Anbieter/Datenschutz

Mercedes-Benz AG

Mercedesstraße 120
70372 Stuttgart
Germany

Tel.: +49 7 11 17-0
E-Mail:

dialog@mercedes-benz.com

Vertreten durch den Vorstand:
Ola Källenius (Vorsitzender), Jörg Burzer, Renata Jungo Brüngger, Sabine Kohleisen, Markus Schäfer, Britta Seeger, Hubertus Troska, Harald Wilhelm

Vorsitzender des Aufsichtsrats:
Bernd Pischetsrieder

Handelsregister beim Amtsgericht Stuttgart, Nr. HRB 762873
Umsatzsteueridentifikationsnummer: DE 32 12 81 763

Rechtliche HinweiseEinstellungenDatenschutz
Download-Center

Nachhaltigkeitsbericht 2022

Datenverantwortung

Strategie und Konzepte

Datenschutz und Datensicherheit

GRI 3-3

Datensicherheit zu gewährleisten und den Schutz der personenbezogenen Daten zu achten, hat für die Mercedes-Benz Group hohe Priorität. Die Akzeptanz neuer Technologien wie etwa der Künstlichen Intelligenz (KI) erreicht sie nur, wenn sie zeigt, dass die Daten ihrer Kundinnen und Kunden sowie die der Nutzerinnen und Nutzer ihrer Produkte sicher sind. Als eines der ersten Automobilunternehmen definierte und veröffentlichte die Mercedes-Benz Group deshalb grundlegende Prinzipien für den Umgang mit dieser Technologie.

Datenschutz beginnt bei der Mercedes-Benz Group bereits beim Design neuer Produkte und Services und umfasst zahlreiche weitere Maßnahmen zur Einhaltung der Datenschutzvorgaben. Um alle diese Maßnahmen systematisch und risikobasiert zu planen, umzusetzen und regelmäßig zu kontrollieren, verwendet sie ein integriertes Data Compliance Management System.

Ganzheitliche Datenverantwortung

GRI 3-3

Datenverantwortung ist mehr als Datenschutz. Die Mercedes-Benz Group stellt sich dieser Verantwortung mit einem ganzheitlichen Data-Governance-Ansatz. Dieser deckt rechtliche, kulturelle und organisatorische Aspekte ab. Zentrale Ziele sind eine nachhaltige Gestaltung datenbasierter Geschäftsmodelle und ein verantwortungsvoller Umgang mit Daten im Interesse der Kundinnen und Kunden, Beschäftigten und anderer Stakeholder. Um diese Ziele zu erreichen, ergriff die Mercedes-Benz Group Maßnahmen, zum Beispiel das konzernweite Data-Governance-System. Es besteht primär aus einer Data-Governance-Struktur, dem Daten-Leitbild, der Datenkultur und einem Data Compliance Management System.

Data-Governance-Struktur

Das Data-Governance-System wurde im Vorstandsressort Integrität und Recht entwickelt. In den Geschäftsfeldern der Mercedes-Benz Group obliegt die Umsetzung der Data Governance den unterschiedlichen Gremien für Daten und datenbasierte Analytik (Data Analytics). Dabei handelt es sich um funktionsübergreifende Teams, die sich aus Führungskräften mit datenbezogenen Aufgaben zusammensetzen. Sie treffen sich regelmäßig und treiben den digitalen Wandel in den Geschäftsfeldern auf Basis der vom Vorstand priorisierten Maßnahmen voran. Alle relevanten Fachbereiche stimmen sich in den Boards über ihre aktuellen Datenanalytik-Projekte ab und schaffen die Grundlagen für eine effiziente und verantwortungsvolle Datennutzung. Fachkräfte des Konzerndatenschutzes begleiten die Projekte von Anfang an, um die rechtskonforme Umsetzung zu unterstützen.

Innerhalb der Mercedes-Benz Group besteht zudem ein „Digital Governance Board“ mit Vorstandsbeteiligung, das seit Anfang 2022 die Arbeit des Data Governance Committees fortführt. Das Gremium definiert den Rahmen zu konzernweiten Kernthemen der „Digital Governance“ und unterstützt dadurch die digitale Transformation des Konzerns.

