Navigation und Service der Landwirtschaftlichen Rentenbank

Springe direkt zu:

Logo der Rentenbank

Mobiles Menü öffnen

ESD-3 – Unternehmensspezifische Angabe: Datenschutz und Informationssicherheit

Einordnung im Nachhaltigkeitsbericht

Der Schutz personenbezogener Daten und die Gewährleistung der Informationssicherheit stellen für die Landwirtschaftliche Rentenbank ein wesentliches Governance-Thema dar. Aufgrund ihrer querschnittlichen Bedeutung für nahezu alle Geschäfts- und Unterstützungsprozesse wird über Datenschutz und Informationssicherheit in Form einer unternehmensspezifischen Offenlegung berichtet. Ein themenbezogener ESRS-Standard zu diesen Themen liegt bisher nicht vor. Die nachfolgenden Angaben stehen in engem Zusammenhang mit den Ausführungen zu den Governance-Strukturen gemäß ESRS 2 (GOV) sowie mit den internen Kontroll- und Risikomanagementsystemen der Rentenbank.

Strategische Einordnung und Zielsetzung

Die fortschreitende Digitalisierung von Geschäftsprozessen, Kommunikationswegen und Datenverarbeitungen erhöht die Anforderungen an den Datenschutz, die Informationssicherheit und die Widerstandsfähigkeit der IT-gestützten Infrastruktur. Als bundesunmittelbare Förderbank verarbeitet die Landwirtschaftliche Rentenbank personenbezogene Daten von Mitarbeitenden, Hausbanken, Endkreditnehmenden, Dienstleistern sowie weiteren Interessenträgern. Aufgrund des Hausbankenprinzips stehen dabei aus operativer und risikobezogener Sicht insbesondere die vertraglichen und prozessualen Schnittstellen zu den durchleitenden Banken im Fokus.

Als Bank sind wir uns der wachsenden Herausforderungen und Risiken in einer zunehmend digitalisierten Welt bewusst. Der Schutz von Informationen unserer Kunden und Geschäftspartner sowie die Sicherstellung des reibungslosen Geschäftsbetriebs haben für uns höchste Priorität. Ebenso sind wir uns der Notwendigkeit eines effektiven Datenschutzes bewusst. Um den zunehmenden Bedrohungen durch Cyberangriffe, technischen Ausfällen und unvorhersehbaren Krisen zu begegnen, setzen wir auf eine robuste digitale Resilienz. Diese Resilienz ist notwendig, um das Vertrauen unserer Kunden und Geschäftspartner zu bewahren und unsere Geschäftsprozesse sicher zu gestalten. Sie dient nicht allein der Einhaltung gesetzlicher und regulatorischer Vorgaben, sondern unterstützt die nachhaltige Wahrnehmung des Förderauftrags, die Stabilität der Geschäftsprozesse sowie den Schutz sensibler Informationen vor unbefugtem Zugriff, Verlust oder Missbrauch.

Governance, Verantwortlichkeiten und Aufsicht

Die Gesamtverantwortung für Datenschutz und Informationssicherheit liegt beim Vorstand der Rentenbank. Er stellt sicher, dass angemessene organisatorische, technische und personelle Ressourcen zur Verfügung stehen und dass entsprechende Belange systematisch in die Geschäftsstrategie sowie in das interne Kontroll- und Risikomanagementsystem eingebettet sind.

Der vom Vorstand bestellte Datenschutzbeauftragte sowie seine Stellvertretung agieren weisungsfrei und berichten unmittelbar an den Vorstand. Sie berichten dem Vorstand anlassbezogen sowie in Form eines jährlichen Tätigkeitsberichts. Zusätzlich beraten sie die Organisation in allen datenschutzrechtlichen Fragestellungen, überwachen die Einhaltung der Datenschutz-Grundverordnung (DSGVO), des Bundesdatenschutzgesetzes (BDSG) sowie weiterer einschlägiger Regelungen und fungieren als zentrale Ansprechpersonen für betroffene Personen, Geschäftspartner und Aufsichtsbehörden.

Die Verantwortung für die Informationssicherheit ist über die Abteilung Cyber-Security und Non-Financial Risk organisatorisch klar verankert. Darüber hinaus liegen das Risikomanagement von Drittparteien und Informations- und Kommunikationstechnologien sowie das Notfallmanagement im Aufgabenbereich dieser Abteilung. Durch die im Geschäftsjahr 2025 erfolgte Zusammenfassung dieser Aufgaben konnten Synergien gehoben und Prozesse effizienter gestaltet werden.

Grundsätze, Regelwerke und Sorgfaltspflichten

Datenschutz und Informationssicherheit werden auf der Grundlage verbindlicher interner Regelwerke umgesetzt. Diese orientieren sich an den gesetzlichen Vorgaben der DSGVO und des BDSG, an bankaufsichtsrechtlichen Anforderungen sowie an anerkannten Standards der Informationssicherheit.

Zentrale Grundsätze sind insbesondere

  • Zweckbindung und Datenminimierung bei der Verarbeitung personenbezogener Daten,
  • Wahrung von Vertraulichkeit, Integrität, Authentizität und Verfügbarkeit von Informationen,
  • risikoorientierte Ausgestaltung technischer und organisatorischer Maßnahmen und
  • transparente Information betroffener Personen über relevante Datenverarbeitungen.

Die Sorgfaltspflicht umfasst die Identifikation relevanter Risiken, die Umsetzung präventiver Maßnahmen, den strukturierten Umgang mit Datenschutzvorfällen sowie die regelmäßige Überprüfung der Wirksamkeit bestehender Prozesse.

