GRI 418: Schutz der Kundendaten

GRI 103: Managementansatz (103-1, 103-2, 103-3)

Relevanz

Seit Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) 2018 kommt der Verarbeitung personenbezogener Daten noch grössere Bedeutung zu, sowohl innerhalb des Unternehmens als auch extern bezüglich der Datenflüsse.

Als internationales Energieunternehmen ist Alpiq in allen wichtigen europäischen Märkten tätig, wodurch die DSGVO in den Fokus rückte. Alpiq hat ein Datenschutzmanagementsystem eingeführt und einen Datenschutzbeauftragten (DPO) für die Gruppe ernannt. Der DPO wird von lokalen Datenschutzpartnern (Koordinatoren) unterstützt, wodurch der Datenschutz gemäss der DSGVO und allen anderen geltenden lokalen Vorschriften gewährleistet wird. Die Datenschutzexperten tauschen sich regelmässig aus und bilden sich weiter. Aufgrund ihrer neuen strategischen Ausrichtung wird sich Alpiq vor allem auf B2B-Geschäftsaktivitäten konzentrieren.

Managementansatz

Vertrauen ist eine Grundvoraussetzung für den nachhaltigen Erfolg der Alpiq Gruppe. Deshalb fühlt sich Alpiq verpflichtet, personenbezogene Daten mit äusserster Sorgfalt zu behandeln. Alle Mitarbeitenden werden im respektvollen Umgang mit personenbezogenen Daten gemäss den geltenden Regeln und Vorschriften geschult. Alpiq betrachtet den Datenschutz nicht nur als eine gesetzlich vorgeschriebene Notwendigkeit, sondern als einen Bestandteil ihrer Auffassung der Geschäftsausübung, wovon unser Konzept des «Datenschutz durch Technikgestaltung» (Privacy by Design) und durch «datenschutzfreundliche Voreinstellungen» (Privacy by Default) zeugt. Um dies zu unterstreichen, wurden die Verfahren in den internen Regeln zum Schutz personenbezogener Daten verankert, die von der Geschäftsleitung genehmigt wurden (2018). Der DPO betreibt das Datenschutzmanagementsystem gemeinsam mit den lokalen Datenschutzpartnern (Koordinatoren) in den operativen Rechtsgebieten. Der DPO ist Teil des Compliance-Teams von Alpiq, das dafür sorgt, dass diesem Thema die gebührende Bedeutung und Aufmerksamkeit beigemessen wird. Alpiq hat Standardabläufe für den Umgang mit Betroffenenanfragen und Datenschutzverletzungen sowie für die Aufnahme von Beschwerden eingeführt. Transparenz und Datenschutz spielen in den Beziehungen mit Kunden und Partnern eine zentrale Rolle, weshalb Alpiq sehr eng mit ihnen zusammenarbeitet. Alpiq hat ein hochmodernes Datenschutzmanagement-Tool eingeführt, um alle Aspekte der personenbezogenen Daten einheitlich zu verwalten, wie beispielsweise die Anträge betroffener Personen, Cookies und das Verarbeitungsverzeichnis.

Beurteilung

Anfang 2020 fand eine Beurteilung des Reifegrads des Datenschutzes durch den DPO statt. Die Ergebnisse wurden in den Strategieplan für den Datenschutz aufgenommen. Zusätzlich wurde im Herbst 2020 eine externe Beurteilung hinsichtlich der DSGVO-Umsetzung auf lokaler Ebene durchgeführt. Die Ergebnisse werden einen massgeblichen Einfluss auf die weitere Entwicklung des Datenschutzmanagementsystems haben.

GRI 418-1: Begründete Beschwerden in Bezug auf die Verletzung des Schutzes und den Verlust von Kundendaten

Alpiq hat 2020 eine fundierte Beschwerde einer Regulierungsbehörde verzeichnet, da bei der Migration eines Kundendatensatzes ein technischer Fehler aufgetreten war. Die offengelegten personenbezogenen Daten waren von geringem Umfang und die Offenlegung stellte für die betroffenen Personen ein sehr geringes Risiko dar. Dennoch betrachtete es Alpiq als ihre Pflicht, die zuständige Datenschutzbehörde in Kenntnis zu setzen. Gemeinsam mit der Behörde veröffentlichte Alpiq einen entsprechenden Online-Hinweis auf der betroffenen Website.