Datenverantwortung

Verantwortungsvoller Umgang mit Daten

In der zukünftigen Mobilität spielen Vernetzung und Digitalisierung eine entscheidende Rolle – sei es beim automatisierten und autonomen Fahren, bei Fahrassistenzsystemen, der Fahrzeugsicherheit oder neuen Services. Grundlage vieler neuer Geschäftsmodelle sind große Datenmengen. Diese Daten zu schützen und sie verantwortungsvoll zu handhaben, hat für uns hohe Priorität.

Mehr Daten, mehr Chancen und Herausforderungen

GRI 103-1

Viele unserer Kunden nutzen bereits heute die Vorteile vernetzter Angebote wie etwa Live-Traffic-Informationen. Auch an anderer Stelle ist der Einsatz von Daten für Automobilhersteller relevant: Eine vernetzte Produktion sorgt für effizientere Abläufe. Eine digitale Produktplanung schont Ressourcen. Und auch im Vertrieb und im Service-Bereich profitieren Kunden von datenbasierten Angeboten. Klar ist also: Vernetzung, Digitalisierung und die Fähigkeit, große Datenmengen zu verarbeiten, haben für die Mobilität der Zukunft eine immer größere Bedeutung.

Daten eröffnen nicht nur Geschäftschancen, sondern gehen auch mit besonderen Sorgfaltspflichten einher. Daten sind ein sensibles und entsprechend schützenswertes Gut, für das strenge regulatorische Anforderungen gelten. Vor allem im Bereich des Datenschutzes sind die Vorgaben von regulatorischer Seite in den letzten Jahren deutlich gestiegen. So hat die Datenschutz-Grundverordnung (DSGVO) der Europäischen Union zusätzliche Pflichten im Umgang mit personenbezogenen Daten für die Unternehmen definiert. Neben den regulatorischen Anforderungen an den Umgang mit personenbezogenen Daten ist auch die öffentliche Wahrnehmung für das Thema gestiegen. Der verantwortungsvolle Umgang mit Daten ist deshalb heute auch ein entscheidender Wettbewerbsfaktor.

Für international tätige Unternehmen stellt die DSGVO jedoch nicht die einzige Herausforderung dar. Denn Datenschutz ist nicht auf Europa beschränkt. Weltweit ist ein klarer Trend erkennbar, entsprechende Gesetze zu erlassen oder bestehende zu verschärfen. Über den gesetzlichen Rahmen hinaus gibt es rund um den Globus unterschiedliche gesellschaftliche Erwartungen an den Datenschutz.

Wie wir unsere Datenverantwortung wahrnehmen

GRI 103-2

Datenverantwortung ist mehr als Datenschutz. Deshalb verfolgt Daimler einen ganzheitlichen Ansatz, um seiner „Corporate Digital Responsibility“ gerecht zu werden. Dazu gehören neben dem rechtlichen Rahmen auch kulturelle und organisatorische Aspekte, die wir unter dem Begriff „Data Governance“ zusammenfassen. Zu den übergeordneten Zielen unseres ganzheitlichen Data-Governance-Ansatzes gehören die nachhaltige Gestaltung datenbasierter Geschäftsmodelle sowie der verantwortungsvolle Umgang mit Daten im Interesse unserer Kunden, unserer Mitarbeiter sowie anderer Stakeholder. Damit dies gelingt, sind viele verschiedene Maßnahmen erforderlich – von der Schulung unserer Beschäftigten über die Einführung eines neuen Managementansatzes bis zur umfassenden Information unserer Kunden. Das konzernweite Data-Governance-System besteht aus unserem Daten-Leitbild, unserer Datenkultur, unserer Data-Governance-Struktur und dem Data Compliance Management System.

Das Daimler Daten-Leitbild

Mit unserem Daten-Leitbild, der sogenannten Daimler Data Vision, haben wir unseren Anspruch an einen nachhaltigen und verantwortungsvollen Umgang mit Daten formuliert. Es gibt allen Beschäftigten der Daimler AG einen klaren Handlungsrahmen im Umgang mit Daten. Das Leitbild hat eine hohe praktische Relevanz und dient dazu, Vertrauen bei Kunden und Mitarbeitern zu stärken. Gleichzeitig gibt es allen Beschäftigten einen klaren Rahmen vor, in dem sie neue Geschäftsmodelle entwickeln können.

