Datenschutz
Angabepflicht |
|
Bezeichnung mit Referenz |
|---|---|---|
S4 SBM-2 |
|
|
S4 SBM-3 |
|
|
S4-1 |
|
|
S4-2 |
|
Verfahren zur Einbeziehung von Verbrauchern und Endnutzern in Bezug auf Auswirkungen |
S4-3 |
|
|
S4-4 |
|
|
S4-5 |
|
Auswirkungen, Risiken und Chancen [S4 SBM-3] Wesentliche Auswirkungen, Risiken und Chancen und ihr Zusammenspiel mit Strategie und Geschäftsmodell
Auswirkungen, Risiken und Chancen
Im Rahmen der Wesentlichkeitsanalyse hat Fresenius eine wesentliche Auswirkung und ein wesentliches Risiko im Zusammenhang mit Datenschutz identifiziert:
Unter-Unterthema |
|
Art des IROs |
|
Wertschöpfungskette |
|
Zeithorizont |
|
Beschreibung |
|---|---|---|---|---|---|---|---|---|
Informationsbezogene Auswirkungen für Verbraucher und / oder Endnutzer |
||||||||
Datenschutz |
|
Potenzielle negative Auswirkung |
|
Eigenes Geschäft |
|
Kurzfristig |
|
Mögliche Verletzung der Privatsphäre von Patientinnen und Patienten durch Datenschutzverstöße [#28] |
Datenschutz |
|
Risiko |
|
Eigenes Geschäft |
|
Kurzfristig |
|
Regulatorische Risiken von Datenschutzverletzungen [#29] |
Ansatz [S4-1] Konzepte im Zusammenhang mit Verbrauchern und Endnutzern
Konzernweites Datenschutzkonzept
Fresenius muss hohe Qualitätsstandards in regulierten Tätigkeitsfeldern mit wirtschaftlichen, effizienten IT-gestützten Prozessen in Einklang bringen. Ebenfalls ist sich das Unternehmen der Sensibilität und des zunehmenden Schutzbedarfs der Daten und Informationen, die es verarbeitet, bewusst.
Der Konzern und seine Operating Companies verarbeiten in der gesamten Wertschöpfungskette u. a. personenbezogene Daten von
Patientinnen und Patienten,
Beschäftigten,
Kunden sowie
Lieferanten und anderen Geschäftspartnern.
Fresenius verpflichtet sich, die Rechte und Freiheiten aller betroffenen Personen zu respektieren und zu wahren. Personenbezogene Daten werden nur zweckgebunden unter Beachtung der gesetzlichen Vorgaben verarbeitet. Auch von Dritten, mit denen Fresenius Daten zu festgelegten Zwecken wie der Bereitstellung von Dienstleistungen teilt, wird verlangt, die geltenden Datenschutzanforderungen einzuhalten.
Mit dem konzernweiten Datenschutzkonzept soll Datenschutzverletzungen und daraus resultierenden potenziellen negativen Auswirkungen auf Patientinnen und Patienten sowie finanziellen Risiken für Fresenius entgegen gewirkt werden. Die Datenschutzmanagementsysteme und die damit verbundenen Datenschutzkonzepte entwickelt Fresenius kontinuierlich weiter, um neuen Anforderungen oder neuen Technologien gerecht zu werden.
Konzernweite Governance und Verantwortlichkeiten
Im Vorstand übernimmt der Vorstand Sustainability die Verantwortung für Datenschutz auf Konzernebene. Der Datenschutzbeauftragte1 der Fresenius SE & Co. KGaA berichtet in direkter Linie an diese Person. Aufgrund einer organisatorischen Änderung berichtet die Group Head of Data Protection seit dem 1. Februar 2026 direkt an den Vorstand Sustainability. Ausführungen zu Verantwortlichkeiten und Vorgaben im Vorstand sowie im Aufsichtsrat sind jeweils im Standard ESRS 2, Abschnitt GOV-1 Nachhaltigkeitsorganisation erläutert.
Die Konzernfunktion Datenschutz wird vom Group Head Data Protection geleitet. Datenschutzexpertinnen und ‑experten für die einzelnen Operating Companies wurden ebenfalls ernannt. Zusammen bilden sie das Group Data Protection Management Team.
