In der heutigen digitalen Welt sind der Schutz der Privatsphäre der Verbraucher und der verantwortungsvolle Umgang mit Daten entscheidend, um Vertrauen und langfristige Beziehungen aufzubauen. Datenschutz verfolgt das Ziel, das Recht des Einzelnen auf informationelle Selbstbestimmung zu gewährleisten. HUGO BOSS legt einen starken Fokus auf die weitere Digitalisierung seines Geschäftsmodells, wodurch die Bedeutung des Datenschutzes stetig zunimmt. Die Nutzung von Kundendaten, insbesondere aus unserem Online-Geschäft und unserem Kundenbindungsprogramm, ist für den zukünftigen Erfolg von HUGO BOSS von entscheidender Bedeutung. Jeder Verstoß gegen Datenschutzgesetze oder Verletzungen der Datensicherheit stellen ein Risiko für die betroffenen Personen dar und bergen zugleich erhebliche Compliance-, Finanz- und Reputationsrisiken für HUGO BOSS.
Konzepte in Zusammenhang mit Verbrauchern und Endnutzern
HUGO BOSS verpflichtet sich, personenbezogene Daten gemäß der EU-Datenschutz-Grundverordnung (DSGVO) sowie weiteren anwendbaren Datenschutzvorschriften zu schützen. Die unternehmenseigenen Datenschutzrichtlinien informieren Verbraucher und Endnutzer über die Erhebung und Verarbeitung personenbezogener Daten aus unserem eigenen Online-Store hugoboss.com, unserem Kundenbindungsprogramm, mobilen Anwendungen sowie unserer Unternehmenswebsite. Dazu gehören Informationen wie Kontaktdaten, Kaufhistorie und Browsing-Verhalten, die zur Bearbeitung von Bestellungen, zur Verbesserung des Kundenservice und zur Unterstützung der Marketingkommunikation verwendet werden. Die Richtlinien beschreiben zudem den Einsatz von Cookies und Tracking-Technologien zur Verbesserung der Nutzererfahrung und zur Analyse von Website-Aktivitäten, sofern Verbraucher und Endnutzer ihre entsprechende Einwilligung zur Datenverarbeitung erteilen. Zum Schutz personenbezogener Daten vor unbefugtem Zugriff, Verlust oder Manipulation setzt HUGO BOSS auf die Umsetzung technischer und organisatorischer Maßnahmen. Kunden werden über ihre Datenschutzrechte gemäß DSGVO informiert, einschließlich des Rechts auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit sowie Widerspruch. Verfahren zum Umgang mit Datenschutzverletzungen und Beschwerden sind klar definiert, wobei unser Datenschutzbeauftragter als zentraler Ansprechpartner fungiert. Unsere Datenschutzrichtlinien spiegeln die aktuellen rechtlichen und organisatorischen Standards wider und werden regelmäßig überprüft, um Rechtskonformität sicherzustellen, wobei die letzte Aktualisierung im Jahr 2024 erfolgte.
Die Datenschutzleitlinie von HUGO BOSS ist für alle Konzerngesellschaften verbindlich und bildet den Rahmen für eine sichere und rechtskonforme Verarbeitung personenbezogener Daten. Sie adressiert identifizierte Risiken durch klar formulierte Leitlinien. Sie orientiert sich an zentralen Datenschutzprinzipien wie Transparenz, Zweckbindung, Datenminimierung, Richtigkeit und Vertraulichkeit und legt gleichzeitig strenge Vorgaben fest, die den Anforderungen der DSGVO sowie des Bundesdatenschutzgesetzes (BDSG) entsprechen. Die Richtlinie gilt für sämtliche personenbezogenen Daten, die innerhalb des Konzerns verarbeitet werden, einschließlich der Daten von Mitarbeitern, Kunden, Lieferanten und Geschäftspartnern, und soll somit eine sichere und gesetzeskonforme Datenverarbeitung entlang der gesamten Wertschöpfungskette sicherstellen. Während anonymisierte Daten nicht unter die Richtlinie fallen, legt sie besonderen Wert auf den Schutz der Rechte betroffener Personen. Dazu gehört das Recht auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit sowie Widerspruch.
Unsere Beschwerderichtlinie Datenschutzverletzung legt einen klar definierten Prozess für das Management von Datenschutzverletzungen in Übereinstimmung mit der DSGVO und anderen gesetzlichen Anforderungen fest. Sie beschreibt Prozesse zur raschen Erkennung, Meldung und Reaktion auf Datenschutzverletzungen, um den potenziellen Schaden für betroffene Personen beziehungsweise Unternehmen zu minimieren. Beschwerden werden nach klar definierten Verfahren bearbeitet, wodurch Vertrauen und Verantwortlichkeit gestärkt werden.