Zu den zentralen Grundprinzipien im Umgang mit Daten zählen Transparenz, Selbstbestimmung und Datensicherheit. Wir möchten, dass unsere Kunden wissen, wann welche Daten zu welchem Zweck erhoben werden. Darüber informieren wir sie ausführlich in den Verkaufsinformationen, auf der Fahrzeug-Homepage, in Apps, in Betriebsanleitungen, in den Nutzungsbedingungen sowie wo möglich und sinnvoll auch direkt im Fahrzeug. Ziel ist, dass unsere Kunden selbst darüber entscheiden können, welche Dienste sie tatsächlich nutzen und welche Daten sie weitergeben möchten – entweder per Einwilligung, per Vertrag oder per Knopfdruck. So können sie beispielsweise die Mercedes me connect Dienste jederzeit im Portal de- und aktivieren. Die hohen Sicherheitsansprüche unserer Kunden gelten in gleicher Weise für die Datensicherheit in unseren Fahrzeugen. Mit Blick auf IT-technische Fortschritte entwickeln wir die Datensicherheit ständig weiter, um die vorhandenen Daten vor Manipulation und Missbrauch zu schützen.

Wirksamer Datenschutz und Datensicherheit im Fahrzeug sind für uns integraler Bestandteil der Produktentwicklung. Unsere Beschäftigten achten schon zu Beginn der Entwicklung neuer Fahrzeuge, Funktionen und neuer digitaler Geschäftsmodelle darauf, dass diese datenschutzfreundlich gestaltet sind. Schon heute sorgen der digitale Wandel und die zunehmende Vernetzung von Diensten dafür, dass Fahrer vieler aktueller Baureihen technische Annehmlichkeiten wie etwa Live-Traffic-Informationen oder aktive Stau-Assistenten nutzen können. Anwendungen wie diese verbindet, dass sie auf der Verarbeitung von Daten basieren. Die datenschutzfreundliche Gestaltung vernetzter Fahrzeuge, automatisierter Fahrfunktionen sowie neuer Dienste und Anwendungen ist deshalb ein Schwerpunkt unserer produktbezogenen Datenschutzaktivitäten – auch als „Privacy by Design“ bekannt. Bei der Anwendung unserer Daten-Grundprinzipien berücksichtigen wir sowohl marktspezifische als auch regionale Unterschiede wie etwa unterschiedliche Erwartungen unserer Kunden in Bezug auf den Schutz ihrer Daten. Unser Daten-Leitbild haben wir konzernweit bekannt gemacht und auch in die neue Fassung unserer Verhaltensrichtlinie aufgenommen.

Die operative Umsetzung unserer strategischen Datenschutzziele erfolgt in den einzelnen Geschäftsfeldern. Daher hat jedes Geschäftsfeld des Daimler-Konzerns ein entsprechendes Programm aufgesetzt, um konkrete Prozesse und Systeme für die verantwortungsvolle Nutzung von Daten einzurichten.

Eine Datenkultur etablieren

Eine wirkungsvolle Data Governance erfordert auch eine entsprechende Datenkultur im Unternehmen. Denn neue digitale Geschäftsmodelle erfordern auch ein neues Denken.

Um die Datenkultur zu fördern, haben wir neue Kommunikationsformate mit unterschiedlichen Methoden, Instrumenten und Anwendungsbeispielen entwickelt. Ein Beispiel dafür sind die sogenannten „Data Lectures“, die in einzelnen Einheiten des Konzerns regelmäßig stattfinden. Darin berichten Experten unterschiedlicher Fachbereiche über ihre Erfahrungen und Projekte. Mit Maßnahmen wie diesen machen wir den Beschäftigten deutlich, wie wichtig Daten für unser Unternehmen sind, und sensibilisieren sie für eine verantwortungsvolle Datennutzung – auch über Bereichs- und Gesellschaftsgrenzen hinweg.

