Branche: Einzelhandel und Fertigung
Region: International
Unternehmensgröße: Großunternehmen
Vorgestellte Lösungen: Drittparteienmanagement, IT- & Sicherheitsrisikomanagement, Cookie Consent und Mobile App Consent
PUMA
PUMA startet mit agilem Lieferantenrisikomanagement voll durch
Multinationale Sportmarke erfindet das Lieferantenrisikomanagement neu – mit einem kollaborativen, unternehmensweiten Ansatz
Übersicht
Mit Blick auf den Lieferantenrisikomanagement-Prozess bei PUMA könnte man meinen, er bestehe schon seit langem. Doch er wurde erst vor einem Jahr eingeführt.
„Wir haben festgestellt, dass es bei mehreren anderen Unternehmen zu Datenschutzverletzungen gekommen ist, und wollten unsere Richtlinien verbessern. Da die Regularien und Anforderungen immer komplexer wurden, benötigten wir ein besseres System zur Überprüfung von Lieferanten", sagt Marco Preissinger, Senior Manager Information Security bei PUMA SE.
In der Vergangenheit fehlte PUMA ein standardisiertes Verfahren zum Lieferantenrisikomanagement aus Sicht der Informationssicherheit und des Datenschutzes.
„Wir wollten die genauen IT-Risiken unserer derzeitigen Lieferanten kennen und eine einheitlichere Bewertung neuer Lieferanten erreichen“, erinnert sich Florian Brandner, Director Global Information & Cyber Security bei PUMA SE. „Dank der OneTrust Plattform waren unsere Teams in der Lage, einen klaren Rahmen für die Bewertung und Kontrolle von Lieferantenrisiken zu schaffen.“
Daraus entstand bei PUMA der „Vendor Check“-Prozess. Seitdem hat das Team 250 Lieferanten an Bord geholt, den Prozess auf durchschnittlich 17 Tage verkürzt und die Prozesszeit um 80 % reduziert – und das ist erst der Anfang.
On-demand-Webinar kommt bald...
"Seit der Einführung von OneTrust konnte unser Team seine Effizienz erheblich steigern. Wir konnten unsere Prozesszeiten um 80 % reduzieren und das Onboarding von Lieferanten auf durchschnittlich 17 Tage verkürzen. Dank der Effizienzverbesserungen konnten deutliche Zeiteinsparungen, eine optimierte Ressourcennutzung und reibungslosere Abläufe erzielt werden."
Marco Preissinger, Senior Manager Information Security bei PUMA SE
Neuerfindung des Lieferantenrisikomanagements
PUMA arbeitet mit Hunderten von unabhängigen Zulieferern und Tausenden von Lieferanten weltweit zusammen, sodass das Team sofort mit der Arbeit beginnen musste.
„Wir profitieren sehr von der Vorlagenbibliothek in OneTrust“, sagt Preissinger. „Für uns als deutsches Unternehmen waren vor allem die ISO-Vorlagen von großem Nutzen. Aber wir haben auch Fragen aus anderen Vorlagen übernommen, ganz ähnlich wie in einem Supermarkt – ein bisschen NIST, eine Prise ISO und zum Schluss etwas DSGVO. Den Wortlaut der Vorlagen haben wir an unsere Formulierungen bei PUMA angepasst und OneTrust übernahm den Rest.“
Das Team entschied sich für einen kreativen und proaktiven Ansatz, um die Risiken im Zusammenhang mit Lieferanten zu minimieren. Während die meisten Unternehmen ihre Lieferanten einfach benachrichtigen, wenn Risiken auftreten, geht PUMA noch einen Schritt weiter und erstellt ein technisches Schadensszenario, in dem die möglichen Auswirkungen detailliert beschrieben werden, sowie einen Behandlungsplan mit Vorschlägen für Abhilfemaßnahmen.
„Wir weisen nicht nur auf die Risiken hin. Wir stellen fest, dass Lieferanten etwas mehr Hilfe brauchen, um die Risiken zu verstehen und zu mindern, und erstellen deshalb sogenannte Behandlungspläne. Die sind sehr simpel – ich würde sagen, fünf oder sechs Schritte, um ein Risiko zu mindern“, so Preissinger.