Die operative Umsetzung der strategischen Ziele der Mercedes-Benz Group im Bereich Datenverantwortung erfolgt in den einzelnen Geschäftsfeldern. Hierfür hat jedes Geschäftsfeld der Mercedes-Benz Group ein entsprechendes Programm aufgesetzt, mit dem es konkrete Prozesse und Systeme für die verantwortungsvolle Nutzung von Daten einrichtet.

Datenschutz und Data Compliance sicher steuern

Die vom Gesetz definierten Aufgaben zur Einhaltung der Datenschutzvorschriften nimmt bei der Mercedes-Benz Group der Konzernbeauftragte für den Datenschutz wahr. Zusammen mit seinem Team überwacht er, ob Datenschutzgesetze und die konzerneigenen Datenschutzrichtlinien eingehalten werden. Er verantwortet die Bearbeitung von Datenschutzbeschwerden und die Kommunikation mit den Datenschutzaufsichtsbehörden. Weiterhin führt er Kommunikations- und Schulungsmaßnahmen durch. Zudem berät er Verantwortliche und Fachbereiche in allen Datenschutzfragen. Er ist unabhängig und berichtet an den Chief Compliance Officer sowie das Vorstandsmitglied für Integrität und Recht.

Der Bereich Konzerndatenschutz unter Leitung des Konzernbeauftragten definiert die einzelnen Elemente des Data Compliance Management Systems und koordiniert dessen konzernweite Umsetzung. Zu seinen Aufgaben gehört es auch, ein jährliches Data Compliance Risk Assessment durchzuführen und die Data-Compliance-Maßnahmen zu definieren. Deren Umsetzung wird vom Management der jeweiligen Konzerngesellschaften und -bereiche verantwortet.

Eine wichtige Schnittstelle für die konzernweite Steuerung von Data Compliance bildet die Funktion des Chief Compliance Officers. Der Chief Compliance Officer leitet die Compliance-Organisation und berichtet zu aktuellen Entwicklungen bei Data-Compliance-Themen regelmäßig an das Vorstandsmitglied für Integrität und Recht sowie quartalsweise an den gesamten Vorstand.

Um das Thema Datenschutz zu steuern, setzt die Mercedes-Benz Group auch auf lokale Ansprechpartner, die vor Ort an den zahlreichen Standorten weltweit aktiv sind. Diese Local Compliance Officer oder Local Compliance Responsible unterstützen das lokale Management, die Data-Compliance-Maßnahmen umzusetzen. Die Mercedes-Benz Group bereitet diese lokalen Ansprechpartner gezielt auf ihre Aufgaben vor und unterstützt sie mit Trainings- und Beratungsangeboten.

Daten-Leitbild gibt Handlungsrahmen vor

Der Anspruch der Mercedes-Benz Group an einen verantwortungsvollen Umgang mit Daten ist in ihrem Daten-Leitbild verankert. Das Leitbild bietet ihren Beschäftigten einen klaren Handlungsrahmen, wie sie mit Daten umgehen sollen. Es wurde konzernweit bekannt gemacht und auch in die aktuelle Fassung der Verhaltensrichtlinie aufgenommen.

Zu den zentralen Grundprinzipien des Leitbilds zählen Transparenz, Wahlmöglichkeit und Datensicherheit. Die Mercedes-Benz Group möchte, dass ihre Kundinnen und Kunden wissen, wann welche Daten zu welchem Zweck erhoben werden, und informiert darüber ausführlich in den Verkaufsinformationen, in Apps, in Betriebsanleitungen, in den Nutzungsbedingungen, auf der eigenen Datenschutz-Website und – wo immer möglich und sinnvoll – auch direkt im Fahrzeug. Ziel ist es, dass die Kundinnen und Kunden selbst darüber entscheiden können, welche Dienste sie tatsächlich nutzen und welche Daten sie weitergeben möchten – entweder per Einwilligung, per Vertrag oder per Knopfdruck. Die Dienste von Mercedes me connect beispielsweise können sie jederzeit im Mercedes me Portal oder in der Mercedes me App aktivieren und deaktivieren. Seit Anfang 2022 ist die Plattform für Kundinnen und Kunden in 28 Ländern verfügbar. Die Mercedes-Benz Group strebt danach, sie für die meisten ihrer Märkte weltweit bereitzustellen.