Unsere Data-Governance-Struktur

Das konzernweite Data-Governance-System wurde im Vorstandsressort Integrität und Recht entwickelt. Für die Umsetzung der Data Governance hat Daimler für jedes Geschäftsfeld die Etablierung von sogenannten Data and Analytics Boards beschlossen sowie bereits größtenteils eingerichtet. In diesen Gremien stimmen sich alle relevanten Fachbereiche zu ihren aktuellen Datenanalyse-Projekten ab. Beschäftigte des Vorstandsressorts Integrität und Recht begleiten die Projekte von Anfang an, um die rechtskonforme Umsetzung zu gewährleisten.

Auf Konzernebene haben wir zudem ein Data Governance Committee eingerichtet. Das Gremium definiert Richtlinien zu unternehmensweiten Kernthemen des Datenmanagements, der Informationssicherheit, des Datenschutzes sowie der Data Compliance und trifft geschäftspolitische Entscheidungen zum unternehmensweiten Umgang mit Daten.

Das Daimler Data Compliance Management System

GRI 103-2

Im Zuge der Umsetzung der DSGVO der Europäischen Union haben wir konzernweit die bestehenden Maßnahmen, Prozesse und Systeme zur Einhaltung des Datenschutzes in einem Data Compliance Management System zusammengeführt. Dieses basiert auf dem bereits bestehenden Daimler Compliance Management System.

Unser Data Compliance Management System unterstützt uns dabei, die Maßnahmen zur Einhaltung der Datenschutzvorgaben systematisch zu planen, umzusetzen und laufend zu kontrollieren. Im ersten Schritt liegt der Schwerpunkt des Data Compliance Management Systems auf dem Datenschutzrecht. Für die Konzerngesellschaften in der EU ist hierbei insbesondere die DSGVO maßgeblich, für Konzerngesellschaften außerhalb der EU gelten die jeweiligen lokalen Datenschutzgesetze. Weitere Rechtsgebiete, die bei der Nutzung von Daten relevant sind, beziehen wir schrittweise mit ein, um mögliche Risiken zu identifizieren und zu adressieren.

Die Anforderungen der DSGVO umsetzen

Um die DSGVO bei Daimler umzusetzen, hat der Bereich Konzerndatenschutz die Anforderungen analysiert und darauf aufbauend praktische Umsetzungshilfen erarbeitet. Sie wurden mittlerweile als verbindliche Maßnahmen im Data Compliance-Programm verankert und die Umsetzung damit für alle Konzerngesellschaften im Anwendungsbereich der Verordnung als verpflichtend definiert. Die Maßnahmen umfassen Prozesse, IT-Lösungen und Musterdokumente zu vielfältigen Themenbereichen.

Verankerung von Datenschutz und Daten-Compliance in unserer Organisation

Für den Aufbau des Data Compliance Management Systems haben wir einen neuen Bereich, Data Compliance, innerhalb der Compliance-Organisation eingerichtet. Er definiert die einzelnen Elemente des Data Compliance Management Systems und steuert dessen konzernweite Umsetzung. Zu seinen Aufgaben gehört es auch, das jährliche Data Compliance Risk Assessment durchzuführen und das Data Compliance-Programm aufzustellen. Außerdem ist er für die konzernweiten Monitoring- und Reporting-Prozesse im Themenfeld Data Compliance zuständig. Daneben führt der Bereich zahlreiche Kommunikations- und Trainingsmaßnahmen durch und übernimmt einen Teil der Datenschutzberatung. Zu aktuellen Entwicklungen bei Data Compliance-Themen berichtet der Chief Compliance Officer regelmäßig an das Vorstandsmitglied für Integrität und Recht sowie quartalsweise an den gesamten Vorstand.

Daneben nimmt der Konzernbeauftragte für Datenschutz die gesetzlich vorgesehenen Aufgaben zur Einhaltung der Datenschutzvorschriften wahr. Zusammen mit seinem Team überwacht er die Einhaltung der Datenschutzgesetze und der Daimler-Datenschutzrichtlinien. Zu seinen Aufgaben gehören auch die Bearbeitung von Datenschutzbeschwerden und die Wahrnehmung der Kommunikation mit der Aufsichtsbehörde. Zudem initiiert er Kommunikations- und Schulungsmaßnahmen und ist beratend tätig. Er unterrichtet und berät die Verantwortlichen und Fachbereiche insbesondere zur Durchführung von Datenschutz-Folgenabschätzungen. Er ist unabhängig und berichtet direkt an das Vorstandsmitglied für Integrität und Recht.

