Blog

Q&A: Datenschutz-Grundverordnung (DSGVO / GDPR)

14.05.2018 / in Allgemein

Nach vier Jahren an Beratungen und Verhandlungen wurde die GDPR am 14 April 2016 im EU-Parlament verabschiedet. Die Datenschutz-Grundverordnung (DSGVO), die ab 25.05.2018 in Kraft tritt und deren Verletzung heftige Strafen für Unternehmen nach sich ziehen kann, ist eine EU Verordnung, die Regeln zur Verarbeitung personenbezogener Daten durch private Unternehmen und öffentliche Stellen EU-Weit festlegt bzw. vereinheitlicht. Mit dem folgenden Blogbeitrag möchte bzw. kann ich jetzt nicht unbedingt eine umfassende Information zu GDPR geben, aber zumindest ein paar Denkanstösse liefern!

Bedeutung und Umfang der GDPR / DSGVO

Gab es nicht früher auch schon eine EU Richtlinie für “Data Protection”? Ja, aber das war nur eine Richtlinie („Directive“) und die GDPR ist eine sogenannte „Regulation“. Eine Directive setzt ein Ziel das man umsetzen möchte/sollte, eine Regulation ist hingegen „bindender Rechtsakt”. Was behandelt die GDPR? Vereinfacht gesagt alle personenbezogenen Daten, die man speichert. Daten von Kunden (Personen) und Mitarbeitern usw. – sprich alles, womit man eine Person identifizieren kann. Das ist natürlich kompliziert, wenn man auch Rollen berücksichtigen muss, weil man über einen zeitlichen Zusammenhang die Person ermitteln bzw. identifizieren könnte (war von 9-11h zuständiger Kontroller, Stellvertreter etc.).

Was sie beachten sollten:

● Verschaffen Sie sich einen Überblick, welche Daten sie überhaupt verarbeiten und/oder speichern.
● Hier gilt die folgende Regel: Was, Warum und wie Lange muss es gespeichert werden (What, why, and how long).
● Achtung: Verarbeitung ist nicht gleich Speicherung!
(Ich würde diesen Punkt gar nicht erwähnen, wenn ich nicht zu viele Intranets gesehen hätte bei denen keiner mehr weiß, was sie alles beinhalten – Stichwort: gewachsene Datenstruktur)
● Die GDPR unterscheidet zwischen „data processor and a data controller”. Der Data processor arbeitet im Auftrag eines Data controller!
● Datenspeicherung kostet praktisch nichts mehr, d.h. wir horten Daten ohne Ende!

Wir haben das „angenehme” Phänomen, dass die Hersteller (Hardware und Software) dafür sorgen, dass die technische Datenspeicherung immer billiger wird aber der Gesetzgeber dafür sorgt, dass der Verwaltungsaufwand immer höher wird. Stichwort “Privacy”, Datenweitergabe usw.. Vor einigen Jahren noch war das ein „wird schon nichts passieren”-Problem, weil es keine Auswirkungen/Strafen nach sich zog, mit GDPR sieht es jetzt aber anders aus.

Fazit: der Preis der Verwaltung wird durch immer mehr Vorschriften immer höher!
● Jede Information die sie speichern birgt somit auch ein gewisses Risko.
● Feststellen, warum sie diese Daten speichern!
● Welche Daten sind alt bzw. werden ab wann nicht mehr benötigt und können gelöscht werden?
● Was nicht gespeichert wird unterliegt auch keiner Verordnung ?
● GDPR fordert sogar dass sie Daten nach einer gewissen Zeit löschen …
● Welche Daten transferieren sie?
● Innerhalb ihrer Firma aber zu anderen Standorten in anderen Ländern (EU vs. nicht-EU -> Achtung: UK!)

