Branche: Einzelhandel und Fertigung
Region: International
Unternehmensgröße: Großunternehmen
Vorgestellte Lösungen: Drittparteienmanagement, IT- & Sicherheitsrisikomanagement, Cookie Consent und Mobile App Consent
Multinationale Sportmarke erfindet das Lieferantenrisikomanagement neu – mit einem kollaborativen, unternehmensweiten Ansatz
Branche: Einzelhandel und Fertigung
Region: International
Unternehmensgröße: Großunternehmen
Vorgestellte Lösungen: Drittparteienmanagement, IT- & Sicherheitsrisikomanagement, Cookie Consent und Mobile App Consent
Mit Blick auf den Lieferantenrisikomanagement-Prozess bei PUMA könnte man meinen, er bestehe schon seit langem. Doch er wurde erst vor einem Jahr eingeführt.
„Wir haben festgestellt, dass es bei mehreren anderen Unternehmen zu Datenschutzverletzungen gekommen ist, und wollten unsere Richtlinien verbessern. Da die Regularien und Anforderungen immer komplexer wurden, benötigten wir ein besseres System zur Überprüfung von Lieferanten", sagt Marco Preissinger, Senior Manager Information Security bei PUMA SE.
In der Vergangenheit fehlte PUMA ein standardisiertes Verfahren zum Lieferantenrisikomanagement aus Sicht der Informationssicherheit und des Datenschutzes.
„Wir wollten die genauen IT-Risiken unserer derzeitigen Lieferanten kennen und eine einheitlichere Bewertung neuer Lieferanten erreichen“, erinnert sich Florian Brandner, Director Global Information & Cyber Security bei PUMA SE. „Dank der OneTrust Plattform waren unsere Teams in der Lage, einen klaren Rahmen für die Bewertung und Kontrolle von Lieferantenrisiken zu schaffen.“
Daraus entstand bei PUMA der „Vendor Check“-Prozess. Seitdem hat das Team 250 Lieferanten an Bord geholt, den Prozess auf durchschnittlich 17 Tage verkürzt und die Prozesszeit um 80 % reduziert – und das ist erst der Anfang.
Marco Preissinger, Senior Manager Information Security bei PUMA SE
PUMA arbeitet mit Hunderten von unabhängigen Zulieferern und Tausenden von Lieferanten weltweit zusammen, sodass das Team sofort mit der Arbeit beginnen musste.
„Wir profitieren sehr von der Vorlagenbibliothek in OneTrust“, sagt Preissinger. „Für uns als deutsches Unternehmen waren vor allem die ISO-Vorlagen von großem Nutzen. Aber wir haben auch Fragen aus anderen Vorlagen übernommen, ganz ähnlich wie in einem Supermarkt – ein bisschen NIST, eine Prise ISO und zum Schluss etwas DSGVO. Den Wortlaut der Vorlagen haben wir an unsere Formulierungen bei PUMA angepasst und OneTrust übernahm den Rest.“
Das Team entschied sich für einen kreativen und proaktiven Ansatz, um die Risiken im Zusammenhang mit Lieferanten zu minimieren. Während die meisten Unternehmen ihre Lieferanten einfach benachrichtigen, wenn Risiken auftreten, geht PUMA noch einen Schritt weiter und erstellt ein technisches Schadensszenario, in dem die möglichen Auswirkungen detailliert beschrieben werden, sowie einen Behandlungsplan mit Vorschlägen für Abhilfemaßnahmen.
„Wir weisen nicht nur auf die Risiken hin. Wir stellen fest, dass Lieferanten etwas mehr Hilfe brauchen, um die Risiken zu verstehen und zu mindern, und erstellen deshalb sogenannte Behandlungspläne. Die sind sehr simpel – ich würde sagen, fünf oder sechs Schritte, um ein Risiko zu mindern“, so Preissinger.
Die Behandlungspläne erfreuen sich einer breiten Akzeptanz – die meisten Lieferanten sind bereit, die Risiken zu behandeln. „Der Einsatz der OneTrust Plattform hat unsere Beziehungen zu den Lieferanten entscheidend gestärkt, da wir ihnen auf der Grundlage unserer standardisierten Behandlungspläne gezielte Ratschläge zur Risikominderung geben können“, fügt Brandner hinzu.
So entsteht eine für beide Seiten vorteilhafte Zusammenarbeit, bei der der Lieferant die Sicherheit und Zuverlässigkeit seiner Dienstleistung erhöht und PUMA als sein Kunde das Gesamtrisiko effektiv reduziert.