Um das Thema Datenschutz zu steuern, setzen wir auch auf lokale Ansprechpartner, die vor Ort an unseren zahlreichen Standorten weltweit aktiv sind. Derzeit richten wir das bestehende Netzwerk der lokalen Datenschutzkoordinatoren neu aus und führen es mit dem globalen Compliance-Netzwerk zusammen. Die Local Compliance Officers und Local Compliance Responsibles bereiten wir gezielt für ihre neuen Aufgaben vor und unterstützen sie mit Trainings- und Beratungsangeboten. Für die Neuausrichtung des Netzwerks haben wir ein risikoorientiertes Vorgehen in zwei Stufen gewählt. Teil der ersten und bereits abgeschlossenen Stufe waren alle Konzerneinheiten mit hoher und diejenigen mit mittlerer Risikoklassifizierung (gemäß Data Compliance Risk Assessments), die in den Anwendungsbereich der DSGVO fallen. Die zweite Stufe betrifft alle verbleibenden Einheiten mit mittlerer Risikoklassifizierung und sämtliche Einheiten mit niedriger Risikoklassifizierung. Die Umsetzung der zweiten Stufe soll bis Ende 2020 abgeschlossen sein.

Richtlinien zum verantwortungsvollen Umgang mit Daten

Datenschutzrichtlinie EU

Die im Jahr 2019 noch gültige Konzernrichtlinie für den Datenschutz wurde im Berichtsjahr überarbeitet und steht seit Januar 2020 in einer neuen Fassung zur Verfügung. Sie definiert konzernweit geltende Standards für den Umgang mit personenbezogenen Daten von Mitarbeitern, Kunden und Geschäftspartnern. Mit der neuen Datenschutzrichtlinie EU möchten wir dem besonderen regulatorischen Umfeld im europäischen Kernmarkt von Daimler Rechnung tragen. Ausgehend von der DSGVO schaffen wir damit einheitliche und angemessene Standards für die Verarbeitung personenbezogener Daten. Die konzernweit geltende Richtlinie enthält zudem verbindliche interne Datenschutzvorgaben für Konzerngesellschaften, die sich außerhalb des Anwendungsbereichs der DSGVO befinden, aber als Empfänger grenzüberschreitender Datenübermittlung personenbezogene Daten im Anwendungsbereich der DSGVO verarbeiten. Die Datenschutzrichtlinie EU liegt der Aufsichtsbehörde als bindende Unternehmensregelung im Sinne der DSGVO zur Anerkennung vor.

Globale Daten- und Informationsrichtlinie

Die neue globale Daten- und Informationsrichtlinie bildet die Basis für einen verantwortungsvollen, rechtskonformen und ethisch korrekten Umgang mit Informationen und Daten. Sie schafft Transparenz über Verantwortlichkeiten und Rollen in einem daten- und informationsbasierten Umfeld. Hierfür legt sie Ziele, Grundsätze, Organisationsstrukturen und Maßnahmen fest, die für die Etablierung der entsprechenden Prozesse erforderlich sind. Die Richtlinie beinhaltet auch die globalen Standards für Data Compliance, die ein weltweit einheitliches Datenschutzniveau im gesamten Daimler-Konzern gewährleisten sollen. Dabei handelt es sich um einen Mindeststandard, der von den Anforderungen der Datenschutzrichtlinie EU ergänzt wird. Die jeweils geltenden lokalen Datenschutzgesetze und das konzernweite Data Compliance Management System schaffen den Rahmen für den rechtskonformen und nachhaltigen Umgang mit Daten.

Datenbezogenen Risiken begegnen

Ein zentraler Baustein des Data Compliance Management Systems ist das Data Compliance Risk Assessment. Im Rahmen dieses systematischen Prozesses identifiziert, analysiert und bewertet der Bereich Data Compliance jährlich die datenbezogenen Risiken für Daimler. Das gilt sowohl für Konzerngesellschaften als auch für die Zentralbereiche. Die Ergebnisse der Analyse dienen als Grundlage unserer Risikosteuerung und Risikominimierung. Sie ermöglichen uns einen risikobasierten Ansatz bei der weiteren Entwicklung unseres Data Compliance Management Systems.

