Skip to content

GRI 418/103-1

Als international tätiger Konzern verarbeiten wir personenbezogene Daten u. a. unserer Patientinnen und Patienten, unserer Beschäftigten, Kundinnen und Kunden, Lieferanten und anderer Geschäftspartnerinnen und -partner. Der sorgfältige Umgang mit den uns zur Verfügung gestellten Daten ist Fresenius ein sehr wichtiges Anliegen. Um dieser Verantwortung gerecht zu werden, entwickeln wir unsere Datenschutzmaßnahmen kontinuierlich weiter.

Unser Ansatz

GRI 418/103-2

Fresenius bekennt sich zum Recht auf informationelle Selbstbestimmung und die Privatsphäre aller Personen, deren Daten wir im Rahmen unserer Geschäftstätigkeit erhalten und verarbeiten. Dies schließt auch die Verarbeitung von personenbezogenen Daten durch Dienstleister in unserem Auftrag ein. Der Fresenius-Verhaltenskodex bildet den ­Rahmen unseres täglichen Handelns. Ein wesentlicher Bestandteil ist das Bekenntnis des Konzerns, verantwortungsvoll mit personenbezogenen Daten umzugehen. Datenschutz ist damit eine Kernaufgabe für unser Unternehmen. Um neuen Anforderungen oder Technologien gerecht zu werden, entwickeln wir unsere Datenschutz-Management-Systeme stetig weiter. Die operativen Aufgaben des Datenschutzmanagements sind in den Fachabteilungen verankert. Die Fachabteilungen werden dabei durch Prozesse des Datenschutz-Management-Systems unterstützt. In bestimmten Bereichen unterstützt zusätzlich unser Compliance-Management-System, z. B. durch generelle Risikoanalysen oder die Untersuchung von potenziellen Datenschutzverstößen.

Wir arbeiten kontinuierlich daran, die Anforderungen der EU-Datenschutz-Grundverordnung (EU-DSGVO) und weiterer anwendbarer nationaler und internationaler Datenschutzanforderungen umzusetzen.

Risikoanalyse

Wir beurteilen Risiken im Zusammenhang mit Datenschutz und IT-Sicherheit in jedem Unternehmensbereich und bei der Fresenius SE & Co. KGaA regelmäßig mithilfe standardisierter Methoden in einem Top-down-Ansatz. Alle Unternehmensbereiche und die Fresenius SE & Co. KGaA erfassen Datenverarbeitungstätigkeiten in zentralen IT-Anwendungen oder -Systemen und unterziehen sie einer datenschutzrechtlichen Überprüfung einschließlich Risikobewertung. Um hierfür gute Voraussetzungen zu schaffen, organisieren wir Geschäftsprozesse so, dass wir den Datenschutz frühestmöglich in die Ausgestaltung neuer oder angepasster Datenverarbeitungstätigkeiten einbeziehen. Auf diese Weise können wir u. a. die Datenschutzgrundsätze umsetzen und die technischen und organisatorischen Maßnahmen in die Verarbeitung aufnehmen, die notwendig sind, um den rechtlichen Anforderungen, z. B. aus der EU-DSGVO, zu genügen und eventuelle Risiken zu minimieren. Die Ein­führung neuer oder veränderter IT-Systeme unterliegt standardisierten Prüfprozessen, in denen die Einhaltung der Anforderungen des Datenschutzes und der IT-Sicherheit geprüft werden.

Betroffenenrechte

Fresenius SE & Co. KGaA und alle Unternehmensbereiche respektieren und wahren die Rechte all jener, deren Daten verarbeitet werden. Personenbezogene Daten werden für die jeweils festgelegten rechtmäßigen Zwecke unter Beachtung der gesetzlichen Vorgaben verarbeitet. Wir verlangen auch von Dritten, mit denen die Daten zu festgelegten Zwecken geteilt werden, dass diese sich an unsere Richtlinien halten.

Alle Unternehmensbereiche und die Fresenius SE & Co. KGaA wahren die Rechte der Betroffenen, indem sie diese angemessen über ihre Rechte informieren und Prozesse und Tools etabliert haben, um zu gewährleisten, dass Anfragen fristgerecht beantwortet werden. Fresenius informiert Betroffene – unabhängig ob Beschäftigte oder Externe – über die Verarbeitung, z. B. Erhebung und Speicherung, ihrer Daten. Anpassungen der Datenschutzhinweise teilen wir den Mitarbeiterinnen und Mitarbeitern mit.