Selbst eine kleine Firma wie uns trifft das. Wir haben Offices außerhalb der EU in UK, USA, Partner in Südafrika usw. – welche Personaldaten darf ich weitergeben, in Ausschreibungen in anderen Ländern verwenden? Zumindest Transparenz ist ganz wichtig, d.h. heißt ein Hinweis „ich transferiere Ihre Daten von A nach B und sie werden wie folgt verwendet“. Wer ist zuständig für die Verwaltung der Daten? Einen DPO (Data Protection Officer) braucht nicht, wenn man eine Behörde ist oder ein Unternehmen betreibt, das in großem Stil private Daten verarbeitet. Aber zumindest ein „DPO-Hut“ im Büro wäre nicht schecht, um ihn bei wichtigen Fragestellungen aufzusetzen und sich ein paar Gedanken zu machen. In Ihrem Hyperwave-Intranet betrifft das zum Beispiel folgende Themen:

● Rechte überprüfen -> zumindest Stichproben… bzw. Attribute
● Prozesse: z.B: HR-Prozesse, aber auch so manche Dokumentenfreigabe überprüfen bzw. einen transparenten Prozess einführen
● Betroffen sind alle Prozesse, die personenbezogene Daten speichern. Achtung: dazu gehört zumeist auch „wer hat was getan” und nicht nur die verarbeiteten Daten selber!

Probleme, die auftreten können:

● Die Frage von Mitarbeitern oder ehemaligen Mitarbeitern, welche Daten speichern sie im Intranet über mich?
● Es müssen die Daten bei Anfragen in einem sinnvollen Format ausgeliefert werden!
● Warum wurde eine Bewerbung/Versetzung abgelehnt? Muss ich da Auskunft geben?
● Alle unverlangt zugesandten Informationen werden automatisch nach einer Woche gelöscht…. reicht das? -> für uninteressante Bewerbungen für Impulsbewerbungen…

Wie kann sie der Hyperwave Server bei der GDPR-Einhaltung unterstützen?

Wesentlich wäre es, wenn alle personenbezogenen Daten (und Prozesse) gekennzeichnet wären. Ein GDPR oder „Personendaten” Attribut hilft Ihnen z.B. enorm bei der Verwaltung. D.h. Sie nehmen automatisch eine einfache Klassifikation vor. Zusätzlich auch noch ein Datumsattribut (nicht nur das Filedatum!) für die Archivierung/Löschung, und schon ist ein wesentlicher Schritt gemacht. Bei Prozessen (Workflow), insbesondere bei personenbezogenen Prozesse (HR), wirklich nur die Informationen, die ein Bearbeiter im jeweiligen Schritt benötigt, anzeigen. Auch in der Verlaufsanzeige (!) nur die Schritte/Daten auflisten, die der jeweilige Bearbeiter sehen darf. (Anmerkung: Daten in der Verlaufshistorie ganz weg zu lassen ist auch nicht sinnvoll. Meine bearbeiteten/eingegebenen Daten sollte ich verlässlich wiederfinden können. Geht das nicht, fangen die Benutzer an, Daten separat zu speichern — ohne Kontrolle! — und damit hat man eine unkontrollierte Vervielfältigung der Daten. Wer hat wo noch ein Dokument, welche Vorversionen existieren auf diversen Notebooks und Abteilungsservern?)

Von Anfang an sollte ein Dokument daher bereits am finalen Platz ablegt sein oder zumindest sollten nur zwei fixe Stellen im Intranet dafür vorsehen werden (Vorlagen/Freigaben). Die Steuerung des Erstellprozesses und der Sichtbarkeit soll vom System übernommen werden. Ganz wichtig, um diesen Wildwuchs zu verhindern, ist es dem Mitarbeiter, wie erwähnt, jederzeit die Möglichkeit zu geben ein Dokument, dass er erstellt hat, wieder zu finden – egal wie der nachfolgende Prozess aussah, oder ob das Dokument noch von anderen verändert wurde. Wenn ich mich darauf verlassen kann auch am Ende des Prozesses _meine_ Dokumentenversion wieder zu finden, dann speichere ich nicht alles doppelt (auf meinem lokalen Rechner). Denn mit unkontrolliertem „Datenwildwuchs” werden Sie der neuen Datenschutzgrundverordnung schon gar nicht Herr, mit DPO-Hut oder ohne …

——

Offizielle Informationen – Rules for the protection of personal data inside and outside the EU:
https://ec.europa.eu/info/law/law-topic/data-protection/data-protection-eu_en

Der Text der Verordnung 2016/679 im Original:
http://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:32016R0679&from=EN

« Zurück