Informationsmanagement und Datenschutz
Informationen und ihr Management sind ein wichtiger Teil unseres Geschäftserfolgs. Dabei handelt es sich um ganz unterschiedliche Arten von Informationen, z. B. aus Marketing und Kundenservice, aber auch aus den Bereichen Development oder Finanzen. Die Sicherheit und der Schutz der entsprechenden Daten hat für uns einen besonders hohen Stellenwert.
Wir halten uns strikt an die geltenden Gesetze zu Schutz und Sicherheit persönlicher und personenbezogener Daten. Darüber hinaus haben wir zahlreiche Maßnahmen entwickelt, darunter die Umsetzung eines konzernweit einheitlichen Regelwerks zu den Themen Datenschutz, Informationssicherheit und internes Kontrollsystem sowie die Etablierung eines Systems zum Schutz unternehmensbezogener Daten (Cyber Security). Diese sind in entsprechenden Konzernrichtlinien festgeschrieben. Das umfassende Regelwerk wird gestärkt durch eindeutige Verantwortlichkeiten und Ansprechpartner für alle relevanten Konzernbereiche: Wir haben – in Deutschland und Österreich – neben unserem Datenschutzbeauftragten auch Datenschutzkoordinatoren in allen Fachabteilungen und führen zudem regelmäßige Schulungen zum Datenschutz für unsere Mitarbeitende durch. Diese Schulungen sind für alle Mitarbeitenden verpflichtend. Sie werden erstmalig bei Neueinstellung durchgeführt und dann jährlich wiederholt. 2021 haben wir die Datenschutzschulung digital neu aufsetzen und im Online-Weiterbildungskatalog verankern können. Somit kann die Schulung jederzeit von überall eigenständig digital durchgeführt werden. Die Datenschutzkoordinatoren halten die Schulungen für ihren Fachbereich nach und stellen so eine wirksame Kontrolle der Durchführungen der Schulungen sicher. Unsere Kunden finden umfangreiche Datenschutzinformationen unter: https://www.vonovia.de/de-de/datenschutz
Elemente des Systems zum Schutz unternehmensbezogener Daten:
- Einführung des Datenschutzmanagement-Tools Risk2Value DPMS, das uns bei der Erfüllung gesetzlicher Datenschutzpflichten unterstützt. Dieses Datenschutz-Management-System bildet das Verzeichnis von Verarbeitungstätigkeiten zu personenbezogenen Daten ab, d. h. die Prozesse, bei denen personenbezogene Daten verarbeitet werden. Zudem können wir hierüber alle ggf. auftretenden Datenpannen erfassen und bewerten sowie entsprechende Maßnahmen einleiten.
- Definition eines grundlegenden Informationsschutzniveaus zum Erhalt der Unternehmenswerte und des Images; Informationssicherheitsrichtlinie zur Sicherstellung der Einhaltung gesetzlicher Anforderungen und der damit verbundenen Aufgaben
- Etablierung eines IT-Sicherheitsadministrators mit Verantwortung für die Erreichung der IT-Sicherheitsziele und für das direkte Reporting an den Chief Information Officer (CIO)
- Übertragung der Verantwortung für die Sicherheitsrisiken bezüglich der Informationen und Daten, die überwiegend in ihrem Verantwortungsbereich erstellt, erhoben, genutzt oder bearbeitet werden, auf die Gesellschaften und Fachabteilungen
- Steuerung des Prozesses über die IT
- Sensibilisierung der Mitarbeitenden als Grundvoraussetzung für Informationssicherheit
- Durchführung von Datenschutz-Audits in regelmäßigen Abständen bei Dienstleistern, die personenbezogene Daten im Auftrag von Vonovia verarbeiten. Die Audits beinhalten u. a. die Prüfung von Verfahren und Maßnahmen zur Sicherstellung der Systembelastbarkeit sowie von IT-Disaster-Recovery-Plänen.
- Regelmäßige Durchführung von Schwachstellenscans (z. B. Pentests) relevanter IT-Systeme. Allgemein wird dem Thema Cyber Security eine erhöhte Aufmerksamkeit geschenkt wir verfolgen die aktuellen Empfehlungen des Bundesamtes für Sicherheit in der Informationstechnik (BSI).
- Abdeckungsgrad von 99 % aller IT-Systeme gemäß ISO 27001 durch Zertifizierung des entsprechenden Dienstleisters (Rechenzentrum)
Das umfassende Paket an Maßnahmen für den Datenschutz führt dazu, dass wir in unserem Risikomanagement die Risiken einer nicht ausreichenden IT-Security sowie Verletzungen der Datenschutzgrundverordnung mit nur einer sehr geringen Eintrittswahrscheinlichkeit bewerten. Auch das im Rahmen der Covid-Pandemie stark ausgeweitete mobile Arbeiten stellt kein erhöhtes Risiko für den Datenschutz dar.
Der Vorstand wird einmal im Jahr über die Entwicklungen im Bereich Datenschutz und Informationssicherheit informiert. In Österreich erfolgt der Statusbericht jährlich an die Geschäftsführung der BUWOG. Im Aufsichtsrat befasst sich das Auditcommittee mit Fragen rund um das Thema Datensicherheit. Es erhält ebenfalls jährlich den Datenschutzbericht hierzu.