Datenschutz

GRI 418

Als international tätiger Konzern verarbeiten wir personenbezogene Daten unserer Patientinnen und Patienten, unseres Personals, von Kunden, Lieferanten, Geschäftspartnern und allen weiteren Betroffenen. Der sorgfältige Umgang mit den uns zur Verfügung gestellten Daten hat für Fresenius als vertrauenswürdiger Partner Priorität. Wir entwickeln unsere Datenschutzmaßnahmen stetig weiter, um dieser Verantwortung gerecht zu werden.

Unser Ansatz

Fresenius bekennt sich zum Recht auf informationelle Selbstbestimmung und die Privatsphäre aller Personen, deren Daten wir im Rahmen unserer Geschäftstätigkeit erhalten und verarbeiten. Dies schließt auch die Verarbeitung von personenbezogenen Daten durch Dienstleister in unserem Auftrag ein. Diese Verpflichtung ist im Fresenius Verhaltenskodex festgelegt.

Aus Sicht des Fresenius-Konzerns ist Datenschutz eine Kernaufgabe für unser Unternehmen. Deshalb entwickeln wir unsere Datenschutzmanagementsysteme stetig weiter, um neuen Herausforderungen gerecht zu werden. Die operativen Aufgaben des Datenschutzmanagements sind in den Fachabteilungen verankert. Die Fachabteilungen werden dabei durch grundlegende Prozesse des Datenschutz-Management-Systems unterstützt. Darüber hinaus erfolgt in bestimmten Bereichen auch eine Unterstützung durch unser Compliance-Management-System, wie z. B. generelle Risikoanalysen oder die Untersuchung von möglichen Datenschutzverstößen. Wir arbeiten kontinuierlich daran, die Anforderungen der EU-Datenschutz-Grundverordnung ­(EU-DSGVO) und weiterer anwendbarer nationaler und internationaler Datenschutzanforderungen umzusetzen.

Risikoanalyse

Wir beurteilen Risiken im Zusammenhang mit Datenschutz und IT-Sicherheit in jedem Unternehmensbereich und bei Fresenius SE & Co. KGaA regelmäßig mithilfe standardisierter Methoden in einem top-down-Ansatz. Alle Unternehmensbereiche und die Fresenius SE & Co. KGaA erfassen Datenverarbeitungstätigkeiten in zentralen IT-Anwendungen und unterziehen sie einer datenschutzrechtlichen Überprüfung einschließlich einer Risikobewertung. Um hierfür gute Voraussetzungen zu schaffen, organisieren wir Geschäftsprozesse so, dass wir den Datenschutz frühestmöglich in die Ausgestaltung neuer Datenverarbeitungstätigkeiten einbeziehen. U. a. können wir auf diese Weise die Datenschutzgrundsätze umsetzen und die technischen und organisatorischen Maßnahmen in die Verarbeitung aufnehmen, die notwendig sind, um den rechtlichen Anforderungen, z. B. aus der EU-DSGVO, zu genügen und eventuelle Risiken zu minimieren. Die Einführung neuer oder wesentlich veränderter IT-Systeme unterliegt einem standardisierten ­Prüfprozess, in dem die Einhaltung der Anforderungen des Datenschutzes und der IT-Sicherheit geprüft werden.

