Datenschutz: Governance, Prozesse und Verantwortlichkeiten

In der IBB Gruppe liegt die Verantwortung für die Einhaltung des Datenschutzes jeweils beim Unternehmen, welches durch den Vorstand bzw. die Geschäftsführung vertreten wird.

Bei der Investitionsbank Berlin berichtet die/der Datenschutzbeauftragte regelmäßig (ca. fünfmal pro Jahr) an den Vorstand und informiert über aktuelle datenschutzrechtlich relevante Themen und Entwicklungen, Awareness-Maßnahmen sowie Datenschutzvorfälle. Über gegenüber der zuständigen Aufsichtsbehörde meldepflichtige Vorfälle wird der Vorstand unverzüglich informiert. Berichte über durchgeführte Audits werden dem Vorstand unmittelbar nach Fertigstellung zur Verfügung gestellt. Darüber hinaus informiert die/der Datenschutzbeauftragte in einem Jahresbericht zusammenfassend über die rechtliche sowie unternehmensinterne Entwicklung und weist auf mögliche Herausforderungen und Risiken hin.

Alle Mitarbeitenden werden zu Beginn ihres Beschäftigungsverhältnisses auf die Wahrung des Datengeheimnisses sowie die Vertraulichkeit verpflichtet.

Bei der IBB Ventures sowie bei der IBB Business Team liegt die strategische Verantwortung für den Datenschutz jeweils bei der Geschäftsführung. In beiden Gesellschaften ist ein Datenschutzbeauftragter benannt, der die Umsetzung der Datenschutzvorgaben koordiniert, Risikoanalysen unterstützt und regelmäßig an die Geschäftsführung berichtet. Die Geschäftsführung der IBB Ventures informiert zudem mindestens einmal jährlich den Aufsichtsrat über Datenschutz- und IT-Sicherheitsthemen; entsprechende Informationen fließen auch in die Konzern-Nachhaltigkeitserklärungen der IBB Gruppe ein.

Bei der IBB Capital liegt die Verantwortung für den Datenschutz bei der Geschäftsführung; ein externer Datenschutzbeauftragter ist nicht bestellt. Einmal jährlich berichtet die Geschäftsführung im Aufsichtsrat über Datenschutzthemen.

Die Investitionsbank Berlin stellt durch technische und organisatorische Sicherheitsmaßnahmen, die kontinuierlich entsprechend der technologischen Entwicklungen verbessert werden, ein hohes Datenschutzniveau sicher. Das Verzeichnis der Verarbeitungstätigkeiten wird durch die verantwortlichen Fachbereiche bei neuen oder geänderten Verarbeitungstätigkeiten ergänzt und mindestens einmal jährlich auf Aktualität geprüft. Für relevante Verarbeitungstätigkeiten werden Datenschutzfolgenabschätzungen durchgeführt.

Die Interne Revision führt regelmäßige Prüfungen zur Einhaltung datenschutzrechtlicher Vorgaben durch. Darüber hinaus führt die/der Datenschutzbeauftragte unabhängige Audits durch. Über die Ergebnisse sowie Handlungsempfehlungen werden der Vorstand sowie die jeweils auditierten Fachbereiche informiert.

Bei der IBB Ventures und dem IBB Business Team unterstützt das Datenschutzmanagement-System regelmäßige Audits (u. a. technische und organisatorische Maßnahmen, Prüfung von Auftragsverarbeitern, Aktualisierung von Datenschutzfolgenabschätzungen) durch den jeweiligen Datenschutzbeauftragten. Die Ergebnisse fließen in den Datenschutz-Jahresbericht ein; bei Bedarf werden zusätzlich Zwischenreports erstellt.