Aber das Team war noch nicht am Ziel. Nachdem es bemerkt hatte, dass Lieferanten oft mit Bewertungen überflutet werden, beschloss es, die Arbeitslast zu verringern und sich nur auf für PUMA relevante Fragen zu beschränken.
„Einige Lieferanten bieten eine Vielzahl von Dienstleistungen an. Microsoft beispielsweise bietet alles Mögliche an – was aber, wenn wir nur einen kleinen Teil davon nutzen, wie zum Beispiel Microsoft Exchange?“, erklärt Preissinger.
Im Rahmen des Vendor Check hat das Team einen sogenannten „Business Pit Stop“ entwickelt, bei dem es bestimmten Geschäftsbereichen ein paar schnelle Fragen stellt, die helfen, den Lieferanten in den richtigen Kontext zu setzen. In OneTrust werden dann dynamische Bewertungen erstellt, wobei Bedingungslogik verwendet wird, um den Fragebogen auf der Grundlage der einzelnen Antworten des Lieferanten weiter zu optimieren.
Das Ergebnis? „Wir konnten die Bewertung für den Lieferanten, das Unternehmen und uns als Prüfer verkürzen und vereinfachen“, sagt Preissinger. „Der einheitliche Ansatz gewährleistet eine konsistente und umfassende Risikobehandlung, was zu einem robusteren Risikomanagementrahmen führt. Infolgedessen können wir schneller und effektiver reagieren und tragen so zur allgemeinen Widerstandsfähigkeit von PUMA bei.“
Marco Preissinger, Senior Manager Information Security bei PUMA SE
Durch Optimierung des Lieferantenrisikomanagement-Prozesses gewann das Team Zeit, sich auf seine oberste Priorität zu konzentrieren: die Verbesserung des Risikobewusstseins und -verständnisses im Unternehmen.
„Wenn eine verantwortliche Geschäftseinheit in den Prozess nicht mit einbezogen ist, wird er nicht funktionieren. Wir mussten einen Prozess etablieren, der kontinuierliche Verbesserungen ermöglicht und alle Beteiligten an einen Tisch bringt“, erklärt Preissinger. „Nicht jeder muss ein Datenschutz- oder Sicherheitsexperte sein, aber eine risikobewusste Kultur hilft uns, den Prozess zu beschleunigen.“
Auch bei regelmäßigen Besprechungen wird viel dazugelernt, da Stakeholder aus den verschiedenen Abteilungen von PUMA ihre eigenen Bedenken und Standpunkte zum Prozess einbringen.
Timo Stauber, Legal Counsel Data Protection bei PUMA SE, bestätigt die Vorteile einer Risikobetrachtung. "Vendor Checks sind für uns Juristen im Datenschutzbereich äußerst nützlich", so Stauber.
„Die Bewertungen geben einen schnellen Überblick über Lieferanten und den Einsatz eines geplanten Tools oder Projekts. Wir führen eine erste datenschutzrechtliche Bewertung und, falls erforderlich, eine vertiefte rechtliche Prüfung durch. Ist der Einsatz des Lieferanten aus datenschutzrechtlicher Sicht zulässig, führen wir die datenschutzrechtlichen Vertragsverhandlungen auf Basis der Bewertung und eventuell bestehender Risiken.“
Dieser kooperative Ansatz hat zu einem kulturellen Wandel bei PUMA geführt. Stakeholder machen sich nun mehr Gedanken über potenzielle Risiken und wissen, dass jeder Lieferant, mit dem sie zusammenarbeiten wollen, den Vendor Check-Prozess durchlaufen muss.
„Die größte Verbesserung ist, dass wir die Menschen näher zusammenbringen“, so Preissinger. „Hierbei spielt OneTrust eine zentrale Rolle, denn wir sind dadurch in der Lage, Prozesse zu zentralisieren, um schnellere und fundiertere Entscheidungen zu treffen und das Risikobewusstsein bei PUMA zu erhöhen.“
Der Vendor Check-Prozess hat bereits erste Erfolge bei der Bewusstseinsbildung und der Risikominderung gezeigt und wird derzeit durch ein System namens „Location Onboarding“ bei den weltweiten Tochtergesellschaften eingeführt.
Zu Beginn verbrachte das Team eine Woche bei PUMA North America in Massachusetts, um die dortigen Richtlinien und bewährten Verfahren vorzustellen.
Während der Woche wurde eng mit der Geschäftsleitung zusammengearbeitet, um ihre bestehenden Risikomanagementprozesse zu definieren, sie in OneTrust zu integrieren und Marketingkampagnen für andere Geschäftsbereiche zu planen. Am Ende des Location Onboarding wurden alle Einzelheiten in einem übersichtlichen Paket zusammengestellt und an das lokale Team übergeben.
