18.02.2019 | XING

Jahresreport des Data Protection Committees der XING SE für das Jahr 2018

Als größtes berufliches Netzwerk im deutschsprachigen Raum haben wir von XING eine große Verantwortung. Unsere mittlerweile mehr als 15 Millionen Mitglieder vertrauen darauf, dass ihre Daten entsprechend den vorgesehenen Zwecken und den anwendbaren rechtlichen Bestimmungen verarbeitet und genutzt werden. Dieses Vertrauen zu bewahren und einen optimalen Schutz der Daten zu gewährleisten, hat bei uns höchste Priorität. Als deutsches Unternehmen mit Sitz in Hamburg unterstehen wir seit jeher den besonders strengen deutschen gesetzlichen Vorgaben in Sachen Datenschutz – das Thema ist insofern gleichsam Teil unserer „DNA“. Mit dem Wirksamwerden der DSGVO im Mai 2018 kamen datenschutzrechtliche Veränderungen auf uns zu, die wir zum Anlass genommen haben, unseren Nutzern noch mehr Transparenz zu bieten. In Abstimmung mit dem Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit haben wir die Website „Datenschutz bei XING“ entwickelt, die unsere Nutzer u.a. über datenschutzrelevante Vorkehrungen und Neuigkeiten aus unserem Hause informiert.

Zudem gründeten wir im Jahr 2018 – über die gesetzliche Anforderung hinaus – ein Beratungsgremium, das Data Protection Committee. Das Data Protection Committee („DPC“) kümmert sich bei XING um übergeordnete Datenschutzthemen. Dies umfasst sowohl rechtliche, kommunikative als auch IT-Sicherheits-Aspekte. Das DPC setzt sich zusammen aus dem General Counsel/Vice President Legal and Compliance, dem Teamlead Security and Technical Risk Management, dem Vice President External Affairs und dem Datenschutzbeauftragten. Je nach inhaltlicher Ausrichtung des zu behandelnden Themas erhält das DPC Unterstützung von Spezialisten spezifischer Fachabteilungen.
Eine Übersicht über die aktuellen Ansprechpartner des Committees ist hier zu finden.

Das DPC kommt in regelmäßigen, vierteljährlich stattfindenden Sitzungen zusammen, um relevante aktuelle Datenschutzthemen zu besprechen und ggf. Maßnahmen anzustoßen. Im Falle dringender Angelegenheiten trifft sich das Committee darüber hinaus anlassbezogen. Die Aktivitäten und getroffenen Maßnahmen aus den Sitzungen des DPC werden sorgfältig dokumentiert. Das DPC hat sich intern verpflichtet, die Öffentlichkeit in regelmäßigen Abständen über seine Tätigkeit in Form eines Jahresberichts informieren.

Jahresreport 2018:

Die wesentlichen Themen des DPC im Jahr 2018 sind die folgenden:

1. Einsatz von Browser Extensions innerhalb von XING
2. Überprüfung der Datenschutz- und Sicherheitsvorkehrungen externer Dienstleister
3. Etablierung eines Datenschutz- und Informationssicherheitsteams

1. Einsatz von Browser Extensions innerhalb von XING:

Unseren Mitarbeitern stehen technische Geräte wie Laptops oder Smartphones zur Verfügung. Neben der beruflichen Nutzung ist auch eine private Verwendung der Arbeitsgeräte unter Einhaltung der XING IT-Policy gestattet. Im Rahmen der Nutzung der Geräte kann es dazu kommen, dass XING Mitarbeiter sogenannte „Browser Extensions“ (Browsererweiterungen) aus dem Internet herunterladen. Hierbei besteht ein theoretisches Risiko, dass personenbezogene Daten der die Extension nutzenden XING-Mitarbeiter, Geschäftsgeheimnisse oder andere schützenswerte Informationen von XING an Browser Extension Anbieter oder Dritte gelangen können.
Um weiterhin eine optimale Datensicherheit zu gewährleisten und ein potentielles Risiko durch Browsererweiterungen zu minimieren, hat das DPC verschiedene Maßnahmen getroffen, die kontinuierlich aktualisiert und angepasst werden. Hierzu gehören zum einen technische Maßnahmen. Das DPC hat die relevanten Erweiterungen überprüft und potentiell risikobehaftete Erweiterungen blockiert bzw. entfernen lassen. In einer sogenannten „Whitelist“, die regelmäßig aktualisiert wird, vermerkt das DPC Browser Extensions, die ohne Bedenken zugelassen werden können. Zudem hat sich das DPC darauf geeinigt, XING Mitarbeiter weiterhin hinsichtlich datenrelevanter Risiken zu sensibilisieren, die mit der Nutzung von Browser Extensions einhergehen können, sodass ein Datenabfluss an Dritte ausgeschlossen bleibt.

2. Überprüfung der Datenschutz- und Sicherheitsvorkehrungen externer Dienstleister:

Das DPC hat zwei externe Dienstleister von Software-Lösungen, die XING nutzt, auf die Einhaltung ausreichenden Datenschutzes hin untersucht. In den beiden Fällen verlief die Prüfung positiv und die Kooperationen wurden fortgesetzt. Um die Einhaltung der außerordentlich hohen Standards von XING in Sachen Datenschutz auch bei Einschaltung externer Dienstleister zu gewährleisten, hat das DPC die technischen Mindestanforderungen für die Einschaltung externer Dienstleister neu festgelegt und weiter verschärft. Zusätzlich wirkt das DPC darauf hin, dass XING-Mitarbeiter weiterhin kontinuierlich über datenrelevante Risiken von externen Software-Tools und -Diensten sensibilisiert werden.

3. Etablierung eines Datenschutz- und Informationssicherheitsteams:

Damit XING fortlaufend Lösungen für die immer weiter steigenden Anforderungen an einen umfassenden Datenschutz findet, hat sich zusätzlich zum DPC im Jahr 2018 intern ein operativer Partner gebildet. Das neu geschaffene „Datenschutz- und Informationssicherheitsteam“ befasst sich in Abgrenzung zum DPC mit der operativen Umsetzung von datenschutz- und informationssicherheitsrelevanten Fragen und verantwortet insbesondere die Leitlinie zum Datenschutz und die Datenschutzrichtlinien von XING. Durch das Zusammenspiel des DPC und des Datenschutz- und Informationssicherheitsteams sichert XING konzeptionell und praktisch einen schnellen und versierten Umgang mit datenrelevanten Themen und stellt so trotz immer weiter steigender Anforderungen prozessual sicher, dass XING sein Versprechen gegenüber den Mitgliedern auf ein Höchstmaß an Datenschutz, Datensicherheit und Privatsphäre auch weiterhin erfüllt.

Here you can find the english version: AnnualReport_DPC_2018