Datenschutzanalysen erfolgen mindestens jährlich sowie anlassbezogen, insbesondere bei wesentlichen Änderungen oder neuen Verarbeitungstätigkeiten, beim Einsatz neuer Dienstleister oder beim Wechsel von Subunternehmern. Regelmäßige interne oder externe Audits sowie operative Reviews prüfen die Wirksamkeit der Datenschutzmaßnahmen, die Einhaltung gesetzlicher Vorgaben und interner Richtlinien sowie die Angemessenheit der Dokumentation. Die Ergebnisse werden dokumentiert, an die Geschäftsleitung berichtet und zur kontinuierlichen Verbesserung des Datenschutzmanagementsystems genutzt. Alle im Intranet veröffentlichten Datenschutzdokumente werden jährlich revisioniert und müssen bei Änderungen durch die Mitarbeitenden erneut zur Kenntnis genommen werden.

Bei der Investitionsbank Berlin besteht ein definierter Prozess zur internen Meldung und Dokumentation von Datenschutzverletzungen. Meldungen erfolgen durch die jeweiligen Fachbereiche über eine interne elektronische Meldeplattform, in der alle relevanten Informationen erfasst werden. Der meldende Fachbereich nimmt eine Risikobewertung nach den Kriterien der ENISA vor. Die/der Datenschutzbeauftragte führt eine unabhängige zweite Risikobewertung durch und berät den Vorstand zu bestehenden Meldepflichten gegenüber der zuständigen Aufsichtsbehörde. Über eine Meldung an die Aufsichtsbehörde entscheidet der Vorstand. Die Meldung sowie gegebenenfalls die Information der betroffenen Personen erfolgt durch die/den Datenschutzbeauftragte/n in enger Abstimmung mit dem Vorstand.

Bei der IBB Ventures und dem IBB Business Team erfolgen Meldungen unverzüglich über verschiedene, klar kommunizierte und regelmäßig geprüfte Meldewege. Nach Eingang der Meldung wird eine standardisierte Risikobewertung zur Einschätzung der Schwere des Vorfalls und der potenziellen Auswirkungen durchgeführt. Das Meldemanagement ist in mehreren Instrumenten abgebildet (u. a. Datenschutzhandbuch im Intranet, Schulungsunterlagen im LMS, Prozessbeschreibungen sowie elektronische Meldesysteme, einschließlich Whistleblowing- und Anfrageformular).

Bei der IBB Capital nimmt die Geschäftsführung die Aufgaben des Datenschutzbeauftragten selbst wahr. Bei Datenschutzverletzungen erfolgt die Reaktion in analoger Anwendung der Arbeitsanweisungen der IBB-Gruppe.

Bei der Investitionsbank Berlin sind die Mitarbeitenden verpflichtet, regelmäßig an Datenschutzschulungen teilzunehmen. Die Schulungen decken unter anderem Verantwortlichkeiten, sichere Datenverarbeitung, Meldepflichten und IT-Sicherheit ab.

Das Datenschutzbewusstsein wird zusätzlich durch regelmäßige Awareness-Maßnahmen der/des Datenschutzbeauftragten gefördert, darunter Veröffentlichungen im Intranet zu aktuellen Entwicklungen, die Veröffentlichung des Jahresberichtes, Veranstaltungen zu datenschutzrelevanten Themen sowie Informationen zu Audit-Ergebnissen.

Bei der IBB Ventures und dem IBB Business Team ist ein digitales E-Learning-System eingeführt, das alle Mitarbeitenden mindestens einmal jährlich verpflichtend absolvieren müssen. Schulungsfortschritte und Teilnahmen werden systemseitig dokumentiert und für das Reporting genutzt. Ergänzend erfolgen regelmäßige, zielgruppenspezifische Informationen zu aktuellen Datenschutzthemen, rechtlichen Änderungen, internen Richtlinien und Best Practices über verschiedene Kommunikationskanäle, wie z. B. E-Mail-Newsletter oder digitale Infoveranstaltungen.

Bei der IBB Capital nehmen alle Mitarbeitenden einmal jährlich an einer webbasierten Datenschutzschulung teil, die dokumentiert wird. Zusätzlich erfolgen mehrmals jährlich anlassbezogene Sensibilisierungen, unter anderem im Rahmen von formalen Informationsformaten oder durch direkte Mitteilungen der Geschäftsführung, z. B. zu Phishing-Fällen.