Jahresreport des Data Protection Committees der New Work SE für das Jahr 2019

Die New Work SE engagiert sich mit ihren Marken, Services und Produkten für eine erfüllendere Arbeitswelt. Als Betreiberin des Netzwerks XING, dem größten beruflichen Netzwerk im deutschsprachigen Raum, sind wir uns unserer großen Verantwortung bewusst.

Unsere mittlerweile mehr als 17 Millionen Mitglieder vertrauen darauf, dass ihre Daten entsprechend den vorgesehenen Zwecken und den anwendbaren rechtlichen Bestimmungen verarbeitet und genutzt werden. Wir sehen es als unsere Verpflichtung an, sämtliche Daten bestmöglich zu schützen. Als deutsches Unternehmen mit Sitz in Hamburg unterstehen wir seit jeher den besonders strengen deutschen gesetzlichen Vorgaben in Sachen Datenschutz – das Thema ist insofern gleichsam Teil unserer „DNA“. Mit dem Wirksamwerden der Datenschutz-Grundverordnung („DSGVO“) im Frühjahr 2018 kamen datenschutzrechtliche Verän-derungen auf uns zu, die wir zum Anlass genommen haben, unseren Nutzern noch mehr Transparenz zu bieten. In Abstimmung mit dem Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit entwickelten wir die Website „Datenschutz bei XING“, die die Nutzer unserer Dienste u.a. über datenschutzrelevante Vorkehrungen und Neuigkeiten aus unserem Hause informiert.

Das Data Protection Committee („DPC“) der New Work SE, das im Jahre 2018 gegründet wurde, kümmert sich um übergeordnete Datenschutzthemen innerhalb des New Work Konzerns, auch über die gesetzlichen Anforderungen hinaus. Es berät den New Work SE Vorstand in datenschutzbezogenen Fragestellungen, begutachtet datenschutzrechtliche Grenzfälle, überprüft interne Prozesse, ist Ansprechpartner für alle Business Units des Unternehmens und arbeitet an aus datenschutzrechtlicher Sicht sensiblen Projekten mit. Zu den ständigen Mitgliedern des DPC zählen der General Counsel/Vice President Legal and Compliance, der Informationssicherheitsbeauftragte, der Vice President External Affairs und die Datenschutzbeauftragte der New Work SE. Je nach inhaltlicher Ausrichtung des zu behandelnden Themas erhält das DPC Unterstützung von Spezialisten spezifischer Fachabteilungen. Eine Übersicht über die aktuellen Ansprechpartner des Committees ist hier zu finden.

Wichtiger operativer Partner des DPC ist seit 2018 das Informationssicherheitsteam der New Work SE, das sich vorrangig mit informationssicherheitsrelevanten Themen befasst. Durch das Zusammenspiel des DPC und des Informationssicherheitsteams sichert die New Work SE konzeptionell und praktisch einen schnellen und versierten Umgang mit daten- und informationssicherheitsrelevanten Themen und stellt trotz immer weiter steigender Anforderungen prozessual sicher, ihr Versprechen auf ein Höchstmaß an Datenschutz, Datensicherheit und Privatsphäre auch weiterhin zu erfüllen.

Das DPC kommt in regelmäßigen, mindestens vierteljährlich stattfindenden Sitzungen zusammen, um relevante aktuelle Datenschutzthemen zu besprechen und ggf. Maßnahmen anzustoßen. Im Falle dringender Angelegenheiten trifft sich das Committee darüber hinaus anlassbezogen. Die Aktivitäten und getroffenen Maßnahmen aus den Sitzungen des DPC werden sorgfältig dokumentiert. Das DPC hat sich intern verpflichtet, die Öffentlichkeit in regelmäßigen Abständen über seine Tätigkeit in Form eines Jahresberichts zu informieren.

Jahresreport 2019:

Die wesentlichen Themen des DPC im Jahr 2019 sind die folgenden:

1. Implementierung eines konzernweiten Datenschutzhandbuchs

2. Qualitätsmanagement und Weiterentwicklung des Datenschutzmanagementsystems

3. Erweiterung der Maßnahmen zum Schutz vor Identitätsdiebstahl

4. Abstimmung zu datenschutzrelevanten Vorfällen, Beschwerden und Anfragen externer Stellen mit übergeordneter Bedeutung

1. Implementierung eines konzernweiten Datenschutzhandbuchs:

Um eine Harmonisierung des Datenschutzes innerhalb der New Work Konzerngesellschaften zu gewährleisten und gleichwertig hohe Standards umzusetzen, hat das DPC in 2019 ein konzernübergreifendes Datenschutzhandbuch entwickelt und verabschiedet. Es legt die wesentlichen Regeln zum Umgang mit schutzbedürftigen Informationen und Daten fest. Die Ziele des Datenschutzes und die damit verbundene Einhaltung der Vorgaben der DSGVO sind in einer Leitlinie zu Datenschutz und Informationssicherheit festgehalten. Das konzernübergreifende Datenschutzhandbuch gilt für alle Unternehmen, die zur New Work Gruppe gehören, und ist für alle Beschäftigten im Konzernverbund verpflichtend. Wesentliche Inhalte werden unter anderem in regelmäßigen Datenschutzschulungen vermittelt und geprüft.