„Ohne OneTrust wäre es nicht möglich, sich so flexibel und agil an lokale Vorschriften und Gesetze anzupassen. Das ist immer noch eine komplexe Aufgabe, aber das Tool beseitigt die Unsicherheit bei der Fragestellung“, sagt Preissinger.
Für die Zukunft ist das Location Onboarding für mehrere andere Regionen geplant: Chile, LATAM, Europa, EMEA, Österreich, Hongkong, Dubai und die nordischen Länder.
„Wir möchten die verschiedenen PUMA-Einheiten besuchen und unseren Kollegen die OneTrust Software als Ganzes und den Vendor Check im Besonderen zeigen“, sagt Daniela Dillmann, Legal Counsel Data Protection bei PUMA SE.
PUMA arbeitet seit 2018 mit OneTrust zusammen und hat zunächst das Modul „Cookie Consent“ auf allen E-Commerce-Seiten eingesetzt. Jetzt, mehr als fünf Jahre später, hat PUMA zusätzlich das Modul „Drittparteienmanagement“ und die Power BI-Dashboards in die Plattform integriert, um zuverlässigere und aufschlussreichere Analysen und interne Transparenz zu erreichen.
„Letztes Jahr haben wir mit dem Vendor Check begonnen und unsere Vorlage im Modul „Verarbeitungsverzeichnisautomatisierung“ überarbeitet. OneTrust hat mit seinen verschiedenen Funktionalitäten großes Potenzial, viele Prozesse bei PUMA zu vereinfachen“, sagt Stauber.
„Künftig könnten die Verfahren tiefer integriert, mehr automatisiert und auf breiter Basis eingeführt werden, wobei der gesamte Lieferantenlebenszyklus und alle relevanten Stakeholder einbezogen werden sollten, um ein ganzheitliches Risikomanagement zu gewährleisten“, pflichtet Brandner bei. „Dieser Ansatz garantiert eine nahtlose, effiziente und durchgängige Verwaltung der Lieferantenbeziehungen.“
Webinar
With this webinar, you'll learn how to tackle the complexities of Third-Party Risk Management (TPRM). Explore real-world incidents, widespread challenges, regulatory expectations, and the key components of a robust TPRM framework.
E-Book
Dieser Leitfaden zum Risikomanagement für Dritte gibt Ihnen einen Überblick über die Voraussetzungen für den Aufbau eines erfolgreichen Risikomanagementprogramms für Dritte.
Webinar
In diesem Webinar adressieren wir drei wesentliche Themen, die Ihnen eine verantwortungsvolle Nutzung sowie die Erschließung des vollen Potenzials Ihrer Daten ermöglichen: Datenschutz und AI, Einwilligungsmanagement und Drittparteienrisikomanagement.
E-Book
Personalisierte Erlebnisse sind im Marketing unverzichtbar geworden – Kunden erwarten maßgeschneiderte Inhalte. Doch was passiert, wenn Kommunikation nicht überzeugt? Ein effektives Einwilligungs- und Präferenzmanagement macht den Unterschied. Das Whitepaper zeigt, wie Unternehmen First-Party-Daten erheben und nutzen können, um Kundenzufriedenheit zu steigern und gleichzeitig rechtliche Anforderungen zu erfüllen.
E-Book
Die kontinuierliche Anpassung an gesetzliche Bestimmungen und Datenumgebungen stellt Datenschutzteams vor große Herausforderungen bei der Suche, sowie dem Schutz und Verständnis von Daten. Dieses e-Book illustriert die Vorteile der Automatisierung von Datenschutzprogrammen, welche Prozesse automatisiert werden können und gibt praktische Tipps für die Umstellung.
E-Book
Wie reif ist Ihr Datenschutzprogramm?
Webinar
Dieses Webinar informiert alle, wie Sie die OneTrust Plattform für die Umsetzung von den DORA-Anforderungen nutzen können.
Webinar
Dieses Webinar informiert alle, die für die Implementierung von KI im Unternehmen verantwortlich sind, über den Zeitplan für das Inkrafttreten des EU AI Acts, seine Anwendbarkeit und Anforderungen.
Whitepaper
Durch die zunehmenden Fähigkeiten von AI entstehen neue Anwendungsfälle, die Unternehmen verändern. Um sich auf den unvermeidlichen Wandel vorzubereiten, ist es notwendig, ein effektives AI-Governance-Programm einzuführen. Dieses Whitepaper beschreibt die ersten Schritte eines AI-Governance-Programms am Fallbeispiel von OneTrust.
