Datenverantwortung

Strategie und Konzepte

Datenschutz und Datensicherheit

Datensicherheit zu gewährleisten und den Datenschutz der Menschen zu achten und zu schützen, hat für die Mercedes-Benz Group hohe Priorität. Die Akzeptanz neuer Technologien wie etwa der Künstlichen Intelligenz (KI) erreichen wir nur, wenn wir zeigen, dass die Daten unserer Kunden und der Nutzer unserer Produkte sicher sind. Als eines der ersten Automobilunternehmen haben wir deshalb grundlegende Prinzipien für den Umgang mit dieser Technologie definiert und veröffentlicht.

Datenschutz beginnt bei uns bereits beim Design neuer Produkte und Services und umfasst zahlreiche weitere Maßnahmen zur Einhaltung der Datenschutzvorgaben. Um alle diese Maßnahmen systematisch und risikobasiert zu planen, umzusetzen und laufend zu kontrollieren, verwenden wir ein integriertes Data Compliance Management System.

Ganzheitliche Datenverantwortung

Datenverantwortung ist mehr als Datenschutz. Die Mercedes-Benz Group stellt sich dieser Verantwortung mit einem ganzheitlichen Data-Governance-Ansatz. Dieser deckt rechtliche, kulturelle und organisatorische Aspekte ab. Zentrale Ziele sind eine nachhaltige Gestaltung datenbasierter Geschäftsmodelle und ein verantwortungsvoller Umgang mit Daten im Interesse unserer Kunden, Beschäftigten und anderer Stakeholder. Um diese Ziele zu erreichen, haben wir zahlreiche Maßnahmen ergriffen – zum Beispiel die Schulung unserer Mitarbeiter oder umfassende Informationen für unsere Kunden. Zudem haben wir ein konzernweites Data Governance System etabliert. Es besteht aus einer konzernweiten Data-Governance-Struktur, unserem Daten-Leitbild, unserer Datenkultur und einem Data Compliance Management System.

Konzernweite Data-Governance-Struktur

Das konzernweite Data Governance System wurde im Vorstandsressort Integrität und Recht entwickelt. In den Geschäftsfeldern der Mercedes-Benz Group obliegt die Umsetzung der Data Governance den unterschiedlichen Gremien für Daten und datenbasierte Analytik (Data Analytics). Dabei handelt es sich um funktionsübergreifende Teams, die sich aus Führungskräften mit datenbezogenen Aufgaben zusammensetzen. Sie treffen sich regelmäßig und treiben den digitalen Wandel in den Geschäftsfeldern auf Basis der vom Vorstand priorisierten Maßnahmen voran. Alle relevanten Fachbereiche stimmen sich in den Boards über ihre aktuellen Datenanalytik-Projekte ab und schaffen die Grundlagen für eine effiziente und verantwortungsvolle Datennutzung. Fachkräfte des Konzerndatenschutzes begleiten die Projekte von Anfang an, um die rechtskonforme Umsetzung zu unterstützen.

Auf Konzernebene der Mercedes-Benz Group besteht zudem ein Data Governance Committee. Das Gremium definiert den Rahmen zu unternehmensweiten Kernthemen des Datenmanagements, der Informationssicherheit, des Datenschutzes sowie der Data Compliance. Darüber hinaus trifft es geschäftspolitische Entscheidungen zum unternehmensweiten Umgang mit Daten.

Die operative Umsetzung unserer strategischen Ziele im Bereich Datenverantwortung erfolgt in den einzelnen Geschäftsfeldern. Hierfür hat jedes Geschäftsfeld der Mercedes-Benz Group ein entsprechendes Programm aufgesetzt, mit dem es konkrete Prozesse und Systeme für die verantwortungsvolle Nutzung von Daten einrichtet.