Die Verantwortung in den Operating Companies für die Implementierung datenschutzbezogener Governance-Strukturen obliegt den jeweiligen Geschäftsführungen. Die Operating Companies haben die Zuständigkeit für Datenschutz z. B. über einen Geschäftsverteilungsplan geregelt.
Die Datenschutzexpertinnen und ‑experten der Operating Companies agieren bei der Ausübung ihrer Aufgaben eigenständig und berichten an ihre jeweilige Geschäftsführung.
Darüber hinaus ist Datenschutz ein regelmäßiges Thema im Risk Steering Committee, dem u. a. der Vorstand Sustainability angehört.
Zusätzlich zu den oben genannten Funktionen führen die Fresenius SE & Co. KGaA sowie alle Operating Companies Datenschutzorganisationen im Einklang mit ihrer Organisations- und Geschäftsstruktur, einschließlich der oben genannten unabhängigen Datenschutzexpertinnen und ‑experten. Die Datenschutzorganisationen unterstützen die Führungskräfte und Fachabteilungen der zugeordneten Gesellschaften in operativen Fragen des Datenschutzes. In diesem Zusammenhang helfen sie dabei, die in den jeweiligen Ländern geltenden datenschutzrechtlichen Anforderungen zu beachten und einzuhalten. Die jeweiligen Datenschutzexpertinnen und ‑experten sind dafür verantwortlich, die Einhaltung der datenschutzrechtlichen Anforderungen zu überwachen. Sie sind Ansprechpersonen für nationale und internationale Aufsichtsbehörden und werden intern durch weitere Fachleute unterstützt. Je nach Operating Company sind die Datenschutzexpertinnen und ‑experten zentral, regional und / oder lokal organisiert. Sie haben im Konzern die Aufgabe, die Business Process Owner (BPOs) und weitere Mitarbeiterinnen und Mitarbeiter in Datenschutzfragen zu beraten und Aktivitäten zum Datenschutz zu koordinieren. Ein BPO ist eine natürliche Person im Unternehmen, die Prozesse verantwortet, in denen u. a. Datenverarbeitungen stattfinden.
Die operativen Aufgaben des Datenschutzes sind in den Fachabteilungen verankert, die dabei durch Prozesse des Datenschutzmanagementsystems unterstützt werden. Zu bestimmten Themen unterstützt zusätzlich das Compliance-Management-System z. B. mit Risikoanalysen.
1 Im weiteren Kapitel wird der Begriff Datenschutzexpertinnen und ‑experten stellvertretend für die verschiedenen Funktionen und Bezeichnungen für die Fachverantwortlichen im Bereich Datenschutz verwendet; dies schließt auch die Datenschutzbeauftragten ein.
Richtlinien und Regularien
Die Umsetzung von Datenschutz ist eine Gemeinschaftsaufgabe aller Mitarbeiterinnen und Mitarbeiter von Fresenius. Kern ist hierbei das Bekenntnis aller Operating Companies und der Fresenius SE & Co. KGaA zum sorgfältigen Umgang mit Daten und zum Recht auf informationelle Selbstbestimmung, das im Fresenius-Verhaltenskodex und in den Verhaltenskodizes der Operating Companies festgelegt ist. Weitere Informationen zum Fresenius-Verhaltenskodex sind im Themenstandard G1 Unternehmensführung im Abschnitt G1-1 Konzepte für die Unternehmensführung und Unternehmenskultur zu finden.