Außerdem haben wir technische und organisatorische Maßnahmen umgesetzt, inklusive der Implementierung von entsprechenden Anwendungen, die der Wahrung der Betroffenenrechte gemäß EU-DSGVO dienen. Wir geben Betroffenen eine einfache Möglichkeit, sich zu erkundigen, welche personenbezogenen Daten wir von ihnen verar­beiten. Fresenius SE & Co. KGaA und Fresenius Kabi haben leicht zugängliche technische Lösungen entwickelt, mit deren Hilfe Betroffene Anfragen an die Unternehmen richten können. Sie werden zentral wie auch lokal bearbeitet und beantwortet. So überwacht beispielsweise Fresenius Kabi den Eingang von Anfragen zentral, wobei die Sammlung und Beantwortung aller geforderten Informationen wenn nötig auch lokal in der jeweiligen Landessprache durch örtliche Datenschutzberaterinnen und -berater erfolgen kann.

Helios Spanien bearbeitet Anfragen von Betroffenen gemäß den Vorgaben für Krankenhäuser und wird dabei von zentralen Datenschutzverantwortlichen unterstützt. Eine technische Lösung, die für die Übermittlung von Daten­anfragen genutzt werden kann, soll bei Helios Spanien im Jahr 2022 implementiert werden.

Fresenius Medical Care hat eine Reihe von Standardarbeitsanweisungen entwickelt, die es Personen, deren per­sonenbezogene Daten der Unternehmensbereich speichert, ermöglichen, ihre Rechte geltend zu machen.

Mit diesen Lösungen unterstützt Fresenius Medical Care Betroffene dabei, ihre Rechte auf Auskunft, Berichtigung, Einschränkung, Widerspruch, Übertragbarkeit und Löschung ihrer personenbezogenen Daten zeitgerecht wahrnehmen zu können. Löschanfragen wird unter Einhaltung gesetzlicher Vorgaben nachgekommen.

Hinweisgebersysteme

Bei Fresenius SE & Co. KGaA verfolgen wir eine Null-Toleranz-Politik bezüglich Datenschutzverletzungen. Externe sowie alle Mitarbeiterinnen und Mitarbeiter des Fresenius-Konzerns können Bedenken hinsichtlich des Datenschutzes über die bestehenden Hinweisgebersysteme oder eigens dafür eingerichtete E-Mail-Adressen melden. Jeden Hinweis auf mögliche Verstöße gegen datenschutzrechtliche Vorschriften nehmen wir zum Anlass, den gemeldeten Sachverhalt schnellstmöglich aufzuklären, zu evaluieren und unsere Unternehmensprozesse bei Bedarf zu hinterfragen sowie gegebenenfalls anzupassen. Wenn erforderlich, melden wir Datenschutzverstöße an Behörden und informieren Betroffene zeitnah und im Einklang mit gesetzlichen Vorgaben. Die Datenschutzorganisationen der Unternehmensbereiche und der Fresenius SE & Co. KGaA führen eigene Prüfungen und Dokumentationen von möglichen Verstößen durch. Angaben zu erhaltenen Datenschutzmeldungen finden Sie im Kapitel Compliance.

