Menü

TX Group Nachhaltigkeitsbericht 2022
TX Group Nachhaltigkeitsbericht 2022
Bericht öffnen

Downloads

Schliessen

Governance und Compliance

Neben den juristischen und organisatorischen Verantwortlichkeiten, denen Verwaltungsrat und Geschäftsleitung von TX Group unterliegen (Verantwortlichkeiten des Verwaltungsrates, Seite 20-37 im Geschäftsbericht), legt das Unternehmen als führendes und anerkanntes Netzwerk von digitalen Plattformen im Compliance-Bereich seinen Fokus auf die beiden Aspekte Cyber Security und Datenschutz.Die Gewährleistung der IT-Sicherheit der TX Group gehört zum Verantwortungsbereich des Chief Information Officers des Unternehmens. Das entsprechende Cyber-Security-Reglement wurde im Geschäftsjahr 2022 erstellt, verabschiedet und auch organisatorisch implementiert. Der Group Chief Information Security Officer (CISO) ist verantwortlich für die Cyber Security bei TX Group, Tamedia, 20 Minuten und Goldbach sowie Unternehmen wie Zattoo oder Doodle, wo TX Group eine Mehrheitsbeteiligung hält. Für die nicht von TX Group kontrollierten Gesellschaften und Beteiligungen wie SMG oder JobCloud ist der Group CISO beratend oder im Auftragsverhältnis tätig. Weitere Ventures der TX Group verfügen über eigene IT-Sicherheits-Lösungen und werden bei Bedarf ebenfalls vom Group CISO unterstützt. Cyber Security wird dabei als «Immunsystem» verstanden und eingesetzt, welches die Resilienz der IT-Systeme von TX Group kontinuierlich überwachen, sicherstellen, schützen und stärken soll. Eine wichtige Rolle spielen dabei Trainings für die Mitarbeitenden, damit diese Virus- oder Hackerangriffe bestmöglich erkennen können und umsichtig agieren. Für neue Mitarbeiter*innen sind diese Trainings obligatorisch. Um die IT-Infrastruktur zu testen und möglichen Schwachstellen oder Fehlern zu entgegnen, veranstaltet TX Group auch ein unternehmenseigenes «Kopfgeld-Programm». Das Unternehmen kann sich dabei auf das kollektive Know-how einer globalen Security Researchers-Community stützen; Interessierte können sich bei uns für dieses «Bug Bounty»-Programm registrieren und erhalten bei Entdeckung von Schwachstellen eine Belohnung. Auch dieser kollaborative, proaktive Ansatz widerspiegelt die Cyber-Security-Philosophie von TX Group.

Das IT-Sicherheitsteam des Unternehmens kooperiert im beruflichen Alltag eng und vertrauensvoll mit den Mitarbeitenden, welche für den Datenschutz verantwortlich sind. Auf Stufe von TX Group waren dies bis Ende 2022 die fünf Mitglieder des Lenkungsausschusses Datenschutz, welcher von der Gruppenleitung eingesetzt wurde und die erforderlichen Massnahmen für die Einhaltung der relevanten Datenschutz-Gesetzgebung bestimmt und im Reglement Datenschutz festgehalten hat. Ab 2023 wird diese Aufgabe von einem neuen Gremium (Data Protection Board), bestehend aus Vertretern von Group Operations, übernommen, um sie sowohl effizienter zu erfüllen als auch innerhalb des Unternehmens noch stärker zu gewichten. Das Data Protection Board sowie dessen Mitglieder werden ebenfalls von der Gruppenleitung der TX Group eingesetzt. Zudem hat TX Group einen Group Data Protection Officer (Group DPO) bestimmt, der die Einhaltung der relevanten Datenschutz-Gesetzgebung prüft und überwacht sowie weiterführende Massnahmen empfiehlt und umsetzt. Er hat auch die Aufsicht über die Datenschutzorganisation und die Bearbeitung von Personendaten in der TX Group. Organisatorisch ist der Group DPO dem Rechtsdienst der TX Group angegliedert. Die einzelnen Unternehmen der TX Group, wie Tamedia, 20 Minuten oder Goldbach, bezeichnen zusätzlich einen betrieblichen Datenschutzberater (DPO) mit Aufgaben gemäss Gesetz, eine Datenschutzmanagerin oder einen Datenschutzmanager zur Koordination und als Schnittstelle zwischen dem jeweiligen Unternehmensbereich und dem Group DPO, sowie verschiedene Datenschutz-Ansprechpersonen, welche den zuständigen DPO bei der Umsetzung von datenschutzrechtlichen Aufgaben innerhalb des Betriebs unterstützen. Im Berichtsjahr hat die TX Group unter anderem das Datenschutzreglement revidiert und den Prozess zum Aufsetzen, Führen und Pflegen von Datenverarbeitungsverzeichnissen neu aufgesetzt. Zudem hat das Unternehmen eine standardisierte, IT-basierte interne Lösung zum Erfassen, Übermitteln und Bearbeiten von Betroffenenrechtsanfragen und allfälligen Datenschutz-Vorfällen (Data Breaches) definiert und implementiert.

Einer der wichtigsten Grundsätze der Datenschutzmassnahmen des Unternehmens ist, dass fast alle Daten der Kund*innen in einer Cloud-Lösung gespeichert werden. In der Regel (das heisst, wenn diese Cloud-Lösung durch unternehmenseigene Mitarbeitende gepflegt und verantwortet wird) wird dazu die Lösung AWS (Amazon Web Services) von Amazon verwendet. Die Speicher (Instanzen), welche dazu genutzt werden, stehen in der Europäischen Union (Irland und Deutschland) sowie in der Schweiz; TX Group nutzt die hiesigen AWS-Speicher. Für die wenigen nicht in der Cloud gespeicherten Daten kommt SAP zur Anwendung; dieses Programm wurde TX Group intern installiert und für unterschiedliche Unternehmenszwecke verwendet. Im Berichtsjahr 2022 kam es zu keinerlei begründeten Beschwerden von unternehmensexternen Personen oder Organisationen und zu rund zehn Datenschutz-Vorfällen. Im Geschäftsjahr 2021 kam es zu zwei begründeten Beschwerden von unternehmensexternen Personen oder Organisationen und zu insgesamt acht Datenschutz-Vorfällen (Leck, Diebstahl, Verlust oder Ähnliches). Seit rund vier Jahren ist eine Sachverhaltsabklärung des Eidgenössischen Öffentlichkeits- und Datenschutzbeauftragten (EDÖB) gegen die Ricardo AG und die TX Group AG hängig. Zudem gingen bei der Doodle AG 2021 sowie 2022 je eine Anfrage der Sächsischen sowie der Tschechischen Datenschutzaufsichtsbehörde ein. Abgesehen von ersten Anfragen wurden in den letztgenannten beiden Fällen keine weiteren Schritte unternommen.