Die Behandlungspläne erfreuen sich einer breiten Akzeptanz – die meisten Lieferanten sind bereit, die Risiken zu behandeln. „Der Einsatz der OneTrust Plattform hat unsere Beziehungen zu den Lieferanten entscheidend gestärkt, da wir ihnen auf der Grundlage unserer standardisierten Behandlungspläne gezielte Ratschläge zur Risikominderung geben können“, fügt Brandner hinzu.
So entsteht eine für beide Seiten vorteilhafte Zusammenarbeit, bei der der Lieferant die Sicherheit und Zuverlässigkeit seiner Dienstleistung erhöht und PUMA als sein Kunde das Gesamtrisiko effektiv reduziert.
Entlastung bei der Bewertung von Lieferanten
Aber das Team war noch nicht am Ziel. Nachdem es bemerkt hatte, dass Lieferanten oft mit Bewertungen überflutet werden, beschloss es, die Arbeitslast zu verringern und sich nur auf für PUMA relevante Fragen zu beschränken.
„Einige Lieferanten bieten eine Vielzahl von Dienstleistungen an. Microsoft beispielsweise bietet alles Mögliche an – was aber, wenn wir nur einen kleinen Teil davon nutzen, wie zum Beispiel Microsoft Exchange?“, erklärt Preissinger.
Im Rahmen des Vendor Check hat das Team einen sogenannten „Business Pit Stop“ entwickelt, bei dem es bestimmten Geschäftsbereichen ein paar schnelle Fragen stellt, die helfen, den Lieferanten in den richtigen Kontext zu setzen. In OneTrust werden dann dynamische Bewertungen erstellt, wobei Bedingungslogik verwendet wird, um den Fragebogen auf der Grundlage der einzelnen Antworten des Lieferanten weiter zu optimieren.
Das Ergebnis? „Wir konnten die Bewertung für den Lieferanten, das Unternehmen und uns als Prüfer verkürzen und vereinfachen“, sagt Preissinger. „Der einheitliche Ansatz gewährleistet eine konsistente und umfassende Risikobehandlung, was zu einem robusteren Risikomanagementrahmen führt. Infolgedessen können wir schneller und effektiver reagieren und tragen so zur allgemeinen Widerstandsfähigkeit von PUMA bei.“
Das PUMA-Team arbeitet kontinuierlich an der Optimierung seines Vendor Check-Prozesses mithilfe der Vorlagenbibliothek und der dynamischen Bewertungen in OneTrust.
"Obwohl wir eine sportliche, agile und schnelle Marke sind, kamen wir in Bezug auf das Lieferantenrisikomanagement aus einer Excel- und Word-Welt.
Wir haben bisher 1.500 Risiken gefunden und sortiert, und mit OneTrust können wir diese nutzen, um schnellere und intelligentere Entscheidungen zu treffen und besser mit Risiken umzugehen. Ich glaube, dass wir mit OneTrust einer idealen Situation schon viel näher gekommen sind."
Marco Preissinger, Senior Manager Information Security bei PUMA SE
Förderung einer risikobewussten Kultur
Durch Optimierung des Lieferantenrisikomanagement-Prozesses gewann das Team Zeit, sich auf seine oberste Priorität zu konzentrieren: die Verbesserung des Risikobewusstseins und -verständnisses im Unternehmen.
„Wenn eine verantwortliche Geschäftseinheit in den Prozess nicht mit einbezogen ist, wird er nicht funktionieren. Wir mussten einen Prozess etablieren, der kontinuierliche Verbesserungen ermöglicht und alle Beteiligten an einen Tisch bringt“, erklärt Preissinger. „Nicht jeder muss ein Datenschutz- oder Sicherheitsexperte sein, aber eine risikobewusste Kultur hilft uns, den Prozess zu beschleunigen.“
Auch bei regelmäßigen Besprechungen wird viel dazugelernt, da Stakeholder aus den verschiedenen Abteilungen von PUMA ihre eigenen Bedenken und Standpunkte zum Prozess einbringen.
Timo Stauber, Legal Counsel Data Protection bei PUMA SE, bestätigt die Vorteile einer Risikobetrachtung. "Vendor Checks sind für uns Juristen im Datenschutzbereich äußerst nützlich", so Stauber.
