Als Softwareanbieter für die AEC/O-Industrie verwaltet die Nemetschek Group wenige Kund*innen- bzw. personenbezogene Daten selbst, da die Nemetschek Group Software-Produkte überwiegend „On-Premises“ installiert und betrieben werden, d. h. auf der IT-Umgebung unserer Kund*innen. Daher ist das konkrete Datenschutz- und Datensicherheitsrisiko grundsätzlich als moderat anzusehen.
Gleichwohl übernimmt die Nemetschek Group Verantwortung und verpflichtet sich gruppenweit zum sorgfältigen Umgang mit den Daten unserer Mitarbeitenden, Kund*innen und Partner*innen. Diese dürfen sich darauf verlassen können, dass ihre Daten in der Nemetschek Group sicher sind und unter Einhaltung der relevanten Gesetzesvorschriften verarbeitet werden. Die Verhinderung von Datenverlust sowie die Sicherstellung von Vertraulichkeit, Verfügbarkeit und Integrität unserer Daten sind der Nemetschek Group sehr wichtig.
Die Nemetschek Group ist sich bewusst, dass mit zunehmender Digitalisierung und Vernetzung, Datenschutz- und Datensicherheitsrisiken zunehmen. Daher fokussiert sie sich gruppenweit explizit auch auf die Bereiche Datenschutz und Datensicherheit.
Hierbei verfolgt die Nemetschek Group - entsprechend ihrer Organisationsstruktur - einen weitgehend dezentralen Ansatz, der zwar zentrale Vorgaben sowie Überwachungsprozesse und Hilfestellungen (ausgehend von der Konzernmutter) vorsieht, jedoch in erster Linie die Markengesellschaften in die Verantwortung nimmt (Eigenverantwortlichkeit der Brands).
Datenschutz und Datensicherheit sind Gemeinschaftsaufgaben aller Mitarbeitenden der Nemetschek Group, zu welchen sich alle Bereiche im Rahmen des gruppenweiten Verhaltenskodex „Code of Conduct“ bekannt haben.
Die Einhaltung datenschutzrechtlicher Vorgaben und Prozesse, wird regelmäßig entweder durch externe Dienstleister oder durch den Bereich Corporate Audit im Rahmen von allgemeinen Audits von Geschäftsprozessen in Zusammenarbeit mit den Bereichen Corporate Legal & Compliance sowie Corporate IT, durchgeführt.
Datenschutz (Privacy)
Im Rahmen der Umsetzung der VO (EU) 2016/679 „DSGVO“ wurden im Geschäftsjahr 2018 gruppenweite Datenschutz- und Compliance-Prozesse implementiert bzw. weiterentwickelt.
Es wurde u.a. ein umfangreiches, gruppenweites Regelwerk geschaffen, das von allen Gruppenunternehmen beachtet und implementiert werden musste. Dies beinhaltete die Verabschiedung einer umfassenden Konzerndatenschutzrichtlinie („Group Data Protection Guideline“) sowie die Zurverfügungstellung zahlreicher praktischer Dokumente („Templates“), die jederzeit auf dem gruppenweiten Intranet, sowohl in deutscher als auch englischer Sprache, verfügbar sind.
Neue Mitarbeitenden werden bei Aufnahme ihrer Tätigkeit auf die Vertraulichkeit im Umgang mit sensiblen/personenbezogenen Daten hingewiesen und arbeitsvertraglich zur Verschwiegenheit verpflichtet. Ferner sind alle Mitarbeitenden der Nemetschek Group (nicht nur europäische Mitarbeiter) verpflichtet eine Datenschutzschulung durchzuführen und das erfolgreiche Bestehen dokumentiert nachzuweisen. Eine eigens zum Thema Datenschutz aufgesetzte eLearning-Schulung wird sowohl in deutscher als auch in englischer Sprache angeboten. In neuralgisch wichtigen Bereichen (z.B. Management, Personal und Marketing) wurden bereits 2018 datenschutzrechtliche Präsenzschulungen durchgeführt.