Betroffenenrechte

Wir bei Fresenius respektieren und achten die Rechte aller Betroffenen, deren Daten wir verarbeiten. Dies gilt für Beschäftigte, Patientinnen, Patienten und Kunden ebenso wie für Geschäftspartner und andere Betroffene. Wir verarbeiten personenbezogene Daten für die jeweils festgelegten rechtmäßigen Zwecke unter Beachtung der gesetzlichen Vorgaben. Alle Unternehmensbereiche und die Fresenius SE & Co. KGaA wahren die Rechte der Betroffenen, indem sie diese angemessen über ihre Rechte informieren und Prozesse und Tools etabliert haben, um zu gewährleisten, dass Anfragen fristgerecht beantwortet werden. Unsere Mitarbeiterinnen und Mitarbeiter informieren wir mittels Datenschutzhinweisen über ihre Rechte. Wir informieren Betroffene über die Verarbeitung ihrer Daten und begrenzen die Verarbeitung von Daten nur für die ursprünglich ver­einbarten Zwecke. Wenn erforderlich, holen wir auch die Einwilligung zur Datenverarbeitung von Betroffenen ein. Außerdem haben wir technische und organisatorische Maßnahmen umgesetzt, die der Wahrung der Betroffenenrechte gemäß EU-DSGVO dienen. Wir geben Betroffenen – sowohl Externen als auch Mitarbeiterinnen und Mitarbeitern – eine einfache Möglichkeit, sich zu erkundigen, welche personenbezogenen Daten wir von ihnen verarbeiten oder speichern. Fresenius SE & Co. KGaA und Fresenius Kabi haben leicht zugängliche technische Lösungen entwickelt, mit deren Hilfe Betroffene Anfragen an die Unternehmen richten können. Diese Anfragen werden zentral bearbeitet und beantwortet. Mit diesen Lösungen unterstützen wir Betroffene dabei, ihre Rechte auf Auskunft, Berichtigung, Einschränkung, Widerspruch, Portabilität und Löschung ihrer personenbezogenen Daten zeitgerecht wahrnehmen zu können. Löschanfragen beantworten wir unter Einhaltung gesetzlicher Vorgaben.

Patientendaten

Das Wohl der Patientinnen und Patienten steht bei Fresenius an erster Stelle. Dies gilt auch für den Umgang mit ihren Daten. Wir sind uns der Verantwortung bewusst, die sich aus dem besonderen Vertrauensverhältnis zu ihnen ergibt. Deshalb treffen wir neben der grundlegenden Wahrung der Betroffenenrechte weiterführende Maßnahmen, um den Schutz ihrer sensiblen Daten zu gewährleisten. Wir gestalten unsere Prozesse entsprechend, um einen angemessenen Schutz im Umgang mit den personenbezogenen Patientendaten zu erreichen. Alle Patientinnen und Patienten, die wir bei Fresenius betreuen und deren Daten wir verarbeiten, informieren wir in geeigneter Form über ihre Rechte. Wir verarbeiten ihre Daten nur nach ihrer Einwilligung oder auf Basis einer anderen gesetzlichen Grundlage und nur im erforderlichen Umfang. Für Tätigkeiten, die die Verarbeitung von personenbezogenen Daten, insbesondere auch Patientendaten, beinhalten, wird vor der Datenverarbeitung eine Datenschutzfolgenabschätzung durchgeführt. Wir schützen Patientendaten auch, indem wir den Zugriff nach dem Prinzip der minimalen Rechte auf die für die Verarbeitung notwendigen Daten einschränken und begrenzen.

Internationaler Datentransfer

Als weltweit tätiger Konzern legen wir großen Wert darauf, bei allen internationalen Datentransfers ein angemessenes Datenschutzniveau im Sinne der EU-DSGVO zu gewährleisten. Alle Unternehmensbereiche und die Fresenius SE & Co. ­KGaA übermitteln Daten nur auf Basis eines etwaigen Angemessenheitsbeschlusses der Europäischen Kommission, anerkannter Zertifizierungen oder anderer rechtlicher Schutzklauseln in Länder außerhalb der Europäischen Union. Zu diesem Zweck schließen wir neben den kommerziellen Verträgen auch spezifische Zusatzvereinbarungen zur Datenverarbeitung mit den Empfängern ab. In diesen nutzen wir auch EU-Standardvertragsklauseln, die von der Europäischen Kommission zur Verfügung gestellt werden. Neueste Entwicklungen im Bereich des internationalen Datentransfers, wie beispielsweise die Entscheidung des EuGH im Schrems II Fall zum Privacy Shield, werden intensiv verfolgt und in Risikoanalysen berücksichtigt. Die Fresenius SE & Co. KGaA sowie Fresenius Kabi haben darüber hinaus sogenannte Binding Corporate Rules (BCR), d. h. verpflichtende unternehmensinterne Richtlinien, zur Prüfung und Genehmigung bei den zuständigen Datenschutzbehörden eingereicht und bereiten bereits deren interne Umsetzung vor. BCR dienen den teilnehmenden Gesellschaften zur Herstellung eines einheitlichen, an den Maßstäben der EU-DSGVO ausgerichteten Datenschutzniveaus und tragen dazu bei, personenbezogene Daten international rechtmäßig zu verarbeiten. Zusätzlich verarbeitet Helios Deutschland personenbezogene Daten, insbesondere Patientendaten, bevorzugt innerhalb der internen Netzwerke. Wenn Daten in Staaten außerhalb der EU durch externe Unternehmen verarbeitet werden, wird der Auftragnehmer einer sorgfältigen Prüfung unterzogen und es werden Maßnahmen getroffen, um die Einhaltung datenschutzrechtlicher Bestimmungen zu gewährleisten.