Internationaler Datentransfer

Als weltweit tätiger Konzern legen wir großen Wert darauf, bei allen internationalen Datentransfers ein angemessenes Datenschutzniveau mindestens im Sinne der EU-DSGVO und alle anderen rechtlichen Anforderungen für den internationalen Datentransfer zu gewährleisten. So haben die Fresenius SE & Co. KGaA sowie Fresenius Kabi sogenannte Binding Corporate Rules (BCR), d. h. verpflichtende unternehmensinterne Richtlinien, zur Prüfung und Genehmigung bei den zuständigen Datenschutzbehörden eingereicht und bereiten deren interne Umsetzung vor. BCR dienen den teilnehmenden Gesellschaften zur Herstellung eines einheit­lichen, an den Maßstäben der EU-DSGVO ausgerichteten Datenschutzniveaus und tragen dazu bei, personenbezogene Daten international rechtmäßig zu verarbeiten. Gemäß ­EU-DSGVO oder anderen rechtlichen Schutzklauseln und Verträge übermitteln die Unternehmensbereiche und die Fresenius SE & Co. KGaA sämtliche Daten nur auf Basis eines etwaigen Angemessenheitsbeschlusses der Europäischen Kommission, anerkannter Zertifizierungen oder anderer rechtlicher Schutzklauseln in Länder außerhalb der Europäischen Union. Zu diesem Zweck schließen wir neben den kommerziellen Verträgen auch spezifische Zusatzvereinbarungen zur Datenverarbeitung mit den Empfängern von Daten ab. In diesen nutzen wir auch die aktuellen EU-Standardvertragsklauseln, die zuletzt im Juni 2021 neu von der Europäischen Kommission erlassen wurden. Neueste Entwicklungen im Bereich des internationalen Datentransfers, wie beispielsweise die Entscheidung des EuGH im Schrems-II-Fall zum Privacy Shield sowie die korrespondierenden Empfehlungen des Europäischen Datenschutzausschusses und der nationalen Behörden und deren Gremien, werden intensiv verfolgt und in Risikoanalysen sowie bei Vertragsabschlüssen berücksichtigt. Die dazu intern veröffentlichten Vorlagen wurden unverzüglich angepasst. Wenn Daten in Staaten außerhalb der EU durch externe Unternehmen verarbeitet werden, wird der Auftragnehmer einer sorgfäl­tigen Prüfung unterzogen und es werden Maßnahmen getroffen, um die Einhaltung datenschutzrechtlicher Bestimmungen zu gewährleisten.

Im Rahmen der internationalen Geschäftstätigkeit von Fresenius Medical Care können personenbezogene Daten an Dritte weitergegeben werden, die geschäftliche Aktivitäten im Namen des Unternehmensbereichs oder innerhalb der Fresenius-Gruppe durchführen. Der Unternehmensbereich erwartet, dass diese Dritten geltende Gesetze sowie seine Verhaltensstandards und Grundsätze der Informations- und Datensicherheit einhalten. Bei jeder Datenweitergabe sind die EU-Datenschutzgrundverordnung (DSGVO) und andere internationale Gesetze zur Datenübermittlung besonders relevant. Neue Entwicklungen im Zusammenhang mit internationalen Datenübermittlungen wurden intern bewertet. Die Ergebnisse hat Fresenius Medical Care in der neuen Leitlinie und im Verfahren zur Bewertung von Dritten, die außerhalb des Europäischen Wirtschaftraums ansässig sind, berücksichtigt. Entsprechende Schulungen wurden entwickelt und mit den betreffenden Beschäftigten durchgeführt.

Schulungen

Wir schulen Mitarbeiterinnen und Mitarbeiter zu aktuellen Anforderungen und Bedrohungen im Zusammenhang mit Datenschutz und Datensicherheit. Hierzu nutzen wir ein umfangreiches Spektrum von E-Learnings, Präsenzschulungen und weiteren Schulungsmaßnahmen. Generelle Schulungen ergänzen wir um zielgruppenspezifische Schulungsmaßnahmen. Dadurch stellen wir sicher, dass die mit der Verarbeitung von Daten betrauten Beschäftigten über die aktuelle Gesetzeslage und die entsprechenden internen Vorgaben informiert sind.

Neue Mitarbeiterinnen und Mitarbeiter weisen wir bei Aufnahme ihrer Tätigkeit auf den Umgang mit sensiblen Daten hin und verpflichten sie zur Vertraulichkeit. Neu eingestellte Beschäftigte erhalten bei Fresenius SE & Co. KGaA, Fresenius Kabi sowie Fresenius Helios darüber hinaus innerhalb einer festgelegten Frist eine Online-Pflichtunterweisung im Bereich Datenschutz. Jede Gesellschaft bei ­Fresenius Kabi und der Fresenius SE & Co. KGaA hat mindestens alle zwei Jahre einen Nachweis bezüglich der Unterweisung der Beschäftigten im Bereich Datenschutz zu erbringen. Bei Helios Deutschland hat jede Gesellschaft alle Mitarbeiterinnen und Mitarbeiter mindestens alle zwei Jahre erneut im Datenschutz zu unterweisen. Fresenius Vamed veranstaltet ein jährliches, für Mitarbeiterinnen und Mitarbeiter verpflichtendes E-Learning. Zusätzlich werden anlassbezogen Schwerpunktschulungen durchgeführt. Im Jahr 2021 fanden so das verpflichtende E-Learning und die Rezertifizierungen der Datenschutzverantwortlichen statt.