Datenschutz und Data Compliance sicher steuern

Die vom Gesetz definierten Aufgaben zur Einhaltung der Datenschutzvorschriften nimmt bei der Mercedes-Benz Group der Konzernbeauftragte für Datenschutz wahr. Zusammen mit seinem Team überwacht er, ob Datenschutzgesetze und unsere Datenschutzrichtlinien eingehalten werden. Er verantwortet die Bearbeitung von Datenschutzbeschwerden und die Kommunikation mit den Datenschutzaufsichtsbehörden. Weiterhin führt er Kommunikations- und Schulungsmaßnahmen durch. Zudem berät er Verantwortliche und Fachbereiche in allen Datenschutzfragen. Er ist unabhängig und berichtet an den Chief Compliance Officer sowie das Vorstandsmitglied für Integrität und Recht.

Bereits 2018 haben wir mit dem Aufbau des Data Compliance Management Systems begonnen. Dafür wurde innerhalb der Compliance-Organisation zunächst die Abteilung Data Compliance eingerichtet. Die Aufgaben dieser Abteilung haben wir nach erfolgreichem Aufbau des Data Compliance Management Systems im Jahr 2021 im Bereich Konzerndatenschutz unter Leitung des Konzernbeauftragten für Datenschutz gebündelt. Dieser definiert die einzelnen Elemente des Data Compliance Management Systems und steuert dessen konzernweite Umsetzung. Zu seinen Aufgaben gehört es auch, ein jährliches Data Compliance Risk Assessment durchzuführen und das Data-Compliance-Programm aufzustellen. Das Programm beinhaltet sämtliche Maßnahmen, die erforderlich sind, um das Data Compliance Management System umzusetzen – dazu zählen unter anderem formale Anforderungen der DSGVO. Ein Beispiel ist die Einführung eines Verarbeitungsverzeichnisses, um unseren Dokumentationspflichten nachzukommen. Außerdem bestehen konzernweite Monitoring- und Reporting-Prozesse im Themenfeld Data Compliance.

Die Mercedes-Benz Group Datenvision und Datenleitprinzipien

Eine wichtige Schnittstelle für die konzernweite Steuerung von Data Compliance bildet die Funktion des Chief Compliance Officers. Der Chief Compliance Officer leitet die Compliance-Organisation und berichtet zu aktuellen Entwicklungen bei Data-Compliance-Themen regelmäßig an das Vorstandsmitglied für Integrität und Recht sowie quartalsweise an den gesamten Vorstand.

Um das Thema Datenschutz zu steuern, setzen wir auch auf lokale Ansprechpartner, die vor Ort an unseren zahlreichen Standorten weltweit aktiv sind. Diese Local Compliance Officer oder Local Compliance Responsible unterstützen das lokale Management, die Data-Compliance-Maßnahmen umzusetzen. Wir bereiten diese lokalen Ansprechpartner gezielt auf ihre Aufgaben vor und unterstützen sie mit Trainings- und Beratungsangeboten.

Daten-Leitbild gibt Handlungsrahmen vor

Der Anspruch der Mercedes-Benz Group an einen verantwortungsvollen Umgang mit Daten ist in ihrem Daten-Leitbild verankert. Das Leitbild bietet unseren Beschäftigten einen klaren Handlungsrahmen, wie sie mit Daten umgehen sollen. Es wurde konzernweit bekannt gemacht und auch in die aktuelle Fassung unserer Verhaltensrichtlinie aufgenommen.

Zu den zentralen Grundprinzipien des Leitbilds zählen: Transparenz, Selbstbestimmung und Sicherheit. Wir möchten, dass unsere Kunden wissen, wann welche Daten zu welchem Zweck erhoben werden. Darüber informieren wir sie ausführlich in den Verkaufsinformationen, in Apps, in Betriebsanleitungen, in den Nutzungsbedingungen, auf der Datenschutz-Landingpage und – wo immer möglich und sinnvoll – auch direkt im Fahrzeug. Ziel ist es, dass unsere Kunden selbst darüber entscheiden können, welche Dienste sie tatsächlich nutzen und welche Daten sie weitergeben möchten – entweder per Einwilligung, per Vertrag oder per Knopfdruck. Die Dienste von Mercedes me connect beispielsweise können sie jederzeit im Mercedes me Portal oder in der Mercedes me App aktivieren und deaktivieren. Im neuen Mercedes me Datenschutz Center erhalten Kunden einen Überblick über ihre persönlichen Daten und können entscheiden, wofür wir diese verwenden dürfen.

