Unser Ansatz
Wir bewegen uns als Gesundheitsdienstleister in einem sensiblen Umfeld und tragen eine große Verantwortung, von der das Leben und die Gesundheit vieler Menschen abhängen. Entsprechend wissen wir die hohen Qualitätsstandards in unseren regulierten Tätigkeitsfeldern mit wirtschaftlichen, IT-gestützten Prozessen in Einklang zu bringen. Dabei sind wir uns stets der zunehmenden Sensibilität und Schutzbedürftigkeit der von uns verarbeiteten Daten und Informationen bewusst. So gestalten wir effiziente Abläufe und schaffen gleichzeitig Freiräume – für den Schutz und die Sicherheit der Patientinnen und Patienten.
Der Fresenius-Konzern und seine operativen Einheiten verarbeiten u. a. personenbezogene Daten von
- unseren Patientinnen und Patienten,
- unseren Beschäftigten,
- Kundinnen und Kunden sowie
- Lieferanten und anderen Geschäftspartnerpartnern.
Datenschutz ist eine Kernaufgabe für unser Unternehmen und im Verhaltenskodex des Fresenius-Konzerns verankert. Um neuen Anforderungen und Technologien gerecht zu werden, entwickeln wir unsere Datenschutzmanagementsysteme sowie die damit einhergehenden Datenschutzmaßnahmen stetig weiter. Informationssicherheit ist auch ein wesentlicher Bestandteil der Cybersecurity bei Fresenius und umfasst die Prozesse zur Datensicherheit. Details über die Konzernfunktion Cybersecurity und die damit verbundenen Verantwortlichkeiten sowie die Governance-Struktur finden Sie im Kapitel Cybersecurity.
Organisation und Verantwortlichkeiten
Im Konzernvorstand von Fresenius übernimmt das Vorstandsmitglied, das für Personal (Arbeitsdirektor), Risikomanagement und Recht zuständig ist, die Gesamtverantwortung für Datenschutz auf Ebene von Fresenius Corporate. Der Datenschutzbeauftragte der Fresenius SE & Co. KGaA berichtet in direkter Linie an dieses zuständige Vorstandsmitglied. Die Verantwortung in den Unternehmensbereichen für die Implementierung geeigneter Governance-Strukturen, einschließlich Datenschutz, obliegt deren jeweiligen Vorstandsvorsitzenden. Die Vorstandsgremien der Unternehmensbereiche gestalten deren Managementansätze und regeln die Zuständigkeit für Datenschutz, z. B. über einen Geschäftsverteilungsplan.
Darüber hinaus ist Datenschutz ein reguläres Thema im Risk Steering Committee, dem u. a. das Vorstandsmitglied für Personal (Arbeitsdirektor), Risikomanagement und Recht der Fresenius Management SE angehört. Die verantwortlichen Datenschutzbeauftragten der vier Unternehmensbereiche berichten regelmäßig an die jeweilige Geschäftsführung bzw. Vorstandsmitglieder. In ihrer Funktion agieren die Datenschutzbeauftragten bei der Ausübung ihrer Aufgaben eigenständig und unterliegen keiner Aufsicht durch eine übergeordnete Konzernfunktion.
Die Fresenius SE & Co. KGaA sowie alle Unternehmensbereiche unterhalten Datenschutzorganisationen im Einklang mit ihrer Organisations- und Geschäftsstruktur, einschließlich der oben genannten unabhängigen Datenschutzbeauftragten. Alle Datenschutzorganisationen haben, nach Funktionen getrennt, sowohl beratende als auch überwachende Funktionen, die sich in ihren Aufgaben ergänzen. Die Datenschutzorganisationen unterstützen die Führungskräfte und Fachabteilungen der zugeordneten Gesellschaften in operativen Fragen des Datenschutzes. Außerdem helfen sie dabei, die in den jeweiligen Ländern geltenden datenschutzrechtlichen Anforderungen zu beachten und einzuhalten. Die jeweiligen Datenschutzbeauftragten sind dafür verantwortlich, die Einhaltung der datenschutzrechtlichen Anforderungen zu überwachen. Sie sind Ansprechpartnerinnen und -partner für nationale und internationale Aufsichtsbehörden und werden durch interne Expertinnen und Experten, z. B. Datenschutzberaterinnen und -berater sowie Datenschutzkoordinatorinnen und -koordinatoren, unterstützt. Je nach Unternehmensbereich sind die Datenschutzberaterinnen und -berater zentral, regional und/oder lokal organisiert.