Mercedes-Benz Group Daten-Leitbild und Datenleitprinzipien

Die Mercedes-Benz Group Datenvision und Datenleitprinzipien (Grafik)
Kundendaten

Auch bei der Datensicherheit in den Fahrzeugen kommt die Mercedes-Benz Group den hohen Sicherheitsansprüchen ihrer Kundinnen und Kunden nach: Mit Blick auf den Stand der Technik entwickelt sie die Datensicherheit ständig weiter, um die Daten vor Manipulation und Missbrauch zu schützen.

Wirksamer Datenschutz und Datensicherheit im Fahrzeug sind für die Mercedes-Benz Group integrale Bestandteile bei der Entwicklung von Produkten und Dienstleistungen.

Datenschutzrichtlinie EU: Verbindliche interne Datenschutzvorschriften

Ausgehend von der Datenschutz-Grundverordnung (DSGVO) legt die Datenschutzrichtlinie EU einheitliche interne Datenschutzstandards für die Mercedes-Benz Group fest. Die Richtlinie regelt für alle Konzerngesellschaften, wie mit personenbezogenen Daten von Beschäftigten, Kundinnen und Kunden sowie Geschäftspartnern mit Bezug zur EU umgegangen werden soll. Mit ihr trägt die Mercedes-Benz Group dem besonderen regulatorischen Umfeld in ihrem europäischen Kernmarkt Rechnung.

Der europäische Datenschutzausschuss hat die Richtlinie im Berichtsjahr als verbindliche interne Datenschutzvorschriften (Binding Corporate Rules – BCR) anerkannt. Mit der Einhaltung dieser BCR stellt die Mercedes-Benz Group bei der Übermittlung personenbezogener Daten an Konzerngesellschaften in Drittländern ein angemessenes Datenschutzniveau her.

Globale Daten- und Informationsrichtlinie regelt Data Compliance weltweit

GRI 2-23/-24

Die Globale Daten- und Informationsrichtlinie der Mercedes-Benz Group legt die Basis für einen verantwortungsvollen, rechtskonformen und ethischen Umgang mit Informationen und Daten weltweit. Sie stellt die Verantwortlichkeiten und Rollen in einem daten- und informationsbasierten Umfeld transparent dar. Darüber hinaus legt die Richtlinie Ziele, Grundsätze und Organisationsstrukturen fest und bestimmt Maßnahmen zur Implementierung der Data-Compliance-Prozesse. Die Richtlinie beinhaltet zudem die Globalen Standards für Data Compliance, die ein weltweit einheitliches Datenschutzniveau im gesamten Konzern gewährleisten sollen. Damit setzt die Mercedes-Benz Group einen verbindlichen Standard, der von den Anforderungen der internen Datenschutzrichtlinie EU und der jeweils geltenden lokalen Datenschutzgesetze ergänzt wird. Die Richtlinie wird regelmäßig an aktuelle Entwicklungen angepasst und inhaltlich weiterentwickelt.

Data Compliance Management System

GRI 3-3

Das Data Compliance Management System der Mercedes-Benz Group unterstützt dabei, die Maßnahmen zur Einhaltung der Datenschutzvorgaben systematisch und risikobasiert zu planen, umzusetzen und regelmäßig zu kontrollieren. Es berücksichtigt dabei die jeweils geltenden datenschutzrechtlichen Bestimmungen. Für die Konzerngesellschaften in der EU ist hierfür insbesondere die DSGVO maßgeblich, für Gesellschaften außerhalb der EU bilden die internen Globalen Standards für Data Compliance sowie die jeweiligen lokalen Datenschutzgesetze die Basis.