Auch bei der Datensicherheit in unseren Fahrzeugen kommen wir den hohen Sicherheitsansprüchen unserer Kunden nach: Mit Blick auf den Stand der Technik entwickeln wir die Datensicherheit ständig weiter, um die Daten vor Manipulation und Missbrauch zu schützen.

Wirksamer Datenschutz und Datensicherheit im Fahrzeug sind für uns integrale Bestandteile bei der Entwicklung von Produkten und Dienstleistungen. So achten unsere Entwickler bereits beim Design neuer Fahrzeuge, Funktionen und bei der Konzeption digitaler Geschäftsmodelle darauf, dass diese datenschutzfreundlich gestaltet sind – die Herangehensweise ist auch als Privacy by Design bekannt. Viele aktuelle Baureihen verfügen schon heute über technische Funktionen wie Live-Traffic-Informationen oder aktive Stau-Assistenten, die auf der Verarbeitung von Daten basieren. Diese Entwicklung setzt sich fort: Als Beispiele seien weitere Innovationen wie vernetzte Fahrzeuge oder automatisierte Fahrfunktionen genannt.

Datenschutzrichtlinie EU legt konzerninterne Datenschutzstandards fest

Ausgehend von der DSGVO legt die Datenschutzrichtlinie EU der Mercedes-Benz Group einheitliche konzerninterne Datenschutzstandards fest. Sie regelt für alle Konzernunternehmen, wie mit personenbezogenen Daten von Beschäftigten, Kunden und Geschäftspartnern mit Bezug zur EU umgegangen werden soll. Mit ihr tragen wir dem besonderen regulatorischen Umfeld in unserem europäischen Kernmarkt Rechnung.

Darüber hinaus enthält die Richtlinie verbindliche interne Datenschutzvorgaben für Konzerngesellschaften, die sich außerhalb des Anwendungsbereichs der DSGVO befinden, aber als Empfänger grenzüberschreitender Datenübermittlung personenbezogene Daten im Anwendungsbereich der DSGVO verarbeiten. Die Datenschutzrichtlinie EU liegt der zuständigen baden-württembergischen Aufsichtsbehörde als verbindliche interne Datenschutzvorschriften im Sinne der DSGVO zur Anerkennung vor.

Globale Daten- und Informationsrichtlinie regelt Data Compliance weltweit

Die Globale Daten- und Informationsrichtlinie der Mercedes-Benz Group legt die Grundlage für einen verantwortungsvollen, rechtskonformen und ethischen Umgang mit Informationen und Daten weltweit. Sie stellt die Verantwortlichkeiten und Rollen in einem daten- und informationsbasierten Umfeld transparent dar. Darüber hinaus legt die Richtlinie Ziele, Grundsätze und Organisationsstrukturen fest und bestimmt Maßnahmen zur Implementierung der Data-Compliance-Prozesse. Die Richtlinie beinhaltet zudem die Globalen Standards für Data Compliance, die ein weltweit einheitliches Datenschutzniveau im gesamten Konzern gewährleisten sollen. Damit setzten wir einen verbindlichen Standard, der von den Anforderungen der Datenschutzrichtlinie EU und der jeweils geltenden lokalen Datenschutzgesetze ergänzt wird.

Data Compliance Management System

Das Data Compliance Management System der Mercedes-Benz Group unterstützt den Konzern dabei, die Maßnahmen zur Einhaltung der Datenschutzvorgaben systematisch zu planen, umzusetzen und laufend zu kontrollieren. Es berücksichtigt dabei die jeweils geltenden datenschutzrechtlichen Bestimmungen. Für die Konzerngesellschaften in der EU ist hierfür insbesondere die DSGVO maßgeblich, für Konzerngesellschaften außerhalb der EU bilden die jeweiligen lokalen Datenschutzgesetze die Basis. Auch weitere Rechtsgebiete, die bei der Nutzung von Daten relevant sind, beziehen wir mit ein, um mögliche Risiken zu identifizieren und zu adressieren.

