In diesem Blog Beitrag wird ein Einblick in die spannende Podcast-Folge mit Christoph Schacher, Chief Information Security Manager bei der Wienerberger AG, gegeben. Gesprächspartnerin war Claudia Howe, GRC Competence Lead bei avedos.

Christoph Schacher ist bei der Wienerberger AG Chief Information Security Manager und global für Informationssicherheit und Datenschutz verantwortlich. Die Wienerberger selbst ist der weltweit größte Ziegelhersteller mit Sitz in Österreich. Das Angebot reicht allerdings weit über Ziegel hinaus. Das Unternehmen steht für energieeffiziente Häuser, sichere Kanalsysteme und auch für ansprechende Terrassen- und Flächenlösungen. Der Fokus liegt auf der Schaffung zukunftsweisender digitaler Lösungen, beispielsweise Planungshilfen oder Gestaltungshilfen für Endkunden aber auch im B2B Bereich.

 

Seit Herbst 2017 ist Wienerberger avedos Kunde. Die Intention des Unternehmens war zu Beginn ein Information-Security-Management-System einzuführen. Da allerdings zu dieser Zeit das Thema „Datenschutzgrundverordnung“ top aktuell war, wurde dies höher priorisiert. Das Unternehmen generiert weltweit einen Umsatz von über 3 Milliarden Euro und ist in 30 Ländern vertreten – hauptsächlich in Europa aber auch in Nordamerika. Die 200 Werke liegen zumeist ziemlich nah an den Absatzmärkten. Wienerberger hat in diesen 30 Ländern oft mehrere Leitgesellschaften und über 200 Werkstandorte. Insgesamt umfasst das Unternehmen über 16000 Mitarbeiter.

 

 

Um das Unternehmen auf Konformität zur Datenschutzgrundverordnung zu überprüfen wurde ein Reifegradmodell entwickelt. Ähnlich wie bei Amazon Bewertungen war es möglich 1 bis 5 Sterne zu vergeben. Das Ziel war es eine gewisse Anzahl an Bewertungen in den einzelnen Dimensionen (Organisation, Prozesse, Verarbeitungsverzeichnis, Löschung usw) zu erreichen. Eine Herangehensweise über Excel-Sheets oder Fragebögen würde bei einem Unternehmen dieser Dimension zu keiner geordneten Übersicht führen. Das Partnerunternehmen T-Systems hat zu diesem Zeitpunkt vorgeschlagen risk2value ins Auge zu fassen. Die Anforderung war, innerhalb kürzester Zeit eine Übersicht zu bekommen, die alle Anforderungen abdeckt. Die Entscheidung ist hier sehr schnell gefallen und Erstergebnisse und anschließend auch vollständige weltweite Ergebnisse waren rasch verfügbar.

 

Der Zeitraum von der Feststellung der Notwendigkeit für Datenschutzmanagement bis hin zur Entscheidung für risk2value lag bei ca. einem Monat. Das „going live“ mit den ersten Fragenkatalogen war noch eine Frage von Wochen. avedos bietet in dieser Phase deutliche Unterstützung. Hier werden viele verschiedene Kataloge und Standards geboten, in denen Wienerberger dementsprechend auswählen konnte.

 

Wienerberger hat im Zuge des Datenschutzmanagements nicht nur Fragenkataloge abgebildet, in denen der Reifegrad festgestellt werden kann, sondern es ist in risk2value auch das komplette Verarbeitungsverzeichnis enthalten. Es wurde hier ein 2-stufiger Ansatz gewählt. Dieser umfasst einerseits Datenverarbeitungen, aber auch die Dokumentation der Applikationen (z.B.: „IT Applikationen“).

 

Die Datenverarbeitung „Bewerbermanagement“ ist beispielsweise bei Anfragen von Personen außerhalb des Unternehmens auskunftspflichtig. Oft sind Offline-Ausdrucke oder Excel-Sheets vorhanden, in denen Rankings durchgeführt werden. Die Aufgabe der Tochtergesellschaften war hier ihre IT Systeme und auch Offline-Ablagen zu erfassen, damit im Falle einer Anfrage darauf zugegriffen werden kann.

 

Ein weiterer Punkt war die Abbildung der Fragenkataloge. Diese wurde von den Tochtergesellschaften dahingehend bearbeitet, ob Verantwortlichkeiten geklärt, Prozesse eingeführt und Mitarbeiter geschult sind. Daraus wurde der Reifegrad abgeleitet, welcher in mehrere Dimensionen gegliedert ist. Für Wienerberger ergibt sich daraus eine zentrale Datenschutzmanagement-Übersicht, die sich bei Bedarf nach Regionen und Produktsegmenten untergliedern lässt.

 

 

Die vollständige Podcast-Folge inkl. Transpkript mit Christoph Schacher finden Sie hier!

 

Im Februar 2019 startete die erste Folge des avedos GRC Podcasts. In dieser Reihe dreht sich alles um die Themen integriertes GRC, Enterprise Risk Management, Internes Kontrollsystem und Informationssicherheitsmanagement. Mittlerweise sind bereits 5 Folgen verfügbar und können auch über diverse bekannte Plattformen wie Soundcloud, Spotifiy und Apple Podcast gestreamed werden.