2. Qualitätsmanagement und Weiterentwicklung des Datenschutzmanagementsystems:

Das DPC ist auch für das Qualitätsmanagement innerhalb des Datenschutzmanagementsys-tems zuständig. In diesem Zusammenhang überprüft das DPC fortlaufend die bestehende Leitlinie und die Richtlinien, die im Rahmen der Umsetzung der DSGVO erlassen wurden, entwickelt diese weiter und empfiehlt Anpassungen. Zudem prüft das DPC fortlaufend die Wirksamkeit von Prozessen im Rahmen des Datenschutzmanagementsystems und wirkt auf deren Verbesserung hin. In 2019 hat das DPC das konzernübergreifende Datenschutzhand-buch in Zusammenarbeit mit dem Informationssicherheitsteam überarbeitet und um neue Richtlinien ergänzt. Zudem wurden bestehende Prozesse zu datenschutz-und informationssicherheitsrelevanten Vorfällen überprüft und aufeinander abgestimmt. Hierbei berücksichtigt das DPC auch Anpassungsbedarf, der sich aus der stetigen Konkretisierung und Weiter-entwicklung der DSGVO-Anforderungen ergibt.

3. Erweiterung der Maßnahmen zum Schutz vor Identitätsdiebstahl:

Als weiteren Schwerpunkt hat das DPC in 2019 sog. Credential Stuffing Attacks thematisiert. Hierbei handelt es sich um Sicherheitsvorfälle, bei denen öffentlich zugängliche Daten aus Datenpannen widerrechtlich für einen Log-In bei einem Online-Dienst verwendet werden. In der Vergangenheit wurden solche Angriffe auch auf xing.com verzeichnet. Von einer Datenpanne ist die New Work SE in diesen Fällen selbst nicht betroffen. Wegen einer möglichen Wiederverwendung von Zugangsdaten besteht allerdings das Risiko eines Identitätsdiebstahls für die XING Mitglieder aufgrund der an anderer Stelle abhanden gekommenen Daten. Die New Work SE als Betreiberin der Plattform begegnet diesen Credential Stuffing An-griffen bisher erfolgreich mit technischen Sicherheitsvorkehrungen. Unrechtmäßige Log-In-Versuche werden weitestgehend erkannt und abgewehrt. Darüber hinaus forscht die New Work SE an immer besseren präventiven Methoden, insbesondere durch Sensibilisierung und Aufklärung. Die New Work SE ist seit 2016 Industriepartner des vom Bundesministerium für Bildung und Forschung geförderten Forschungsprojekts zur „Effektiven Information von Betroffenen nach digitalem Identitätsdiebstahl“ (EIDI). Zentrales Anliegen des EIDI-Projekts ist, die Benachrichtigung von Betroffenen eines Datenschutzvorfalls zu ermöglichen, um mögliche Folgeschäden zu minimieren. Die Teilnahme am EIDI-Projekt soll auch in 2020 fortgeführt werden.

4. Bearbeitung datenschutzrelevanter Vorfälle, Beschwerden und Anfragen externer Stellen mit übergeordneter Bedeutung:

Auch außerhalb der ordentlichen Sitzungen tagt das DPC zu akuten Vorfällen, Beschwerden und Anfragen externer Stellen zu Datenschutzthemen, insbesondere bei übergeordneter Bedeutung für den New Work Unternehmensverbund. Neben der Sachverhaltsermittlung und Dokumentation übernimmt das DPC Aufgaben im Rahmen der Berichterstattung und Kommunikation und fördert insgesamt den Informationsaustausch innerhalb der Unternehmensgruppe zu datenschutzrelevanten Themen.

Weitere Informationen zum Datenschutz erhalten Sie unter: https://privacy.xing.com/de

Wenn Sie mit uns zu datenschutzrelevanten Themen in Kontakt treten möchten, wenden Sie sich gern an: datenschutzbeauftragter@new-work.de