Fresenius hat zudem verbindliche interne Richtlinien zum Datenschutz und zum Umgang mit personenbezogenen Daten eingeführt. Für die Übermittlung personenbezogener Daten aus der EU in Drittländer wurden unternehmensinterne Vorschriften (Binding Corporate Rules – BCRs) als datenschutzkonforme Datenübertragungsmechanismen implementiert, die für Fresenius Corporate / Sonstige (ausgenommen Fresenius Health Services (FHS)) und Fresenius Kabi (Unternehmen, die direkt oder indirekt von der Fresenius Kabi AG kontrolliert werden) gelten. Andere Tochtergesellschaften des Konzerns verwenden Standardvertragsklauseln (Standard Contractual Clauses – SCCs). Die BCRs, SCCs und die Datenschutzrichtlinien anderer Segmente werden durch weitere Standardverfahrensanweisungen (Standard Operating Procedures – SOPs), Arbeitsrichtlinien oder Konzernvorschriften ergänzt. Im Rahmen der betrieblichen Beratung machen die jeweiligen Fachfunktionen der Datenschutzorganisation die geltenden Richtlinien und SOPs für interne Stakeholder über Tools zugänglich und nachvollziehbar. Die Richtlinien beziehen sich dabei auf die geografischen Gebiete, in denen Fresenius Produktionsstandorte oder Gesundheitseinrichtungen betreibt. Sofern Fresenius vertraglich oder gesetzlich verpflichtet ist, umfassen die Richtlinien auch die vor- oder nachgelagerte Wertschöpfungskette, z. B. den Kundenservice nach dem Erwerb eines medizintechnischen Geräts. Relevante Stakeholder-Gruppen werden im Standard ESRS 2 im Abschnitt SBM-2 Stakeholder und Partnerschaften, erläutert.
Außerdem werden ausführliche Informationen zum Datenschutz bereitgestellt. Die Privacy Employee Notice (Datenschutzhinweise für Mitarbeiterinnen und Mitarbeiter) informiert über die im jeweiligen Unternehmen stattfindende Datenverarbeitung; sie wird Mitarbeiterinnen und Mitarbeitern online und über Aushänge an Standorten zur Verfügung gestellt. Darüber hinaus sind die Datenschutzinformationen auf der Website der Fresenius SE & Co. KGaA www.fresenius.com/de zugänglich.
Um die Einhaltung datenschutzrechtlicher Vorgaben zu sichern, setzen mehrere Funktionen im Konzern regelmäßig Überwachungsmaßnahmen um. Internal-Audit-Abteilungen führen in allen Operating Companies unabhängige Prüfungen durch, um die Effektivität von Risikomanagement-, Kontroll- und Governance-Prozessen zu verbessern. Dabei werden risikobasiert auch Aspekte des Datenschutzes wie Datenschutzmaßnahmen (z. B. Richtlinien und deren Umsetzung) berücksichtigt. Im Jahr 2025 wurden sechs Prüfungen mit Schwerpunkt Datenschutz durchgeführt (2024: acht). Die Ergebnisse dieser Prüfungen werden von den jeweiligen Datenschutzexpertinnen und ‑experten analysiert und fließen in die kontinuierliche Verbesserung bestehender Prozesse ein. Darüber hinaus führen u. a. die Datenschutzexpertinnen und ‑experten regelmäßig spezifische Datenschutzaudits durch. Außerdem unterliegt Fresenius externen Kontrollen und führt bei Bedarf über Dritte Audits bei Geschäftspartnern durch, die an Datenverarbeitungstätigkeiten beteiligt sind.
Datenschutzkontrollen und Datenschutzrisikobewertungen sind zudem integrale Bestandteile verschiedener interner Kontrollrahmenwerke der Operating Companies. Die Erkenntnisse zu Verbesserungspotenzialen aus Datenschutzaudits, Risikobewertungen und Prüfungen werden genutzt, um Datenschutzprozesse kontinuierlich zu verbessern.
Risikobeurteilung
Risiken im Zusammenhang mit Datenschutz, IT-Sicherheit und Informationssicherheit werden regelmäßig mithilfe standardisierter Methoden beurteilt. Alle Operating Companies und die Fresenius SE & Co. KGaA erfassen Datenverarbeitungstätigkeiten in zentralen IT-Anwendungen und unterziehen sie möglichst früh im Einführungs- oder Anpassungsprozess einer datenschutzrechtlichen Überprüfung, einschließlich einer Risikobewertung. In diesem Zusammenhang unterstützen die Datenschutzexpertinnen und ‑experten bei Bedarf die Verantwortlichen bei der Erstellung einer Datenschutzfolgenabschätzung. Fresenius implementiert angemessene technische und organisatorische Datenschutzmaßnahmen bei der Verarbeitung von personenbezogenen Daten und kann so u. a. die Datenschutzanforderungen umsetzen und eventuelle Risiken minimieren. Diese werden regelmäßig auf Aktualität, z. B. technische Weiterentwicklungen, überprüft. Das interne Kontrollsystem unterstützt auch die Überprüfung der Datenschutzkontrollen und die Durchführung von Tests. Die Durchführung bestehender Kontrollen wird ebenfalls untersucht. Darüber hinaus liegt es in der Verantwortung des jeweiligen Prozessverantwortlichen, relevante geplante Änderungen der Datenverarbeitungstätigkeiten zu melden, sodass gegebenenfalls eine neue Datenschutzprüfung durchgeführt werden kann.
