ÖBB Geschäftsbericht 2023

173 Konzern- lagebericht Aktualisierung der Risikobewertung zum Datenschutz Mittelfristiges Ziel ist es, alle eingetragenen Verarbeitungstätigkeiten im Konzern einer datenschutzrechtlichen Risikobewertung zu unterziehen. Sie bewertet – anders als im IT-Risikomanagement – nicht die Businessrisiken, sondern die Risiken für die Rechte und Freiheiten der natürlichen Personen, deren Daten verarbeitet werden. Von den insgesamt in den Verzeichnissen der Verarbeitungstätigkeiten enthaltenen Eintragungen wurden bis Jahresende mehr als die Hälfte einer Risikobewertung unterzogen. Ausblick Datenschutz 2024 Zertifizierung des DSMS In Zusammenarbeit mit dem Bereich IT wurde in der ÖBB-Holding AG bereits 2023 die Voraussetzungen für eine Zertifizierung des DSMS (Datenschutzmanagementsystems) nach ISO 27701 evaluiert. Die Vornahme der Zertifizierung ist für 2024 geplant. Voraussetzung dafür ist eine Zertifizierung des ISMS (Informationsmanagementsystems) nach ISO 27001, die 2023 abgeschlossen werden konnte. Überarbeitung der Datenschutzinformation für Mitarbeiter:innen Seit dem Inkrafttreten der DSGVO ist im HR-Portal für Mitarbeiter:innen eine Datenschutzinformation verfügbar. Sie legt wesentliche Aspekte der Datenverarbeitungen im Rahmen des Dienstverhältnisses offen. Diese Information soll 2024 grundlegend überarbeitet werden. Transparenz In der Ausgestaltung und Kommunikation seiner Unternehmensführung orientiert sich der ÖBB-Konzern an internationalen Standards und Best-Practice-Methoden sowie dem Public-Corporate-Governance-Kodex des Bundes. Ein wesentliches Instrument ist die transparente, zeitnahe und detaillierte Berichterstattung zu vielen Themenbereichen der ÖBB sowie deren Beurteilung und Zertifizierung durch externe Stellen. Der ÖBB-Konzern verfügt über funktionierende Kontrollorgane bzw. Kontrollmechanismen, die ihre Aufgaben wahrnehmen. Die Aufgaben des Aufsichtsrats ergeben sich aus Gesetz sowie Satzung bzw. Gesellschaftsvertrag und der Geschäftsordnung für den Aufsichtsrat. Das höchste Kontrollorgan (Aufsichtsrat) hält fünfmal im Jahr ordentliche Sitzungen ab und bei Bedarf zusätzliche außerordentliche Sitzungen. Im Rahmen derer werden dem Aufsichtsrat regelmäßig insbesondere standardisierte Berichte zu den Themenbereichen „Human Resources“, „Compliance“, „Revision“, „Datenschutz“, „Risikomanagement“, „Internes Kontrollsystem“, „Sicherheit“, „Nachhaltigkeit“ und „Diversity“ übermittelt – neben den Finanz- und Tätigkeitsberichten im Rahmen des in nahezu jeder Aufsichtsratssitzung gelegten Berichts des Vorstands an den Aufsichtsrat. Kritischen Themen wird auch mit Ad-hoc-Berichten an den Aufsichtsrat und Information an den Eigentümer begegnet. GRI 2-15, 2-16 Compliance Eine effektive, effiziente und transparente Gestaltung der Geschäftsprozesse ist für den ÖBB-Konzern von großer Bedeutung. Zu deren Umsetzung bedarf es einer Organisation, die entsprechende Maßnahmen setzt und damit wesentlich zum nachhaltigen Erfolg des Unternehmens beiträgt. Daher wurde ein umfassendes Compliance-Management-System im ÖBB-Konzern implementiert, das sich an international anerkannten Standards orientiert. Alle Organe und Bedienstete des ÖBB-Konzerns fallen unter den Amtsträgerbegriff des Strafgesetzbuches, wodurch die verschärften Korruptionsstrafrechtsbestimmungen zur Anwendung kommen. Dementsprechend ist ein integres Verhalten umso mehr unabdingbar. Als Kernpunkt der Compliance-Auffassung dient der Code of Conduct des ÖBB-Konzerns. Dieser verbindliche Verhaltenskodex beschreibt die ethischen Grundsätze und allgemeinen Prinzipien, an denen der ÖBB-Konzern sein wirtschaftliches Handeln ausrichtet. ÖBB Mitarbeiter:innen sind grundsätzlich verpflichtet, unverzüglich und nachweislich ihren Arbeitgeber zu verständigen, sobald ihnen zur Kenntnis gelangt, dass ein Interessenkonflikt auftreten könnte. Je höher die dienstliche Funktion der Person ist, umso kritischere Beurteilungsmaßstäbe müssen bei der Vermeidung von Interessenkonflikten angelegt werden. Aufgrund der Eigentümerstruktur des ÖBB-Konzerns ist zudem auch der Bundes Public Corporate Governance Kodex einzuhalten, welcher ebenso Maßnahmen zur Vermeidung und Offenlegung von Interessenkonflikten festlegt. GRI 2-24, 2-15 Um eine langfristige und nachhaltige Sensibilisierung zu Compliance-bezogenen Themenbereichen zu erlangen, werden regelmäßig Schulungen durchgeführt, die auf die jeweilige Zielgruppe und entsprechenden Risiken zugeschnitten sind. Ergänzt werden diese Schulungen durch ein umfassendes, konzernweites E-Learning-Programm. Zudem werden dem Management und allen Mitarbeiter:innen individuelle Beratungen angeboten. LB128 |