    Kundinnen und Kunden vertrauen uns ihre persönlichen Daten an. Um diese Daten schützen zu können, werden unsere implementierten Sicherheitsstandards weiterentwickelt und verbessert. Im Dezember 2019 wurde beispielsweise im Segment „Consumer Access“ die 1&1 Service-PIN eingeführt. Diese besteht aus einer individuellen 5-stelligen Zahlenkombination, die durch Kundinnen und Kunden selbstständig im 1&1 Control-Center eingesehen und geändert werden kann. Im Falle telefonischer Kontaktaufnahme gleichen Servicemitarbeitende im Rahmen des Authentifizierungsverfahrens jeweils drei Stellen der PIN ab. Die 1&1 Service-PIN löste die bisherige Drei-Faktor-Authentifizierung als zentrale Authentifizierungsmethode ab. In den Segmenten „Consumer Applications“ und „Business Applications“ werden ebenfalls Sicherheitsmaßnahmen wie beispielsweise Support-PIN oder Zwei-Faktor-Authentifizierung umgesetzt oder stehen Kundinnen und Kunden als individuelle Konfigurationsmöglichkeit nach Bedarf zur Verfügung.