Die operativen Aufgaben des Datenschutzmanagements sind in den Fachabteilungen verankert. Die Fachabteilungen werden dabei durch Prozesse des Datenschutzmanagementsystems unterstützt. In bestimmten Bereichen hilft zusätzlich unser Compliance-Management-System, z. B. durch generelle Risikoanalysen oder die Untersuchung von potenziellen Datenschutzvorfällen und -verstößen.
Regelmäßig diskutieren Expertinnen und Experten in entsprechenden Ausschüssen auf Ebene der Unternehmensbereiche sowie des Konzerns über relevante Aspekte zur IT-Sicherheit und zum Datenschutz. Das Ergebnis dieser Gespräche kann zur Umsetzung konkreter Maßnahmen führen oder zu strategischen Entscheidungen, die dem jeweiligen Management zum Beschluss vorgelegt werden.
Zudem tauschen sich die Datenschutzexpertinnen und -experten der Unternehmensbereiche und der Fresenius SE & Co. KGaA regelmäßig zu Best Practices und Initiativen aus, u. a. im Rahmen von konzernweiten Koordinationstreffen und Konferenzen, Jours fixes und weiteren Formaten. Insgesamt sind bei Fresenius mehr als 300 Mitarbeiterinnen und Mitarbeiter mit Datenschutzaufgaben betraut.
Richtlinien und Regularien
Die Umsetzung von Datenschutz ist eine Gemeinschaftsaufgabe aller Mitarbeiterinnen und Mitarbeiter des Fresenius-Konzerns. Kern ist hierbei das gemeinsame Bekenntnis aller Unternehmensbereiche und der Fresenius SE & Co. KGaA zum Datenschutz, das in den Verhaltenskodizes festgelegt ist. Im Fresenius-Verhaltenskodex bekennen wir uns klar zum sorgfältigen Umgang mit Daten und dem Recht auf informationelle Selbstbestimmung: Wir verpflichten uns, die Rechte und die Privatsphäre aller Personen zu achten, von denen wir Daten erheben oder erhalten. Das gilt sowohl für Patientinnen und Patienten sowie die Beschäftigten als auch für Lieferanten und Geschäftspartner. Die Datenschutzerklärungen sind öffentlich einsehbar, z. B. auf der Website der Fresenius SE & Co. KGaA.
Alle Unternehmensbereiche und die Fresenius SE & Co. KGaA haben zudem Richtlinien zum Datenschutz und zum Umgang mit personenbezogenen Daten eingeführt. Die Datenschutzrichtlinien werden durch weitere Standardverfahrensanweisungen, Arbeitsrichtlinien sowie weitere Standards konkretisiert. Diese unterstützen die Mitarbeiterinnen und Mitarbeiter dabei, die Vorgaben – u. a. der EU-Datenschutz-Grundverordnung (EU-DSGVO) und von weiteren relevanten lokalen Gesetzen und Vorschriften – in ihrem Verantwortungsbereich umzusetzen.
Audits und Überwachungen
Um die Einhaltung datenschutzrechtlicher Vorgaben zu sichern, nehmen mehrere Funktionen im Konzern regelmäßig Kontrollen mit unterschiedlichem Fokus in allen Unternehmensbereichen vor. Internal-Audit-Abteilungen realisieren unabhängige Prüfungen zur Verbesserung der Effektivität der Risikomanagement-, Kontroll- und Governance-Prozesse in allen Unternehmensbereichen. Hierbei werden risikobasiert auch Aspekte des Datenschutzes berücksichtigt. Die Ergebnisse der durchgeführten Prüfungen zum Datenschutz werden durch die jeweiligen Datenschutzverantwortlichen analysiert und fließen in die kontinuierliche Verbesserung bestehender Maßnahmen des jeweiligen Unternehmensbereichs ein. Darüber hinaus führen die Datenschutzbeauftragten regelmäßige und spezifische Datenschutz-Audits durch. Alle Unternehmensbereiche und die Fresenius SE & Co. KGaA haben Datenschutz-Auditkonzepte erarbeitet.
Zudem sind Datenschutzkontrollen integraler Bestandteil verschiedener interner Kontrollrahmenwerke der Unternehmensbereiche, wie Datenschutz-Risikobewertungen. Die Erkenntnisse zu Verbesserungspotenzialen aus Audits, Bewertungen und Prüfungen nutzen wir, um unsere Datenschutzprozesse kontinuierlich weiterzuentwickeln.