Operative Umsetzung und Präventionsmaßnahmen

Die Rentenbank setzt angemessene technische und organisatorische Maßnahmen ein, um personenbezogene Daten und sonstige schutzbedürftige Informationen vor unbefugtem Zugriff zu schützen. Hierzu zählen unter anderem rollenbasierte Zugriffs- und Berechtigungskonzepte, Protokollierungs- und Kontrollmechanismen sowie Maßnahmen zur Absicherung der IT-Infrastruktur.

Ein wirksames Informationssicherheits- und Notfallmanagement stellt sicher, dass die Rentenbank auch bei Störungen, technischen Ausfällen oder Krisensituationen handlungsfähig bleibt. Technische Notfallpläne, klare Kommunikationsstrukturen sowie regelmäßige Übungen unterstützen die Aufrechterhaltung eines geordneten Geschäftsbetriebs.

Die Verarbeitung personenbezogener Daten erfolgt grundsätzlich innerhalb Deutschlands, mindestens jedoch innerhalb der EU/des EWR. Übermittlungen in Drittländer sind nicht vorgesehen oder erfolgen – sofern im Einzelfall erforderlich – ausschließlich unter Beachtung der Anforderungen der Art 44 ff. DSGVO.

Informationen für Mitarbeitende

Die Broschüre „Sicher fördern in der Rentenbank“ wird allen neuen Mitarbeitenden ausgehändigt. Die Hauptthemen darin sind der Datenschutz, das Notfallmanagement und die Informationssicherheit, sie enthält jedoch auch Informationen zum Verhaltenskodex, zur Clean Desk Policy, zur Nutzung von KI-Technologien sowie zu weiteren sicherheitsrelevanten Themen. Ebenso bietet sie Informationen zur Meldung von Sicherheitsvorfällen und Verdachtsfällen sowie zu Ansprechpersonen für die jeweiligen Themen.

Die Organisationsanweisung „Datenschutz“ bietet Mitarbeitenden darüber hinaus gebündelt Informationen zu Hintergründen, Prozessen und Zuständigkeiten im Rahmen des betrieblichen Datenschutzes.

Sensibilisierung, Schulung und Awareness

Ein wesentlicher Bestandteil der digitalen Resilienz ist die kontinuierliche Sensibilisierung der Mitarbeitenden. Alle Mitarbeitenden werden regelmäßig zu Datenschutz, Informationssicherheit und relevanten Bedrohungslagen geschult. Ziel ist es, ein dauerhaftes Risikobewusstsein zu fördern und sicherzustellen, dass potenzielle Vorfälle frühzeitig erkannt und angemessen behandelt werden.

Schulungen über einen externen Anbieter bieten Mitarbeitenden in einem interaktiven Format die Möglichkeit, sich im Bereich Datenschutz und Informationssicherheit weiterzubilden. Die Durchführung der Schulungen ist für alle Mitarbeitenden verpflichtend und wird nachverfolgt. Es erfolgt ein Reporting über die Anzahl der nicht durchgeführten Schulungen.

Darüber hinaus werden Mitarbeitende über simulierte Phishing-Angriffe sensibilisiert, die mithilfe eines Drittanbieters erstellt werden. Solche simulierten Angriffe per Mail können beispielsweise Links oder schädliche Dateien enthalten. Sollten Mitarbeitende Links oder Dateien öffnen, werden sie auf die möglichen Folgen im realen Anwendungsfall hingewiesen. Über die Klickrate wird einmal im Quartal im Intranet informiert. Im Rahmen dieser Postings wird ebenfalls darauf hingewiesen, welche psychologischen Taktiken angewendet wurden.

Weitere Sensibilisierungsmaßnahmen umfassen unter anderem Intranet-Postings zu ausgewählten Audits beziehungsweise Prüfergebnissen sowie Präsenzschulungen zu aktuellen Themen.

Umgang mit Vorfällen, Beschwerden und Betroffenenrechten

Die Rentenbank verfügt über strukturierte Verfahren zum Umgang mit Vorfällen des Datenschutzes und der Informationssicherheit sowie zur Wahrnehmung der Rechte betroffener Personen. Betroffene können ihre Rechte gemäß DSGVO geltend machen. Entsprechende Kontakt- und Beschwerdewege sind transparent ausgestaltet und öffentlich zugänglich. Auch im Rahmen des Hinweisgebersystems wird der Schutz personenbezogener Daten umfassend sichergestellt. Im Berichtsjahr gab es einen schwerwiegenden Vorfall, der auf einen Systemausfall bei der Bundesbank zurückzuführen ist. Dieser wurde an die entsprechenden Stellen gemeldet.

Wirksamkeit und kontinuierliche Weiterentwicklung

Die Wirksamkeit der Maßnahmen zum Datenschutz und zur Informationssicherheit wird regelmäßig überprüft. Erkenntnisse aus internen Kontrollen, Schulungen, Vorfällen oder externen Entwicklungen fließen in die kontinuierliche Weiterentwicklung der Regelwerke, Prozesse und technischen Maßnahmen ein.

Datenschutz und Informationssicherheit sind damit Bestandteil eines fortlaufenden Steuerungs- und Verbesserungsprozesses zur Sicherung der langfristigen Stabilität, Integrität und Vertrauenswürdigkeit der Rentenbank.

Vorheriges Kapitel Unternehmensspezifische Angaben