Verantwortungsvoller Umgang mit Künstlicher Intelligenz

Künstliche Intelligenz (KI) spielt für die Zukunft der Automobilindustrie in den unterschiedlichsten Bereichen eine zunehmend wichtige Rolle: Sie macht die Produktion flexibler und effizienter und ermöglicht uns, die Bedürfnisse unserer Kunden noch besser zu erfüllen. Neben den großen Potenzialen birgt der Einsatz intelligenter Systeme aber auch Risiken – dessen ist sich die Mercedes-Benz Group bewusst. Daher hat der verantwortungsvolle Umgang mit KI für uns hohe Priorität:

Vier Prinzipien für den Umgang mit KI

Bereits 2019 hat die Mercedes-Benz Group – als eines der ersten Automobilunternehmen – vier Prinzipien für den verantwortungsvollen Umgang mit KI definiert und veröffentlicht. Sie lauten: „Verantwortungsvoller Einsatz“, „Erklärbarkeit“, „Schutz der Privatsphäre“ sowie „Sicherheit und Zuverlässigkeit“. Ziel ist es, KI-spezifischen Risiken präventiv zu begegnen. Die Prinzipien sollen unseren Beschäftigten Orientierung für die Entwicklung und Nutzung von KI geben und das Vertrauen in unsere KI-basierten Lösungen stärken.

Die Prinzipien sind in der Verhaltensrichtlinie der Mercedes-Benz Group verankert. Sie ergänzen unser Daten-Leitbild und sind damit ein wichtiger Bestandteil unserer digitalen Unternehmensverantwortung.

Die vier KI-Prinzipien

Governance für KI

Zusätzlich hat die Mercedes-Benz Group ein Rahmenwerk für den Umgang mit KI entwickelt – das Artificial Intelligence Governance Model (AIGM). Mit diesem risikobasierten und agilen Ansatz wollen wir einerseits einen rechtskonformen und ethischen Umgang mit KI in der Praxis sicherstellen. Andererseits wollen wir dadurch die vier KI-Prinzipien noch stärker verankern.

Das AIGM soll uns dabei unterstützen, rechtliche und ethische Risiken frühzeitig zu erkennen und zu minimieren – und damit eine verantwortungsvolle Umsetzung von KI-basierten Geschäftsmodellen ermöglichen. Sein Fokus liegt aktuell insbesondere auf Systemen, die maschinelles Lernen oder Deep Learning einsetzen.

Unter anderem haben wir eine innovative Chatbot-Lösung eingeführt. Sie unterstützt unsere Beschäftigten dabei, KI-spezifische Risiken schnell und einfach selbst einzuschätzen. Weiterhin haben wir unsere allgemeinen Informations- und Beratungsangebote durch einen Praxisleitfaden zur Umsetzung unserer KI-Prinzipien ergänzt. Darüber hinaus haben wir eine zentrale KI-Governance-Beratungsstelle eingerichtet. Diese ist dem Vorstandsressort Integrität und Recht zugeordnet. Unsere Schulungsangebote ergänzten wir durch ein digitales KI-Governance-Trainingsmodul.

Auch das regelmäßige Engagement mit unseren externen Stakeholdern – etwa im Rahmen unserer Verbands- und Gremienarbeit mit dem Bundesverband der Deutschen Industrie e.V. (BDI) oder dem Europäischen Automobilherstellerverband (ACEA) – haben wir genutzt, um Impulse für eine verantwortungsvolle KI-Governance zu setzen. Beim Sustainability Dialogue 2021 stellten wir ebenfalls den verantwortungsvollen Umgang mit KI in den Mittelpunkt: Gemeinsam mit Vertretern aus Wirtschaft, Wissenschaft, Politik und Zivilgesellschaft haben wir in der Arbeitsgruppe Beschäftigte und Integrität das Thema „Entscheidungsfindung in Zeiten von Künstlicher Intelligenz – unsere Verantwortung dabei“ diskutiert.