Schulungen

Wir schulen Mitarbeiterinnen und Mitarbeiter zu aktuellen Anforderungen und Bedrohungen im Zusammenhang mit Datenschutz und Datensicherheit. Hierzu steht ihnen ein umfangreiches Spektrum von E-Learnings, Präsenzschulungen und weiteren Schulungsmaßnahmen zur Verfügung. Generelle Schulungen ergänzen wir um zielgruppenspezifische Schulungsmaßnahmen. Dadurch stellen wir sicher, dass Beschäftigte, die mit der Verarbeitung von Daten betraut sind, über die aktuelle Gesetzeslage und die internen Vorgaben informiert sind.

Neue Mitarbeiterinnen und Mitarbeiter weisen wir bei Aufnahme ihrer Tätigkeit auf die Vertraulichkeit und den entsprechenden Umgang mit sensiblen Daten hin und verpflichten sie zur Vertraulichkeit. Neu eingestellte Beschäftigte erhalten bei Helios Deutschland darüber hinaus innerhalb einer festgelegten Frist eine Pflichtunterweisung im Bereich Datenschutz. Jede Gesellschaft bei Helios Deutschland und bei Fresenius Medical Care hat mindestens alle zwei Jahre einen Nachweis bezüglich der Unterweisung ihrer Beschäftigten im Bereich Datenschutz zu erbringen. Fresenius Vamed veranstaltet ein jährliches, für Mitarbeiterinnen und Mitarbeiter verpflichtendes Datenschutz E-Learning.

Organisation und Verantwortlichkeiten
Die Organisationsstruktur

Die Fresenius SE & Co. KGaA sowie alle Unternehmensbereiche unterhalten Datenschutzorganisationen im Einklang mit ihrer Organisations- und Geschäftsstruktur. Dazu gehören unabhängige Datenschutzbeauftragte, die an das jeweilige Management der Gesellschaft berichten. Die Datenschutzorganisationen unterstützen die Führungskräfte der zugeordneten Gesellschaften dabei, die geltenden datenschutzrechtlichen Anforderungen einzuhalten und zu überwachen. Fresenius Netcare als Auftragsverarbeiter von Daten der Unternehmensbereiche unterhält ebenfalls eine eigene Datenschutzorganisation, um dieser besonderen Verantwortung gerecht zu werden. Alle Datenschutzorganisationen haben sowohl beratende als auch kontrollierende Funktionen, die sich in ihren Aufgaben ergänzen. Die Datenschutzbeauftragten sind dafür verantwortlich, die Einhaltung der datenschutzrechtlichen Anforderungen zu überwachen. Sie sind Ansprechpartner für nationale und internationale Aufsichtsbehörden und werden durch fachkundige Datenschutzberaterinnen und -berater sowie Datenschutzkoordi­natorinnen und -koordinatoren unterstützt. Diese beraten die Fachabteilungen in operativen Fragen des Datenschutzes – denn wir verstehen Datenschutz als Gemeinschaftsaufgabe aller Beschäftigten des Fresenius-Konzerns. Je nach Unternehmensbereich sind die Datenschutzberaterinnen und -berater zentral, regional oder lokal organisiert. Helios Spanien hat z. B. Datenschutzkomitees auf Ebene der Kliniken eingerichtet. Alle Datenschutzverantwortlichen unterstützen konzernweit Führungskräfte dabei, alle datenschutzrechtlichen Anforderungen einzuhalten. Insgesamt sind bei Fresenius mehr als 300 Mitarbeiterinnen und Mitarbeiter mit Datenschutzaufgaben betraut.

Die Datenschutzverantwortlichen aller Unternehmensbereiche und der Fresenius SE & Co. KGaA tauschen sich regelmäßig zu Best Practices und Initiativen aus – u. a. im Rahmen von konzernweiten Koordinationstreffen und Konferenzen, Jour Fixes und weiteren Formaten – um vergleichbare effektive Datenschutzmaßnahmen zu treffen. 2020 fanden alle Veranstaltungen rein virtuell statt.

