Mit Blick auf den Lieferantenrisikomanagement-Prozess bei PUMA könnte man meinen, er bestehe schon seit langem. Doch er wurde erst vor einem Jahr eingeführt.  

„Wir haben festgestellt, dass es bei mehreren anderen Unternehmen zu Datenschutzverletzungen gekommen ist, und wollten unsere Richtlinien verbessern. Da die Regularien und Anforderungen immer komplexer wurden, benötigten wir ein besseres System zur Überprüfung von Lieferanten", sagt Marco Preissinger, Senior Manager Information Security bei PUMA SE. 

In der Vergangenheit fehlte PUMA ein standardisiertes Verfahren zum Lieferantenrisikomanagement aus Sicht der Informationssicherheit und des Datenschutzes. 

„Wir wollten die genauen IT-Risiken unserer derzeitigen Lieferanten kennen und eine einheitlichere Bewertung neuer Lieferanten erreichen“, erinnert sich Florian Brandner, Director Global Information & Cyber Security bei PUMA SE. „Dank der OneTrust Plattform waren unsere Teams in der Lage, einen klaren Rahmen für die Bewertung und Kontrolle von Lieferantenrisiken zu schaffen.“

Daraus entstand bei PUMA der „Vendor Check“-Prozess. Seitdem hat das Team 250 Lieferanten an Bord geholt, den Prozess auf durchschnittlich 17 Tage verkürzt und die Prozesszeit um 80 % reduziert – und das ist erst der Anfang.  

Neuerfindung des Lieferantenrisikomanagements

PUMA arbeitet mit Hunderten von unabhängigen Zulieferern und Tausenden von Lieferanten weltweit zusammen, sodass das Team sofort mit der Arbeit beginnen musste. 

„Wir profitieren sehr von der Vorlagenbibliothek in OneTrust“, sagt Preissinger. „Für uns als deutsches Unternehmen waren vor allem die ISO-Vorlagen von großem Nutzen. Aber wir haben auch Fragen aus anderen Vorlagen übernommen, ganz ähnlich wie in einem Supermarkt – ein bisschen NIST, eine Prise ISO und zum Schluss etwas DSGVO. Den Wortlaut der Vorlagen haben wir an unsere Formulierungen bei PUMA angepasst und OneTrust übernahm den Rest.“ 

Das Team entschied sich für einen kreativen und proaktiven Ansatz, um die Risiken im Zusammenhang mit Lieferanten zu minimieren. Während die meisten Unternehmen ihre Lieferanten einfach benachrichtigen, wenn Risiken auftreten, geht PUMA noch einen Schritt weiter und erstellt ein technisches Schadensszenario, in dem die möglichen Auswirkungen detailliert beschrieben werden, sowie einen Behandlungsplan mit Vorschlägen für Abhilfemaßnahmen.  

„Wir weisen nicht nur auf die Risiken hin. Wir stellen fest, dass Lieferanten etwas mehr Hilfe brauchen, um die Risiken zu verstehen und zu mindern, und erstellen deshalb sogenannte Behandlungspläne. Die sind sehr simpel – ich würde sagen, fünf oder sechs Schritte, um ein Risiko zu mindern“, so Preissinger.  

Die Behandlungspläne erfreuen sich einer breiten Akzeptanz – die meisten Lieferanten sind bereit, die Risiken zu behandeln. „Der Einsatz der OneTrust Plattform hat unsere Beziehungen zu den Lieferanten entscheidend gestärkt, da wir ihnen auf der Grundlage unserer standardisierten Behandlungspläne gezielte Ratschläge zur Risikominderung geben können“, fügt Brandner hinzu. 

So entsteht eine für beide Seiten vorteilhafte Zusammenarbeit, bei der der Lieferant die Sicherheit und Zuverlässigkeit seiner Dienstleistung erhöht und PUMA als sein Kunde das Gesamtrisiko effektiv reduziert. 

Entlastung bei der Bewertung von Lieferanten

Aber das Team war noch nicht am Ziel. Nachdem es bemerkt hatte, dass Lieferanten oft mit Bewertungen überflutet werden, beschloss es, die Arbeitslast zu verringern und sich nur auf für PUMA relevante Fragen zu beschränken.  

„Einige Lieferanten bieten eine Vielzahl von Dienstleistungen an. Microsoft beispielsweise bietet alles Mögliche an – was aber, wenn wir nur einen kleinen Teil davon nutzen, wie zum Beispiel Microsoft Exchange?“, erklärt Preissinger. 

Im Rahmen des Vendor Check hat das Team einen sogenannten „Business Pit Stop“ entwickelt, bei dem es bestimmten Geschäftsbereichen ein paar schnelle Fragen stellt, die helfen, den Lieferanten in den richtigen Kontext zu setzen. In OneTrust werden dann dynamische Bewertungen erstellt, wobei Bedingungslogik verwendet wird, um den Fragebogen auf der Grundlage der einzelnen Antworten des Lieferanten weiter zu optimieren.

Das Ergebnis? „Wir konnten die Bewertung für den Lieferanten, das Unternehmen und uns als Prüfer verkürzen und vereinfachen“, sagt Preissinger. „Der einheitliche Ansatz gewährleistet eine konsistente und umfassende Risikobehandlung, was zu einem robusteren Risikomanagementrahmen führt. Infolgedessen können wir schneller und effektiver reagieren und tragen so zur allgemeinen Widerstandsfähigkeit von PUMA bei.“ 

Das PUMA-Team arbeitet kontinuierlich an der Optimierung seines Vendor Check-Prozesses mithilfe der Vorlagenbibliothek und der dynamischen Bewertungen in OneTrust.