Fresenius hat proaktiv die Gestaltung eines KI-Governance-Prozesses unterstützt und eine datenschutzspezifische Risikobewertung für KI-Anwendungen implementiert. Damit soll insbesondere die Einhaltung gesetzlicher Anforderungen sichergestellt werden. Weitere Informationen zum Einsatz von KI finden Sie im unternehmensspezifischen Themenstandard S-Digitale Transformation im Abschnitt KI-Governance-Richtlinie.
Internationaler Datentransfer
Als multinationale, weltweit tätige Organisation legt Fresenius großen Wert darauf, bei allen internationalen Datentransfers ein angemessenes Datenschutzniveau im Sinne der Anforderungen der Datenschutz-Grundverordnung der Europäischen Union (EU-DSGVO) sowie von weiteren rechtlichen Anforderungen zu gewährleisten. Dazu gehören auch die BCRs sowie verbindliche unternehmensinterne Richtlinien und Vorgaben. Die BCRs sollen sicherstellen, dass die teilnehmenden Gesellschaften ein einheitliches, an den Maßstäben der EU-DSGVO ausgerichtetes Datenschutzniveau schaffen und dazu beitragen, personenbezogene Daten auf internationaler Ebene innerhalb der Unternehmen rechtmäßig zu verarbeiten. Fresenius verfolgt intensiv die neuesten Entwicklungen im Bereich des internationalen Datentransfers und bezieht sie in die erläuterten Risikoanalysen sowie bei Vertragsabschlüssen ein. Intern verfügbare Vorlagen werden entsprechend angepasst. Wenn Daten in einem anderen Staat durch externe Unternehmen verarbeitet werden, wird der Auftragnehmer einer sorgfältigen Prüfung unterzogen. Dabei werden Datenschutzmaßnahmen ergriffen, z. B. zusätzliche Schutzvorkehrungen wie Pseudonymisierungsaktivitäten, um die Einhaltung datenschutzrechtlicher Bestimmungen und das erforderliche Sicherheitsniveau zu gewährleisten. Die Datenschutzabteilungen sind an allen Verhandlungen über Datenschutzverträge beteiligt.
Schulungen
Mitarbeiterinnen und Mitarbeiter von Fresenius werden zu aktuellen Anforderungen und Bedrohungen im Zusammenhang mit Datenschutz und Datensicherheit im Rahmen von E-Learnings, Präsenzveranstaltungen und weiteren Trainingsmaßnahmen geschult. Dabei wird hinsichtlich verschiedener Fachfunktionen und Verantwortlichkeiten der Umfang der Schulung sowie zwischen freiwilligen und verpflichtenden Schulungen unterschieden. Allgemeine Schulungen ergänzt Fresenius um zielgruppenspezifische Trainingsmaßnahmen. Dadurch wird sichergestellt, dass die mit der Verarbeitung von Daten betrauten Mitarbeiterinnen und Mitarbeiter über die aktuelle Gesetzeslage und die entsprechenden internen Vorgaben informiert sind. Für alle Beschäftigten ist ein Basistraining zum Datenschutz verpflichtend vorgesehen.
Neue Mitarbeiterinnen und Mitarbeiter werden bei der Aufnahme ihrer Tätigkeit auf den Umgang mit sensiblen Daten hingewiesen und zur Vertraulichkeit verpflichtet. Darüber hinaus erhalten sie innerhalb festgelegter Fristen eine Online-Pflichtunterweisung im Bereich Datenschutz. Es wurde weiter festgelegt, wann bzw. wie häufig ein Nachweis bezüglich der Unterweisung der Beschäftigten im Bereich Datenschutz zu erbringen ist. Der Zeitraum liegt zwischen acht Wochen für die Basisschulung und mindestens alle zwei Jahre für Folgeschulungen.
