Alpiq

Das Schweizer Unternehmen Alpiq gehört zu den führenden europäischen Energiedienstleistern und Stromproduzenten. Alpiq bietet umfassende und effiziente Dienstleistungen in den Bereichen Energieerzeugung und -vermarktung sowie Energieoptimierung und Elektromobilität.

Alpiq erzeugt seit über hundert Jahren klimafreundlichen und nachhaltigen Strom aus CO2 -freier Schweizer Wasserkraft. Das Kraftwerksportfolio umfasst zudem Anteile an zwei Schweizer Kernkraftwerken sowie flexible thermische Kraftwerke, Windparks und Photovoltaikanlagen in Europa. Als internationaler Energiehändler ist Alpiq auf allen wichtigen europäischen Märkten aktiv. Dank digitaler Tools optimiert Alpiq die Stromerzeugung und den -verbrauch sowie den Energiefluss zwischen Produzenten, Prosumern und Verbrauchern und stabilisiert so die Stromnetze.

Der Hauptsitz von Alpiq liegt in Lausanne und das Unternehmen beschäftigt rund 1.290 Mitarbeiter mit 70 Rechtsträger in 30 Rechtsprechungen. Aufgrund dieser weitläufigen Struktur muss Alpiq grenzüberschreitenden Handel auf effiziente Weise vermarkten und verwalten, wobei Datenschutz-Compliance bei den Projektinitiativen ganz vorne steht. Schon vor der Einführung der DSGVO wusste das Datenschutzteam von Alpiq, wie wichtig der Schutz der von ihnen verarbeiteten personenbezogenen Daten ist. Doch nach dem Inkrafttreten der Vorschriften wurde ein noch umfassenderes Programm benötigt, das eine Technologielösung für die Verwaltung der Vorgänge bereitstellt.

Eine Kultur des Datenschutzes als Priorität etablieren

Die Schaffung einer Kultur, in der Datenschutz ein Grundpfeiler des täglichen Betriebs ist, war ein wichtiger Pfeiler des DSGVO- und Datenschutzimplementierungsplans von Alpiq.

„Aus gesetzlicher, prozessbezogener, organisatorischer und technischer Perspektive betrachtet, müssen Datenschutz im Allgemeinen sowie der Schutz personenbezogener Daten heute in jedem Aspekt eines Unternehmens berücksichtigt werden“, so Frank Wimmer, Group Data Privacy Officer bei Alpiq.

Um diese Kultur des Datenschutzes als Priorität zu etablieren, hat Wimmer in ganz Europa ein internes Kontrollorgan mit rund 20 Datenschutzverfechtern eingerichtet, sogenannten Local Privacy Partners (lokalen Datenschutzpartnern, LPPs). Die LPPs sind dafür verantwortlich, das Bewusstsein für die Datenschutzrichtlinien von Alpiq zu schärfen und an unternehmensweiten Verfahren mitzuwirken, welche die Integration des Datenschutzes in alle Aspekte des (lokalen) Geschäfts sicherstellen sollen. Darüber hinaus finden sich die LPPs einmal im Jahr zu einem LPP Day zusammen, um sich über Best Practices und Tipps für die kontinuierliche Compliance auszutauschen.

„Unsere Kunden und Mitarbeiter sind sich der Datenschutzrechte und -anforderungen sehr bewusst, seit die DSGVO in Kraft getreten ist“, erklärt Wimmer. „Eine solide Vertrauensbasis sowie Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen sind die Voraussetzungen, um weiterhin neue und innovative Dienstleistungen anbieten zu können.”

Der Weg zur DSGVO-Compliance begann bei Alpiq mit der eigenen Datenschutzrichtlinie, die auch als Genehmigung und Grundlage für den eigenen Betrieb dient. Der strategische Ansatz des Unternehmens bestand in der Findung und Implementierung einer Technologieplattform, die nicht nur diese Richtlinie und die globalen Vorschriften integriert, sondern die LPPs auch in die Lage versetzt, ihre Aufgaben effizient im Rahmen einer rollenbasierten und zentralisierten Datenbank auszuführen.

