Durch diesen Wandel habe Bertelsmann eine digitalere Beziehung zu seinen Kunden, erklärte Schlender. „Wir haben Zugang zu personenbezogenen Daten, und wir müssen sie in einer Weise verarbeiten, die allen Datenschutzbestimmungen, einschließlich der DSGVO, entsprechen.“

Diese digitalen Inhalte und damit auch die digitalen Nutzerinformationen sind ein wesentlicher Wachstumstreiber für den Bertelsmann-Konzern, sodass die Einhaltung der Datenschutzbestimmungen der Schlüssel zum Vertrauen zwischen den Verlagen und ihren Nutzern ist.

Eine einheitliche Datenschutzstrategie für alle globalen Tochtergesellschaften

Vor der DSGVO hat das Datenschutzteam des Bertelsmann-Konzerns seine Datenschutzstrategien für den deutschen Markt gestaltet. Sein Team hatte Schwierigkeiten, Mehrwertdienstleistungen für ausländische Tochtergesellschaften zu erbringen, da die Vorschriften von Land zu Land unterschiedlich waren.

„Das hat sich mit der DSGVO natürlich geändert“, sagt Schlender. Die DSGVO gilt nicht für ein einzelnes Gebiet oder Land, sie wirkt sich auf alle Organisationen aus, die die Daten von EU-Bürgern verarbeiten. Bertelsmann entwickelte allerdings eine Datenschutzstrategie, die alle Tochtergesellschaften umsetzen können.

Die Bertelsmann-Unternehmenszentrale beschloss, zentrale Datenschutzdienstleistungen für seine Tochtergesellschaften zu erbringen. Da die DSGVO-Interpretation jedoch auch von den lokalen und nationalen Datenbehörden abhängt, musste eine einheitliche Umsetzung flexibel auf die lokalen Bedürfnisse abgestimmt werden.

„Das ist einer der Hauptgründe, warum wir uns für OneTrust entschieden haben“, sagt Schlender. „Das Tool gibt den Tochtergesellschaften die Möglichkeit, zentralisierte, vordefinierte Dokumentationen und Richtlinien zu verwenden und sich leicht an ihre lokalen Bedürfnisse anzupassen. Wir nutzen OneTrust, damit unsere Tochtergesellschaften nicht bei Null anfangen müssen. Wir bieten ihnen eine Ausgangsbasis und die Flexibilität, dass das, was wir liefern, an deren lokale Bedürfnisse angepasst wird.”

Bertelsmann entschied sich für OneTrust, um einen zentralen Datenschutzmanagement-Service anzubieten, der lokal angepasst und modifiziert werden kann.
Schlender nutzt den rollenbasierten Zugriff von OneTrust, um bestimmten DPOs der Tochtergesellschaften einen granularen Zugriff zu gewähren. Dies bedeutet, dass der entsprechende DPO Bewertungen und Dokumentationen für seine Organisation verwalten kann, ohne auf die OneTrust Instanz einer anderen Abteilung zuzugreifen oder diese zu ändern.

Schlender ermutigt die DPOs der Tochtergesellschaften, OneTrust zu nutzen, um bei der Erfassung der Verarbeitungstätigkeiten über Unternehmensgrenzen hinweg zu helfen. „Es ist nicht die Aufgabe des Data Protection Officer, die gesamte Dokumentation zu erledigen“, sagt er. „Es ist die Aufgabe der Geschäftsinhaber.“

OneTrust unterstützt die DPOs der Tochtergesellschaften dabei, Verarbeitungsverzeichnisse an verschiedene Unternehmensgruppen, wie z. B. HR oder IT, zu übermitteln. „Das Tool gibt uns und den lokalen Tochtergesellschaften die Möglichkeit ,die Dokumentationslast auf andere Kollegen innerhalb ihrer Tochtergesellschaften zu übertragen.“

Schlender und die DPOs in der gesamten Organisation haben festgestellt, dass die Einhaltung der DSGVO ein fortlaufender Prozess ist, und die Datenschutzbehörden weiterhin neue Leitlinien und Publikationen veröffentlichen werden. Da Datenschutzprogramme komplex sind und sich ständig weiterentwickeln, hilft die Nutzung der OneTrust Datenschutzmanagementlösung Bertelsmann, mit den laufenden regulatorischen Änderungen Schritt zu halten und im Falle eines Vorfalls Bericht zu erstatten.

„Die Verwendung eines anerkannten Tools wie OneTrust anstelle einer manuellen, Excel-basierten Lösung ist wirklich hilfreich“, sagt Schlender. „Wir können belegen, dass wir eine anpassbare Struktur, vordefinierte Rollen, vordefinierte Dokumentation und Berichte im Tool haben.“

Blick in die Zukunft auf ePrivacy und darüber hinaus

Jetzt, wo die DSGVO schon lange in Kraft getreten ist, schauen Schlender und sein Team auf weitere globale Bestimmungen, die sich auf sein Datenschutzprogramm auswirken werden. Schlender und sein Team, wie bereits viele Verleger, diskutieren über die Auswirkungen der ePrivacy-Verordnung auf sein Unternehmen. Er untersucht Opt-in- versus Opt-out-Modelle für Online-Tracking-Technologien wie Cookies und erforscht Tools und Lösungen wie OneTrust, um bei der Erhebung und Aufzeichnung der Einwilligungen der Benutzer zu helfen.

„Wir sind dem Datenschutz verpflichtet“, so Schlender abschließend. „Wir haben eine lange Tradition im Datenschutz und wissen, dass dies entscheidend ist, um das Vertrauen unserer B2C- und B2B-Kunden zu gewinnen und zu erhalten.“