„Die Bewertungen geben einen schnellen Überblick über Lieferanten und den Einsatz eines geplanten Tools oder Projekts. Wir führen eine erste datenschutzrechtliche Bewertung und, falls erforderlich, eine vertiefte rechtliche Prüfung durch. Ist der Einsatz des Lieferanten aus datenschutzrechtlicher Sicht zulässig, führen wir die datenschutzrechtlichen Vertragsverhandlungen auf Basis der Bewertung und eventuell bestehender Risiken.“
Dieser kooperative Ansatz hat zu einem kulturellen Wandel bei PUMA geführt. Stakeholder machen sich nun mehr Gedanken über potenzielle Risiken und wissen, dass jeder Lieferant, mit dem sie zusammenarbeiten wollen, den Vendor Check-Prozess durchlaufen muss.
„Die größte Verbesserung ist, dass wir die Menschen näher zusammenbringen“, so Preissinger. „Hierbei spielt OneTrust eine zentrale Rolle, denn wir sind dadurch in der Lage, Prozesse zu zentralisieren, um schnellere und fundiertere Entscheidungen zu treffen und das Risikobewusstsein bei PUMA zu erhöhen.“
Von links: Timo Stauber, Daniela Dillmann, Florian Brandner, Wei Lo und Marco Preissinger
Globale Zugkraft
Der Vendor Check-Prozess hat bereits erste Erfolge bei der Bewusstseinsbildung und der Risikominderung gezeigt und wird derzeit durch ein System namens „Location Onboarding“ bei den weltweiten Tochtergesellschaften eingeführt.
Zu Beginn verbrachte das Team eine Woche bei PUMA North America in Massachusetts, um die dortigen Richtlinien und bewährten Verfahren vorzustellen.
Während der Woche wurde eng mit der Geschäftsleitung zusammengearbeitet, um ihre bestehenden Risikomanagementprozesse zu definieren, sie in OneTrust zu integrieren und Marketingkampagnen für andere Geschäftsbereiche zu planen. Am Ende des Location Onboarding wurden alle Einzelheiten in einem übersichtlichen Paket zusammengestellt und an das lokale Team übergeben.
„Ohne OneTrust wäre es nicht möglich, sich so flexibel und agil an lokale Vorschriften und Gesetze anzupassen. Das ist immer noch eine komplexe Aufgabe, aber das Tool beseitigt die Unsicherheit bei der Fragestellung“, sagt Preissinger.
Für die Zukunft ist das Location Onboarding für mehrere andere Regionen geplant: Chile, LATAM, Europa, EMEA, Österreich, Hongkong, Dubai und die nordischen Länder.
„Wir möchten die verschiedenen PUMA-Einheiten besuchen und unseren Kollegen die OneTrust Software als Ganzes und den Vendor Check im Besonderen zeigen“, sagt Daniela Dillmann, Legal Counsel Data Protection bei PUMA SE.
Mehr Sicherheit
PUMA arbeitet seit 2018 mit OneTrust zusammen und hat zunächst das Modul „Cookie Consent“ auf allen E-Commerce-Seiten eingesetzt. Jetzt, mehr als fünf Jahre später, hat PUMA zusätzlich das Modul „Drittparteienmanagement“ und die Power BI-Dashboards in die Plattform integriert, um zuverlässigere und aufschlussreichere Analysen und interne Transparenz zu erreichen.
„Letztes Jahr haben wir mit dem Vendor Check begonnen und unsere Vorlage im Modul „Verarbeitungsverzeichnisautomatisierung“ überarbeitet. OneTrust hat mit seinen verschiedenen Funktionalitäten großes Potenzial, viele Prozesse bei PUMA zu vereinfachen“, sagt Stauber.
