Um die Nachweispflichten der DSGVO zu erfüllen, ist in einem großen diversifizierten Unternehmen wie Hubert Burda Media die Implementierung eines Datenschutzmanagement-Systems unabdingbar. Der Konzerndatenschutzbeauftragte ist unter anderem für die Steuerung des Managementsystems verantwortlich. Er legt fest, welche Aufgaben die Konzernzentrale übernimmt und was idealerweise in den jeweiligen Gesellschaften erledigt werden kann. Die Datenschutz-Organisation bei Hubert Burda Media umfasst eine kleine zentrale Datenschutzabteilung, die den Datenschutzbeauftragten für die operativen Gesellschaften stellt. In den einzelnen Gesellschaften wurden Datenschutzkoordinatoren benannt.
Vor der DSGVO
Jürgen Kempter ist oberster Datenschützer bei der Hubert Burda Media Holding. Seine wichtigste Aufgabe in den vergangenen zwei Jahren war es, das Unternehmen auf die Anforderungen der DSGVO vorzubereiten. „Vor der DSGVO haben wir fast alle Datenschutzaufgaben weitgehend zentral bearbeitet“, erinnert sich Jürgen Kempter. „Nachdem die Verordnung im Jahr 2016 veröffentlicht wurde, war uns jedoch schnell klar, dass es notwendig ist, den Datenschutz bei Hubert Burda Media neu zu strukturieren.“
Neues Gesetz, neue Anforderungen an die Organisation
Dem Leiter des Konzerndatenschutzes und einem übergreifenden Projekt-Team blieben nach Inkrafttreten der DSGVO zwei Jahre Zeit für Anpassungen, die zusätzlich zum Tagesgeschäft umgesetzt werden mussten. „Wir haben unsere Organisation so umgestellt, dass viele Datenschutz-Aufgaben dezentral in den einzelnen Gesellschaften erledigt werden können. Mit einem zentralen Datenschutz-Team beraten wir die Kollegen bei ihren Aufgaben, übernehmen die Steuerung des Datenschutzmanagements und unterstützen bei neuen Themen, bei der Kommunikation mit Betroffenen und den Behörden“, erklärt Jürgen Kempter.
Zu den wesentlichen Aufgaben in den einzelnen Gesellschaften gehören
Bewährte Software
Bereits vor Inkrafttreten der DSGVO nutzte das Datenschutz-Team bei Hubert Burda Media die Datenschutz-Software otris privacy. Einsatzzweck war die Strukturierung und Dokumentation der Verarbeitungstätigkeiten. Da otris privacy bereits Funktionen wie Mandantenfähigkeit und ein Rollen-und Rechtemanagement beinhaltet und durch den erheblichen Zeitdruck bis zum Inkrafttreten der DSGVO am 25. Mai 2018 hat man sich bei Hubert Burda Media dazu entschieden, auch für die veränderte Datenschutzorganisation mit dieser Spezialsoftware weiter zu arbeiten. otris privacy hat sich neben den bereits erwähnten Funktionen und zahlreichen Anpassungen an die DSGVO insbesondere durch eine zentrale Datenhaltung und übergeordnete Steuerungsinstrumente zur Bearbeitung von Anfragen ausgezeichnet. „Besonders wichtig war uns, dass wir mit otris einen Partner hatten, der auf unsere Anforderungen eingegangen ist und mit uns gemeinsam nach Lösungen gesucht hat“, erklärt Jürgen Kempter.
Dezentrale Bearbeitung
„Die Prozesse in den einzelnen Gesellschaften, bei denen personenbezogene Daten verarbeitet werden, kennen die Verantwortlichen vor Ort am besten. Daher ist es sinnvoll, dass die Dokumentation zu Verarbeitungstätigkeiten dezentral in den jeweiligen Gesellschaften gepflegt wird“, erläutert Jürgen Kempter. Die Datenschutzkoordinatoren von ca. 70 Gesellschaften des Burda-Konzerns nutzen das zentrale Datenschutz-Tool, um die Datenschutz-Aufgaben in ihrem Bereich zu dokumentieren. Das Monitoring, die Rechtevergabe und die Strukturvorgabe – all das verbleibt in der Zuständigkeit des Datenschutz-Teams in der Zentrale.