Verantwortungsvoller Umgang mit Künstlicher Intelligenz

Künstliche Intelligenz (KI) spielt für die Zukunft der Automobilindustrie in den unterschiedlichsten Bereichen eine zunehmend wichtige Rolle: Sie macht die Produktion flexibler und effizienter und ermöglicht es den Unternehmen, die Bedürfnisse ihrer Kundinnen und Kunden noch besser zu erfüllen. Neben den großen Potenzialen birgt der Einsatz intelligenter Systeme aber auch Risiken – dessen ist sich die Mercedes-Benz Group bewusst. Daher hat der verantwortungsvolle Umgang mit KI hohe Priorität.

Vier Prinzipien für den Umgang mit KI

Bereits 2019 hat die Mercedes-Benz Group vier Prinzipien für den verantwortungsvollen Umgang mit KI definiert und veröffentlicht. Sie lauten: „Verantwortungsvoller Einsatz“, „Erklärbarkeit“, „Schutz der Privatsphäre“ sowie „Sicherheit und Zuverlässigkeit“. Ziel ist es, KI-spezifischen Risiken präventiv zu begegnen. Die Prinzipien sollen den Beschäftigten Orientierung für die Entwicklung und Nutzung von KI geben und das Vertrauen in die konzerneigenen KI-basierten Lösungen stärken.

Die Prinzipien sind in der Verhaltensrichtlinie der Mercedes-Benz Group verankert. Sie ergänzen das Daten-Leitbild und sind damit ein wichtiger Bestandteil der digitalen Konzernverantwortung.

Die vier KI-Prinzipien

Die vier KI-Prinzipien (Grafik)

Governance für KI

Zusätzlich hat die Mercedes-Benz Group ein Rahmenwerk für den Umgang mit KI entwickelt. Mit einem risikobasierten und agilen Ansatz will sie die vier KI-Prinzipien noch stärker in die Praxis bringen und einen rechtskonformen und ethischen Umgang mit KI sicherstellen.

Der KI-Governance-Ansatz unterstützt die Mercedes-Benz Group dabei, rechtliche und ethische Risiken frühzeitig zu erkennen und zu minimieren – und damit KI-basierte Geschäftsmodelle verantwortungsvoll umzusetzen. Sein Fokus liegt aktuell insbesondere auf Systemen, die Machine Learning oder Deep Learning einsetzen.

Im Berichtsjahr hat die Mercedes-Benz Group ihren KI-Governance-Ansatz weiterentwickelt. Der Schwerpunkt lag darauf, neue ethische und regulatorische Anforderungen zu integrieren und die KI-Governance stärker mit bestehenden Prozessen zu harmonisieren.

Unter anderem hat die Mercedes-Benz Group einen innovativen Chatbot optimiert, der die Beschäftigten dabei unterstützt, KI-spezifische Risiken schnell und einfach selbst einzuschätzen. Weiterhin hat die Mercedes-Benz Group ihr Informationsangebot ausgebaut und den Praxisleitfaden zur Umsetzung der konzerneigenen KI-Prinzipien aktualisiert. Eine zentrale KI-Governance-Beratungsstelle unterstützt die Beschäftigten, KI-Projekte verantwortungsvoll umzusetzen.

Maßnahmen

Interne Informations- und Trainingsmaßnahmen

Bei ihrer Transformation setzt die Mercedes-Benz Group auf eine aktivere Nutzung von und einen verantwortungsvollen Umgang mit Daten. Als Rahmen dienen hierbei die sieben Prinzipien des Daten-Leitbilds.

Um die Datenkultur konzernweit zu etablieren, ist es wichtig, dass alle Beschäftigten die Prinzipien verinnerlichen und im Arbeitsalltag leben. Hierzu bietet die Mercedes-Benz Group ihren Mitarbeitenden verschiedene webbasierte Trainings, Schulungen und Qualifizierungsmaßnahmen an.