Unsere Datenschutzrichtlinien, die Datenschutzleitlinie und die Beschwerderichtlinie Datenschutzverletzung sind in unserem Online-Store beziehungsweise auf der Unternehmenswebsite zugänglich. Unser Datenschutzbeauftragter, der direkt an den CFO/COO berichtet, ist für die Überwachung der Einhaltung dieser Richtlinien verantwortlich und dient als zentrale Ansprechperson für alle Datenschutzfragen.
Einbindung von Verbrauchern und Endnutzern
HUGO BOSS begegnet Datenschutzrisiken durch strukturierte Risikoanalysen und transparente Kommunikation. Für jede Verarbeitung von Kundendaten werden Schwellenwertanalysen durchgeführt, um das jeweilige Risikoniveau zu bestimmen. Wird ein hohes Risiko identifiziert, erfolgt eine detaillierte Datenschutz-Folgenabschätzung (DSFA). Zur Dokumentation und Optimierung dieses Prozesses hat HUGO BOSS ein entsprechendes Tool implementiert, das Risikoanalysen und dazugehörige Maßnahmen nachverfolgt. Durch ein strukturiertes Risikomanagement wollen wir das Vertrauen fördern und eine gute Unternehmensführung unter Einhaltung der regulatorischen Anforderungen aufrechterhalten.
Besonderes Augenmerk liegt auf Prozessen mit grundsätzlich hohem Risko, wie unserem Kundenbindungsprogramm HUGO BOSS XP, bei dem besonders sensible Daten verarbeitet werden. Vor der Einführung neuer Prozesse erfolgt eine umfassende Risikoanalyse, auf deren Basis erforderliche technische und organisatorische Maßnahmen umgesetzt werden. Dieser Prozess wird von einem interdisziplinären Team aus IT-Spezialisten und Mitarbeitern der zentralen Datenschutzabteilung begleitet, um die vollständige Einhaltung der Datenschutzvorgaben sicherzustellen. HUGO BOSS stützt sich auf interne Analysen und indirekte Erkenntnisse, um seine Datenschutzpraktiken an die Kundenerwartungen anzupassen. Die Wirksamkeit dieser Maßnahmen wird durch eine Kombination aus strukturierten Überwachungsprozessen, Vorfallanalysen und der Bearbeitung von Beschwerden über Datenschutzverletzungen bewertet. Um kontinuierliche Verbesserungen voranzutreiben, werden identifizierte Vorfälle gründlich analysiert und Korrekturmaßnahmen implementiert, um ein erneutes Auftreten zu verhindern. Diese Maßnahmen werden durch den Datenschutzbeauftragten strukturiert überwacht. Im Falle eines Vorfalls sorgt HUGO BOSS für eine zeitnahe Klärung der Beschwerde und führt eine detaillierte Vorfallanalyse durch, um weitere Risiken zu mindern.
Beschwerdemechanismen und Abhilfeverfahren
Verbraucher und Endnutzer haben die Möglichkeit, Datenschutzverletzungen oder mutmaßliche Vorfälle über mehrere sichere Meldekanäle mitzuteilen. Dazu zählen die direkte Kontaktaufnahme mit dem Datenschutzbeauftragten, die Übermittlung von Bedenken per E-Mail sowie die Meldung über eine externe Ombudsperson, wobei die Möglichkeit zur anonymen Meldung besteht. Diese Meldewege sind über einen dedizierten Datenschutzbereich in unserem Online-Store sowie über den Speak-Up Channel auf unserer Unternehmenswebsite zugänglich. Beschwerden werden von der Compliance-Abteilung geprüft, die die Vorfälle bewertet, um das Risiko für die Rechte der Einzelpersonen zu bestimmen. Falls wesentliche negative Auswirkungen festgestellt werden, werden geeignete Abhilfemaßnahmen ergriffen, gründlich dokumentiert und innerhalb eines festgelegten Zeitrahmens kommuniziert.
