DSGVO : Datenschutz aus einem Guss

Die Vielfalt der Niederlassungen von Wienerberger hängt mit dem Geschäftsmodell zusammen. Weil Ziegel, Rohrsysteme und Betonsteine nicht weit transportiert werden können, produziert der Baustoffspezialist Wienerberger in dreißig Ländern in Zentral- und Osteuropa sowie in Nordamerika, jeweils lokal an knapp 200 Produktionsstandorten. Das Inkrafttreten der europäischen Datenschutzgrundverordnung EU-DSGVO im Mai dieses Jahres hat Wienerberger vor die Herausforderung gestellt, ein funktionierendes Tool zu implementieren, das dem Unternehmen hilft und die gesetzlichen Anforderungen erfüllt. Es musste auch ein System gefunden werden, das sich auf die länderspezifisch unterschiedlichen Wienerberger-Strukturen anpassen kann und dennoch ein stimmiges Ganzes ergibt.

Dass die Wahl am Ende auf eine Datenschutzmanagementlösung von T-Systems gefallen ist, lag zunächst einmal an der hohen Sicherheits- und Datenschutzexpertise, die die Österreich-Tochter der Deutschen Telekom mitbringt. Schließlich ist für eine gesetzeskonforme Verarbeitung von personenbezogenen Daten die sichere Speicherung eine Grundvoraussetzung. Die Daten für die Wienerberger-Lösung werden daher in einer von T-Systems betriebenen, mehrfach abgesicherten GRC-Cloud gelagert, die dazugehörige redundante Infrastruktur befindet sich im Twin Core-Rechenzentrum in Wien. Bei etwaigen Problemen ist T-Systems somit auch der direkte Ansprechpartner für Wienerberger. Die Benutzerkonten und Benutzerrechte werden ebenfalls von T-Systems gemanagt, was ein zusätzliches Sicherheitsplus ergibt.

Doch die GRC-Cloud – GRC steht für Governance, Risk and Compliance – hat noch einen weiteren Vorteil: „Weil die gesamte Lösung von T-Systems in der Cloud betrieben wird, müssen wir uns nicht mit Updates, Patches und sonstigen Revisionen herumschlagen. Wir bekommen das gar nicht mit“, erklärt Christoph Schacher, Corporate Information Security Manager bei Wienerberger. Nachsatz: „Okay, manchmal kommt eine E-Mail, dass das System am Wochenende kurz down sein wird. Das war‘s dann aber wirklich.“

Neben Sicherheit und Service hat die Datenschutzmanagementlösung von T-Systems auch noch eine andere Stärke zu bieten: Sie ist vorkonfiguriert und somit schnell einsetzbar, zugleich aber mit wenig Aufwand auch an sehr unterschiedliche konkrete Anwendungssituationen anpassbar. Gerade für Wienerberger mit der Vielfalt an unterschiedlich strukturierten weltweiten Niederlassungen ein sehr wichtiger Aspekt.

Risk2value, wie die dafür verwendete GRC-Software von Avedos heißt, ermöglicht in Verbindung mit den von T-Systems entwickelten Kontrollkatalogen, Workflows und Prozessen den DSGVO-Verantwortlichen in den einzelnen Bereichen des Unternehmens nicht nur mögliche Verstöße gegen die EU-DSGVO aufzudecken, sondern sie bietet auch Lösungen an, die – wieder direkt über die Plattform – gesetzt werden können, um zu einem rechtskonformen Status zu kommen. Und sie schlägt auch Routinen vor, die gewährleisten, dass der rechtskonforme Status auch langfristig erhalten bleibt. Zudem erlaubt die Plattform die Erweiterung des reinen Datenschutzmanagements zu einem umfassenden Informationssicherheitssystem und Risikomanagement. „Das sind fertige Bau steine, die man sehr schnell an etwaige individuelle Kundenwünsche anpassen und auch in bestehende IT-Landschaften integrieren kann“, sagt Thomas Masicek, Head of IT Security bei T-Systems.

In seinem Kern umfasst die Datenschutzmanagementlösung, die T-System anbietet, alle zur Einhaltung der EU-DSGVO notwendigen Tools, also ein revisionssicheres Datenanwendungsverzeichnis, die Durchführung und Dokumentation von benötigten Datenschutzfolgeabschätzungen sowie Workflows für die Bearbeitung von Datenpannen und Anfragen gemäß EU-DSGVO.

Zu einer Anwendung mit Mehrwert wird das System aber durch das DSGVO-spezifische Know-how, das sich T-Systems aneignen konnte. „Es war schon sehr stark zu merken, dass die Kollegen von T-Systems nicht nur Daten- und IT-Spezialisten sind, sondern auch bei der Umsetzung der gesetzlichen Vorgaben in der Praxis bereits sehr viel Erfahrung haben“, blickt der Wienerberger CISO Christoph Schacher auf das Projekt zurück. „Sie wissen wirklich auch in praktischer Hinsicht, wovon sie reden.“

Was wohl auch damit zu tun hat, dass die Deutsche Telekom, die Mutter von T-Systems, in allen ihren Landesorganisationen genau jene Datenschutzmanagementlösung verwendet, die sie auch ihren Kunden anbietet. „Allein dadurch haben wir sehr viele praktische Erfahrungen, weil wir in diesem Fall eben nicht nur Anbieter der Lösung sind, sondern sie in unserem Bereich auch selbst nutzen“, erklärt Thomas Masicek von T-Systems. Zugleich profitiere man von den inzwischen zahlreichen Use Cases. Denn jeder einzelne bringt neue Erkenntnisse, die zukünftigen Usern zugutekommen. Dass inzwischen auch sehr viele Großkonzerne für ihren Datenschutz die von T-Systems angebotene Lösung verwenden, befeuert diese Entwicklung zusätzlich.

„Viele Berater konzentrieren sich, wenn es um die EU-DSGVO geht, ausschließlich auf das Gesetz. Wir kennen auch die Praxis und das ist, neben IT-technischer Expertise, unser großer Vorteil“, sagt Masicek. Praxisorientiert ist aber auch das Frontend des Systems, das mit übersichtlichen Zuordnungen von potenziellen Gefahren zu Farben arbeitet und so zunächst einmal jedes Szenario in die Grundkategorien rot (sehr sensibel), orange, gelb und grün einteilt. Die Implementierung der Lösung bei Wienerberger ist ebenfalls sehr userfreundlich abgelaufen – mit Onlineschulungen, die nicht nur den Umgang mit der Software zeigten, sondern zugleich auch eine, jeweils dem Anwenderlevel angepasste, Einführung in die EU-DSGVO enthielten.

Seit das System läuft, merkt man indessen kaum noch etwas davon. Nach der Technik im Hintergrund gefragt, kann sich Christoph Schacher von Wienerberger daher eine recht entspannte Antwort leisten: „Wissen Sie, wir konzentrieren uns hier voll auf die Inhalte. Die Technik dahinter muss funktionieren, und das tut sie.“