Basis für die Prüfung sind zentral zusammengeführte Informationen zu allen Konzerneinheiten, die je nach Risikoeinschätzung um weitere, individuell erhobene Details ergänzt werden. So führt der Bereich Data Compliance zunächst eine Vorabbewertung auf Grundlage interner und externer Informationen durch. Hierzu gehören zum Beispiel die Datenverarbeitung im Rahmen der Geschäftstätigkeit und das regulatorische Umfeld des Landes, in dem die jeweilige Konzerneinheit ansässig ist. Mithilfe dieser Indikatoren ermittelt der Bereich, ob eine Konzerneinheit besonderen Risiken ausgesetzt ist und deshalb näher betrachtet werden muss. Liegen keine besonderen Risiken vor, erfolgt die Risikoklassifizierung direkt. Darüber hinaus bezieht der Bereich bei seiner finalen Risikoklassifizierung auch Informationen aus dem Netzwerk der Divisional/Regional Compliance Officer mit ein. Der Chief Compliance Officer und das Netzwerk der Divisional/Regional Compliance Officer bestätigen die Ergebnisse des jährlichen Data Compliance Risk Assessments und berichten sie an Vorstand und Aufsichtsrat der Daimler AG sowie der neuen Sparten-AGs.

Umfassende Datenschutzschulungen

Alle Mitarbeiterinnen und Mitarbeiter in Konzerngesellschaften mit E-Mail-Zugang sind verpflichtet, alle drei Jahre das webbasierte Training „Integrity@Work“ zu absolvieren, das auch für Datenschutzthemen sensibilisiert. Darüber hinaus bieten wir Schulungsmodule an, mit denen sich Beschäftigte auf freiwilliger Basis einen Überblick zum Thema Datenschutz und zur DSGVO verschaffen können. Für bestimmte Führungskräfte ist die Teilnahme an einer DSGVO-Schulung verpflichtend. Zudem kann das lokale Management der Konzerneinheit Mitarbeiterinnen und Mitarbeiter zur Teilnahme an diesen Angeboten verpflichten. Die Trainingsmaßnahmen stehen über ein IT-gestütztes Learning Management System weltweit zur Verfügung.

Mitarbeiterinnen und Mitarbeiter, die in besonders datenschutzrelevanten Bereichen arbeiten – zum Beispiel im Personalbereich, dem Vertrieb oder der Entwicklung –, können neben webbasierten Trainings auch an Schulungen der zentralen Compliance-Organisation teilnehmen. Die Verantwortung hierfür liegt beim lokalen Management.

Neuen Geschäftsführern von Konzerngesellschaften erläutern wir im Rahmen des Onboarding-Prozesses Grundzüge des Data Compliance Management Systems. Zum Selbststudium steht Führungskräften außerdem der sogenannte Corporate Governance Navigator im Intranet zur Verfügung. Auch er enthält Informationen zum Thema Datenschutz.

In Konzerneinheiten mit einem hohen datenschutzbezogenen Risiko erstellen wir jährliche Trainingspläne und dokumentieren die Teilnahme.

Der lokalen Datenschutz-Compliance-Organisation kommt eine wesentliche Bedeutung bei der Umsetzung, Beratung und dem Monitoring der Compliance-Maßnahmen zu. Auf ihre Schulung und fortlaufende Qualifikation legt Daimler daher ein besonderes Gewicht.

Local Compliance Officer und Local Compliance Responsibles aus Konzerneinheiten mit mittlerem oder hohem datenschutzbezogenen Risiko durchlaufen neben den oben genannten Schulungen auch ein mehrtägiges interaktives Qualifizierungsprogramm zu Data Compliance. Im Rahmen dieses Präsenztrainings vermitteln wir datenschutzrechtliche Grundkenntnisse und geben praktische Anleitungen für die jeweiligen Aufgaben. Local Compliance Officer und Local Compliance Responsibles aus Konzerneinheiten mit geringem datenschutzbezogenen Risiko erhalten ein videobasiertes Training mit demselben inhaltlichen Zuschnitt.