„Künftig könnten die Verfahren tiefer integriert, mehr automatisiert und auf breiter Basis eingeführt werden, wobei der gesamte Lieferantenlebenszyklus und alle relevanten Stakeholder einbezogen werden sollten, um ein ganzheitliches Risikomanagement zu gewährleisten“, pflichtet Brandner bei. „Dieser Ansatz garantiert eine nahtlose, effiziente und durchgängige Verwaltung der Lieferantenbeziehungen.“
Das könnte Sie auch interessieren
E-Book
Drittparteienrisiken
Leitfaden für das Drittparteienrisikomanagement
Dieser Leitfaden zum Risikomanagement für Dritte gibt Ihnen einen Überblick über die Voraussetzungen für den Aufbau eines erfolgreichen Risikomanagementprogramms für Dritte.
September 03, 2024
Webinar
Trust Intelligence
Back to Work mit OneTrust
In diesem Webinar adressieren wir drei wesentliche Themen, die Ihnen eine verantwortungsvolle Nutzung sowie die Erschließung des vollen Potenzials Ihrer Daten ermöglichen: Datenschutz und AI, Einwilligungsmanagement und Drittparteienrisikomanagement.
August 29, 2024
E-Book
Einwilligung & Präferenzen
Praktischer Leitfaden für Marketingexperten zum Einwilligungs- und Präferenzmanagement
Personalisierte Erlebnisse sind im Marketing unverzichtbar geworden – Kunden erwarten maßgeschneiderte Inhalte. Doch was passiert, wenn Kommunikation nicht überzeugt? Ein effektives Einwilligungs- und Präferenzmanagement macht den Unterschied. Das Whitepaper zeigt, wie Unternehmen First-Party-Daten erheben und nutzen können, um Kundenzufriedenheit zu steigern und gleichzeitig rechtliche Anforderungen zu erfüllen.
August 21, 2024
E-Book
Privacy & Data Governance
Leitfaden zur Automatisierung von Datenschutzprogrammen
Die kontinuierliche Anpassung an gesetzliche Bestimmungen und Datenumgebungen stellt Datenschutzteams vor große Herausforderungen bei der Suche, sowie dem Schutz und Verständnis von Daten. Dieses e-Book illustriert die Vorteile der Automatisierung von Datenschutzprogrammen, welche Prozesse automatisiert werden können und gibt praktische Tipps für die Umstellung.
August 13, 2024
E-Book
Privacy & Data Governance
Privacy Maturity Modell
Wie reif ist Ihr Datenschutzprogramm?
Juli 10, 2024
Webinar
Drittparteienrisiken
Live-Demo: Umsetzung von DORA in der OneTrust Plattform
Dieses Webinar informiert alle, wie Sie die OneTrust Plattform für die Umsetzung von den DORA-Anforderungen nutzen können.
Juli 03, 2024
Webinar
AI Governance
Countdown zum EU AI Act: Verantwortungsvolle Umsetzung der Anforderungen
Dieses Webinar informiert alle, die für die Implementierung von KI im Unternehmen verantwortlich sind, über den Zeitplan für das Inkrafttreten des EU AI Acts, seine Anwendbarkeit und Anforderungen.
Juni 27, 2024
Whitepaper
AI Governance
Aufbau einer AI Governance: Wo fängt man an?
Durch die zunehmenden Fähigkeiten von AI entstehen neue Anwendungsfälle, die Unternehmen verändern. Um sich auf den unvermeidlichen Wandel vorzubereiten, ist es notwendig, ein effektives AI-Governance-Programm einzuführen. Dieses Whitepaper beschreibt die ersten Schritte eines AI-Governance-Programms am Fallbeispiel von OneTrust.
Juni 04, 2024
E-Book
Privacy & Data Governance
Trending Towards Trust 2024
In der Gesellschaft haben sich neue Maßstäbe dafür entwickelt, was erfolgreiche Geschäftstätigkeit ausmacht. Ein großer Stichpunkt ist "Vertrauen", der dieses Jahr auf drei Faktoren basiert: Messung, Management und Maturität. Der Report fasst die Auswirkungen auf Unternehmen zusammen.