Organisation und Verantwortlichkeiten
Die Organisationsstruktur

Die Fresenius SE & Co. KGaA sowie alle Unternehmensbereiche unterhalten Datenschutzorganisationen im Einklang mit ihrer Organisations- und Geschäftsstruktur. Dazu gehören unabhängige Datenschutzbeauftragte, die an das jeweilige Management der Gesellschaft berichten. Alle Datenschutzorganisationen haben, nach Funktionen getrennt, sowohl beratende als auch kontrollierende Funktionen, die sich in ihren Aufgaben ergänzen. Die Datenschutzorganisationen unterstützen die Führungskräfte und Fachabteilungen der zugeordneten Gesellschaften in operativen Fragen des Datenschutzes und dabei, die geltenden datenschutzrechtlichen Anforderungen einzuhalten und zu überwachen. Die jeweiligen Datenschutzbeauftragten sind dafür verantwortlich, die Einhaltung der datenschutzrechtlichen Anforderungen zu überwachen. Sie sind Ansprechpartnerinnen und -partner für nationale und internationale Aufsichtsbehörden und werden durch fachkundige Datenschutzberaterinnen und -berater sowie Datenschutzkoordinatorinnen und -koordinatoren unterstützt. Je nach Unternehmensbereich sind die Datenschutzberaterinnen und -berater zentral, regional oder lokal organisiert.

Fresenius Kabi hat die Kontaktdaten der durch die Standortleitung ernannten lokalen Datenschutzberaterinnen und -berater mit Zuordnung zum jeweiligen Land und des Standorts im Intranet aufgeführt. Diese unterstützen den Datenschutzbeauftragten beispielsweise in der Landessprache bei einer etwaigen Kommunikation mit der lokalen Datenschutzbehörde, bei Anfragen von Mitarbeiterinnen oder Mitarbeitern sowie bei der Umsetzung interner Prozesse.

Helios Spanien hat z. B. Datenschutzkomitees auf Ebene der Kliniken eingerichtet.

Fresenius Medical Care verfügt über ein Netzwerk von lokalen oder subregionalen Datenschutzbeauftragten, die als Bindeglied zwischen dem Ländermanagement und den regionalen Datenschutzbeauftragten fungieren, um die ­Einhaltung der lokalen Gesetze und die Umsetzung der Standards für Datenschutz sicherzustellen, die im Ethik- und Verhaltenskodex des Unternehmensbereichs definiert sind. Dieser gibt vor, wie die Mitarbeiterinnen und Mitarbeiter mit personenbezogenen Daten umgehen sollen.

Insgesamt sind bei Fresenius mehr als 300 Mitarbeiterinnen und Mitarbeiter mit Datenschutzaufgaben betraut. Die Datenschutzverantwortlichen der Unternehmensbereiche und der Fresenius SE & Co. KGaA tauschen sich regelmäßig zu Best Practices und Initiativen aus, u. a. im Rahmen von konzernweiten Koordinationstreffen und Konferenzen, Jours fixes und weiteren Formaten. 2021 fanden alle Veranstaltungen rein virtuell statt.

Einbindung des Vorstands und Berichterstattung

Die Gesamtverantwortung für Datenschutz liegt auf Ebene des Fresenius-Konzerns beim Vorstandsmitglied für Per­sonal, Risikomanagement und Recht der Fresenius Management SE. Der Datenschutzbeauftragte der Fresenius SE & Co. KGaA berichtet in direkter Linie an dieses zuständige Vorstandsmitglied.

Darüber hinaus ist Datenschutz ein reguläres Thema im Compliance Steering Committee, dem u. a. das Vorstandsmitglied für Personal, Risikomanagement und Recht der Fresenius Management SE angehört. Die verantwort­lichen Datenschutzbeauftragten der vier Unternehmensbereiche berichten regelmäßig an die jeweiligen Geschäftsführer bzw. Vorstandsmitglieder.

Richtlinien und Regularien

Datenschutz ist eine Gemeinschaftsaufgabe aller Mitarbeiterinnen und Mitarbeiter der Fresenius-Gruppe. Kern ist hierbei das gemeinsame Bekenntnis aller Unternehmensbereiche und der Fresenius SE & Co. KGaA zum Datenschutz, das in den Verhaltenskodizes festgelegt ist. Im Fresenius-Verhaltenskodex bekennen wir uns klar zum sorgfältigen Umgang mit Daten und dem Recht auf informationelle Selbstbestimmung: Wir verpflichten uns, die Rechte und die ­Privatsphäre aller Personen zu achten, von denen wir Daten erheben oder erhalten. Das gilt auch für Lieferanten und Geschäftspartnerinnen und -partner. So verpflichtet z. B. Fresenius Kabi seine Lieferanten mittels eines Verhaltenskodex zum sorgfältigen Umgang mit Daten.

