Als Michael Apperger im Jahr 2019 Datenschutzbeauftragter (DSB) der Alfred Kärcher SE & Co. KG wurde, wurde das Verarbeitungsverzeichnis in einer Excel-Datei geführt.

Als weltweit führender Anbieter von Reinigungsgeräten und -lösungen hat Kärcher mehr als 150 Tochtergesellschaften in 80 Ländern. Das Unternehmen wurde in Deutschland gegründet und hat dort auch seinen Hauptsitz. Hier ist Apperger als DSB für die Muttergesellschaft sowie fünf weitere Tochtergesellschaften im Land tätig.

Durch seine 25-jährige Tätigkeit bei Kärcher war Apperger die perfekte Besetzung für die Position des DSB. Er war nicht nur bereits mit den betrieblichen Abläufen vertraut, sondern war aufgrund seiner bisherigen Erfahrung in der IT-Abteilung auch in der Lage, den Datenschutzprozess des Unternehmens zu automatisieren und zu optimieren.

Heute führt Kärcher ein zuverlässiges Verarbeitungsverzeichnis auf der Grundlage von OneTrust und einem automatisierten System, das die Einhaltung der Datenschutzgesetze erleichtert.

Die Rolle des Datenschutzes überdenken

Von dem Moment an, in dem Apperger die erste Excel-Tabelle mit Verarbeitungstätigkeiten öffnete, hatte er das Ziel, den gesamten Prozess zu überarbeiten.

„Mein Kollege hat die Tabelle selbst ausgefüllt. Ja, er hatte sich mit dem Prozessverantwortlichen abgesprochen, aber er war derjenige, der die Beschreibungen verfasst hat“, so Apperger. „Wenn ich nicht in den Prozess involviert bin, kann ich den Prozess meiner Meinung nach auch nicht beschreiben. Ich brauche den Prozessverantwortlichen, um den Prozess zu beschreiben.“

Apperger suchte nach einer Lösung, die die Verarbeitungstätigkeiten in großem Umfang vereinfachen konnte, von der direkten Übermittlung maßgeschneiderter Vorlagen an bestimmte Prozessverantwortliche bis hin zur Pflege eines aktualisierten Verarbeitungsverzeichnisses.

OneTrust war die logische Wahl. „Damals konnten die anderen Tools nur die Verarbeitungstätigkeiten dokumentieren. OneTrust war das einzige Tool, das das konnte und außerdem Unterstützung im Hinblick auf DSGVO-Compliance, Datenschutzgesetze, Datenermittlung und Automatisierung bietet“, erklärt er. „Nach der Analyse der Optionen bin ich zu dem Schluss gekommen, dass OneTrust das richtige Tool für Alfred Kärcher und seine Tochtergesellschaften ist.“

Schnellere Akzeptanz durch effizientere Formulare

Apperger verbrachte das erste Jahr damit, das Verarbeitungsverzeichnis von Kärcher mithilfe von zwei OneTrust Modulen neu zu erstellen: Bewertungsautomatisierung und Verarbeitungsverzeichnisautomatisierung. Diese Module sorgen gemeinsam für die Integration von Bewertungsvorlagen in bestehende Systeme und bieten einen umfassenden Echtzeit-Überblick über die Daten des Unternehmens.

Der erste Satz der Formulare zur Datenschutz-Folgenabschätzung zeigte jedoch, dass etwas fehlt. „Wir haben die richtigen Fragen gestellt, aber die Antworten waren nicht wirklich gut, weil die Prozessverantwortlichen über kein umfassendes Verständnis der DSGVO verfügten“, so Apperger.

Da die Verarbeitungstätigkeiten im gesamten Unternehmen, vom Vertrieb und Marketing bis hin zur Personalabteilung, durchgeführt wurden, mussten die Formulare eine breite Zielgruppe ansprechen.

„Wir haben sie gekürzt“, sagt Apperger. „Wir haben nur die Grundlagen berücksichtigt, etwa 20 Fragen. Und jede E-Mail, die wir mit dem Formular senden, enthält auch einen kurzen Überblick darüber, wie OneTrust funktioniert und was mit dem Tool möglich ist.“

Sobald die Antworten eingereicht und geprüft werden, trifft sich Apperger mit dem Prozessverantwortlichen zur weiteren Besprechung, bevor er die endgültige Genehmigung erteilt. Das Formular wird den Prozessverantwortlichen in regelmäßigen Abständen zur Überprüfung der Verarbeitungstätigkeiten zugesandt.