Umgang mit Beschwerden

GRI 418-1

Im Daimler-Konzern ist für alle Informationssicherheitsvorfälle ein zentraler und rund um die Uhr verfügbarer Meldeprozess etabliert: der Information Security Incident Management Process. Mitarbeiter sind dazu angehalten, alle potenziellen Datenschutzverletzungen intern zu melden. In Einheiten im Anwendungsbereich der DSGVO erfolgt die Bearbeitung eines Datenschutzvorfalls durch den Bereich Konzerndatenschutz, der für die lokale Sachverhaltsaufklärung durch einen lokalen Incident Support unterstützt wird. Der Bereich Konzerndatenschutz gibt anschließend eine Handlungsempfehlung an das lokale Management ab, ob die Aufsichtsbehörden informiert und die Betroffenen innerhalb der gesetzlichen Frist benachrichtigt werden müssen. In Einheiten außerhalb des Anwendungsbereichs der EU-DSGVO übernimmt der lokale Incident Support die weitere Bearbeitung. Gemeinsam mit dem lokalen Management entscheidet er darüber, ob die Aufsichtsbehörden informiert und die Betroffenen benachrichtigt werden müssen. Der Bereich Konzerndatenschutz kann jederzeit unterstützend eingebunden werden. Das Ergebnis der Bearbeitung muss dem Konzerndatenschutz zu Dokumentationszwecken zur Verfügung gestellt werden.

Bei den im Jahr 2019 eingegangenen Meldungen waren weder Fälle von Datendiebstahl noch Datenverlusten zu verzeichnen.

Neben dem Incident-Management-Prozess hat Daimler einen Compliance-Feld-übergreifenden Hinweisgeberprozess etabliert, um Hinweisen auf Verstöße mit hohem Risiko für das Unternehmen und die Beschäftigten fair und angemessen nachzugehen. Der Bereich Data Compliance schult alle Local Compliance Officer und Local Compliance Responsibles dazu, was sie bei der Bearbeitung von Beschwerden beachten müssen. Dabei werden neben lokalen Datenschutzvorgaben auch die Vorgaben der DSGVO berücksichtigt.

Die Kontaktdaten des Konzernbeauftragten für den Datenschutz sind öffentlich verfügbar und Kunden wenden sich mit Anliegen zum Datenschutz an ihn und sein Team. Im Zusammenhang mit dem Projekt Zukunft hat Daimler seine Kunden auch zum Datenschutz informiert. Bedingt hierdurch sowie durch das weiterhin hohe Bewusstsein für den Datenschutz ist bei den Eingaben, die beim Konzerndatenschutz eingingen, im Vergleich zum Vorjahr entsprechend ein Zuwachs zu verzeichnen. In acht Fällen haben Datenschutzaufsichtsbehörden Untersuchungen aufgrund von Kundenbeschwerden durchgeführt. Daraus folgende aufsichtsbehördliche Maßnahmen gegenüber dem Unternehmen gab es nicht.

So bewerten wir die Wirksamkeit unseres Managementansatzes

GRI 103-3

Das Data Compliance Management System befindet sich noch im Aufbau. Ende 2019 fand die jährliche interne Wirksamkeitsprüfung des Daimler Compliance Management Systems statt. Wir bewerten und dokumentieren die Umsetzung der definierten Maßnahmen im Rahmen eines Monitoring- und Reporting-Prozesses. So prüft die Compliance-Organisation jährlich, ob das Compliance Management System angemessen und wirksam ist. Eventuellen Handlungsbedarf dokumentieren wir im Compliance Reporting und halten die Umsetzung nach. Falls erforderlich, passt die Compliance-Organisation das System an die dabei gewonnenen Erkenntnisse, veränderte Risiken und neue rechtliche Anforderungen an.

Anbieter/Datenschutz

Daimler AG Mercedesstraße 120
70372 Stuttgart
Deutschland
Tel.: +49 711 17 0
E-Mail: dialog@daimler.com

Vertreten durch den Vorstand: Ola Källenius (Vorsitzender), Martin Daum, Renata Jungo Brüngger, Wilfried Porth, Markus Schäfer, Britta Seeger, Hubertus Troska, Harald Wilhelm

Vorsitzender des Aufsichtsrats: Manfred Bischoff

Handelsregister beim Amtsgericht Stuttgart, Nr. HRB 19360
Umsatzsteueridentifikationsnummer: DE 81 25 26 315