Vernetzte Daten und globalisierte Unternehmensaktivitäten eröffnen entscheidende Möglichkeiten für eine hochwertige und zukunftsfähige Versorgung von Patientinnen und Patienten. Gleichzeitig erfordert die stark digitalisierte Arbeit im Fresenius-Konzern einen besonders sorgfältigen Umgang mit personenbezogenen, insbesondere sensiblen medizinischen Daten.

Für den umfassenden Schutz personenbezogener Daten ist deswegen ein konzernweites ganzheitliches und robustes Datenschutzkonzept von größter Bedeutung. Es ist unsere Aufgabe, in allen Organisationen eine sichere IT-Infrastruktur, klar geregelte Datenverarbeitungsprozesse und die umfassende Sensibilisierung aller Mitarbeiterinnen und Mitarbeiter sicherzustellen.

Unsere Ziele und Ambitionen

Es ist unser Anspruch, durch die Aktivitäten im Bereich Datenschutz unsere Beschäftigten bestmöglich im Hinblick auf den datenschutzkonformen Umgang mit personenbezogenen Daten zu sensibilisieren. Sie sollen in die Lage versetzt werden, Datenschutzverletzungen durch umfangreiche Kenntnisse und achtsamen Umgang mit personenbezogenen Daten zu vermeiden sowie etwaige Datenschutzverletzungen unmittelbar zu identifizieren, um unverzüglich die erforderlichen Maßnahmen einzuleiten. Über Datenschutzvorkommnisse berichten wir im Abschnitt Compliance.

Dabei helfen uns auch interne Vorgaben und dokumentierte Prozesse, z. B. zur fristgerechten Beantwortung von Betroffenenanfragen und Bearbeitung und mögliche Meldung von Datenschutzverstößen an die zuständige Behörde und eine damit einhergehende ausreichende Dokumentation.

Unser Ansatz

Wir bewegen uns als Gesundheitsdienstleister in einem sensiblen Umfeld und tragen eine große Verantwortung, von der das Leben und die Gesundheit vieler Menschen abhängt. Entsprechend wissen wir die hohen Qualitätsstandards in unseren regulierten Tätigkeitsfeldern mit wirtschaftlichen, effizienten IT-gestützten Prozessen in Einklang zu bringen. Dabei sind wir uns stets der Sensibilität und des zunehmenden Schutzbedarfs der von uns verarbeiteten Daten und Informationen bewusst.

Der Fresenius-Konzern und seine operativen Einheiten verarbeiten u. a. personenbezogene Daten von

• unseren Patientinnen und Patienten,
• unseren Beschäftigten,
• Kunden sowie
• Lieferanten und anderen Geschäftspartnern.

Wir verpflichten uns, die Rechte und Freiheiten aller betroffenen Personen zu respektieren und zu wahren und personenbezogene Daten zweckgebunden unter Beachtung der gesetzlichen Vorgaben zu verarbeiten. Wir verlangen auch von Dritten, mit denen Daten zu festgelegten Zwecken geteilt werden, z. B. für die Bereitstellung von Dienstleistungen, die geltenden Datenschutzanforderungen einzuhalten. Dies wird auch durch externe Audits überprüft, wie im Kapitel Strategie und Management erläutert. Als Kernaufgabe für unser Unternehmen ist Datenschutz im Verhaltenskodex des Fresenius-Konzerns verankert. Um neuen Anforderungen und Technologien gerecht zu werden, entwickeln wir unsere Datenschutzmanagementsysteme sowie die damit einhergehenden Datenschutzmaßnahmen stetig weiter.

Organisation und Verantwortlichkeiten

Im Konzernvorstand von Fresenius übernimmt der Vorstand ESG die Verantwortung für Datenschutz. Der Datenschutzbeauftragte¹ der Fresenius SE & Co. KGaA berichtet in direkter Linie an diese Person.

Die Verantwortung in den Unternehmensbereichen für die Implementierung datenschutzbezogener Governance-Strukturen obliegt den jeweiligen Geschäftsführungen bzw. Vorständen. Die Unternehmensbereiche haben die Zuständigkeit für Datenschutz z. B. über einen Geschäftsverteilungsplan geregelt.

Darüber hinaus ist Datenschutz ein regelmäßiges Thema im Risk Steering Committee, dem u. a. der Vorstand ESG angehört. Die Datenschutzbeauftragten der Unternehmensbereiche agieren bei der Ausübung ihrer Aufgaben eigenständig und berichten an ihre jeweilige Geschäftsführung. Weitere Ausführungen zum Risk Steering Committee finden Sie im Abschnitt Compliance.