Für das Jahr 2022 planen wir, unsere KI-Governance-Aktivitäten weiterzuführen.

Maßnahmen

Interne Informations- und Trainingsmaßnahmen

Bei ihrer datenbasierten Transformation setzt die Mercedes-Benz Group auf eine aktivere Nutzung von und einen verantwortungsvollen Umgang mit Daten. Als Rahmen dienen uns hierbei die sieben Prinzipien unseres Daten-Leitbilds.

Um unsere Datenkultur konzernweit zu etablieren, ist es wichtig, dass alle Beschäftigten die Prinzipien verinnerlichen und im Arbeitsalltag leben. Deshalb haben wir 2021 umfassende Informations- und Trainingsmaßnahmen für alle Beschäftigten durchgeführt. Dazu gehört insbesondere ein neues webbasiertes Training, das anhand von praxisnahen Fragen erläutert, wie wichtig der richtige Umgang mit Daten ist. Das Training wurde weltweit eingeführt und ist für alle Verwaltungsmitarbeiter verpflichtend.

Darüber hinaus bieten verschiedene weitere webbasierte Trainings und Schulungen unseren Beschäftigten Gelegenheit, sich mit den Themen Datenkultur und Data Governance auseinanderzusetzen. Sie werden zu einem verantwortungsvollen Nutzen und Teilen von Daten geschult und befähigt, die Transparenz und Datenqualität zu erhöhen. Zusätzlich stehen allen Beschäftigten mit dem Data Navigator und der Digipedia zwei Plattformen mit allen wichtigen Informationen und zahlreichen Lernangeboten rund um das Thema Daten zur Verfügung.

Alle Beschäftigten unserer kontrollierten Konzerngesellschaften, die über einen E-Mail-Zugang verfügen, müssen alle drei Jahre das webbasierte Training „Integrity@Work“ absolvieren, das auch für Datenschutzthemen sensibilisiert. Für Führungskräfte in der EU ist die Teilnahme am webbasierten Training „Expert Module – EU General Data Protection Regulation Overview“ verpflichtend. Es wurde im Berichtsjahr überarbeitet und von der Zielgruppe in der neuen Fassung absolviert. Das lokale Management jeder Konzerneinheit kann weitere Beschäftigte zur Teilnahme an diesen Angeboten verpflichten. Die Trainingsmaßnahmen stehen über ein IT-gestütztes Learning Management System weltweit zur Verfügung.

Beschäftigte aus besonders datenschutzrelevanten Bereichen – zum Beispiel dem Personalbereich, dem Vertrieb oder der Entwicklung – werden vom zuständigen Local Compliance Officer oder Local Compliance Responsible persönlich geschult. Das geschieht entweder in Form eines Präsenztrainings oder im Online-Format. In Konzerneinheiten mit hohem datenschutzbezogenem Risiko erstellen wir darüber hinaus jährliche Trainingspläne und dokumentieren die Teilnahme. So haben wir im Berichtsjahr alle leitenden Führungskräfte im Bereich Forschung und Entwicklung zu den Grundlagen des Datenschutzes sowie zu den Grundsätzen von „Privacy by Design“ geschult – ihre Teilnahme ist verpflichtend. Allen weiteren Führungskräften und Mitarbeitenden, für die die Schulungen aufgrund ihres Stellenprofils relevant sind, empfehlen wir eine Teilnahme.

Neuen Geschäftsführern von Konzerngesellschaften erläutern wir die Grundzüge des Data Compliance Management Systems im Rahmen des Onboarding-Prozesses. Zum Selbststudium steht Führungskräften außerdem der sogenannte Corporate Governance Navigator im Intranet zur Verfügung. Auch dieser enthält Informationen zum Thema Datenschutz.