Auftragsverarbeitung
Eine grundlegende Direktive an die einzelnen Gesellschaften ist die vollständige Dokumentation der Auftragsverarbeitungen. Durch die DSGVO hat der Gesetzgeber die Anforderungen an diesen Aufgabenkomplex erhöht. otris privacy vereinfacht Pflege, Verwaltung und Monitoring: „Die Auftragsverarbeitung in einem so großen Konzern zu organisieren, ist eine Herausforderung. Hunderte AV-Verträge müssen mit zuliefernden Unternehmen geschlossen werden. Teilweise sind Gesellschaften auch selbst Auftragsverarbeiter für Dritte. otris privacy hilft uns bei der Organisation und Dokumentation“, erklärt Jürgen Kempter. Die konzernweit einheitliche Struktur macht es den Verantwortlichen in den Gesellschaften einfacher, sämtliche Vereinbarungen über Auftragsverarbeitung lückenlos zu dokumentieren und zuzuordnen.
Betroffenenrechte
Der dritte Themenkomplex ist die Bearbeitung und Dokumentation der Anfragen Betroffener. „Uns war wichtig, dass Betroffene auf unkomplizierte Art und Weise sowie über festgelegte Kanäle eine Datenauskunfts- und Löschanfrage an uns richten können. Bei mehr als 500 Medienprodukten haben wir seit Mai 2018 ca. 20.000 Anfragen erhalten, welche wir in der vom Gesetzgeber geforderten Frist von einem Monat beantworten müssen“, erläutert Jürgen Kempter. Zusammen mit otris entwickelten Jürgen Kempter und sein Team eine Systematik, nach der Betroffenen-Anfragen markenbezogen bearbeitet werden. „Der Weg, die Betroffenenauskunft mit der Marke zu verknüpfen, ist in unserem Fall wesentlich nutzerfreundlicher als die Verknüpfung mit dem Unternehmen. Der Leser unserer Publikationen – z.B. Bunte.de oder Focus online – weiß schließlich nicht zwingend, dass Hubert Burda Media der zuständige Verlag ist“, erläutert Jürgen Kempter. Mit otris privacy setzte der Datenschützer sein Ziel um, den Nutzern aller Burda-Online-Publikationen die einfache Wahrnehmung sämtlicher Betroffenenrechte zu gewähren.
In der Praxis funktioniert das mithilfe eines Webformulars, das über einen Link auf der Webseite der jeweiligen Publikation zur Verfügung gestellt wird. Der Nutzer füllt dieses Formular aus, um zum Beispiel zu erfragen, welche personengebundenen Daten über ihn gespeichert wurden. Die Anfrage leitet das System an einen zuständigen Mitarbeiter weiter, der für die Abarbeitung (Datenrecherche, Auskunft, Löschung etc.) zuständig ist. Der gesamte Vorgang wird automatisiert dokumentiert. Bei Vorgängen, die Gefahr laufen, dass sie nicht in der vorgeschriebenen Frist bearbeitet werden, warnt der integrierte Fristenworkflow: Reagiert ein Mitarbeiter nicht, wird die Warnung nach einem vordefinierten Eskalationsprozess weitergeleitet.
In Zukunft: Angepasstes Reporting
Die Anpassung der Datenschutz-Organisation an die DSGVO war eine enorme Herausforderung für Jürgen Kempter und sein Team. Vereinfacht wurde die Aufgabe durch die Datenschutz-Software otris privacy. Auch wenn die Prozesse nun etabliert sind und funktionieren – Verbesserungspotenzial gibt es in jedem System: Um bei der Bearbeitung der Betroffenenrechte Ressourcen besser einzuteilen, soll das Reporting in der Software an diese spezifische Anforderung angepasst werden. Anfragezahlen und Bearbeitungsaufwände in Abhängigkeit zu den jeweiligen Marken – Übersichten zu diesen Kennzahlen werden bisher über den Datenexport mit anschließender Aufbereitung erstellt. Geplant ist, dieses individuelle Reporting in otris privacy zu integrieren. Jürgen Kempter fasst zusammen: „Als Konzern haben wir große Datenmengen zu verarbeiten und durch unser sehr breites Spektrum an Marken (von der Gartenzeitschrift bis zum Ärzte-Bewertungsportal) viele spezielle Anforderungen. In enger Kooperation mit otris haben wir die operative Arbeit im Datenschutz vereinfacht. Unsere Datenschutz-Organisation steht auf einem stabilen Fundament.“