Die Wirksamkeit der Beschwerdekanäle wird überprüft, indem der Bearbeitungs- und Klärungsprozess der eingegangenen Meldungen analysiert wird. Jeder Fall wird nachverfolgt, ausgewertet und überprüft, um seine Lösung zu evaluieren und etwaige Optimierungspotenziale zu identifizieren. HUGO BOSS setzt auf eine transparente Kommunikation über seine Plattformen hinweg, um das Vertrauen der Stakeholder in die Beschwerdemechanismen weiter zu stärken. Darüber hinaus sind Richtlinien vorhanden, die Meldende vor Vergeltungsmaßnahmen schützen und so die Integrität des Systems sicherstellen sollen. Weitere Informationen zu unseren Beschwerdemechanismen und Abhilfeverfahren sind im Abschnitt „Governance“ zu finden. Governance
Ziele im Zusammenhang mit Verbrauchern und Endnutzern
HUGO BOSS hat den Anspruch, Verstöße gegen geltendes Datenschutzrecht möglichst vollständig auszuschließen.
Im Geschäftsjahr 2024, wie auch im Vorjahr, waren dem Unternehmen keine Verstöße im Sinne von behördlich oder gerichtlich festgestellten Datenschutzverletzungen bekannt. Gegen Ende des Jahres 2024 leitete die zuständige deutsche Aufsichtsbehörde eine Untersuchung ein, die auf eine Kundenbeschwerde zurückging, in der beanstandet wurde, dass Marketinginhalte ohne rechtliche Grundlage versendet wurden. Der Abschluss der Untersuchung wird für 2025 erwartet.
Maßnahmen im Zusammenhang mit Verbrauchern und Endnutzern
HUGO BOSS nutzt ein Informationssicherheits- und Analysesystem, um relevante Daten in Echtzeit zu erfassen und auszuwerten. Dieser Ansatz soll es dem Unternehmen ermöglichen, potenzielle Vorfälle, Datenschutzverletzungen und Cyberangriffe frühzeitig zu erkennen und dadurch die Informationssicherheit im gesamten Unternehmen zu verbessern. HUGO BOSS hat spezifische Kriterien für die Einrichtung, Aufrechterhaltung und kontinuierliche Verbesserung seines Informationssicherheitsmanagementsystems (ISMS) festgelegt, die im Einklang mit seiner ISO/IEC 27001-Zertifizierung stehen. Letztere bestätigt, dass HUGO BOSS robuste Maßnahmen implementiert hat, um die Vertraulichkeit, Integrität und Verfügbarkeit von Informationsressourcen, einschließlich sensibler Kunden- und Mitarbeiterdaten, zu schützen. Ergänzend dazu gewährleistet das Security Operation Center (SOC) eine permanente Überwachung der jeweiligen IT-Systeme, um eine kontinuierliche Systemsicherheit zu gewährleisten.
Im Jahr 2023 hat HUGO BOSS seine Softwaresysteme zur Überwachung internationaler Datenschutz- und Cybersicherheitsvorschriften weiterentwickelt, um das Risiko von Verstößen zu minimieren. Auf dieser Basis führte das Unternehmen im Jahr 2024 eine umfassende Überprüfung der geltenden Datenschutzgesetze in allen relevanten Rechtsordnungen durch. Eine speziell entwickelte Risikobewertungsmatrix, die die unternehmensspezifischen Strukturen in den jeweiligen Ländern berücksichtigt, soll einen gezielten und effektiven Umgang mit regulatorischen Risiken unterstützen.
Alle internen Prozesse und Systeme zur Verarbeitung personenbezogener Daten werden kontinuierlich überwacht und weiterentwickelt, um die Einhaltung gesetzlicher Datenschutzvorgaben sicherzustellen. Diese laufenden Verbesserungen dienen der Vermeidung von Datenmissbrauch und Datendiebstahl. Darüber hinaus sind Notfallpläne implementiert, die im Falle von Datenschutzverstößen eine sofortige Umsetzung technischer und organisatorischer Gegenmaßnahmen ermöglichen.
Unsere Mitarbeiter werden durch allgemeine und rollenspezifische Schulungen zum Datenschutz geschult, ergänzt durch eine regelmäßige Dokumentation der digitalen Vertraulichkeitsverpflichtungen. Mitarbeiter, die mit personenbezogenen Daten von EU-Bürgern umgehen, sind zudem verpflichtet, ein umfassendes E‑Learning-Programm zur DSGVO-konformen Datenverarbeitung zu absolvieren. Dieses Programm, das darauf abzielt, das Bewusstsein für den Umgang mit personenbezogenen Daten in Übereinstimmung mit der DSGVO zu schärfen, ist alle zwei Jahre zu absolvieren.