Die Fresenius SE & Co. KGaA sowie alle Unternehmensbereiche unterhalten Datenschutzorganisationen im Einklang mit ihrer Organisations- und Geschäftsstruktur, einschließlich der oben genannten unabhängigen Datenschutzbeauftragten. Die Datenschutzorganisationen unterstützen die Führungskräfte und Fachabteilungen der zugeordneten Gesellschaften in operativen Fragen des Datenschutzes. In diesem Zusammenhang helfen sie dabei, die in den jeweiligen Ländern geltenden datenschutzrechtlichen Anforderungen zu beachten und einzuhalten. Die jeweiligen Datenschutzbeauftragten sind dafür verantwortlich, die Einhaltung der datenschutzrechtlichen Anforderungen zu überwachen. Sie sind Ansprechpersonen für nationale und internationale Aufsichtsbehörden und werden intern durch weitere Fachleute unterstützt. Je nach Unternehmensbereich sind die Datenschutzberaterinnen und -berater sowie die Fachleute zentral, regional und / oder lokal organisiert. Die Datenschutzberaterinnen und -berater haben im Konzern die Aufgabe, die Business Process Owner (BPOs) und weitere Mitarbeiterinnen und Mitarbeiter in Datenschutzfragen zu beraten und Aktivitäten zum Datenschutz zu koordinieren. Ein BPO ist eine natürliche Person im Unternehmen, die Prozesse verantwortet, in denen u. a. Datenverarbeitungen stattfinden.

Die operativen Aufgaben des Datenschutzes sind in den Fachabteilungen verankert, die dabei durch Prozesse des Datenschutzmanagementsystems unterstützt werden. Zu bestimmten Themen unterstützt zusätzlich unser Compliance-Management-System mit z. B. Risikoanalysen.

Regelmäßig diskutieren Expertinnen und Experten, nicht nur aus dem Datenschutz, sondern z. B. auch aus der IT, in entsprechenden Formaten relevante Aspekte zu IT-Sicherheit, Informationssicherheit und Datenschutz. Das Ergebnis dieser Gespräche kann zur Umsetzung konkreter Maßnahmen führen oder zu strategischen Entscheidungen, die dem jeweiligen Management zum Beschluss vorgelegt werden.

Zudem tauschen sich die Datenschutzexpertinnen und -experten regelmäßig zu Best Practices und Initiativen aus, u. a. im Rahmen von konzernweiten Koordinationstreffen und Konferenzen, Jours fixes und weiteren Formaten.

Meldesysteme

Externe sowie alle Mitarbeiterinnen und Mitarbeiter des Fresenius-Konzerns können Bedenken hinsichtlich Datenschutz über die bestehenden Hinweisgebersysteme oder eigens dafür eingerichtete E-Mail-Adressen melden. Jeden Hinweis auf mögliche Verstöße gegen datenschutzrechtliche Vorschriften nehmen wir zum Anlass, den gemeldeten Sachverhalt schnellstmöglich aufzuklären, zu evaluieren und unsere Unternehmensprozesse bei Bedarf zu hinterfragen sowie gegebenenfalls anzupassen. Wenn erforderlich, melden wir Datenschutzverstöße den zuständigen Behörden und informieren Betroffene unverzüglich und im Einklang mit den gesetzlichen Vorgaben. Die Datenschutzorganisationen führen eigene Prüfungen und Dokumentationen von möglichen Verstößen durch.

Über die Hinweisgebersysteme wurde im Berichtsjahr keine Datenschutzverletzung gemeldet, die sich unmittelbar auf die Finanzlage oder Reputation des Unternehmens ausgewirkt hat. Insgesamt wurden im Berichtsjahr 25 Berichte eingereicht, wie im Abschnitt Compliance erläutert.

Audits oder Risikoüberprüfungen führten wir auf Ebene der Unternehmensbereiche bzw. lokal durch, wie weiter unten beschrieben. Sofern Abweichungen festgestellt wurden, erfolgen Korrekturmaßnahmen innerhalb der betroffenen Einheit. Weitere Ausführungen zu Chancen und Risiken finden Sie im Chancen- und Risikobericht.

Über Anzahl, Art und Bearbeitungsstand von Datenschutzvorkommnissen und Betroffenenanfragen fertigen die Datenschutzbeauftragten Berichte an, die gemäß der erläuterten Organisationsstruktur kommuniziert werden.

Bei Datenschutzverstößen können, abhängig vom festgestellten Schweregrad, ergänzende Schutzmaßnahmen oder die Anpassung von Vertragsklauseln erforderlich sein, um den Schutz von Rechten und Freiheiten zu verbessern.

Richtlinien und Regularien

Die Umsetzung von Datenschutz ist eine Gemeinschaftsaufgabe aller Mitarbeiterinnen und Mitarbeiter des Fresenius-Konzerns. Kern ist hierbei das gemeinsame Bekenntnis aller Unternehmensbereiche und der Fresenius SE & Co. KGaA zum Datenschutz, das in den Verhaltenskodizes festgelegt ist. Im Fresenius-Verhaltenskodex bekennen wir uns klar zum sorgfältigen Umgang mit Daten und dem Recht auf informationelle Selbstbestimmung. Die Datenschutzerklärungen sind öffentlich einsehbar, z. B. auf der Website der Fresenius SE & Co. KGaA.

