So stellt der Konzern ein hohes Niveau im Datenschutz sicher

Um Datenschutz und Datensicherheit im Konzern zu stärken, realisiert die Deutsche Telekom regelmäßig intern entsprechende Kontrollen, Auditierungen und Zertifizierungen von Unternehmensbereichen. Das Unternehmen greift dazu auf ein System von Kontrollen, Audits und Zertifizierungen durch externe und interne Fachleute zurück. Dabei nimmt es eine Vorreiterrolle ein: In der Telekommunikationsbranche sind Zertifizierungen einzelner Unternehmensbereiche bisher noch die Ausnahme.

Deshalb begrüßt die Deutsche Telekom, dass der europäische Gesetzgeber die Bedeutung von Zertifizierungen erkannt hat. Er fordert im Artikel 42 DS-GVO die Einführung von datenschutzspezifischen Zertifizierungsverfahren sowie von Datenschutzsiegeln und Datenschutzprüfzeichen.

Kontrollen und Audits

Jährlich führen allein die Zentralbereiche Interne Revision, Konzerndatenschutz und Zentrales Sicherheitsmanagement zahlreiche Kontrollen und Audits zu Datenschutz und Datensicherheit durch. Risikobasierte Kontrollen sind Teil des Datenschutz-Compliance-Management-Systems. Dabei wird beispielsweise untersucht, ob nur erforderliche Daten gespeichert (Prinzip der Datensparsamkeit) und nach Ablauf der Zweckbindung auch gelöscht werden. Weitere Audits dienen dem Ziel, die im Konzern eingesetzten Informations- und Netzwerktechnologien zu sichern. So wird zum Beispiel die Umsetzung der Berechtigungs-, Datenschutz- und Sicherheitskonzepte konzernweit überprüft, um etwaige Lücken zu ermitteln. Solche Lücken können durch Sicherheitsmängel in Softwarelösungen entstehen. Einmal erkannt, werden die Mängel umgehend zusammen mit den Industriepartnern beseitigt.

Die Ergebnisse der verschiedenen Kontrollen und Audits stellen ein hohes Datenschutz- und Sicherheitsniveau sicher. Sie weisen entweder die Effektivität der internen Systeme und Prozesse nach oder helfen, etwaige Schwachstellen frühzeitig zu erkennen und zu beseitigen.

Zertifizierungen

Eine Zertifizierung ist ein Verfahren, das externe, unabhängige Stellen wie etwa TÜV, DEKRA oder Wirtschaftsprüfungsgesellschaften anwenden. Es weist nach, ob bestimmte Anforderungen an Produkte und Dienstleistungen und ihre jeweiligen Herstellungsverfahren einschließlich der Handelsbeziehungen, Personen und Systeme eingehalten werden.

Im Jahr 2014 haben Wirtschaftsprüfer von Deloitte & Touche die Wirksamkeit des datenschutzbezogenen Compliance Management Systems (CMS) der Telekom auditiert. Das Ergebnis: Alle im CMS beschriebenen Maßnahmen werden wirksam umgesetzt. Am 30. September 2014 bestätigten die Wirtschaftsprüfer der Deutschen Telekom AG, der Telekom Deutschland GmbH und deren Mehrheitsbeteiligungen sowie der T-Systems International GmbH und deren Mehrheitsbeteiligungen die Wirksamkeit des CMS.

In 2020 wurde eine Weiterentwicklung der bestehenden datenschutzspezifischen Zertifizierungsaktivitäten in der Deutschen Telekom-Gruppe als strategisches Ziel für den Datenschutz definiert. Hierzu wurden die neuen Zertifizierungsangebote im Datenschutzbereich analysiert. Auf Basis dieser Marktanalyse, im Informationsaustausch mit den verantwortlichen Aufsichtsbehörden und der Akkreditierungsstelle hat die Telekom ein modulares Zertifizierungskonzept entwickelt, dass sowohl umfassende Zertifizierungen des Datenschutz-Managementsystems (z.B. ISO 27701) wie auch produkt-, prozess- und servicespezifische Zertifizierungen nach Art. 42 DS-GVO in der Deutsche Telekom anstrebt. Bereits zahlreiche Einheiten in der Deutsche Telekom-Gruppe sind nach ISO/IEC 27701:2019 zertifiziert und die zentralen Funktionen fördern und unterstützen den Roll-out für weitere interessierte Einheiten. Gleichzeitig setzen die Datenschutzexperten die Beobachtung und Analyse der Entwicklungen im Markt für Zertifizierungen nach Art. 42 DS-GVO fort. Der Konzern etabliert sich damit weiter als Vorreiter in der Telekommunikationsbranche im Kontext datenschutzspezifischer Zertifizierungen.

Das zentrale Sicherheitsmanagementsystem und Teile der Telekom Deutschland GmbH wurden durch eine Zertifizierung nach der internationalen Norm ISO 27001 ausgezeichnet. Diese bestätigt die Einhaltung von Vorgaben zur Sicherheit in Informations-Managementsystemen, in Produkten, Kundeninteraktionen und internen Prozessen.

So ist auch die Open Telekom Cloud nach dem Trusted Cloud Datenschutz-Profil für Cloud-Dienste (TCDP) zertifiziert. Dieser Prüfstand entspricht den datenschutzrechtlichen Anforderungen des Bundesdatenschutzgesetzes an Cloud Computing. 

Die Telekom unterstützt durch die Mitarbeit in der Stiftung Datenschutz zudem aktiv das Forschungsprojekt AUDITOR, das derzeit als Nachfolgeprojekt des Trusted Cloud Projektes einen Standard für die Datenschutz-Zertifizierung von Cloud-Diensten nach der DS-GVO entwickelt.