Alle Beschäftigten der kontrollierten Konzerngesellschaften, die über einen E-Mail-Zugang verfügen, müssen alle drei Jahre die webbasierten Trainings „Integrity@Work“ und „Data@Mercedes-Benz“ absolvieren. Diese Trainings sensibilisieren unter anderem für Datenschutzthemen und erläutern, wie Daten sinnvoll genutzt werden können. Zudem zeigen sie auf, wie die Mitarbeitenden selbst verantwortungsvoll mit Daten umgehen können. Für Führungskräfte in der EU ist die Teilnahme an einem webbasierten Training zur DSGVO verpflichtend. Das lokale Management jeder Konzerngesellschaft kann diese Angebote weiteren Beschäftigten zuweisen. Mitgliedern der Geschäftsleitung oder eines Aufsichtsratsgremiums wird zudem alle drei Jahre das webbasierte Training „Corporate Governance“ verpflichtend zugewiesen – dieses enthält auch Informationen zum Datenschutz. Die Trainingsmaßnahmen stehen über ein IT-gestütztes Learning Management System weltweit zur Verfügung.

Beschäftigte aus besonders datenschutzrelevanten Bereichen – zum Beispiel dem Personalbereich, dem Vertrieb oder der Entwicklung – werden vom zuständigen Local Compliance Officer oder Local Compliance Responsible persönlich geschult. In Konzerngesellschaften mit hohem datenschutzbezogenem Risiko werden darüber hinaus jährliche Trainingspläne erstellt und die Teilnahme wird dokumentiert.

Die lokale Compliance-Organisation spielt bei der Umsetzung, Beratung und dem Monitoring der Compliance-Maßnahmen eine wichtige Rolle. Daher durchlaufen die Local Compliance Officer und Local Compliance Responsible aus Konzerngesellschaften mit mittlerem oder hohem datenschutzbezogenem Risiko neben den oben genannten Schulungen auch ein Qualifizierungsprogramm zum Datenschutz und zu Data Compliance. Dort vermittelt die Mercedes-Benz Group ihnen datenschutzrechtliche Grundkenntnisse und leitet sie bei ihren konkreten Aufgaben an. Local Compliance Officer und Local Compliance Responsible aus Konzerngesellschaften mit geringem datenschutzbezogenem Risiko erhalten ein inhaltlich vergleichbares videobasiertes Training.

Darüber hinaus werden Beschäftigte der Mercedes-Benz Group im Social Intranet zum Thema „Daten“ umfangreich informiert.

Kundendaten

Die Mercedes-Benz Group hat einen hohen Anspruch an den Umgang mit persönlichen Daten ihrer Kundinnen und Kunden. In dem 2021 eingeführten Mercedes me Datenschutz Center verschaffen sich Kundinnen und Kunden noch schneller und einfacher einen Überblick, welche ihrer persönlichen Daten vorliegen. Sie können selbst entscheiden, wofür Mercedes-Benz diese verwenden darf. Dabei steht die Nutzerfreundlichkeit im Fokus. Kundinnen und Kunden können über drei intuitive Kategorien direkt zu ihren Wahlmöglichkeiten finden. Dieses Angebot unterstreicht die Prinzipien Wahlmöglichkeit und Transparenz des Daten-Leitbilds und steht für einen verantwortungsvollen Umgang mit Daten.

Die Mercedes-Benz Group will das Vertrauen ihrer Kundinnen und Kunden in die Datenverarbeitung von Mercedes-Benz weiter stärken. Hierfür soll das Mercedes me Datenschutz Center weiterentwickelt werden. Um die Reichweite und das Engagement des Datenschutz Centers weiter zu erhöhen, entwickelt Mercedes-Benz Cars es für den nächsten wichtigen Touchpoint: die Mercedes me App. So sollen Kundinnen und Kunden nicht nur ihre Connect-Dienste oder Fahrzeugeinstellungen, sondern auch ihre Datenschutzeinstellungen in der App verwalten können. Das App-Modul soll innerhalb des Jahres 2023 für die meisten Märkte verfügbar sein und auf Basis von Kundeninteraktion und Feedback weiterentwickelt werden.

