Für den Baustoffspezialisten Wienerberger hat T-Systems ein Datenschutzmanagement implementiert. Seitdem laufen nahezu alle Prozesse, die für die Einhaltung der europäischen Datenschutzverordnung nötig sind, auf einer hochsicheren Cloud-Plattform und verursachen nur noch minimalen Administrationsaufwand – und die Lösung ist äußerst userfreundlich.

Die Vielfalt der Niederlassungen der Wienerberger AG hängt mit dem Geschäftsmodell zusammen. Weil Ziegel, Rohrsysteme und Betonsteine nicht weit transportiert werden können, produziert der Bau­stoffspezialist in 30 Ländern in Zentral- und Osteuropa sowie in Nordamerika jeweils lokal an knapp 210 Produktions­standorten. Die Umsetzung der europäischen Datenschutzgrundverordnung hat Wienerberger vor die Herausforderung gestellt, bis Mai 2018 ein funktionierendes Tool zu implementieren, das dem Unternehmen hilft und die gesetzlichen Anforderungen erfüllt. Es musste auch ein System gefunden werden, das sich auf die länderspezifisch unterschiedlichen Wienerberger-Strukturen anpassen kann und dennoch ein stimmiges Ganzes ergibt.

Dass die Wahl am Ende auf eine Datenschutzmanagementlösung von T-Systems gefallen ist, lag zunächst einmal an der hohen Sicherheits- und Datenschutzexpertise, die die Österreich-Tochter der Deutschen Telekom mitbringt. Schließlich gehört zur gesetzeskonformen Verarbeitung von personenbezogenen Daten auch die sichere Speicherung. Die Daten für die Wienerberger-Lösung werden daher in einer von T-Systems betriebenen, mehrfach abgesicherten GRC-Cloud gelagert, die dazugehörige Infrastruktur befindet sich im Twin-Core-Rechenzentrum in Wien. Bei etwaigen Problemen ist T-Systems somit auch der direkte Ansprechpartner für Wienerberger. 

Voller Service

Doch die GRC-Cloud – GRC steht für Governance, Risk and Compliance – hat noch einen weiteren Vorteil: »Weil die gesamte Lösung von T-Systems in der Cloud betrieben wird, müssen wir uns nicht mit Updates, Patches und sonstigen Revisionen herumschlagen. Wir bekommen das gar nicht mit«, erklärt Christoph Schacher, Corporate Information Security Manager bei Wienerberger. Kurzer Nachsatz: »Okay, manchmal kommt eine E-Mail, dass das System am Wochenende kurz down sein wird. Das war’s dann aber wirklich.«

BIC GRC, wie die dafür verwendete GRC-Plattform des Softwareherstellers GBTEC heißt, ermöglicht in Verbindung mit den von T-Systems entwickelten Kontrollkatalogen, Workflows und Prozessen den DSGVO-Verantwortlichen in den einzelnen Bereichen des Unternehmens nicht nur mögliche Verstöße gegen die EU-DSGVO aufzudecken, sondern sie bietet auch Lösungen an, die – wieder direkt über die Plattform – gesetzt werden können, um zu einem rechtskonformen Status zu kommen.

Zudem erlaubt die Plattform die Erweiterung des reinen Datenschutzmanagements um zusätzliche Bereiche wie z. B. Informationssicherheits- oder Risikomanagement. »Das sind fertige Bausteine, die man sehr schnell an etwaige individuelle Kundenwünsche anpassen und auch in bestehende IT-Landschaften integrieren kann«, sagt Thomas Masicek, Senior Vice President und Tribe Lead Cyber Security der T-Systems International GmbH. 

Erfahrung als Asset

In seinem Kern umfasst die Datenschutzmanagementlösung, die T-Systems anbietet, alle zur Einhaltung der EU-DSGVO notwendigen Teilbereiche, also ein revisionssicheres Verzeichnis der Verarbeitungstätigkeiten, die Durchführung und Dokumentation von Datenschutzfolgeabschätzungen sowie Workflows für die Bearbeitung von Datenpannen und Anfragen durch betroffene Personen. Zu einer Anwendung mit Mehrwert wird das System aber durch das DSGVO-spezifische Know-how des T-Systems GRC-Teams.

»Es war schon sehr stark zu merken, dass die Kollegen von T-Systems nicht nur Daten- und IT-Spezialisten sind, sondern auch bei der Umsetzung der gesetzlichen Vorgaben in der Praxis bereits sehr viel Erfahrung haben«, blickt der Wienerberger-CISO Christoph Schacher auf das Projekt zurück. »Sie wissen wirklich auch in praktischer Hinsicht, wovon sie reden.« Was wohl auch damit zu tun hat, dass die Deutsche Telekom, die Mutter von T-Systems, in den Landesorganisationen genau jene Datenschutzmanagementlösung verwendet, die sie auch ihren Kunden anbietet.

Die praktische Umsetzung der EU-DSGVO erfordere einiges an Erfahrung, meint Christoph Schacher, CISO bei Wienerberger. Leichter wurde das durch die Kolleg*innen bei T-Systems: »Sie wissen wirklich auch in praktischer Hinsicht, wovon sie reden.« (Bild: digbiz/ Lisa Resatz)

»Allein dadurch haben wir sehr viele praktische Erfahrungen, weil wir in diesem Fall eben nicht nur Anbieter der Lösung sind, sondern sie in unserem Bereich auch selbst nutzen«, erklärt Masicek. Zugleich profitiere man von den inzwischen zahlreichen Use-Cases. Denn jeder einzelne bringt neue Erkenntnisse, die zukünftigen Usern zugutekommen. Dass inzwischen auch sehr viele Großkonzerne für ihren Datenschutz die von T-Systems angebotene Lösung verwenden, befeuert diese Entwicklung zusätzlich.

Blick für die Praxis

»Viele Berater konzentrieren sich, wenn es um die EU-DSGVO geht, ausschließlich auf das Gesetz. Wir kennen auch die Praxis, und das ist neben IT-technischer Expertise unser großer Vorteil«, so Masicek. Praxisorientiert ist aber auch das Frontend des Systems, in dem Risikohöhen mittels grafischer Heat Maps festgelegt werden können. 

Die Implementierung der Lösung bei Wienerberger lief ebenfalls sehr userfreundlich ab – mit Onlineschulungen, die nicht nur den Umgang mit der Software zeigten, sondern zugleich auch eine jeweils dem Anwenderlevel angepasste Einführung in die EU-DSGVO enthielten. Seit das System läuft, merkt man indessen kaum noch etwas davon. Nach der Technik im Hintergrund gefragt, kann sich Christoph Schacher von Wienerberger daher eine recht entspannte Antwort leisten: »Wir konzentrieren uns hier voll auf die Inhalte. Die Technik dahinter muss funktionieren – und das tut sie.«

(Titelbild: Wienerberger)