Der Baustoffspezialist Wienerberger hat nahezu alle Prozesse, die für die Einhaltung der DSGVO nötig sind, auf einer hochsicheren Cloud-Plattform laufen. Die userfreundliche Lösung verursacht nur minimalen Administrationsaufwand.

Die Vielfalt der Niederlassungen von Wienerberger hängt mit dem Geschäftsmodell zusammen. Weil Ziegel, Rohrsysteme und Betonsteine nicht weit transportiert werden können, produziert der Baustoffspezialist in Zentral- und Osteuropa sowie in Nordamerika lokal an knapp 200 Produktionsstandorten.

Das Inkrafttreten der europäischen Datenschutzgrundverordnung hat Wienerberger vor die Herausforderung gestellt, ein funktionierendes Tool zu implementieren, das dem Unternehmen auch in seiner länderspezifisch unterschiedlichen Struktur hilft und die gesetzlichen Anforderungen erfüllt.

Dass die Wahl am Ende auf eine Datenschutzmanagementlösung von T-Systems gefallen ist, lag zunächst einmal an der hohen Sicherheits- und Datenschutzexpertise, die die Österreich-Tochter der Deutschen Telekom mitbringt. Schließlich ist für eine gesetzeskonforme Verarbeitung von personenbezogenen Daten die sichere Speicherung eine Grundvoraussetzung. Die Daten für die Wienerberger-Lösung werden daher in einer mehrfach abgesicherten GRC-Cloud gelagert, die dazugehörige Infrastruktur befindet sich im Twin Core-Rechenzentrum des IT-Dienstleisters in Wien. Die Benutzerkonten und Benutzerrechte werden ebenfalls gemanagt, was ein zusätzliches Sicherheitsplus ergibt.

Voller Service

Doch die GRC-Cloud – GRC steht für Governance, Risk and Compliance – hat noch einen weiteren Vorteil: »Weil die gesamte Lösung von T-Systems in der Cloud betrieben wird, müssen wir uns nicht mit Updates, Patches und sonstigen Revisionen herumschlagen. Wir bekommen das gar nicht mit«, erklärt Christoph Schacher, Corporate Information Security Manager bei Wienerberger. Nachsatz: »Okay, manchmal kommt eine E-Mail, dass das System am Wochenende kurz down sein wird. Das war’s dann aber wirklich.«

Die Datenschutzmanagementlösung ist vorkonfiguriert und somit schnell einsetzbar, zugleich aber mit wenig Aufwand auch an sehr unterschiedliche konkrete Anwendungssituationen anpassbar.  Risk2value, wie die dafür verwendete GRC Software von Avedos heißt, ermöglicht in Verbindung mit den von T-Systems entwickelten Kontrollkatalogen, Workflows und Prozessen den DSVGO-Verantwortlichen in den einzelnen Bereichen des Unternehmens nicht nur mögliche Verstöße gegen die EU-DSGVO aufzudecken, sondern sie bietet auch Lösungen an, die – wieder direkt über die Plattform – gesetzt werden können, um zu einem rechtskonformen Status zu kommen. Und sie schlägt auch Routinen vor, die gewährleisten, dass der rechtskonforme Status auch langfristig erhalten bleibt. Zudem erlaubt die Plattform die Erweiterung des reinen Datenschutzmanagements zu einem umfassenden Informationssicherheitssystem und Risikomanagement.

Erfahrung als Asset

In seinem Kern umfasst die Datenschutzmanagementlösung alle zur Einhaltung der EU-DSVGO notwendigen Tools, also ein revisionssicheres Datenanwendungsverzeichnis, die Durchführung und Dokumentation von benötigten Datenschutzfolgeabschätzungen sowie Workflows für die Bearbeitung von Datenpannen und Anfragen gemäß EU-DSGVO.

Zu einer Anwendung mit Mehrwert wird das System aber durch das DSVGO-spezifische Know-how. »Es war schon sehr stark zu merken, dass die Kollegen von T-Systems nicht nur Daten- und IT-Spezialisten sind, sondern auch bei der Umsetzung der gesetzlichen Vorgaben in der Praxis bereits sehr viel Erfahrung haben«, blickt der Wienerberger- CISO Christoph Schacher auf das Projekt zurück. »Sie wissen wirklich auch in praktischer Hinsicht, wovon sie reden.«

Blick für die Praxis

Praxisorientiert ist auch das Frontend des Systems, das mit übersichtlichen Zuordnungen von potenziellen Gefahren zu Farben arbeitet und so zunächst einmal jedes Szenario in die Grundkategorien Rot (sehr sensibel), Orange, Gelb und Grün einteilt. Die Implementierung der Lösung bei Wienerberger ist ebenfalls sehr userfreundlich abgelaufen – mit Onlineschulungen, die nicht nur den Umgang mit der Software zeigten, sondern zugleich auch eine, jeweils dem Anwenderlevel angepasste, Einführung in die EU-­DSGVO enthielten.