Des Weiteren erfolgte eine datenschutzrechtlich konforme Anpassung der Webseiten (z.B. Datenschutzerklärung, Informationspflicht für Bewerber, Cookie-Banner etc.) sowie die Erstellung gruppenweiter Standardauftragsverarbeitungsverträge und Verfahrensverzeichnisse für wesentliche Datenverarbeitungsprozesse. Der Umgang mit personenbezogenen Daten erfolgt auf sogenannter „Need-to-Know“-Basis (Informationsweitergabe nur an Wissensträger, die für das Projekt von unmittelbarer Bedeutung sind) mit entsprechenden internen sowie externen Zugriffs- und Berechtigungskonzepten. Für die Erstellung und Nutzung von Mitarbeitendenfotos / Videos werden grundsätzlich Einwilligungen eingeholt, soweit die Erstellung und Nutzung nicht auf berechtigte Interessen gestützt werden kann.
Soweit gesetzlich geboten, sind in den Gesellschaften betriebliche Datenschutzbeauftragte (intern wie extern) bestellt, mit welchen ein bedarfsgerechter regelmäßiger, professioneller Austausch stattfindet.
Prozesse zur Einhaltung gesetzlicher Meldepflichten und -fristen (z.B. an Aufsichtsbehörden) wurden eingerichtet. Alle Mitarbeiter der Nemetschek Group haben die Möglichkeit, etwaige Verstöße gegen datenschutzrechtliche Vorschriften oder unternehmensinterne Richtlinien über das bestehende Hinweisgebersystem („Whistleblowing“) zu melden. Jeden Hinweis auf mögliche Verstöße gegen datenschutzrechtliche Vorschriften nimmt die Nemetschek Group sehr ernst und nimmt diese zum Anlass, den gemeldeten Sachverhalt schnellstmöglich aufzuklären.
Datensicherheit / Data Security
Zu den auf konzernebene ergriffenen Maßnahmen zählen die Bereitstellung von Ansprechpartner*innen im Headquarter, die Definition von Meldewegen sowie die Gewährleistung eines regelmäßigen fachlichen Austauschs zu sicherheitsrelevanten Fragestellungen zwischen den Markengesellschaften und der Konzernmutter.
Zur Absicherung von Risiken wurde bereits im Geschäftsjahr 2017 eine gruppenweite Cyber-Security Versicherung abgeschlossen, die alle Konzerngesellschaften umfasst.
Um die Mitarbeitenden über aktuelle Bedrohungslagen zu informieren sowie in Bezug auf potenzielle Gefahrenquellen zu sensibilisieren, erfolgen regelmäßig zentral initiierte Awareness Kampagnen/Hinweise/ Schulungen zu ausgewählten Bereichen aus dem Bereich Cyber-Security (z.B. zum Thema „Social Engineering“).
Produktbezogene Datensicherheit
Die Produkte der Nemetschek Group werden unter Berücksichtigung von Sicherheitsaspekten nach dem neuesten Stand der Technik entwickelt. Der überwiegende Anteil des Nemetschek Group Produktportfolios erfolgt in lokaler Installation „On-Premises“ bei Kunden.
Im Subscription Modell werden Softwarelösungen sowohl „On-Premises“ als auch als Cloud-Anwendungen angeboten. Das Hosting von angebotenen Cloud-Lösungen, welche insgesamt nur einen verhältnismäßig geringen Anteil des Nemetschek Group Produktportfolios ausmachen, erfolgt überwiegend in externen Rechenzentren. Um ein angemessenes Schutzniveau sicherzustellen, wird hierbei ausschließlich mit renommierten Rechenzentrumsanbietern kooperiert und Kundendaten werden strikt nach Kund*innen/Mandant*innen getrennt.
Unternehmensbezogene Organisation der Datensicherheit (Konzern-IT und Konzerngesellschaften)
Bezogen auf die technische Datensicherheit verfolgt die Nemetschek Group einen weitgehend dezentralen Ansatz. Da die Gruppe mit 16 weitgehend eigenständigen Marken aktiv ist, liegt die Verantwortung zur Gewährleistung eines angemessenen Schutzniveaus bezogen auf die Datensicherheit bei den Markengesellschaften.
Hierbei ergreifen die Tochterunternehmen der Nemetschek Group stets dem Stand der Technik und der individuellen Risikoexposition angemessene technisch-organisatorische Maßnahmen zur Gewährleistung der Datensicherheit, überprüfen diese kontinuierlich und entwickeln sie bei Veranlassung weiter. Hierzu zählen unter anderem der Einsatz von Virenscannern, Firewalling-Konzepten, Backup-Konzepten, eigens initiierten Tests und diversen technischen Kontrollmechanismen.