Softwarelösungen im Vergleich

 

- Februar 2018 -

Bereit für die EU-DSGVO?

Ihre Aufgaben im Schnelldurchlauf


 

 

Ab dem 25. Mai 2018 regelt die neue Europäische Datenschutz-Grundverordnung (DSGVO) folgende Bereiche:

  • Grundrechte und Grundfreiheiten natürlicher Personen
  • Die Verarbeitung und den Schutz personenbezogener Daten

 

 

 

Die meisten von Ihnen werden schon für die neue Grundverordnung vorbereitet sein. Für die Spätzünder gibt es hier die wichtigsten Aufgaben im Schnelldurchlauf und kostenlose Checklisten zum Downloaden.

Dieser Artikel gibt Ihnen eine Hilfestellung um Handlungsbedarf im Zuge der EU DSGVO zu identifizieren.

 


Die neuen Aufgaben

Die DSGVO betrifft große und kleine Unternehmen, Gewerbetreibende und Freiberufler. Es gibt zwar wenige Ausnahmen, aber diese betreffen kaum jemanden. Nehmen Sie sich also lieber einen Datenschützer zur Hand, denn die Strafen liegen in Millionenhöhe und können die Unternehmensexistenz von kleinen Unternehmen gefährden. Das sollten Sie also wissen:

  • Was verlangt die Datenschutzgrundverordnung?
  • Erfassen Sie personenbezogene Daten? Wenn ja, welche?
  • Besitzen Sie die technischen Voraussetzungen für die Umsetzung?

 

Ihre Aufgaben

1. Datenschützer benennen (in vielen Fällen Pflicht)
2. Alle Prozesse bzgl. der Datenverarbeitung schriftlich aufnehmen und alle Dokumentationssysteme nach Zuverlässigkeit und Vollständigkeit überprüfen
3. Falls eine Datenübermittlung in Drittländer stattfindet (außerhalt der EU), diese überprüfen
4. Zuständigkeiten im Falle eines Datenverlustes festlegen
5. Datenschutz Folgenabschätzung durchführen
6. Auftragsdatenverarbeitungsverträge (ADV-Verträge) mit Auftragsverarbeiter abschließen, sofern vorhanden
7. Einwilligungserklärungen für die Datenverarbeitung von personenbezogene Daten überprüfen
8. Kommunikationswege implementieren, damit der Dateninhaber (Mitarbeiter, Kunde, Lieferant etc.) seine Rechte in Anspruch nehmen kann.
9. Die komplette Analyse inkl. den Maßnahmenplan (organisatorisch und technisch) als Konzept festhalten und laufend dokumentieren, um der zuständigen Behörde jederzeit vorlegen zu können
10. Sensibilisierung der Mitarbeiter zum Thema DSGVO

 


 

Einige Grundsätze für die Datenverarbeitung

  • Zweckmäßige Datenspeicherung: Nur noch Daten abfragen, die notwendig sind.
  • Trennung des Datenpools: Daten dürfen nicht mehr gesichtet werden, wenn diese für die jeweilige Person nicht erforderlich sind. Somit sind Zugriffsrechte oder der Einsatz verschiedener Softwarelösungen notwendig.
  • Löschfristen einhalten
  • Auftragsdatenverarbeitungsverträge (ADV-Verträge) mit Auftragsverarbeiter abschließen, wenn personenbezogene Daten auf externen Plattformen weiterverarbeitet oder auf anderen Servern gesichert werden.
  • Verarbeitungsverzeichnis anlegen und laufend aktualisieren.

 


 

Das Verarbeitungsverzeichnis - Art. 30 - DSGVO

 

Das Verarbeitungsverzeichnis ist nicht nur eine Dokumentation der eingesetzten IT und liegt damit nicht in der alleinigen Zuständigkeit der IT-Abteilung. Bei diesem Verzeichnis geht es um folgende Fragestellung:

Welche Daten werden wie lange gespeichert und wann wieder gelöscht?

Das Verarbeitungsverzeichnis bietet einen Einblick in die Datenverarbeitung. Es legt offen, welche Daten erfasst werden und was mit ihnen passiert. Am einfachsten ist es, wenn die Prozesse zur Datenverarbeitung als Grundlage für das Verzeichnis genutzt werden.

 

 

Verantwortlichkeiten
Die IT ist lediglich für die technische Umsetzung verantwortlich und der jeweilige Fachbereich für die einzelnen Verfahren. Sollte es sich bei einigen Softwarelösungen um eine Cloud oder SaaS handeln, ist für diese Datenverarbeitung ein ADV-Vertrag mit dem Auftragsverarbeiter abzuschließen, da die Verantwortung in diesem Fall bei dem Anbieter liegt.

In der Regel werden viele verschiedene Verfahren eingesetzt, die unterschiedlich umfangreich sind. So kann zum Beispiel eine Lösung für die Zeiterfassung, das Leadmanagement, das CRM, das Mahnwesen und die Auftragsverwaltung eingesetzt werden. Am besten ist es, das große Verzeichnis in Einzelverzeichnisse aufzuteilen, um jedes Verfahren einzeln zu verwalten. Darüber hinaus sollte es auch an einem Ort gespeichert werden und allen Verantwortlichen zur Verfügung stehen, damit der zuständige Fachbereich und die IT-Abteilung zur Aktualisierung direkt auf das Verzeichnis greifen können und es immer nur ein aktuelles Dokument gibt.

 

Pflicht und Ausnahme
Das Verzeichnis ist zwingend, wenn …

  • personenbezogene Daten nicht mehr nur gelegentlich verarbeitet werden. Es ist demnach bereits verpflichtend, wenn Sie Mitarbeiterdaten oder eine Lieferanten- bzw. Kundendatenbank verwalten. In anderen Worten: So gut wie immer.
  • die erfassten Daten zu besonders sensiblen Kategorien zählen. Dazu gehören z.B. Gesundheitsdaten oder strafrechtliche Verurteilungen (Art. 9 Abs. 1 DSGVO und Art. 10 DSGVO).
  • Risiken für die Rechte und Freiheiten betroffener Personen entstehen (Bewertung und Profilerstellung).

 

Das Verzeichnis ist nicht zwingend, wenn Unternehmen weniger als 250 Mitarbeiter haben und die oben genannten Fälle nicht zutreffen (Art. 30 Abs. 5 DSGVO).

 

Wettbewerbsvorteil durch Datenschutz

Zwar muss das Verfahren erst einmal aufwendig angelegt werden, so birgt es aber auch Chancen. Denn Unternehmen, welche Prozesse sauber dokumentieren und Kunden offenlegen, können sich Wettbewerbsvorteile verschaffen. In einigen Branche reagieren einige Kunden nämlich in der Tat sehr empfindlich auf das Thema Datenschutz. Wer das ernst nimmt und entsprechend reagiert kann sich Pluspunkte sichern und vom Wettbewerb abheben.

 


AEONOS

AEONOS Team
Beitrag Februar 2018

 

 

Weitere Artikel:

Softwarelösungen im Vergleich

Zeiterfassung kaufen oder mieten?

Kauflösung, SaaS und Cloud im Vergleich

Digitale Zeiterfassung

Zeiterfassung vs Zeitwirtschaft

Was ist der Unterschied und was brauche ich?

 


EU-DSGVO

EU DSGVO mit SaaS einhalten

Warum SaaS die sichere Alternative ist

Automatische Führerscheinkontrolle

Automatische Führerscheinkontrolle

Fahrerlaubnis ohne Aufwand kontrollieren