Die lokale Data-Compliance-Organisation ist bei der Umsetzung, Beratung und dem Monitoring der Compliance-Maßnahmen besonders wichtig. Daher durchlaufen unsere Local Compliance Officer und Local Compliance Responsibles aus Konzerneinheiten mit mittlerem oder hohem datenschutzbezogenem Risiko neben den oben genannten Schulungen auch ein Qualifizierungsprogramm zu Data Compliance. Dort vermitteln wir ihnen datenschutzrechtliche Grundkenntnisse und leiten sie bei ihren konkreten Aufgaben an. Local Compliance Officer und Local Compliance Responsibles aus Konzerneinheiten mit geringem datenschutzbezogenem Risiko erhalten ein inhaltlich vergleichbares videobasiertes Training.

Kundendaten

Die Mercedes-Benz Group hat einen hohen Anspruch für den Umgang mit persönlichen Daten ihrer Kunden. In unserem 2021 neu eingeführten Mercedes me Datenschutz Center können sich Kunden noch schneller und einfacher einen Überblick verschaffen, welche ihrer persönlichen Daten vorliegen. Sie können selbst entscheiden, wofür Mercedes-Benz diese verwenden darf. Dabei steht die Nutzerfreundlichkeit im Fokus, sodass der Kunde über fünf intuitive Kategorien direkt zu seinen Wahlmöglichkeiten findet. Dieses Angebot unterstreicht die Prinzipien Selbstbestimmung, Transparenz und Sicherheit des Daten-Leitbilds und steht für einen verantwortungsvollen Umgang mit Daten.

Lieferantendaten

Vor der Beauftragung eines Dienstleisters, der personenbezogene Daten verarbeitet, prüft die Mercedes-Benz Group, ob dieser die erhaltenen Daten im Einklang mit den gesetzlichen Bestimmungen – insbesondere der DSGVO – verarbeiten kann. Dabei kommt es entscheidend darauf an, ob der Dienstleister angemessene technische und organisatorische Maßnahmen hinsichtlich der Datensicherheit nachweisen kann.

Risikobewertung

Ein zentraler Baustein des Data Compliance Management Systems der Mercedes-Benz Group ist das Data Compliance Risk Assessment. Im Rahmen dieses systematischen Prozesses identifiziert, analysiert und bewertet der Bereich Data Compliance jährlich die datenbezogenen Risiken unseres Unternehmens. Das gilt ebenso für Konzerngesellschaften wie für die Zentralbereiche. Die Ergebnisse der Analyse dienen als Grundlage, um Risiken zu steuern und zu minimieren.

Basis für die Prüfung sind zentral zusammengeführte Informationen zu allen Konzerneinheiten, die je nach Risikoeinschätzung um individuell erhobene Details ergänzt werden. Vorab bewertet der Bereich Data Compliance mögliche Risiken auf Grundlage interner und externer Informationen. Untersucht werden zum Beispiel Indikatoren zur Datenverarbeitung im Rahmen der Geschäftstätigkeit und zum regulatorischen Umfeld des Landes, in dem die jeweilige Konzerneinheit ansässig ist. Mithilfe dieser Indikatoren ermittelt der Bereich, ob eine Konzerneinheit besonderen Risiken ausgesetzt ist und deshalb näher betrachtet werden muss. In diesen Fällen bezieht der Bereich bei seiner Risikoklassifizierung auch Informationen aus den lokalen Konzerneinheiten mit ein. Der Chief Compliance Officer und das Netzwerk der Divisional/Regional Compliance Officer bestätigen die Ergebnisse des jährlichen Data Compliance Risk Assessments und berichten sie an die Vorstands- und Aufsichtsratsgremien der Mercedes-Benz Group AG, Mercedes-Benz AG und Mercedes-Benz Mobility AG.