Risikoanalyse
Wir beurteilen Risiken im Zusammenhang mit Datenschutz und IT-Sicherheit regelmäßig mithilfe standardisierter Methoden. Alle Unternehmensbereiche und die Fresenius SE & Co. KGaA erfassen Datenverarbeitungstätigkeiten in zentralen IT-Anwendungen und unterziehen sie einer datenschutzrechtlichen Überprüfung einschließlich Risikobewertung. Um hierfür gute Voraussetzungen zu schaffen, organisieren wir Geschäftsprozesse so, dass wir den Datenschutz frühestmöglich in die Ausgestaltung neuer oder angepasster Datenverarbeitungstätigkeiten einbeziehen. Wir verwenden technische und organisatorische Maßnahmen bei der Verarbeitung von persönlichen Daten und können auf diese Weise u. a. die Datenschutzanforderungen umsetzen und eventuelle Risiken minimieren. Die Einführung sowie die Ausgestaltung neuer oder veränderter IT-Systeme unterliegen denselben standardisierten Prüfprozessen, in denen die Einhaltung der Anforderungen des Datenschutzes und der IT-Sicherheit kontrolliert wird. Nachdem eine Risikobewertung durchgeführt wurde, werden die Ergebnisse und die Aktualität bewertet, begleitet von Prüfungen durch die jeweiligen Datenschutzbeauftragten. Eine regelmäßige Prüfung erfolgt z. B. mindestens alle drei Jahre oder in kürzeren Abständen. So lässt Helios Spanien alle zwei Jahre interne Datenschutz-Audits von externen Dienstleistern durchführen. Darüber hinaus besteht die Verpflichtung bei Veränderungen in Datenverarbeitungsaktivitäten diese durch den Prozesseigner zu dokumentieren und eine Aktualisierung der Verfahrensbeschreibung durchzuführen.
Betroffenenrechte
Die Fresenius SE & Co. KGaA und alle Unternehmensbereiche respektieren und wahren die Rechte aller Individuen, deren Daten verarbeitet werden. Personenbezogene Daten werden ausschließlich für die jeweils festgelegten rechtmäßigen Zwecke unter Beachtung der gesetzlichen Vorgaben verarbeitet. Wir verlangen auch von Dritten, mit denen die Daten zu festgelegten Zwecken geteilt werden, z. B. für die Bereitstellung von Dienstleistungen oder Support, die geltenden Datenschutzanforderungen einzuhalten. Sofern Verstöße gemeldet werden, erfolgt die Dokumentation, Berichterstattung und Evaluation auf Basis der anzuwendenden Berichts- und Prozessrichtlinien. Abhängig vom festgestellten Schweregrad können ergänzende Schutzmaßnahmen erforderlich sein oder die Anpassung von Vertragsklauseln, um den Schutz von Betroffenenrechten zu verbessern.
Alle Unternehmensbereiche und die Fresenius SE & Co. KGaA verpflichten sich, die Rechte der Betroffenen zu wahren, indem sie diese angemessen über ihre Rechte informieren und Prozesse und Anwendungen etabliert haben, um zu gewährleisten, dass Anfragen ausreichend und fristgerecht beantwortet werden. Fresenius informiert Betroffene – unabhängig davon ob Beschäftigte oder Externe – mit Datenschutzhinweisen über die Verarbeitung, etwa die Erhebung und Speicherung, ihrer Daten. Zudem teilen wir den Mitarbeiterinnen und Mitarbeitern alle Anpassungen der Datenschutzhinweise, die sie betreffen, mit. Solche Änderungen werden über die etablierten internen Kommunikationskanäle kommuniziert; dies koordiniert die jeweilige Datenschutzfunktion.
Außerdem haben wir technische und organisatorische Maßnahmen umgesetzt, inklusive der Implementierung von entsprechenden Anwendungen, die der Wahrung der Betroffenenrechte gemäß der EU-DSGVO dienen. Wir informieren Betroffene in knapper, transparenter, verständlicher und leicht zugänglicher Form darüber, welche personenbezogenen Daten wir von ihnen verarbeiten. Anfragen werden im Konzern zentral oder auf Ebene der Unternehmensbereiche oder auf beiden Ebenen, bearbeitet und beantwortet. Die Sammlung und Beantwortung aller geforderten Informationen kann auch lokal in der jeweiligen Landessprache durch örtliche Datenschutzberaterinnen und -berater erfolgen. Zum Beispiel bearbeitet Helios Spanien Anfragen von Betroffenen gemäß den Anforderungen für Krankenhäuser und wird von zentralen Datenschutzbeauftragten unterstützt. Eine technische Lösung für die Einreichung von Datenanfragen wurde bei Helios Spanien im Jahr 2022 implementiert.