Fresenius berücksichtigt die Interessen von Patientinnen und Patienten mittels der Verfahren, die im nachfolgenden Abschnitt zu deren Einbeziehung erläutert sind.
Einbeziehung von Patientinnen und Patienten [S4-2] Verfahren zur Einbeziehung von Verbrauchern und Endnutzern in Bezug auf Auswirkungen [S4-3] Verfahren zur Verbesserung negativer Auswirkungen und Kanäle, über die Verbraucher und Endnutzer Bedenken äußern können
Betroffenenrechte
Alle Operating Companies und die Fresenius SE & Co. KGaA verpflichten sich, die Rechte von Betroffenen zu wahren, indem sie diese angemessen über ihre Rechte informieren. Außerdem sind Prozesse und Anwendungen etabliert, die gewährleisten sollen, dass Datenschutzanfragen ausreichend und fristgerecht beantwortet werden. Fresenius informiert Betroffene – unabhängig davon, ob Beschäftigte oder Externe – mit Datenschutzhinweisen über die Verarbeitung ihrer Daten, z. B. die Erhebung und Speicherung sowie mögliche Anpassungen.
Fresenius stellt Betroffenen Informationen in präziser, transparenter, verständlicher und leicht zugänglicher Form zur Verfügung, damit sie genau nachvollziehen können, welche ihrer personenbezogenen Daten verarbeitet werden. Anfragen können im Konzern zentral, auf Ebene der Operating Companies oder auf beiden Ebenen bzw. auch lokal in der jeweiligen Landessprache bearbeitet und beantwortet werden. Technische und organisatorische Datenschutzmaßnahmen, inklusive der Implementierung von entsprechenden Anwendungen, dienen der Wahrung der Betroffenenrechte gemäß EU-DSGVO.
Ziel dieser Vorkehrungen ist es, Betroffene dabei zu unterstützen, ihr Recht auf Auskunft, Berichtigung, Einschränkung, Widerspruch, Übertragbarkeit und Löschung hinsichtlich ihrer personenbezogenen Daten zeitgerecht wahrzunehmen. Fresenius kommt solchen Betroffenenanfragen bzw. ‑rechten unter Einhaltung der gesetzlichen Vorgaben nach.
Als Grundlage von Entscheidungen und Aktivitäten im Bereich Datenschutz dient die regelmäßige Zusammenarbeit mit Fachleuten auf diesem Gebiet dazu, die Interessen von Stakeholdern wie Patientinnen und Patienten sowie Produkt-Endnutzern zu vertreten. Diese Gespräche sowie eine mögliche operative Umsetzung liegen in der Verantwortung der jeweils zuständigen Datenschutzorganisationen. Regelmäßige Abstimmungstreffen von Expertinnen und Experten aus dem Datenschutz und anderen Abteilungen wie der IT stellen in speziellen Ausschüssen sicher, dass IT-Sicherheits-, Informationssicherheits- und Datenschutzthemen besprochen werden. Die Ergebnisse dieser Gespräche können zur Umsetzung konkreter Aktivitäten führen oder zu strategischen Entscheidungen, die dem jeweiligen Management zum Beschluss vorgelegt werden.
Zudem tauschen sich die Datenschutzexpertinnen und ‑experten regelmäßig zu Best Practices und Initiativen aus, u. a. im Rahmen von konzernweiten Koordinationstreffen und Konferenzen, Jours fixes und weiteren Formaten.
Grundsätzlich werden alle personenbezogenen Daten sowie Unternehmensdaten geschützt. Insbesondere die Gesundheitsdaten von Patientinnen und Patienten unterliegen strengen Datenschutzvorgaben. Dazu gehört auch die Umsetzung geeigneter technischer und organisatorischer Datenschutzmaßnahmen zum Schutz der personenbezogenen Daten.