Förderung einer risikobewussten Kultur

Durch Optimierung des Lieferantenrisikomanagement-Prozesses gewann das Team Zeit, sich auf seine oberste Priorität zu konzentrieren: die Verbesserung des Risikobewusstseins und -verständnisses im Unternehmen.

„Wenn eine verantwortliche Geschäftseinheit in den Prozess nicht mit einbezogen ist, wird er nicht funktionieren. Wir mussten einen Prozess etablieren, der kontinuierliche Verbesserungen ermöglicht und alle Beteiligten an einen Tisch bringt“, erklärt Preissinger. „Nicht jeder muss ein Datenschutz- oder Sicherheitsexperte sein, aber eine risikobewusste Kultur hilft uns, den Prozess zu beschleunigen.“ 

Auch bei regelmäßigen Besprechungen wird viel dazugelernt, da Stakeholder aus den verschiedenen Abteilungen von PUMA ihre eigenen Bedenken und Standpunkte zum Prozess einbringen.  

Timo Stauber, Legal Counsel Data Protection bei PUMA SE, bestätigt die Vorteile einer Risikobetrachtung. "Vendor Checks sind für uns Juristen im Datenschutzbereich äußerst nützlich", so Stauber. 

„Die Bewertungen geben einen schnellen Überblick über Lieferanten und den Einsatz eines geplanten Tools oder Projekts. Wir führen eine erste datenschutzrechtliche Bewertung und, falls erforderlich, eine vertiefte rechtliche Prüfung durch. Ist der Einsatz des Lieferanten aus datenschutzrechtlicher Sicht zulässig, führen wir die datenschutzrechtlichen Vertragsverhandlungen auf Basis der Bewertung und eventuell bestehender Risiken.“

Dieser kooperative Ansatz hat zu einem kulturellen Wandel bei PUMA geführt. Stakeholder machen sich nun mehr Gedanken über potenzielle Risiken und wissen, dass jeder Lieferant, mit dem sie zusammenarbeiten wollen, den Vendor Check-Prozess durchlaufen muss. 

„Die größte Verbesserung ist, dass wir die Menschen näher zusammenbringen“, so Preissinger. „Hierbei spielt OneTrust eine zentrale Rolle, denn wir sind dadurch in der Lage, Prozesse zu zentralisieren, um schnellere und fundiertere Entscheidungen zu treffen und das Risikobewusstsein bei PUMA zu erhöhen.“

Von links: Timo Stauber, Daniela Dillmann, Florian Brandner, Wei Lo und Marco Preissinger

Globale Zugkraft

Der Vendor Check-Prozess hat bereits erste Erfolge bei der Bewusstseinsbildung und der Risikominderung gezeigt und wird derzeit durch ein System namens „Location Onboarding“ bei den weltweiten Tochtergesellschaften eingeführt. 

Zu Beginn verbrachte das Team eine Woche bei PUMA North America in Massachusetts, um die dortigen Richtlinien und bewährten Verfahren vorzustellen.

Während der Woche wurde eng mit der Geschäftsleitung zusammengearbeitet, um ihre bestehenden Risikomanagementprozesse zu definieren, sie in OneTrust zu integrieren und Marketingkampagnen für andere Geschäftsbereiche zu planen. Am Ende des Location Onboarding wurden alle Einzelheiten in einem übersichtlichen Paket zusammengestellt und an das lokale Team übergeben.  

„Ohne OneTrust wäre es nicht möglich, sich so flexibel und agil an lokale Vorschriften und Gesetze anzupassen. Das ist immer noch eine komplexe Aufgabe, aber das Tool beseitigt die Unsicherheit bei der Fragestellung“, sagt Preissinger.

Für die Zukunft ist das Location Onboarding für mehrere andere Regionen geplant: Chile, LATAM, Europa, EMEA, Österreich, Hongkong, Dubai und die nordischen Länder. 

„Wir möchten die verschiedenen PUMA-Einheiten besuchen und unseren Kollegen die OneTrust Software als Ganzes und den Vendor Check im Besonderen zeigen“, sagt Daniela Dillmann, Legal Counsel Data Protection bei PUMA SE.   

Mehr Sicherheit

PUMA arbeitet seit 2018 mit OneTrust zusammen und hat zunächst das Modul „Cookie Consent“ auf allen E-Commerce-Seiten eingesetzt. Jetzt, mehr als fünf Jahre später, hat PUMA zusätzlich das Modul „Drittparteienmanagement“ und die Power BI-Dashboards in die Plattform integriert, um zuverlässigere und aufschlussreichere Analysen und interne Transparenz zu erreichen.

„Letztes Jahr haben wir mit dem Vendor Check begonnen und unsere Vorlage im Modul „Verarbeitungsverzeichnisautomatisierung“ überarbeitet. OneTrust hat mit seinen verschiedenen Funktionalitäten großes Potenzial, viele Prozesse bei PUMA zu vereinfachen“, sagt Stauber.

„Künftig könnten die Verfahren tiefer integriert, mehr automatisiert und auf breiter Basis eingeführt werden, wobei der gesamte Lieferantenlebenszyklus und alle relevanten Stakeholder einbezogen werden sollten, um ein ganzheitliches Risikomanagement zu gewährleisten“, pflichtet Brandner bei. „Dieser Ansatz garantiert eine nahtlose, effiziente und durchgängige Verwaltung der Lieferantenbeziehungen.“