Die OSRAM GmbH ist der weltweit führende Anbieter von Fahrzeug-Lichttechnik und einer der Weltmarkführer für innovative Lichtlösungen. OSRAM, mit Hauptsitz in München, verändert die Art und Weise, wie Menschen Ihre Welt sehen – durch ein Produktportfolio von High-Tech-Anwendungen auf der Basis halbleiterbasierter Technologien, verbundenen Beleuchtungslösungen und Technologien, die dem individuellen Lebensstil angepasst werden können.

Im Vorfeld des Inkrafttretens der DatenschutzGrundverordnung (DSGVO) hat OSRAM den gleichen innovativen Ansatz verfolgt, um sicherzustellen, dass sein Datenschutzprogramm die strengen Datenschutzstandards der Verordnung erfüllt.

„Bei der Einrichtung des Datenschutzprogramms haben wir den gleichen systematischen Managementansatz verfolgt wie bei unserem Compliance-System im Allgemeinen“, so Dr. Dietmar Prechtel, Chief Compliance Officer bei OSRAM.

Das Datenschutzteam von OSRAM wusste, dass es als ersten Schritt in Richtung DSGVO-Compliance eine Bewertung im Hinblick auf das Verarbeitungsverzeichnis des Unternehmens durchführen musste.

„Wir sind ein B2B-Unternehmen, verarbeiten aber dennoch personenbezogene Daten von Kunden, Lieferanten und Mitarbeitern. Die Erfüllung der DSGVO-Standards war also ein wichtiger Schritt für unser Datenschutzteam bei OSRAM“, so Barbara Schmitz, Head of Data Privacy bei OSRAM.

Ein Verarbeitungsverzeichnis und Dateninventur sind wichtige Bestandteile eines Datenschutzprogramms. Um die Daten sichern und Risiken analysieren zu können, ist ein klares Verständnis des Datenflusses bei OSRAM erforderlich.

„Wir mussten zunächst verstehen, wie Daten bei OSRAM erhoben und verarbeitet werden, um eventuelle Datenschutzrisiken zu erkennen und zu minimieren“, so Schmitz weiter.

Um das Verarbeitungsverzeichnis erfolgreich zu erstellen, war die Mitwirkung der verschiedensten Geschäftsbereiche des Unternehmens erforderlich. Mit seinen 70 angeschlossenen Unternehmen weltweit, von denen viele spezifische Datenschutzanforderungen haben, benötigte OSRAM eine Technologielösung, die unter anderem als leistungsstarkes Kommunikationstool zur Mitarbeiterschulung in Bezug auf das Erstellen von Verarbeitungsverzeichnissen und dessen Bedeutung für die weltweite Einhaltung des Datenschutzes fungieren konnte.

Partnerschaft mit OneTrust als Anbieter von Datenschutzmanagement-Technologie

OSRAM entschied sich für die OneTrust Datenschutzmanagement- und Marketing-ComplianceSoftware als Technologieplattform, um Fragebögen bezüglich Verarbeitungsverzeichnissen bereitzustellen und den Bewertungsprozess unternehmensweit zu automatisieren.

„OneTrust erleichtert die Beantwortung von Anfragen erheblich“, so Sarah Haghdoust, Data Privacy Counsel bei OSRAM. „Die Plattform bietet eine angenehme Benutzererfahrung. Aufgrund der Anpassung und des Unternehmensbranding finden unsere Mitarbeiter den Prozess angenehmen, und wir erhalten gute Resonanz.“

Nach Abschluss der Aufgaben rund um das Verarbeitungsverzeichnis hat das Datenschutzteam von OSRAM die Ergebnisse überprüft und daran gearbeitet, die erkannten Risiken und Lücken im gesamten Prozess zu beheben. Dazu führte OSRAM bei Bedarf Datenschutz-Folgenabschätzungen (Data Protection Impact Assessments, DPIAs) durch. Wenn festgestellt wurde, dass eine große Menge personenbezogener Daten verarbeitet wird, hat das Datenschutzteam mit den Geschäftsführern zusammengearbeitet, um zu bestimmen, ob die Daten benötigt werden. Wo immer dies der Fall war, wurden die Aufbewahrungs- und Löschfristen und andere „Privacy-byDesign“-Kontrollen (eingebauter Datenschutz) eingerichtet, um die Daten zu schützen.

Da OSRAM ein globales Unternehmen mit einer großen Anzahl von Tochtergesellschaften ist, hat das Datenschutzteam ein internes Netzwerk von Datenschutzbeauftragten geschaffen, um die Geschäftseinheiten bei der Vorbereitung auf die DSGVO zu unterstützen – insbesondere beim Ausfüllen von Fragebögen bezüglich Verarbeitungsverzeichnissen sowie beim Durchführen von DPIAs. Da diese Mitstreiter mit den Gegebenheiten vor Ort bestens vertraut waren, konnten sie dazu beigetragen, Datenschutzrichtlinien im gesamten Unternehmen einzuführen.

Blick in eine leuchtende Zukunft

Nun, da der 25. Mai hinter uns liegt, setzt OSRAM sein Datenschutzprogramm mit OneTrust fort und nutzt das Tool auch zur Bewertung seiner Datenschutzrichtlinien zur Einhaltung regionaler Gesetze. Aufgrund der hohen Flexibilität und Anpassbarkeit von OneTrust steht OSRAM ein vertrautes Instrument für verschiedene Datenschutzbewertungen bereit.

„Für Datenschutzorganisationen ist es außerdem hilfreich, hohe Synergien mit IT-Abteilungen zu haben“, bemerkt Haghdoust. „Wir müssen gemeinsam durchplanen, welche Assets und Tools von den Menschen zur Verarbeitung personenbezogener Daten genutzt werden. Beim Erstellen der Verarbeitungsverzeichnisse haben wir sehr viel Neues gelernt und die Flexibilität des OneTrust Tools ermöglicht es uns, unsere DSGVO-Prozesse anderen globalen Datenschutzgesetzen anzugleichen.“

OSRAM entwickelt unaufhörlich neue Technologien und innovative Produkte, wie die OSRAM LIGHTELLIGENCE IoT-Plattform, und währenddessen hat Datenschutz weiterhin oberste Priorität.

„Da die Welt immer digitaler und die Beleuchtung immer intelligenter wird, ist es wichtig, datengestützte Erkenntnisse zur Verbesserung unserer Produkte zu nutzen, ebenso entscheidend ist es aber, dass wir die Privatsphäre schützen“, so Schmitz abschließend. „Mit OneTrust finden wir die Balance zwischen Datenerkenntnis und Datenschutz, um innovative Lösungen zu entwickeln und die Rechte unserer Kunden, Geschäftspartner und Mitarbeiter zu schützen.“