Meldesysteme
Externe sowie alle Mitarbeiterinnen und Mitarbeiter des Konzerns können Bedenken hinsichtlich Datenschutz über die bestehenden Hinweisgebersysteme, die von einem Drittanbieter bereitgestellt werden, oder eigens dafür eingerichtete E-Mail-Adressen melden. Auf den Fresenius Websites stehen ebenfalls entsprechende Kontaktformulare zur Verfügung. Über die Compliance-Organisation des Konzerns werden Informationen zu Hinweisgebersystemen bereitgestellt. Auch Datenschutzverstöße können daüber gemeldet werden. Die Datenschutzinformationen enthalten die Kontaktdaten der Datenschutzexpertinnen und ‑experten sowie die Adressen der allgemeinen Funktionspostfächer, aus denen Nachrichten direkt an die jeweilige Datenschutzorganisation weitergeleitet werden.
Jeden Hinweis auf mögliche Verstöße gegen datenschutzrechtliche Vorschriften nimmt Fresenius zum Anlass, den gemeldeten Sachverhalt schnellstmöglich aufzuklären, zu evaluieren, Unternehmensprozesse bei Bedarf zu hinterfragen und gegebenenfalls anzupassen. Die Wirksamkeit der Meldewege misst Fresenius als Teil der Meldeprüfung und ‑dokumentation. Wenn erforderlich, werden Datenschutzverstöße den zuständigen Behörden gemeldet und Betroffene unverzüglich und im Einklang mit den gesetzlichen Vorgaben informiert. Die Datenschutzorganisationen führen eigene Prüfungen und Dokumentationen von möglichen Verstößen durch.
Wie in den jeweiligen Richtlinien beschrieben, werden eingehende Meldungen zum Schutz der meldenden Personen vertraulich behandelt. Über Anzahl, Art und Bearbeitungsstand von Datenschutzvorkommnissen und Betroffenenanfragen fertigen die Datenschutzexpertinnen und ‑experten Berichte an, die gemäß der erläuterten Organisationsstruktur kommuniziert werden.
Sofern es unmittelbare negative Auswirkungen auf Verbraucher oder Endnutzer gab, wird die Wirksamkeit von Abhilfemaßnahmen überprüft. Hierzu wird u. a. evaluiert, ob bereits aufgetretene Fälle künftig vermieden werden. Zudem werden je nach Schwere der negativen Auswirkungen zusätzliche Kontrollen implementiert. Die Verantwortung für diese Prüfung liegt in der zuständigen Datenschutzorganisation. Ausführliche Informationen über Berichterstattungssysteme, ihre Vertraulichkeit und die Ergebnisse des Berichtsjahres finden sich auch im Themenstandard G1 Unternehmensführung.
Im Jahr 2025 fanden auf Segment- oder lokaler Ebene die Audits und Risikobewertungen von Berichterstattungssystemen bzw. von der Einhaltung von Datenschutzbestimmungen und Kontrolle der entsprechenden Risiken statt. Falls erforderlich, werden festgestellte Fälle der Nichteinhaltung von Datenschutzvorschriften auf der jeweiligen Ebene behoben. Die Wirksamkeit der identifizierten risikomindernden Maßnahmen wird evaluiert und mit den Fachfunktionen und betroffenen Abteilungen abgestimmt. Maßnahmen zur Vorbeugung gleicher oder ähnlicher Fälle werden identifiziert und sowohl technisch als auch organisatorisch umgesetzt, z. B. durch Verschlüsselung oder Arbeitsanweisungen. Die Ergebnisse der Audits werden von den Datenschutzorganisationen auch zum Anlass genommen, bei Bedarf risikomindernde Maßnahmen zu ergreifen.
Maßnahmen [S4-4] Ergreifung von Maßnahmen in Bezug auf wesentliche Auswirkungen auf Verbraucher und Endnutzer und Ansätze zum Management wesentlicher Risiken und zur Nutzung wesentlicher Chancen im Zusammenhang mit Verbrauchern und Endnutzern sowie die Wirksamkeit dieser Maßnahmen und Ansätze
Im Fall von Datenschutzverletzungen können je nach Schwere der festgestellten Verletzung zusätzliche Schutzmaßnahmen oder die Anpassung von Vertragsklauseln erforderlich sein, um den Schutz der Rechte und Freiheiten zu verbessern. Da im Jahr 2025 keine wesentlichen Datenschutzvorfälle gemeldet wurden, hat Fresenius keine zentralen Maßnahmen im Zusammenhang mit der identifizierten Auswirkung und dem identifizierten Risiko ergriffen.