Risikobewertung

Ein zentraler Baustein des Data Compliance Management Systems der Mercedes-Benz Group ist das Data Compliance Risk Assessment. Im Rahmen dieses systematischen Prozesses identifiziert, analysiert und bewertet der Bereich Konzerndatenschutz jährlich die Datenschutzrisiken. Das gilt ebenso für Konzerngesellschaften wie für die Zentralbereiche. Die Ergebnisse der Analyse dienen als Grundlage, um Risiken zu steuern und zu minimieren.

Risiken der Digitalisierung

Die Digitalisierungsstrategie eröffnet der Mercedes-Benz Group neue Chancen, den Nutzen für die Kundinnen und Kunden und die Werte des Konzerns zu steigern. Gleichwohl birgt die hohe Durchdringung aller Geschäftsbereiche mit Informationstechnik (IT) auch Risiken für die Geschäfts- und Produktionsprozesse sowie deren Dienstleistungen und Produkte.

Cyberkriminalität und Schadcode bergen Risiken, die sich auf die Verfügbarkeit, Integrität und Vertraulichkeit von Informationen und IT-gestützten Betriebsmitteln auswirken können. Im ungünstigsten Fall werden dadurch IT-gestützte Geschäftsprozesse unterbrochen – trotz umfangreicher Vorkehrungen. Dies kann sich negativ auf das Konzernergebnis auswirken. Zudem kann der Verlust oder Missbrauch sensibler Daten unter Umständen zu einem Reputationsverlust führen. Insbesondere verschärfte regulatorische Anforderungen können unter anderem Ansprüche Dritter begründen – und aufwendige regulatorische Auflagen sowie ergebniswirksame Strafen nach sich ziehen.

Für die global agierende Mercedes-Benz Group und ihre umfassenden Geschäfts- und Produktionsprozesse ist es essenziell, dass Informationen aktuell, vollständig und korrekt vorgehalten und ausgetauscht werden können. Die Regelungen zur Cyber- und Informationssicherheit basieren auf der ISO/IEC 27000 Normenreihe für Informationssicherheit. Neue regulatorische Anforderungen zur Cybersicherheit und zu Cyber-Security-Management-Systemen werden bei der Weiterentwicklung der Prozesse und Vorgaben der Mercedes-Benz Group berücksichtigt.

Mit Blick auf den Schutzbedarf der Informationen werden gesicherte IT-Systeme und eine zuverlässige IT-Infrastruktur betrieben. Risiken werden zudem über den gesamten Lebenszyklus der Applikationen und IT-Systeme hinweg identifiziert und entsprechend ihrer Wichtigkeit behandelt. Der Risikomanagementprozess für die Informationssicherheit stellt sicher, dass IT-Sicherheitsrisiken von der Mercedes-Benz Group systematisch identifiziert, bewertet, adressiert und regelmäßig überprüft werden. Dazu gehören auch Informationsrisiken, die sich aus der Zusammenarbeit mit Geschäftspartnern, Lieferanten, Behörden, Kundinnen und Kunden und sonstigen externen Dritten ergeben. Die Anforderungen an den Prozess entsprechen ISO/IEC 27005:2018. Besonderen Fokus legt die Mercedes-Benz Group auf Risiken, die dazu führen, dass Geschäftsprozesse aufgrund von IT-Systemausfällen unterbrochen werden, Daten verloren gehen oder verfälscht werden.

Das Ziel des Konzerns ist es, mögliche Ausfallzeiten im Schadensfall zu reduzieren und die damit einhergehenden Auswirkungen auf die Geschäftsprozesse so gering wie möglich zu halten. Hierfür stärkt die Mercedes-Benz Group die Widerstandskraft ihrer IT – unter anderem wurden dieses Jahr Notfallpläne aktualisiert und eine Krisenstabsübung im Konzern durchgeführt.