Alle Unternehmensbereiche und die Fresenius SE & Co. KGaA haben zudem Richtlinien zum Datenschutz und zum Umgang mit personenbezogenen Daten erstellt. Die Datenschutzrichtlinien werden durch weitere Richtlinien, Standards oder Arbeitsanweisungen konkretisiert. Diese unterstützen die Mitarbeiterinnen und Mitarbeiter dabei, die Vorgaben der EU-DSGVO und weitere relevante lokale Gesetze und Vorschriften in ihrem Verantwortungsbereich umzusetzen.

Fortschritte und Maßnahmen 2021

Im Berichtsjahr 2021 wurde bei der Fresenius SE & Co. KGaA und innerhalb der Unternehmensbereiche der Datenschutz mit Blick auf die globalen operativen Tätigkeiten weiterentwickelt. Unsere Maßnahmen konzentrierten sich aus diesem Grund auf die Erarbeitung neuer Trainingsinhalte und die Durchführung bestehender Trainingskonzepte sowie auf die Erweiterung von Auditkonzepten, um regulatorische Veränderungen zu berücksichtigen. Zudem lag der Fokus auf Datenschutzmaßnahmen im Zusammenhang mit der Zunahme virtueller Gesundheitsangeboten.

Risikomanagement

Die Fresenius SE & Co. KGaA hat im Jahr 2021 ihr Datenschutz-Management-System weiterentwickelt. Neben der Weiterentwicklung des bereits bestehenden Prozesses zur effizienten Prüfung von möglichen Datenschutzverstößen umfasste dies auch den Ausbau und die Implementierung des Datenschutz-Auditkonzepts. Darüber hinaus werden – zur Umsetzung des risikobasierten Ansatzes – die datenschutzrechtlichen Risikoprüfungen von Datenverarbeitungstätigkeiten kontinuierlich optimiert und implementiert. Im Berichtsjahr erfolgten wesentliche Weiterentwicklungen in den Bereichen der Datenlöschung sowie des internatio­nalen Datentransfers.

Fresenius SE & Co. KGaA hat eine Richtlinie zur Erstellung und Implementierung von Löschkonzepten umgesetzt. Die Vorgaben des Europäischen Datenschutzausschusses wurden im Rahmen der Neugestaltung der Verträge und der hierfür zusätzlichen Risikoprüfung umgesetzt. Die Nutzung und Implementierung von spezifischen Anwendungen zur künftigen Durchführung der datenschutzrechtlichen Risikoprüfung war bei den Weiterentwicklungen ebenfalls zentral. Um das Risikomanagement weiter zu stärken, wird derzeit ein neues E-Learning zum Datenschutz sowie zusätzlich zu den BCR bei Fresenius SE & Co. KGaA erstellt. Die zulässige Verarbeitung personenbezogener Daten in Verbindung mit Maßnahmen zu Covid-19 stellte ebenso einen Schwerpunkt dar.

Bei Fresenius Kabi erfolgt eine Risikobewertung von in einer Anwendung erfassten Datenverarbeitungstätigkeiten auf Grundlage hierzu entwickelter Vorlagen in mehreren Stufen. Die Anwendung wird dahin gehend weiterentwickelt, dass zukünftig eine Risikoprüfung nicht mehr in separaten Vorlagen, sondern innerhalb der Anwendung erfolgt. Datenschutzfolgeabschätzungen werden kontinuierlich fortgeführt; der Prozess ist zukünftig integraler Teil der Appli­kation zur Erfassung von Datenverarbeitungstätigkeiten. Zur Sicherstellung einer strukturierten und effizienten Bear­beitung von Meldungen zu Datenschutzvorkommnissen und möglichen Datenschutzverstößen hat Fresenius Kabi eine interne Richtlinie umgesetzt; sie wird begleitet von einer technischen Lösung zur Erfassung von Meldungen zu Datenschutzvorkommnissen durch die lokalen Datenschutzberaterinnen und -berater auf Basis einer Meldung durch die Mitarbeiterinnen und Mitarbeiter. Die technischen Anwendungen zur Durchführung und Dokumentation, Erfassung und Bearbeitung von Betroffenenanfragen wurden weiterentwickelt. Über Anzahl, Art und Bearbeitungsstand von Datenschutzvorkommnissen und Betroffenenanfragen gibt ein hierzu entwickelter Report Auskunft.