Investitionen in die interne Dokumentation

Neben der Vereinfachung von Formularen suchte Apperger nach Möglichkeiten, die Bedeutung des Datenschutzes und der Datensicherheit zu vermitteln. Er wollte das Bewusstsein für die DSGVO und die Datenschutzgesetze schärfen. Außerdem wollte er die Informationen für seine Kollegen ansprechender gestalten. Schließlich führt ein besseres Verständnis zu einem reibungsloseren Prozess.

„Jeden Tag erhalten wir eine neue Frage zur DSGVO: Handelt es sich bei diesem Bild um personenbezogene Daten? Sind diese Angaben personenbezogene Daten?“, sagt Apperger. „Das ist eine völlig neue Sprache für das Unternehmen. Wie wir den Datenschutz bei Kärcher umsetzen, haben wir in einem Datenschutzhandbuch dokumentiert.“

Um das Bewusstsein für Datenschutz im Unternehmen weiter zu erhöhen, veröffentlicht Kärcher vierteljährlich einen Newsletter zu allgemeinen Datenschutzthemen, aktuellen Informationen der Aufsichtsbehörden und Datenschutzfragen.

Mit dieser zusätzlichen Anleitung konnten Apperger und sein Team eine Datenschutzstrategie entwickeln, die über geografische Grenzen hinausgeht. Da neue Gesetze und Vorschriften durchgesetzt werden und sich die Richtlinien für die Datenübermittlung ändern, ist es für ein Unternehmen wichtig, die Kontrolle über seine Daten zu behalten.

„Dies ist ein Vorteil von OneTrust: Wir können benutzerdefinierte Felder erstellen und sie als Filter verwenden, um zu sehen, welche Verarbeitungsvorgänge wir ändern müssen, wenn sich eine bestimmte Vorschrift ändert“, so Apperger.

Erweiterung eines globalen Datenschutzprozesses

Nachdem seine Datenschutzstrategie umgesetzt wurde, begann Apperger, den anderen Datenschutzbeauftragten von Kärcher OneTrust persönlich vorzustellen. Er erstellte ein weiteres Handbuch, in dem die verschiedenen Module erläutert werden, die zur Aufrechterhaltung der Verarbeitungstätigkeiten und zur Einhaltung der DSGVO beitragen.

Von da an war die Integration der Lösung einfach. „Tochtergesellschaften wenden viele der gleichen Prozesse wie wir an, daher ist es meistens ein einfaches Kopieren und Einfügen“, sagt Apperger. So ist beispielsweise das Online-Bewerbungsverfahren von Kärcher für alle Länder gleich. Da der Prozess bereits in OneTrust dokumentiert ist, kann er kopiert und sofort auf jeden anderen Standort angewandt werden.

Die Herausforderung bestand jedoch darin, die Anzahl der Kundendatenanfragen zu bewältigen, die bei den Tochtergesellschaften eingingen. Die Tochtergesellschaften von Kärcher agieren als Vertriebsniederlassungen in ihrem jeweiligen Land. Somit sind sie der primäre Kanal, über den Kunden eine Auskunft, Berichtigung oder Löschung ihrer Daten beantragen – ein Prozess, der sich oft schwierig gestaltet.

Jede Anfrage erfordert die Überprüfung der Rechtmäßigkeit der Anfrage, das Auffinden der Daten über verschiedene Systeme (einschließlich Dritter) hinweg, die Ermittlung von Ausnahmen und die Dokumentation aller Änderungen.

„Dies erforderte ein Umdenken und eine Lösung“, so Apperger. Er und sein Team nutzten die OneTrust Module Betroffenenanfragenautomatisierung und Data Discovery, um diese Kundendatenanfragen einfacher bearbeiten zu können. Durch das automatische Scannen jeder Datenumgebung bis hin zur Feld- und Dateiebene konnte er den kompletten Prozess – von der Aufnahme über die Ermittlung bis hin zur Durchführung von Maßnahmen – auf einer einzigen Plattform optimieren.

Auf dem Weg zu einer besseren Data Governance

Heute ist OneTrust das Fundament der Datenschutzstrategie von Kärcher. „Das Programm gab uns einen Überblick über alle Verarbeitungsvorgänge des Unternehmens und half unseren Kollegen, die DSGVO zu verstehen“, erklärt Apperger.

„Ich glaube, der Prozess, den wir haben, ist aktuell wirklich gut. In Zukunft wollen wir unsere Verarbeitungstätigkeiten miteinander verbinden, um zu sehen, wie Daten entstehen und durch das Unternehmen fließen. Dies können wir in OneTrust sehr einfach erreichen.“