Die fortschreitende Digitalisierung und Vernetzung von Produktionsmitteln erfordert hierbei eine besondere Aufmerksamkeit. Daher entwickelt der Konzern technische und organisatorische Sicherheitsmaßnahmen kontinuierlich weiter.

In einem global agierenden Cyber Intelligence & Response Center analysiert die Mercedes-Benz Group spezifische Bedrohungen und koordiniert Gegenmaßnahmen. Kontinuierlich baut sie außerdem den Schutz der Produkte und Dienstleistungen vor Gefährdungen durch Hackerangriffe und Cyberkriminalität aus und betreibt Cyber-Security-Programme, um die Risiken systematisch zu verringern.

Zudem verfügt die Mercedes-Benz Group AG seit einigen Jahren über eine Cyber-Versicherung. Hierbei sind Risiken aus Cyber-Angriffen gemäß den im Markt typischen Versicherungsbedingungen und bis zur Höhe der vereinbarten Versicherungssumme abgedeckt.

Das Ausmaß der informationstechnischen Risiken und die Eintrittswahrscheinlichkeit entsprechender Vorfälle schätzt die Mercedes-Benz Group aufgrund der konstanten Umsetzung von Gegenmaßnahmen im Vergleich zum Vorjahr als weitgehend unverändert ein.

Umgang mit Datenschutzverletzungen

GRI 418-1

Für alle Vorfälle, die die Informationssicherheit betreffen, ist in der Mercedes-Benz Group ein zentraler Meldeprozess etabliert: der „Information Security Incident Management“-Prozess des Cyber Intelligence & Response Centers (CIRC). Über die CIRC-Hotline können auch Datenschutzverletzungen weltweit rund um die Uhr telefonisch oder per E-Mail gemeldet werden. Beschäftigte und Auftragnehmer sind dazu angehalten, alle potenziellen Datenschutzverletzungen auf diesem Wege mitzuteilen. In Einheiten im Anwendungsbereich der DSGVO erfolgt die Bearbeitung eines Datenschutzvorfalls durch den Bereich Konzerndatenschutz. Dieser wird bei der lokalen Sachverhaltsaufklärung durch einen lokalen Incident Support unterstützt. Der Bereich Konzerndatenschutz gibt anschließend eine Handlungsempfehlung an das lokale Management ab, ob die Aufsichtsbehörden informiert und die Betroffenen innerhalb der gesetzlichen Frist benachrichtigt werden müssen. In Einheiten außerhalb des Anwendungsbereichs der DSGVO übernimmt der lokale Incident Support die weitere Bearbeitung. Gemeinsam mit dem lokalen Management entscheidet er darüber, ob die Aufsichtsbehörden informiert und die Betroffenen benachrichtigt werden müssen. Der Bereich Konzerndatenschutz kann jederzeit unterstützend eingebunden werden. Das Ergebnis der Bearbeitung muss dem Konzerndatenschutz zu Dokumentationszwecken zur Verfügung gestellt werden.

Im Berichtsjahr erfolgte in einigen wenigen Fällen eine Meldung an die zuständigen Datenschutzaufsichtsbehörden. Es folgten daraus keine behördlichen Maßnahmen gegen die Mercedes-Benz Group.

Daneben hat die Mercedes-Benz Group einen allgemeinen Hinweisgeberprozess etabliert, über den alle potenziellen Compliance-Verstöße gemeldet werden können. Sofern lokal zulässig, kann die Meldung auch anonym erfolgen. Der Prozess ermöglicht es, Hinweisen auf Verstöße mit hohem Risiko für den Konzern und die Beschäftigten fair und angemessen nachzugehen.

Das Hinweisgebersystem BPO

Die Kontaktdaten des Konzernbeauftragten für den Datenschutz sind öffentlich verfügbar. Für Kundinnen und Kunden mit Anliegen im Datenschutz steht er – beziehungsweise sein Team – als Ansprechpartner bereit.

Die beim Konzerndatenschutz eingegangenen Eingaben befinden sich auf einem niedrigen Niveau. Die Datenschutzaufsichtsbehörden haben keine Untersuchungen aufgrund von Kundenbeschwerden durchgeführt. Es gab keine Maßnahmen gegen die Mercedes-Benz Group.