Mai 30, 2024
Webinar
Drittparteienrisiken
DORA Countdown: aktueller Stand und Umsetzungsansätze
Mai 28, 2024
Webinar
Privacy & Data Governance
Aufbewahrungsrichtlinien, Datenlöschung - und minimierung
Effizientes Datenmanagement für unstrukturierte/ROT-Daten
Mai 23, 2024
Pressemitteilung
OneTrust ermöglicht es Unternehmen, die operationale Resilienz und das Risikomanagement zu stärken und die DORA-Vorschriften umzusetzen
Managen Sie IKT-Risiken von Dritt- und Viertparteien je nach Bedarf und steigern Sie die Compliance-Effizienz
Mai 22, 2024 4 lesezeit
Pressemitteilung
OneTrust ist auf dem besten Weg, in diesem Jahr 500 Millionen US-Dollar ARR zu übertreffen, da die Nachfrage nach verantwortungsvollen Daten- und KI-Lösungen sprunghaft ansteigt
Momentum und Wachstum des führenden Trust Intelligence-Anbieters setzen sich fort: neue Kunden, Auszeichnungen und herausragende Anerkennung durch Branchenanalysten
Mai 21, 2024 4 lesezeit
Pressemitteilung
OneTrust stellt neue Funktionen zur Erkennung, Sicherung und verantwortungsvollen Nutzung von Daten vor
Damit Unternehmen Daten und KI steuern können, ohne Innovationen auszubremsen
Mai 21, 2024 4 lesezeit
Pressemitteilung
Weiterentwicklung des Partnerprogramms von OneTrust zur Förderung vertrauenswürdiger Innovation
Neue Vorteile im Partnerprogramm erleichtern es, gemeinsame Fähigkeiten zu erweitern, den Kundennutzen zu steigern und neue Umsatzmöglichkeiten zu erschließen
April 24, 2024 4 lesezeit
Datenschutzorientierte und personalisierte Erlebnisse mit OneTrust und Adobe Real-Time CDP
März 20, 2024
Consent und First-Party-Data Strategie: 7 Schritte zum Erfolg
Consent und First-Party-Data Strategie: 7 Schritte zum Erfolg
März 19, 2024
Whitepaper
AI Governance
AI Playbook: praxisorientierter Leitfaden für Anbieter und Betreiber von AI
Dieses Whitepaper adressiert die Verpflichtungen von Unternehmen im Zusammenhang mit AI. Das Dokument stellt die einzelnen Unteraufgaben diverser Teams dar und erläutert wichtige Informationen für Anbieter, als auch Betreiber.
Januar 31, 2024
Webinar
Datenschutzmanagement
OneTrust Privacy Day
Herausforderungen im Datenschutz 2023 | Video On Demand
Dezember 20, 2023
Webinar
Privacy & Data Governance
Bereit für die EU Data Strategy? Alles was Sie aktuell über Data Act, AI Act und Digital Services Act wissen müssen
Dieses Webinar bietet einen Einblick in die neuesten Entwicklungen im Bereich der EU-Datenschutzregulierung, sowie zu bewährten Strategien zur Vorbereitung auf diese Veränderungen.
Oktober 23, 2023
Webinar
Privacy & Data Governance
Jetzt zukunftssicher aufstellen für LkSG & Co.
Das Gesetz über die unternehmerischen Sorgfaltspflichten in Lieferketten (LkSG) tritt ab dem 01.
August 07, 2023
Webinar
Drittparteienrisiken
Sind Ihre Auslagerungspartner und Drittparteien eine Belastung für Ihre Datenschutz Compliance? 5 Tipps, um Ihr Risiko zu reduzieren
Dieses Webinar erläutert, wie Sie mit einem Third Party Risk Management-Programm datenschutzbezogene Risiken verringern, Compliance Records mit Leichtigkeit führen und die Zusammenarbeit von Geschäftseinheiten fördern können.
Juli 19, 2023
Webinar
Drittparteien-Due-Diligence
Third party due diligence: ein praktischer deep dive
Dieses Webinar diskutiert Branchentrends, die eine intensivere Überprüfung von Dritten vorantreiben, sowie Herausforderungen und Lösungen für die Einhaltung der Sorgfaltspflicht gegenüber Dritten.
Juli 18, 2023
Webinar
Internes Auditmanagement
Certification Automation – Ihre Lösung für den Aufbau, die Erweiterung und die Automatisierung Ihres InfoSec-Compliance-Programms
Dieses Webinar erläutert wie OneTrust Ihnen helfen kann, Ihr InfoSec-Compliance-Programm auszubauen, die Flexibilität zu steigern und die Komplexität zu reduzieren.