Helios Deutschland hat im Jahr 2021 verschiedene Instrumente des Datenschutz-Management-Systems verstärkt. So wurden u. a. den Standorten zusätzliche Materialien wie Checklisten für die Prüfung von Verarbeitungstätigkeiten zur Verfügung gestellt, das Helios-Auditkonzept aktualisiert und die Meldeprozesse für die Prüfung neuer Verarbeitungstätigkeiten wegen der Implementierung des Helios Digitalisierungs-Boards (Digi-Board) zentral und lokal über­arbeitet. Im Berichtsjahr lagen Schwerpunkte z. B. auf der Verabschiedung der Helios Konzernregelung Datenschutz, der Weiterentwicklung der Prüfprozesse sowie auf der weiteren datenschutzkonformen Ausgestaltung der Krankenhausinformationssysteme (z. B. Zugriffsprotokollierung und anlassunabhängige sowie anlassbezogene Prüfung im ­Hinblick auf missbräuchliche Zugriffe). Viele Maßnahmen waren auch bei Fresenius Helios aufgrund von Covid-19 notwendig, so z. B. rund um das Thema Impfen sowie die Erhebung des Impfstatus bei Beschäftigten. Das erforderte insbesondere eine enge Abstimmung mit den zuständigen Behörden.

Helios Spanien hat die Einführung von Datenschutz­folgenabschätzungen fortgesetzt und um zusätzliche Indikatoren für Informationssicherheits- oder technologische Risiken erweitert.

Fresenius Vamed lässt Fortschritte im Datenschutz­management jährlich von einer externen Anwaltskanzlei evaluieren und dokumentieren. Im Jahr 2021 hat der Unternehmensbereich einen Fokus auf die Aktualisierung von Verzeichnissen und die Überarbeitung des Löschkonzepts der Verarbeitungstätigkeiten gelegt.

Schulungen

Fresenius SE & Co. KGaA hat im Berichtsjahr ein neues Datenschutztraining aus verschiedenen Modulen entwickelt, das im Jahr 2022 ausgerollt wird. Hierzu gehören neben einem umfänglichen Modul zum Thema Datenschutz auch explizite Schulungen zu den anwendbaren Datenschutzrichtlinien.

Seit 2021 ist die Sensibilisierung für den Datenschutz Bestandteil der verpflichtenden Schulungen zum Ethik- und Verhaltenskodex bei Fresenius Medical Care. Der Unternehmensbereich bietet ein breites Spektrum von Online- und Präsenzschulungen an. Dabei werden allgemeine Schulungen durch zielgruppenspezifische Angebote ergänzt. Im Jahr 2021 hat Fresenius Medical Care den Beschäftigten und Auftragnehmern weltweit mehr als 60 Schulungen zum Thema Datenschutz angeboten. Die Schulungen in Nordamerika sind auf die Anforderungen des HIPAA (Health Insurance Porta­bility and Accountability Act von 1996) abgestimmt. In der Europäischen Union sind sie auf die Anforderungen der DSGVO abgestimmt. Im Berichtsjahr hat Fresenius Medical Care am internationalen Tag des Datenschutzes eine ­Kampagne gestartet, um die Aufmerksamkeit zu erhöhen. Gleichzeitig hat der Unternehmensbereich eine Datenschutzwebseite in Ländern der Regionen Europa, Naher Osten und Afrika, Lateinamerika und Asien-Pazifik ein­geführt.