Offener Dialog

Die Mercedes-Benz Group fördert den offenen Dialog mit externen Stakeholdern. Ihr Anspruch ist es, hierbei insbesondere mit Fachleuten aus Verbänden, Datenschutzbehörden, Industrie und Universitäten in den Austausch zu gehen und deren Interessen zu berücksichtigen. Im Rahmen des „Sustainability Dialogue“ 2022 diskutierten die Teilnehmenden der Arbeitsgruppe „Datenverantwortung“ über das Thema „Vertrauen der Kundinnen und Kunden in die Datenverarbeitung von Mercedes-Benz stärken“.

Im Rahmen der Verbands- und Gremienarbeit mit dem Bundesverband der Deutschen Industrie e. V. (BDI) oder dem Europäischen Automobilherstellerverband (ACEA) hat die Mercedes-Benz Group sich zudem am gesellschaftlichen Diskurs zu offenen rechtlichen und ethischen Fragen zu KI beteiligt.

Wirksamkeit und Ergebnisse

Wirksamkeit des Managementansatzes

GRI 3-3

Das Data Compliance Management System der Mercedes-Benz Group wird laufend weiterentwickelt. Mithilfe eines jährlichen Monitoring- und Reporting-Prozesses untersucht sie, inwieweit die zuvor definierten Maßnahmen umgesetzt und die damit verfolgten Ziele erreicht wurden. So prüft die Compliance-Organisation kontinuierlich, ob das Compliance Management System angemessen und wirksam ist. Der sich daraus jeweils ergebende Handlungsbedarf und die daraufhin ergriffenen Maßnahmen werden im Compliance Reporting dokumentiert; die Implementierung wird entsprechend im System nachgehalten.

Ergebnisse

Die jährliche Monitoring-Prüfung des Data Compliance Management Systems hat ergeben, dass das Design des Systems angemessen und geeignet ist, um die Compliance-Ziele zu erreichen. Es gibt keine Hinweise darauf, dass die Implementierungsziele des Data Compliance Management Systems im Berichtsjahr nicht vollständig erfüllt wurden. Bezogen auf die operative Effektivität gibt es Hinweise darauf, dass die Ziele des Data Compliance Management Systems nicht vollständig erfüllt sind. Identifizierte Schwachstellen werden analysiert und in einen Lessons-learned-Prozess überführt.

Basierend auf ihrem Daten-Leitbild und ihren Datenleitprinzipien hat sich die Mercedes-Benz Group im Berichtsjahr schwerpunktmäßig damit auseinandergesetzt, das Vertrauen der Kundinnen und Kunden in die Datenverarbeitung der Mercedes-Benz Group zu stärken.

Deep Learning (DL)
Wiederum ein Teilbereich des Machine Learning (ML) ist das Deep Learning (DL). Es ermöglicht das Finden von komplexen Mustern in sehr großen Datenmengen mittels (tiefer) neuronaler Netze.
Alle Glossar-Begriffe
Künstliche Intelligenz (KI)
Der breit gefasste Begriff Künstliche Intelligenz (KI) wird heute oft im engeren Sinn für die aktuellen Fortschritte im Bereich des Machine Learning (ML) benutzt. ML stellt eine Teilmenge der KI-Methoden dar und basiert auf mathematischen Verfahren, die in Datenmengen zum Beispiel komplexe Muster finden.
Alle Glossar-Begriffe
Machine Learning (ML)
ML stellt eine Teilmenge der KI-Methoden dar und basiert auf mathematischen Verfahren, die in Datenmengen zum Beispiel komplexe Muster finden.
Alle Glossar-Begriffe
Schadcode
Als Schadcode oder Schadsoftware bezeichnet man Computerprogramme, die entwickelt wurden, um schädliche Funktionen auszuführen, etwa Passwörter oder andere sensible Daten auszuspähen.
Alle Glossar-Begriffe