Wir haben zudem verbindliche interne Richtlinien zum Datenschutz und zum Umgang mit personenbezogenen Daten eingeführt, sogenannte Binding Corporate Rules (BCR). Im Berichtsjahr haben wir die BCR als neue Datenschutzrichtlinie beim Segment Corporate / Sonstige und Fresenius Kabi ausgerollt. Die BCR werden durch weitere Standardverfahrensanweisungen und Arbeitsrichtlinien konkretisiert. Diese unterstützen die Mitarbeiterinnen und Mitarbeiter dabei, die Vorgaben der Binding Corporate Rules in ihrem Verantwortungsbereich umzusetzen.

Um die Einhaltung datenschutzrechtlicher Vorgaben zu sichern, nehmen mehrere Funktionen im Konzern regelmäßig Kontrollen mit unterschiedlichem Fokus in allen Unternehmensbereichen vor. Internal-Audit-Abteilungen führen in allen Unternehmensbereichen unabhängige Prüfungen durch, um die Effektivität von Risikomanagement-, Kontroll- und Governance-Prozessen zu verbessern. Hierbei werden risikobasiert auch Aspekte des Datenschutzes berücksichtigt. Die Ergebnisse der durchgeführten Prüfungen zum Datenschutz werden durch die jeweiligen Datenschutzverantwortlichen analysiert und fließen in die kontinuierliche Verbesserung bestehender Maßnahmen ein. Darüber hinaus führen u. a. die Datenschutzbeauftragten regelmäßige spezifische Datenschutzaudits durch. Weiter unterliegen wir auch externen Kontrollen und führen bei Bedarf auch über Dritte Audits bei Geschäftspartnern durch, die für uns Datenverarbeitungstätigkeiten durchführen.

Zudem sind Datenschutzkontrollen und Datenschutzrisikobewertungen integraler Bestandteil verschiedener interner Kontrollrahmenwerke der Unternehmensbereiche. Die Erkenntnisse zu Verbesserungspotenzialen aus Datenschutzaudits, Risikobewertungen und Prüfungen nutzen wir, um unsere Datenschutzprozesse kontinuierlich weiterzuentwickeln.

Risikobeurteilung

Wir beurteilen Risiken im Zusammenhang mit Datenschutz, IT-Sicherheit und Informationssicherheit regelmäßig mithilfe standardisierter Methoden. Alle Unternehmensbereiche und die Fresenius SE & Co. KGaA erfassen Datenverarbeitungstätigkeiten in zentralen IT-Anwendungen und unterziehen sie möglichst früh im Einführungs- oder Anpassungsprozess einer datenschutzrechtlichen Überprüfung einschließlich einer Risikobewertung. In diesem Zusammenhang unterstützen die Datenschutzbeauftragten die Verantwortlichen bei Bedarf bei der Erstellung einer Datenschutzfolgenabschätzung. Wir implementieren angemessene technische und organisatorische Maßnahmen bei der Verarbeitung von personenbezogenen Daten und können so u. a. die Datenschutzanforderungen umsetzen und eventuelle Risiken minimieren. Diese werden regelmäßig auf Aktualität, z. B. technische Weiterentwicklung, überprüft. Darüber hinaus obliegt es dem Prozesseigner, relevante geplante Veränderungen in Datenverarbeitungsaktivitäten anzuzeigen, um nachfolgend bei Bedarf die Durchführung einer erneuten datenschutzrechtlichen Prüfung zu ermöglichen. Weitere Informationen zu IT-Sicherheit finden Sie im Kapitel Cybersecurity.

Die regelmäßigen internen und externen Kontrollen, Analysen und Prüfungen durch die zuständigen Datenschutzberater, Datenschutzmanagementsysteme oder externe Prüfungsinstanzen werden durch die Prüfungsaktivitäten der Konzernfunktion Interne Revision ergänzt. Hierbei werden risikoorientiert auch Maßnahmen im Bereich Datenschutz wie Richtlinien und Verfahren sowie deren Implementierung berücksichtigt. Im Jahr 2023 wurden acht Prüfungen mit Prüfungsbezug Datenschutz durchgeführt. Die Ergebnisse der Prüfungen werden durch die Datenschutzorganisationen analysiert und fließen in die kontinuierliche Verbesserung bestehender Maßnahmen ein.