Fresenius Kabi hat im Berichtsjahr die Schulung zu Datenschutz und Informationssicherheit in Form eines E-Learnings vollständig überarbeitet und thematisch in Einzelmodule aufgeteilt. Der Schulungsinhalt wurde um den Umgang mit Datenschutzvorkommnissen und möglichen Datenschutzverstößen sowie um ein separates Modul zu Binding Corporate Rules (BCR) erweitert. Die Schulung wurde im letzten Quartal des Berichtsjahres als E-Learning weltweit ausgerollt. Datenschutzberaterinnen und -berater sowie Beschäftigte in Compliance-Funktionen wurden zudem im Umgang mit Datenschutzvorkommnissen geschult. Schulungen zu Datenschutzklauseln in Verträgen, Datenschutz­vereinbarungen, die Durchführung einer Risikobewertung oder die Bearbeitung von Betroffenenanfragen wurden als begleitende Schulungsmaßnahmen entwickelt. Eine Fragen- und Antwortseite gibt im Intranet Auskunft zu Einzel­fragen mit Verweis auf weiterführende Informationen, Kontakte und unternehmensinterne Anwendungen.

Helios Deutschland hat das bereits vorhandene Schulungsportfolio mit Blick auf neue Arbeitsanforderungen um eine neue Online-Schulung zum Thema Datenschutz und FlexWork ergänzt. Helios Spanien hat 2021 eine unternehmensweite Schulung zum Datenschutz eingeführt. In 21 Kliniken konnten auch während der Pandemie Schulungen in Präsenz durchgeführt werden.

Beschäftigte von Fresenius Vamed führten 2021 ein Datenschutz-E-Learning durch. Darüber hinaus erhielten 48 Personen eine Erst- bzw. Rezertifizierung als Datenschutzverantwortliche.

Evaluation

Audits und Überwachungen

GRI 418/103-3

Um die Einhaltung datenschutzrechtlicher Vorgaben zu sichern, führen mehrere Überwachungsfunktionen im Konzern regelmäßig Kontrollen mit unterschiedlichem Fokus in allen Unternehmensbereichen durch. Die Abteilungen der Internen Revision realisieren unabhängige Prüfungen zur Verbesserung der Effektivität der Risikomanagement-, Kontroll- und Governance-Prozesse in allen Unternehmens­bereichen. Hierbei werden risikobasiert auch Aspekte des Datenschutzes berücksichtigt. Die Ergebnisse der Prüfungen zum Datenschutz werden durch die jeweiligen Datenschutzverantwortlichen analysiert und fließen in die kon­tinuierliche Verbesserung bestehender Maßnahmen des jeweiligen Unternehmensbereichs ein. Alle Unternehmensbereiche und die Fresenius SE & Co. KGaA haben Datenschutz-Auditkonzepte erarbeitet.

Zudem sind Datenschutzkontrollen Bestandteil verschiedener interner Kontrollrahmenwerke der Unternehmens­bereiche. Erkenntnisse zu Verbesserungspotenzialen aus Audits und Prüfungen werden genutzt, um unsere Datenschutzprozesse kontinuierlich weiterzuentwickeln. Das Auditkonzept von Helios Deutschland beispielsweise sieht u. a. vor, dass jede Gesellschaft regelmäßig – mindestens einmal jährlich – im Rahmen interner Audits und ergänzt durch eine zentrale, jährliche Risikoanalyse (jeweils zum 31. Januar eines Jahres für das vorangegangene Geschäftsjahr) im Hinblick auf den Datenschutz geprüft wird.

Nach dem Auditkonzept von Helios Spanien werden alle Krankenhäuser jedes zweite Jahr überprüft. Das geschieht durch ein internes Audit, das vom Datenschutzteam des Unternehmens und einer externen Anwaltskanzlei durchgeführt wird. Im dazwischen liegenden Jahr ohne Vor-Ort-Audit, verschickt das Datenschutzteam eine Checkliste zur Selbstüberprüfung, die von den Krankenhäusern beant­wortet wird.

Fresenius Kabi führt Datenschutzaudits auf Grundlage eines internen Prozesses durch den Datenschutzbeauftragten durch und erfasst die Ergebnisse aus durchgeführten Datenschutzaudits tabellarisch. Die Abteilungen der Internen Revision realisieren unabhängige Pürfungen zur Verbesserung der Effektivität der Risikomanagement-, Kontroll- und Governance-Prozesse in allen Unternehmensbereichen. Hierbei werden risikobasiert auch Aspekte des Datenschutzes berücksichtigt. Thematisch identische Abweichungen werden gruppiert und als Präventionsmaßnahme kommuniziert. Die aus Auditabweichungen resultierenden Maß­nahmen werden ebenfalls dokumentiert und der Status durch die jeweiligen lokalen Datenschutzberater aktualisiert. Der aus Auditabweichungen resultierende Fortschritt der Umsetzung von Maßnahmen wird regelmäßig geprüft.