Ziel unserer Maßnahmen ist es, Betroffene dabei zu unterstützen, ihre Rechte auf Auskunft, Berichtigung, Einschränkung, Widerspruch, Übertragbarkeit und Löschung ihrer personenbezogenen Daten zeitgerecht wahrnehmen zu können – sofern dies nicht durch andere Vorschriften untersagt ist, insbesondere in Bezug auf die Löschung von Daten. Wir kommen solchen Anträgen unter Einhaltung der gesetzlichen Vorgaben nach. So werden betroffene Personen zum Zeitpunkt der Erhebung ihrer Daten über das jeweilige Löschkonzept informiert.
Hinweisgebersysteme
Bei der Fresenius SE & Co. KGaA verfolgen wir eine Null-Toleranz-Politik bezüglich Datenschutzverletzungen. Externe sowie alle Mitarbeiterinnen und Mitarbeiter des Fresenius-Konzerns können Bedenken hinsichtlich des Datenschutzes über die bestehenden Hinweisgebersysteme oder eigens dafür eingerichtete E-Mail-Adressen melden. Jeden Hinweis auf mögliche Verstöße gegen datenschutzrechtliche Vorschriften nehmen wir zum Anlass, den gemeldeten Sachverhalt schnellstmöglich aufzuklären, zu evaluieren und unsere Unternehmensprozesse bei Bedarf zu hinterfragen sowie gegebenenfalls anzupassen. Wenn erforderlich, melden wir Datenschutzverstöße den zuständigen Behörden und informieren Betroffene unverzüglich und im Einklang mit den gesetzlichen Vorgaben. Die Datenschutzorganisationen der Unternehmensbereiche und der Fresenius SE & Co. KGaA führen eigene Prüfungen und Dokumentationen von möglichen Verstößen durch.
Internationaler Datentransfer
Als weltweit tätiger Konzern legen wir großen Wert darauf, bei allen internationalen Datentransfers ein angemessenes Datenschutzniveau mindestens im Sinne der EU-DSGVO und von allen anderen rechtlichen Anforderungen für den internationalen Datentransfer zu gewährleisten. Dazu gehören sogenannte Binding Corporate Rules (BCR), die im Jahr 2022 von den zuständigen europäischen Datenschutzbehörden für Fresenius Corporate und Fresenius Kabi genehmigt wurden, sowie verbindliche unternehmensinterne Richtlinien und Vorgaben. BCR stellen sicher, dass die teilnehmenden Gesellschaften ein einheitliches, an den Maßstäben der EU-DSGVO ausgerichtetes Datenschutzniveau schaffen und dazu beitragen, personenbezogene Daten auf internationaler Ebene innerhalb der Unternehmen rechtmäßig zu verarbeiten. Gemäß der EU-DSGVO oder rechtlichen Schutzklauseln und Verträgen übermitteln die Unternehmensbereiche und die Fresenius SE & Co. KGaA sämtliche Daten auf Basis eines etwaigen Angemessenheitsbeschlusses der Europäischen Kommission, anerkannter Zertifizierungen oder anderer rechtlicher Schutzklauseln in Länder außerhalb der Europäischen Union, wie z. B. Standardvertragsklauseln. Zu diesem Zweck schließen wir neben den kommerziellen Verträgen auch spezifische Zusatzvereinbarungen zur Datenverarbeitung mit den Empfängern von Daten ab. Neueste Entwicklungen im Bereich des internationalen Datentransfers werden intensiv verfolgt und in den erläuterten Risikoanalysen sowie bei Vertragsabschlüssen berücksichtigt. Intern verfügbare Vorlagen werden nachfolgend angepasst. Wenn Daten in einem anderen Staat durch externe Unternehmen verarbeitet werden, wird der Auftragnehmer einer sorgfältigen Prüfung unterzogen und es werden Maßnahmen getroffen, um die Einhaltung datenschutzrechtlicher Bestimmungen zu gewährleisten, z. B. zusätzliche Schutzvorkehrungen wie Pseudonymisierungsmaßnahmen, um das erforderliche Sicherheitsniveau sicherzustellen. Die Datenschutzabteilungen sind an allen Verhandlungen über Datenschutzverträge beteiligt.
