Datenschutz und ISMS: risk2value bei der Wienerberger AG

Gesamte Success Story lesen

In diesem Beitrag wird ein Einblick in die spannende Podcast-Folge mit Christoph Schacher, Chief Information Security Manager bei der Wienerberger AG, gegeben. Gesprächspartnerin war Claudia Howe, GRC Competence Lead bei avedos (jetzt GBTEC).

Christoph Schacher ist bei der Wienerberger AG Chief Information Security Manager und global für Informationssicherheit und Datenschutz verantwortlich. Die Wienerberger selbst ist der weltweit größte Ziegelhersteller mit Sitz in Österreich. Das Angebot reicht allerdings weit über Ziegel hinaus. Das Unternehmen steht für energieeffiziente Häuser, sichere Kanalsysteme und auch für ansprechende Terrassen- und Flächenlösungen. Der Fokus liegt auf der Schaffung zukunftsweisender digitaler Lösungen, beispielsweise Planungshilfen oder Gestaltungshilfen für Endkunden aber auch im B2B Bereich.

Seit Herbst 2017 ist Wienerberger avedos Kunde. Die Intention des Unternehmens war zu Beginn ein Information-Security-Management-System einzuführen. Da allerdings zu dieser Zeit das Thema Datenschutzgrundverordnung (DSGVO) top aktuell war, wurde dies höher priorisiert. Das Unternehmen generiert weltweit einen Umsatz von über 3 Milliarden Euro und ist in 30 Ländern vertreten – hauptsächlich in Europa aber auch in Nordamerika. Die 200 Werke liegen zumeist ziemlich nah an den Absatzmärkten. Wienerberger hat in diesen 30 Ländern oft mehrere Leitgesellschaften und über 200 Werkstandorte. Insgesamt umfasst das Unternehmen über 16.000 Mitarbeiter.

Reifegradmodell

Um das Unternehmen auf Konformität zur Datenschutzgrundverordnung zu überprüfen wurde ein Reifegradmodell entwickelt. Ähnlich wie bei Amazon Bewertungen war es möglich 1 bis 5 Sterne zu vergeben. Das Ziel war es eine gewisse Anzahl an Bewertungen in den einzelnen Dimensionen (Organisation, Prozesse, Verarbeitungsverzeichnis, Löschung usw) zu erreichen. Eine Herangehensweise über Excel-Sheets oder Fragebögen würde bei einem Unternehmen dieser Dimension zu keiner geordneten Übersicht führen. Das Partnerunternehmen T-Systems hat zu diesem Zeitpunkt vorgeschlagen risk2value (jetzt BIC GRC Solutions) ins Auge zu fassen. Die Anforderung war, innerhalb kürzester Zeit eine Übersicht zu bekommen, die alle Anforderungen abdeckt. Die Entscheidung ist hier sehr schnell gefallen und Erstergebnisse und anschließend auch vollständige weltweite Ergebnisse waren rasch verfügbar.

Der Zeitraum von der Feststellung der Notwendigkeit für Datenschutzmanagement bis hin zur Entscheidung für risk2value lag bei ca. einem Monat. Das „going live“ mit den ersten Fragenkatalogen war noch eine Frage von Wochen. avedos bietet in dieser Phase deutliche Unterstützung. Hier werden viele verschiedene Kataloge und Standards geboten, in denen Wienerberger dementsprechend auswählen konnte.

Wienerberger hat im Zuge des Datenschutzmanagements nicht nur Fragenkataloge abgebildet, in denen der Reifegrad festgestellt werden kann, sondern es ist in risk2value auch das komplette Verarbeitungsverzeichnis enthalten. Es wurde hier ein 2-stufiger Ansatz gewählt. Dieser umfasst einerseits Datenverarbeitungen, aber auch die Dokumentation der Applikationen (z.B.: „IT Applikationen“).

Die Datenverarbeitung „Bewerbermanagement“ ist beispielsweise bei Anfragen von Personen außerhalb des Unternehmens auskunftspflichtig. Oft sind Offline-Ausdrucke oder Excel-Sheets vorhanden, in denen Rankings durchgeführt werden. Die Aufgabe der Tochtergesellschaften war hier ihre IT Systeme und auch Offline-Ablagen zu erfassen, damit im Falle einer Anfrage darauf zugegriffen werden kann.

Ein weiterer Punkt war die Abbildung der Fragenkataloge. Diese wurde von den Tochtergesellschaften dahingehend bearbeitet, ob Verantwortlichkeiten geklärt, Prozesse eingeführt und Mitarbeiter geschult sind. Daraus wurde der Reifegrad abgeleitet, welcher in mehrere Dimensionen gegliedert ist. Für Wienerberger ergibt sich daraus eine zentrale Datenschutzmanagement-Übersicht, die sich bei Bedarf nach Regionen und Produktsegmenten untergliedern lässt.

Im Februar 2019 startete die erste Folge des avedos GRC Podcasts. In dieser Reihe dreht sich alles um die Themen integriertes GRC, Enterprise Risk Management, Internes Kontrollsystem und Informationssicherheitsmanagement. Mittlerweise sind bereits 7 Folgen verfügbar und können auch über diverse bekannte Plattformen wie SoundcloudSpotifiy und Apple Podcast gestreamed werden.

Wertorientiertes Governance, Risk und Compliance Management für Ihren Unternehmenserfolg

Eine professionelle GRC Strategie bildet die optimale Grundlage für erfolgreiche Unternehmensführung. BIC unterstützt Sie dabei mit einer einzigartigen Kombination aus modernster Technologie, intuitiver Benutzeroberfläche und schneller Implementierung. Das macht die Arbeit mit den BIC GRC Solutions so einfach - in allen GRC Bereichen.

Fachinformation
Integriertes GRC

Die Zusammenführung der Bereiche Governance, Risk und Compliance sorgt für entscheidende Wettbewerbsvorteile.

Produktinformation
BIC Enterprise Risk

Bauen Sie eine Basis für eine erfolgreiche Governance-, Risk- und Compliance-Strategie und decken Sie alle gesetzlichen Anforderungen ab.

Success Story
Deutscher Sparkassenverlag

Die DSV-Gruppe setzt auf die integrierte Softwareplattform BIC zur Verzahnung der Disziplinen Informationssicherheit, Risiko- und Kontrollmanagement.

Produktinformation
BIC Information Security

Schützen Sie Ihre Informationen und profitieren Sie von einem standardkonformen ISMS mit modernster Technologie.

Weitere Ressourcen zu BIC GRC Solutions

Haben Sie Fragen?

Haben Sie Fragen zu unseren Produkten oder Dienstleistungen?
Unsere Experten sind Ihnen gerne behilflich und freuen sich auf Ihre Anfrage.

grc@gbtec.com+43 1 3670876 -0Kontakt

Erweitern Sie Ihr Wissen mit unseren E-Learnings zu BPM & GRC.

Zum GBTEC Learning Hub