„Die DSGVO hat die Grundlagen unseres Datenschutzbetriebs nicht wesentlich verändert, aber es war erforderlich, etwas Abstand zu nehmen und unsere früheren Prozesse noch einmal neu zu bewerten”, so Wimmer. „Gleich zu Beginn wurde deutlich, dass wir eine Technologieplattform benötigen, die als Repository für den Datenschutzbetrieb dient.“

Energieschub für DSGVO- und Datenschutz-Compliance – mit OneTrust

Als Unternehmen mit großer europäischer Reichweite benötigte Alpiq ein benutzerfreundliches, modernes und Cloud-basiertes Tool mit mehrsprachiger Funktionalität. Das Unternehmen verglich verschiedene auf dem Markt erhältliche Softwarelösungen für das Datenschutzmanagement und entschied sich aufgrund der Flexibilität und des beeindruckenden Rufs schließlich für OneTrust.

„Als wir uns die Datenschutzmanagement-Module ansahen, erwies sich OneTrust als die ausgereifteste Plattform, deren guter Ruf sich auf dem noch jungen Markt schnell verbreitet hat“, erklärt Wimmer. „OneTrust arbeitet stetig an der Verbesserung der Plattformfunktionen, und diese strategische Ausrichtung stärkt uns in dem Gefühl, die richtige Wahl für die Automatisierung unseres wachsenden Datenschutzprogramms getroffen zu haben.“

Vor der Arbeit mit OneTrust wurden bei Alpiq Verarbeitungsverzeichnis, Bewertungsautomatisierung, Verwaltung von Betroffenenrechten und CookieCompliance als separate Prozesse durchgeführt. Die Bewertungsautomatisierung (PIAs/DPIAs; DatenschutzFolgenabschätzung) von OneTrust ermöglicht nun die Anpassung von Datenschutzbewertungsfragebögen, während das Verarbeitungsverzeichnis eine vollständige Aufzeichnung der Datenschutzaktivitäten erstellt. Mit dem OneTrust Modul zur Verwaltung von Betroffenenrechten verwaltet Alpiq die Betroffenenanfragen in einem zentralen Dashboard mit rollenbasiertem Zugriff. Im Rahmen seiner DSGVO-konformen Datenschutzrichtlinie kann Alpiq darüber hinaus mit dem Cookie-Einwilligungs- und Website Scanning-Modul von OneTrust seine Websites automatisch nach Cookies durchsuchen sowie ein markenspezifisches Cookie-Einwilligungsbanner, ein Präferenz-Center und eine automatische Cookie-Liste erstellen.

„In diesem Unternehmen gibt es fast keine Verarbeitung ohne personenbezogene Daten. Daher war jedes dieser Module entscheidend bei der Umstrukturierung unseres Programms zur DSGVO-Compliance“, so Wimmer.

Beginn einer Reise der kontinuierlichen Verbesserung

Bei der Bewertung seiner aktuellen DSGVO-Strategie konzentriert sich Alpiq auf die Feinabstimmung der vielen verschiedenen Aspekte des Datenschutzprogramms. „Ohne eine stabile Datenschutzkultur ist eine Anpassung an das sich verändernde Regelungsumfeld erheblich schwieriger“, so Wimmer. „OneTrust hilft unseren Mitarbeitern mit jedem Modul, sich der von ihnen verarbeiteten personenbezogenen Daten bewusst zu werden und ihre Verantwortlichkeiten im Datenschutz besser zu verstehen.“

Mit Blick auf die Zukunft konzentriert sich das Team von Alpiq auch auf das Schweizer Datenschutzgesetz, das im Parlament diskutiert wird und voraussichtlich Anfang 2020 in Kraft tritt.

Da auch weiterhin neue Datenschutzgesetze berücksichtigt werden sollen, bewertet das Unternehmen nun die Vorfallreaktions-Lösung von OneTrust. Mithilfe der Vorfallreaktion kann Alpiq kontextsensitive automatisierte Arbeitsabläufe erstellen, die das Unternehmen dabei unterstützen, schnell auf Vorfälle zu reagieren und die Entscheidungsprozesse bei Benachrichtigungen über Datenschutzverstöße zu optimieren.

In OneTrust hat Alpiq eine branchenführende Plattform zum Partner, die sich weiter verbessern und gleichzeitig die einzigartigen Datenschutzanforderungen des Unternehmens unterstützen wird.