Einbindung des Vorstands und Berichterstattung

Die Gesamtverantwortung für Datenschutz liegt auf Ebene des Fresenius-Konzerns beim Vorstandsmitglied für Recht, Compliance und Personal der Fresenius Management SE. Der Datenschutzbeauftragte der Fresenius SE & Co. KGaA berichtet in direkter Linie an dieses zuständige Vorstandsmitglied.

Darüber hinaus ist Datenschutz ein reguläres Thema im Compliance Steering Committee, dem u.a. das Vorstandsmitglied für Recht, Compliance und Personal der Fresenius Management SE angehört. Die verantwortlichen Datenschutzbeauftragten der vier Unternehmensbereiche berichten regelmäßig an die jeweiligen Geschäftsführer bzw. Vorstandsmitglieder.

Richtlinien und Regulierungen

Datenschutz ist eine Gemeinschaftsaufgabe aller Mitarbeiterinnen und Mitarbeiter der Fresenius-Gruppe. Kern ist hierbei das gemeinsame Bekenntnis aller Unternehmensbereiche und der Fresenius SE & Co. KGaA zum Datenschutz, das in den Verhaltenskodizes niedergelegt ist. Im Fresenius-­Verhaltenskodex bekennen wir uns klar zum sorgfältigen Umgang mit Daten und dem Recht auf informationelle Selbstbestimmung: Wir verpflichten uns, die Rechte und die Privatsphäre aller Personen zu achten, von denen wir Daten erheben oder erhalten.

Alle Unternehmensbereiche und die Fresenius SE & Co. ­KGaA haben zudem Richtlinien zum Datenschutz und dem Umgang mit personenbezogenen Daten erstellt. Die Datenschutzrichtlinien werden durch weitere Richtlinien, Standards oder Arbeitsanweisungen konkretisiert. Diese unterstützen die Mitarbeiterinnen und Mitarbeiter dabei, die Vorgaben der EU-DSGVO und weiterer relevanter gesetzlicher Regelungen in ihrem Verantwortungsbereich umzusetzen.

Fortschritte und Maßnahmen 2020

Zur Sicherstellung einer strukturierten und effizienten Bearbeitung von Meldungen zu möglichen Datenschutzver­stößen hat Fresenius Kabi eine Richtlinie umgesetzt, ­flankiert von einer technischen Lösung zur Erfassung von Meldungen durch die Mitarbeiter und begleitenden Schulungsmaßnahmen. Des Weiteren wurden die technischen Anwendungen zur Durchführung und Dokumentation von Risikobewertungen zu Verarbeitungstätigkeiten, sowie zur Erfassung und Bearbeitung von Betroffenenanfragen weiterentwickelt.

Fresenius Vamed lässt ihre Fortschritte im Datenschutz­management jährlich von einer externen Anwaltskanzlei evaluieren und dokumentieren. Im Jahr 2020 wurde für ­Fresenius Vamed ein Fokus auf die Aktualisierung von Auftragsdatenverarbeitungsverträgen und Verzeichnisse der Verarbeitungstätigkeiten gelegt.

Fresenius Medical Care hat im Jahr 2020 eine globale Kommunikationskampagne zum Thema Datenschutz-Bewusstsein ausgerollt. Fresenius Medical Care hat im Berichtsjahr die Schulungsangebote zu Datenschutz als Teil eines internationalen Programms weiter ausgebaut. Dieses Programm vermittelt Details zu den Unternehmenswerten und zu Maßnahmen, die Fresenius Medical Care ergreift, um personenbezogene Daten zu schützen. Weltweit konnten Mitarbeiterinnen und Mitarbeiter von Fresenius Medical Care 2020 an über 160 Schulungen zum Thema Datenschutz teilnehmen.

Helios Deutschland hat im Jahr 2020 verschiedene Maßnahmen ihres Datenschutzmanagementsystems weiter verstärkt. So wurden zusätzliche Anforderungen und Materialien für die Prüfung von Verarbeitungstätigkeiten erarbeitet und vorgestellt, das Helios Auditkonzept überarbeitet und die Meldeprozesse im Hinblick auf die Prüfung neuer Ver­arbeitungstätigkeiten zentral und lokal angepasst. Darüber hinaus wurde ein neuer zentraler Bereich aufgebaut, der sich mit datenschutzrechtlichen Fragestellungen in der Forschung befasst. Daneben waren die Verarbeitung von ­personenbezogenen Daten im Zusammenhang mit Covid-19 sowie die datenschutzkonforme Ausgestaltung der Kranken­hausinformationssysteme Schwerpunktthemen des Jahres.