Wenn Schwachstellen identifiziert werden, es neue Geschäftsbereiche gibt oder sich die Regulatorik ändert, werden konkrete Maßnahmen ergriffen.
Die Wirksamkeit der bestehenden Datenschutzmaßnahmen bewertet Fresenius grundsätzlich anhand von eingegangenen Meldungen und Datenschutzvorfällen sowie der Erkenntnisse von Audits, Risikobewertungen und internen Kontrollen, wie im Abschnitt S4-3 Einbeziehung von Patientinnen und Patienten in diesem Standard beschrieben. Der Anspruch des Konzerns ist es, dass getroffene Maßnahmen dazu dienen sollen, einen positiven Beitrag zum Datenschutz von Verbrauchern und / oder Endnutzern zu leisten.
Die Verbesserungen oder abgeleiteten Maßnahmen im Bereich Datenschutz basieren auf den internen operativen Beratungsgremien sowie dem regelmäßigen Austausch der Datenschutzexpertinnen und ‑experten im Konzern.
In Geschäftsaktivitäten setzt Fresenius zunehmend KI ein. Dabei ist die Einhaltung des Datenschutzes von Beginn an eine Priorität. Weitere Informationen finden Sie im unternehmensspezifischen Standard S-Digitale Transformation im Abschnitt KI-Governance-Richtlinie.
Ziele und Ambitionen [S4-5] Ziele im Zusammenhang mit der Bewältigung wesentlicher negativer Auswirkungen, der Förderung positiver Auswirkungen und dem Umgang mit wesentlichen Risiken und Chancen
Fresenius hat den Anspruch, Datenschutzverstöße zu vermeiden. Zur Erreichung dieses Ziels misst der Konzern Vorfälle und arbeitet an der weiteren Verfeinerung von Metriken und Leistungskennzahlen (key performance indicators – KPIs), um Datenschutztrends gezielt zu erkennen.
Durch die in diesem Kapitel beschriebenen Aktivitäten im Bereich des Datenschutzes sollen Mitarbeiterinnen und Mitarbeiter für einen datenschutzkonformen Umgang mit personenbezogenen Daten sensibilisiert werden. Dabei wird angestrebt, sie mit umfangreichem Wissen und sorgfältigen Handlungsweisen zu befähigen und Datenschutzverletzungen zu vermeiden. Darüber hinaus sollen sie in die Lage versetzt werden, Datenschutzverstöße frühzeitig zu erkennen und unverzüglich erforderliche Maßnahmen zu ergreifen.
Die Wirksamkeit der Konzepte misst Fresenius anhand der Anzahl auftretender Datenschutzverstöße sowie gegebenenfalls des erneuten Auftretens eines ähnlichen Vorfalls. Sofern diese vorkommen, wird gemäß einem definierten Evaluationsprozess eine Bewertung vorgenommen. Diese kann dazu führen, dass Maßnahmen zur zukünftigen Vermeidung getroffen, interne Vorgaben angepasst oder zusätzliche Schulungen initiiert werden. Im Rahmen der Risikobewertungs- und Überwachungsaktivitäten wird kontinuierlich die Einhaltung der Datenschutzgesetze und ‑vorschriften überwacht.
Kennzahlen [MDR-M] S4-Unternehmensspezifisch
Eingegangene Meldungen in Bezug auf Datenschutzverletzungen
Im Berichtsjahr wurden insgesamt 33 Berichte mit Datenschutzbezug im Compliance-Case-Management dokumentiert (2024: 21). Über die Hinweisgebersysteme wurde im Berichtsjahr keine schwerwiegende Datenschutzverletzung gemeldet, die sich unmittelbar auf die Finanzlage oder Reputation des Unternehmens ausgewirkt hat oder eine Anpassung der bestehenden Managementansätze erfordert hat (2024: 0). Es kam jedoch zu Datenschutzverstößen, die im Rahmen der bestehenden Managementansätze geprüft und bearbeitet werden konnten. Diese Vorfälle wurden gemäß den internen Prozessen bewertet und behoben, ohne dass eine grundlegende Anpassung der Steuerungsmechanismen erforderlich war. Das System, die Berichtskategorien sowie die Kennzahlen werden im Themenstandard G1 Unternehmensführung im Abschnitt Compliance-Meldungen erläutert.