Juni 21, 2023
Blog
Einwilligung & Präferenzen
Was die neuesten Google CMP-Anforderungen für Ihr Unternehmen bedeuten
Dieser Blog adressiert die in 2023 in Kraft getretenen Änderungen bei Google Ads, die Unternehmen dazu auffordern, Einwilligungslösungen zu implementieren, die Datenschutz und Personalisierung in Einklang bringen.
Mai 15, 2023 3 lesezeit
Webinar
Einwilligung & Präferenzen
Mit datenschutzorientierten Marketingstrategien Kunden gewinnen und langfristig binden
Dieses Webinar zeigt Werbetreibenden und Marketing-Experten, wie Kunden durch die Bereitstellung eines Präferenz-Centers und das Sammeln von First-Party-Daten nachhaltig gewonnen und gebunden werden können.
März 02, 2023
Webinar
Drittparteienrisiken
Trends im IT-Risikomanagement – Behandeln Sie schon oder bewerten Sie noch?
Dieses Webinar thematisiert einen strukturierten und effektiven Umgang mit IT-/IS- Risikomanagement.
Januar 18, 2023
E-Book
Trust Intelligence
Trending Toward Trust: Worauf Unternehmen 2023 achten müssen
Das eBook diskutiert Branchentrends, die Unternehmen 2023 achten müssen, um das Vertrauen von Verbrauchern zu gewinnen.
Dezember 15, 2022
Webinar
Privacy & Data Governance
How the GDPR expertise can help to accelerate your compliance with the new Swiss Privacy Law
Swiss data protection act came into effect in January 2023, and it brought significant changes to the previous data protection law.
Dezember 08, 2022
Webinar
Einwilligung & Präferenzen
Daten aktivieren und Vertrauen schaffen durch Präferenzmanagement
Dieses Webinar erläutert, wie sie eine sinnvolle und kanalübergreifende Aktivierung von Kundendaten einführen, um eine optimale Customer Experience bieten zu können.
Dezember 07, 2022
Infografik
Drittparteien-Due-Diligence
LkSG Kurzanleitung: Was Sie über das deutsche Gesetz zur Sorgfaltspflicht in der Lieferkette wissen müssen
November 08, 2022
Webinar
Drittparteien-Due-Diligence
Das LkSG: In 8 Schritten zur erfolgreichen Umsetzung
Dieses Webinar leitet sie durch einen 8-Schritte-Ansatz, mit dem Sie alle erforderlichen Sorgfaltspflichten des Lieferkettensorgfaltspflichtengesetzes erfüllen können.
Oktober 18, 2022
Webinar
Datenschutzmanagement
Datentransfers: Herausforderungen, Lösungen und OneTrust als verlässlicher Partner
Dieses Webinar geht auf Regulierungen, sowie Möglichkeiten zur Risikobewertung und -Minderung von Datenübertragungen ein.
Blog
Privacy & Data Governance
Automatisieren Sie Ihre Datenschutzprogramme, um Datenschutz- und Data Governance-Initiativen besser aufeinander abzustimmen
Dieser Blog erläutert, wie Sie mit OneTrust in 2 Schritten Ihr Datenschutzprogramm automatisieren können.
5 lesezeit
Webinar
Data Discovery & Klassifizierung
Big Data Best Practices - Wie Sie die Datenflut bewältigen und Sicherheitsrisiken minimieren
Get best practices to manage Big Data
Blog
Drittparteienrisiken
Aufbau eines effektiven Third Party Managements
Dieser Blog diskutiert, wie ein effektives Third Party Management etabliert werden kann, das Sicherheit für Datenschutz-, Sicherheits-, Ethik- und ESG-Teams schafft.
5 lesezeit
Webinar
AI Governance
AI Governance Programm
Dieses Webinar thematisiert, wie Unternehmen mithilfe von AI Governance risikobasierte Entscheidungen für einen verantwortungsvollen Einsatz von AI-Technologie treffen können.
Elevate your marketing strategy with first-party data to maximize opt-ins | Resourcen | OneTrust