Helios Spanien hat die Durchführung von Datenschutzfolgeabschätzungen weiter fortgesetzt und zusätzliche Indikatoren zu Technologie- und Informationssicherheitsrisiken aufgenommen sowie eine unternehmensweite Schulung zum Datenschutz aufgesetzt, die in 2021 ausgerollt wird. Neue Verfahren für die Untersuchung und Verarbeitung personen­bezogener Daten, die Fernüberwachung von klinischen Studien sowie Datenhaltung wurden entwickelt. Darüber hinaus hat Helios Spanien mehrere Audits mit Datenschutz­bezug durchgeführt und Informationssicherheitszertifikate für mehrere Kliniken erlangt.

Der Bereich Fresenius SE & Co. KGaA hat im Jahr 2020 sein Datenschutz-Management-System kontinuierlich weiterentwickelt. Neben der Weiterentwicklung des bereits bestehenden Prozesses zur effizienten Prüfung von möglichen Datenschutzverstößen beinhaltete dies auch die ­Fortentwicklung und Implementierung des Datenschutz-Audit-­Konzepts. Darüber hinaus wurden – zur Verwirklichung des risikobasierten Ansatzes – die datenschutzrechtlichen Risikoprüfungen von Datenverarbeitungstätigkeiten weiter verfeinert und implementiert. Die zulässige Verarbeitung personenbezogener Daten in Verbindung mit ­Maßnahmen zu Covid-19 stellte ebenso einen Jahres-Schwerpunkt dar.

Evaluation

Audits und Überwachung

Um die Einhaltung datenschutzrechtlicher Vorgaben zu sichern, führen mehrere Überwachungsfunktionen im ­Konzern regelmäßig Kontrollen mit unterschiedlichem Fokus in allen Unternehmensbereichen durch. Die Abteilungen der Internen Revision führen unabhängige Prüfungen in allen Unternehmensbereichen und Konzerngesellschaften durch. Hierbei werden u. a. Aspekte des Datenschutzes und der IT-Sicherheit überprüft, wobei vor allem die Einhaltung der datenschutzrechtlichen Vorgaben sowie die konsequente Umsetzung von internen Richtlinien und Prozessen im Fokus steht. Hierzu findet ein Austausch mit dem jeweiligen Datenschutzbeauftragten statt. Alle Unternehmensbereiche und die Fresenius SE & Co. KGaA haben hierfür entsprechende Audit-Konzepte erarbeitet.

Zudem sind Datenschutzkontrollen Bestandteil verschiedener interner Kontrollrahmenwerke der Unternehmens­bereiche. Erkenntnisse zu Verbesserungspotenzialen aus Audits und Prüfungen nutzen wir, um unsere Datenschutzprozesse kontinuierlich weiterzuentwickeln. Beispielsweise sieht das Auditkonzept von Helios Deutschland vor, dass jede Gesellschaft regelmäßig – mindestens aber einmal jährlich – im Rahmen interner Audits im Hinblick auf Datenschutz geprüft wird.

Hinweisgebersysteme

Alle Mitarbeiterinnen und Mitarbeiter des Fresenius-Konzerns haben die Möglichkeit, etwaige Verstöße gegen datenschutzrechtliche Vorschriften oder unternehmensinterne Richtlinien über die bestehenden Hinweisgeber­systeme oder eigens dafür eingerichtete E-Mail-Adressen zu melden. Jeden Hinweis auf mögliche Verstöße gegen datenschutzrechtliche Vorschriften nehmen wir zum Anlass, den gemeldeten Sachverhalt schnellstmöglich aufzuklären und unsere Unternehmensprozesse bei Bedarf zu überprüfen und anzupassen. Wenn erforderlich, informieren wir Betroffene über mögliche Datenschutzverstöße zeitnah und im Einklang mit gesetzlichen Vorgaben. Angaben zu erhaltenen Meldungen im Bereich Datenschutz finden Sie oben in diesem Kapitel.

Compliance

Menschenrechte