Risiko der Digitalisierung

Die Digitalisierungsstrategie eröffnet der Mercedes-Benz Group neue Chancen, den Nutzen für die Kunden und die Werte des Unternehmens zu steigern. Gleichwohl birgt die hohe Durchdringung aller Geschäftsbereiche mit Informationstechnik (IT) auch Risiken für die Geschäfts- und Produktionsprozesse sowie deren Dienstleistungen und Produkte.

Cyberkriminalität und Schadcode bergen Risiken, die sich auf die Verfügbarkeit, Integrität und Vertraulichkeit von Informationen und IT-gestützten Betriebsmitteln auswirken können. Im ungünstigsten Fall werden dadurch IT-gestützte Geschäftsprozesse unterbrochen – trotz umfangreicher Vorkehrungen. Dies kann sich negativ auf das Unternehmensergebnis auswirken. Zudem kann der Verlust oder Missbrauch sensibler Daten unter Umständen zu einem Reputationsverlust führen. Insbesondere verschärfte regulatorische Anforderungen wie beispielsweise die DSGVO können unter anderem Ansprüche Dritter begründen – und aufwendige regulatorische Auflagen sowie ergebniswirksame Strafen nach sich ziehen.

Für die global agierende Mercedes-Benz Group und ihre umfassenden Geschäfts- und Produktionsprozesse ist es essenziell, dass Informationen aktuell, vollständig und korrekt vorgehalten und ausgetauscht werden können. Unser internes Rahmenwerk zur IT-Sicherheit orientiert sich an internationalen Standards und greift bei Schutzmaßnahmen auch auf Industriestandards und Good Practice zurück. Neue regulatorische Anforderungen zur Cybersicherheit und zu Cyber-Security-Management-Systemen werden bei der Weiterentwicklung unserer Prozesse und Vorgaben berücksichtigt.

Mit Blick auf den Schutzbedarf der Informationen werden gesicherte IT-Systeme und eine zuverlässige IT-Infrastruktur betrieben. Risiken werden zudem über den gesamten Lebenszyklus der Applikationen und IT-Systeme hinweg identifiziert und entsprechend ihrer Wichtigkeit behandelt. Besonderen Fokus legen wir auf Risiken, die dazu führen, dass Geschäftsprozesse aufgrund von IT-Systemausfällen unterbrochen werden, Daten verloren gehen oder verfälscht werden. Die fortschreitende Digitalisierung und Vernetzung von Produktionsmitteln erfordert hierbei eine besondere Aufmerksamkeit. Daher entwickeln wir unsere technischen und organisatorischen Sicherheitsmaßnahmen kontinuierlich weiter.

Zudem wachsen die Anforderungen an die Vertraulichkeit, Integrität und Verfügbarkeit von Daten. Aus diesem Grund hat die Mercedes-Benz Group vielfältige Maßnahmen umgesetzt, um damit verbundene Risiken frühestmöglich zu minimieren und mögliche Schäden zu begrenzen. Es wurden Notfallpläne erstellt und unsere Beschäftigten werden regelmäßig geschult und sensibilisiert.

In einem global agierenden Cyber Intelligence & Response Center analysieren wir spezifische Bedrohungen und koordinieren unsere Gegenmaßnahmen. Kontinuierlich bauen wir außerdem den Schutz der Produkte und Dienstleistungen vor Gefährdungen durch Hacker-Angriffe und Cyberkriminalität aus. Zudem betreiben wir Cyber-Security-Programme, um die Risiken systematisch zu verringern.

Das Ausmaß der informationstechnischen Risiken und die Eintrittswahrscheinlichkeit entsprechender Vorfälle schätzen wir aufgrund der konstanten Umsetzung von Gegenmaßnahmen im Vergleich zum Vorjahr als unverändert ein.