Schulungen

Wir schulen Mitarbeiterinnen und Mitarbeiter zu aktuellen Anforderungen und Bedrohungen im Zusammenhang mit Datenschutz und Datensicherheit im Rahmen von E-Learnings, Präsenzschulungen und weiteren Trainingsmaßnahmen. Dabei unterscheiden wir hinsichtlich Fachfunktionen und Verantwortlichkeiten den Umfang der Schulung sowie zwischen freiwilligen und verpflichtenden Schulungen. Allgemeine Schulungen ergänzen wir um zielgruppenspezifische Schulungsmaßnahmen. Dadurch stellen wir sicher, dass die mit der Verarbeitung von Daten betrauten Beschäftigten über die aktuelle Gesetzeslage und die entsprechenden internen Vorgaben informiert sind. Grundsätzlich ist für alle Beschäftigten verpflichtend ein Basistraining zum Datenschutz vorgesehen.

Neue Mitarbeiterinnen und Mitarbeiter weisen wir bei der Aufnahme ihrer Tätigkeit auf den Umgang mit sensiblen Daten hin und verpflichten sie zur Vertraulichkeit. Darüber hinaus erhalten sie innerhalb festgelegter Fristen eine Online-Pflichtunterweisung im Bereich Datenschutz. Es wurde weiter festgelegt, wann bzw. wie häufig ein Nachweis bezüglich der Unterweisung der Beschäftigten im Bereich Datenschutz zu erbringen ist. Der Zeitraum bewegt sich zwischen acht Wochen für die Basisschulung und mindestens alle zwei Jahre für Folgeschulungen.

Betroffenenrechte

Alle Unternehmensbereiche und die Fresenius SE & Co. KGaA verpflichten sich, die Rechte der Betroffenen zu wahren, indem sie sie angemessen darüber informieren und Prozesse und Anwendungen etabliert haben, um zu gewährleisten, dass Anfragen ausreichend und fristgerecht beantwortet werden. Fresenius informiert Betroffene – unabhängig davon, ob Beschäftigte oder Externe – mit Datenschutzhinweisen über die Verarbeitung ihrer Daten, z. B. Erhebung und Speicherung. Zudem teilen wir den Mitarbeiterinnen und Mitarbeitern über interne Kommunikationskanäle alle Anpassungen der Datenschutzhinweise mit, die sie betreffen.

Unsere technischen und organisatorischen Maßnahmen, inklusive der Implementierung von entsprechenden Anwendungen, dienen der Wahrung der Betroffenenrechte gemäß der Datenschutz-Grundverordnung der Europäischen Union (EU-DSGVO). Wir informieren Betroffene in präziser, transparenter, verständlicher und leicht zugänglicher Form darüber, welche personenbezogenen Daten wir von ihnen verarbeiten. Anfragen können im Konzern zentral, auf Ebene der Unternehmensbereiche oder auf beiden Ebenen bzw. auch lokal in der jeweiligen Landessprache bearbeitet und beantwortet werden.

Ziel unserer Maßnahmen ist es, Betroffene dabei zu unterstützen, ihr Recht auf Auskunft, Berichtigung, Einschränkung, Widerspruch, Übertragbarkeit und Löschung ihrer personenbezogenen Daten zeitgerecht wahrnehmen zu können. Wir kommen solchen Betroffenenanfragen bzw. -rechten unter Einhaltung der gesetzlichen Vorgaben nach.

Internationaler Datentransfer

Als weltweit tätiger Konzern legen wir großen Wert darauf, bei allen internationalen Datentransfers ein angemessenes Datenschutzniveau mindestens im Sinne der Anforderungen der EU-DSGVO sowie aller weiteren rechtlichen Anforderungen für den internationalen Datentransfer zu gewährleisten. Dazu gehören auch unsere BCR sowie verbindliche unternehmensinterne Richtlinien und Vorgaben. BCR stellen sicher, dass die teilnehmenden Gesellschaften ein einheitliches, an den Maßstäben der EU-DSGVO ausgerichtetes Datenschutzniveau schaffen und dazu beitragen, personenbezogene Daten auf internationaler Ebene innerhalb der Unternehmen rechtmäßig zu verarbeiten. Neueste Entwicklungen im Bereich des internationalen Datentransfers werden intensiv verfolgt und in den erläuterten Risikoanalysen sowie bei Vertragsabschlüssen berücksichtigt. Intern verfügbare Vorlagen werden nachfolgend angepasst. Wenn Daten in einem anderen Staat durch externe Unternehmen verarbeitet werden, wird der Auftragnehmer einer sorgfältigen Prüfung unterzogen. Wir ergreifen dabei Maßnahmen, z. B. zusätzliche Schutzvorkehrungen wie Pseudonymisierungsmaßnahmen, um die Einhaltung datenschutzrechtlicher Bestimmungen und das erforderliche Sicherheitsniveau zu gewährleisten. Die Datenschutzabteilungen sind an allen Verhandlungen über Datenschutzverträge beteiligt.