Schulungen
Wir schulen Mitarbeiterinnen und Mitarbeiter zu aktuellen Anforderungen und Bedrohungen im Zusammenhang mit Datenschutz und Datensicherheit. Dabei unterscheiden wir hinsichtlich Fachfunktionen und Verantwortlichkeiten den Umfang der Schulung sowie zwischen freiwilligen und verpflichtenden Inhalten. Grundsätzlich ist für alle Beschäftigten verpflichtend ein Basistraining zum Datenschutz vorgesehen. Bei Fresenius Vamed sind z. B. Schulungen zum Datenschutz für Beschäftigte in relevanten Positionen verpflichtend, wie u. a. für alle leitenden Angestellten, Mitarbeiterinnen und Mitarbeiter der Personal-, Rechts- und IT-Abteilung, Empfangspersonal und andere. Wir nutzen ein umfangreiches Spektrum von E-Learnings, Präsenzschulungen und weiteren Schulungsmaßnahmen. Allgemeine Schulungen ergänzen wir um zielgruppenspezifische Schulungsmaßnahmen. Dadurch stellen wir sicher, dass die mit der Verarbeitung von Daten betrauten Beschäftigten über die aktuelle Gesetzeslage und die entsprechenden internen Vorgaben informiert sind. Verpflichtende Schulungen sind durch die jeweiligen Vorgesetzten nachzuhalten und die Teilnahme an den Trainings ist zu dokumentieren.
Neue Mitarbeiterinnen und Mitarbeiter weisen wir bei Aufnahme ihrer Tätigkeit auf den Umgang mit sensiblen Daten hin und verpflichten sie zur Vertraulichkeit. Dies wird schriftlich dokumentiert. Neu eingestellte Beschäftigte erhalten bei der Fresenius SE & Co. KGaA, Fresenius Kabi sowie Fresenius Helios darüber hinaus innerhalb einer festgelegten Frist, die je nach Unternehmensbereich variiert, eine Online-Pflichtunterweisung im Bereich Datenschutz. Die Fresenius SE & Co. KGaA sowie die Unternehmensbereiche haben festgelegt, wie häufig ein Nachweis bezüglich der Unterweisung der Beschäftigten im Bereich Datenschutz zu erbringen ist. Der Zeitraum bewegt sich zwischen acht Wochen für die Basisschulung und mindestens alle zwei Jahre für Folgeschulungen.
Fortschritte und Maßnahmen 2022
Im Berichtsjahr 2022 wurde bei der Fresenius SE & Co. KGaA und innerhalb der Unternehmensbereiche der Datenschutz mit Blick auf die globalen operativen Tätigkeiten weiterentwickelt. Unsere Maßnahmen konzentrierten sich aus diesem Grund auf die Erarbeitung neuer Trainingsinhalte und die Durchführung bestehender Trainingskonzepte sowie auf die Erweiterung von Auditkonzepten, um regulatorische Veränderungen zu berücksichtigen. Zudem lag der Fokus auf Datenschutzmaßnahmen im Zusammenhang mit der Durchführung von Risikobewertungen und damit auf der Stärkung der etablierten Risikokontrollprozesse.
Die Fresenius SE & Co. KGaA hat 2022 eine neue Datenschutzschulung eingeführt. Sie besteht aus verschiedenen Modulen, die über einen Zeitraum von 18 bis 24 Monaten absolviert werden können. Bei Fresenius Kabi wurde im Vorjahr eine neue Datenschutzschulung in vier Modulen entwickelt, die BCR umfasst und seit Ende 2021 verpflichtend den Mitarbeiterinnen und Mitarbeitern angeboten und im Berichtszeitraum abgeschlossen wird. Die Schulung soll alle zwei Jahre wiederholt werden. Die Managementansätze von Fresenius Helios und Fresenius Vamed blieben im Berichtsjahr unverändert zum Vorjahr. Maßnahmen die innerhalb der Unternehmensbereiche getroffen wurden, bezogen sich z. B. auf die Anpassungen von Richtlinien und Prozessen sofern diese aufgrund geänderter Anforderungen notwendig waren.
Evaluation
Über die Hinweisgebersysteme wurde im Berichtsjahr keine Datenschutzverletzung gemeldet, die sich unmittelbar auf die Finanzlage oder Reputation des Unternehmens ausgewirkt hat. Audits oder Risikoüberprüfungen führten wir auf Ebene der Unternehmensbereiche bzw. lokal durch, wie im Abschnitt Audits und Überwachungen beschrieben. Sofern Abweichungen festgestellt wurden, erfolgen Korrekturmaßnahmen innerhalb der betroffenen Einheit. Weitere Ausführungen zu Chancen und Risiken finden Sie im Chancen- und Risikobericht.
Über Anzahl, Art und Bearbeitungsstand von Datenschutzvorkommnissen und Betroffenenanfragen fertigen die Datenschutzbeauftragten Berichte an, die gemäß der erläuterten Organisationsstruktur kommuniziert werden.