E-Book
In der Gesellschaft haben sich neue Maßstäbe dafür entwickelt, was erfolgreiche Geschäftstätigkeit ausmacht. Ein großer Stichpunkt ist "Vertrauen", der dieses Jahr auf drei Faktoren basiert: Messung, Management und Maturität. Der Report fasst die Auswirkungen auf Unternehmen zusammen.
Webinar
Webinar
Effizientes Datenmanagement für unstrukturierte/ROT-Daten
Pressemitteilung
Managen Sie IKT-Risiken von Dritt- und Viertparteien je nach Bedarf und steigern Sie die Compliance-Effizienz
Pressemitteilung
Momentum und Wachstum des führenden Trust Intelligence-Anbieters setzen sich fort: neue Kunden, Auszeichnungen und herausragende Anerkennung durch Branchenanalysten
Pressemitteilung
Damit Unternehmen Daten und KI steuern können, ohne Innovationen auszubremsen
Pressemitteilung
Neue Vorteile im Partnerprogramm erleichtern es, gemeinsame Fähigkeiten zu erweitern, den Kundennutzen zu steigern und neue Umsatzmöglichkeiten zu erschließen
Consent und First-Party-Data Strategie: 7 Schritte zum Erfolg
Whitepaper
Dieses Whitepaper adressiert die Verpflichtungen von Unternehmen im Zusammenhang mit AI. Das Dokument stellt die einzelnen Unteraufgaben diverser Teams dar und erläutert wichtige Informationen für Anbieter, als auch Betreiber.
Webinar
Herausforderungen im Datenschutz 2023 | Video On Demand
Webinar
Dieses Webinar bietet einen Einblick in die neuesten Entwicklungen im Bereich der EU-Datenschutzregulierung, sowie zu bewährten Strategien zur Vorbereitung auf diese Veränderungen.
Webinar
Das Gesetz über die unternehmerischen Sorgfaltspflichten in Lieferketten (LkSG) tritt ab dem 01.
Webinar
Dieses Webinar erläutert, wie Sie mit einem Third Party Risk Management-Programm datenschutzbezogene Risiken verringern, Compliance Records mit Leichtigkeit führen und die Zusammenarbeit von Geschäftseinheiten fördern können.
Webinar
Dieses Webinar diskutiert Branchentrends, die eine intensivere Überprüfung von Dritten vorantreiben, sowie Herausforderungen und Lösungen für die Einhaltung der Sorgfaltspflicht gegenüber Dritten.
Webinar
Dieses Webinar erläutert wie OneTrust Ihnen helfen kann, Ihr InfoSec-Compliance-Programm auszubauen, die Flexibilität zu steigern und die Komplexität zu reduzieren.
Blog
Dieser Blog adressiert die in 2023 in Kraft getretenen Änderungen bei Google Ads, die Unternehmen dazu auffordern, Einwilligungslösungen zu implementieren, die Datenschutz und Personalisierung in Einklang bringen.
Webinar
Dieses Webinar zeigt Werbetreibenden und Marketing-Experten, wie Kunden durch die Bereitstellung eines Präferenz-Centers und das Sammeln von First-Party-Daten nachhaltig gewonnen und gebunden werden können.
Webinar
Dieses Webinar thematisiert einen strukturierten und effektiven Umgang mit IT-/IS- Risikomanagement.
E-Book
Das eBook diskutiert Branchentrends, die Unternehmen 2023 achten müssen, um das Vertrauen von Verbrauchern zu gewinnen.
Webinar
Swiss data protection act came into effect in January 2023, and it brought significant changes to the previous data protection law.
Webinar
Dieses Webinar erläutert, wie sie eine sinnvolle und kanalübergreifende Aktivierung von Kundendaten einführen, um eine optimale Customer Experience bieten zu können.
Infografik
Webinar
Dieses Webinar leitet sie durch einen 8-Schritte-Ansatz, mit dem Sie alle erforderlichen Sorgfaltspflichten des Lieferkettensorgfaltspflichtengesetzes erfüllen können.
Webinar
Dieses Webinar geht auf Regulierungen, sowie Möglichkeiten zur Risikobewertung und -Minderung von Datenübertragungen ein.
Blog
Dieser Blog erläutert, wie Sie mit OneTrust in 2 Schritten Ihr Datenschutzprogramm automatisieren können.
Webinar
Get best practices to manage Big Data
Blog
Dieser Blog diskutiert, wie ein effektives Third Party Management etabliert werden kann, das Sicherheit für Datenschutz-, Sicherheits-, Ethik- und ESG-Teams schafft.
Webinar
Dieses Webinar thematisiert, wie Unternehmen mithilfe von AI Governance risikobasierte Entscheidungen für einen verantwortungsvollen Einsatz von AI-Technologie treffen können.