Umgang mit Datenschutzverletzungen

Für alle Vorfälle, die die Informationssicherheit betreffen, ist in der Mercedes-Benz Group ein zentraler Meldeprozess etabliert: der Information Security Incident Management Process. Er ist rund um die Uhr verfügbar. Beschäftigte und Auftragnehmer sind dazu angehalten, alle potenziellen Datenschutzverletzungen auf diesem Wege zu melden. In Einheiten im Anwendungsbereich der DSGVO erfolgt die Bearbeitung eines Datenschutzvorfalls durch den Bereich Konzerndatenschutz. Dieser wird bei der lokalen Sachverhaltsaufklärung durch einen lokalen Incident Support unterstützt. Der Bereich Konzerndatenschutz gibt anschließend eine Handlungsempfehlung an das lokale Management ab, ob die Aufsichtsbehörden informiert und die Betroffenen innerhalb der gesetzlichen Frist benachrichtigt werden müssen. In Einheiten außerhalb des Anwendungsbereichs der DSGVO übernimmt der lokale Incident Support die weitere Bearbeitung. Gemeinsam mit dem lokalen Management entscheidet er darüber, ob die Aufsichtsbehörden informiert und die Betroffenen benachrichtigt werden müssen. Der Bereich Konzerndatenschutz kann jederzeit unterstützend eingebunden werden. Das Ergebnis der Bearbeitung muss dem Konzerndatenschutz zu Dokumentationszwecken zur Verfügung gestellt werden.

Im Berichtsjahr erfolgte in einigen wenigen Fällen eine Meldung an die zuständigen Datenschutzaufsichtsbehörden. Es folgten daraus keine behördlichen Maßnahmen gegen das Unternehmen.

Neben dem Datenschutz-Incident-Management-Prozess hat die Mercedes-Benz Group einen allgemeinen Hinweisgeberprozess etabliert, über den alle potenziellen Compliance-Verstöße gemeldet werden können. Er soll Hinweisen auf Verstöße mit hohem Risiko für das Unternehmen und die Beschäftigten fair und angemessen nachgehen. Der Bereich Data Compliance schult alle Local Compliance Officer und Local Compliance Responsibles dazu, was sie bei der Bearbeitung von Beschwerden beachten müssen. Dabei werden neben lokalen beziehungsweise außereuropäischen Datenschutzbestimmungen auch die Vorgaben der DSGVO berücksichtigt.

Die Kontaktdaten des Konzernbeauftragten für den Datenschutz sind öffentlich verfügbar. Für Kunden mit Anliegen im Datenschutz steht er – beziehungsweise sein Team – jederzeit als Ansprechpartner bereit.

Die beim Konzerndatenschutz eingegangenen Eingaben befinden sich auf einem insgesamt niedrigen Niveau. In einer einstelligen Zahl von Fällen haben Datenschutzaufsichtsbehörden Untersuchungen aufgrund von Kundenbeschwerden durchgeführt. Daraus folgende Maßnahmen gegen das Unternehmen gab es nicht.

Wirksamkeit und Ergebnisse

Wirksamkeit unseres Managementansatzes

Das Data Compliance Management System der Mercedes-Benz Group wird laufend weiterentwickelt. Mithilfe eines jährlichen Monitoring- und Reporting-Prozesses untersuchen wir, inwieweit die zuvor definierten Maßnahmen umgesetzt und die damit verfolgten Ziele erreicht wurden. So prüft die Compliance-Organisation kontinuierlich, ob das Compliance Management System angemessen und wirksam ist. Der sich daraus jeweils ergebende Handlungsbedarf und die daraufhin ergriffenen Maßnahmen werden im Compliance Reporting dokumentiert; die Implementierung wird entsprechend im System nachgehalten.

Ergebnisse

Die jährliche Monitoring-Prüfung des Data Compliance Management Systems hat ergeben, dass das Design des Systems weiterhin angemessen und geeignet ist, um unsere Compliance-Ziele zu erreichen. Es gibt keine Hinweise darauf, dass die Implementierungsziele des Data Compliance Management Systems im Berichtsjahr 2021 nicht vollständig erfüllt wurden. Im Jahr 2022 wollen wir auch die dritte Stufe, die Effektivität des Data Compliance Management Systems, bewerten.