Am 25. Mai 2018 wird die Datenschutz-Grundverordnung (DSGVO) EU-weit wirksam. Sie regelt den Umgang mit personenbezogenen Daten und stärkt die Verbraucherrechte. Wer sich bisher noch nicht damit befasst, sollte jetzt Gas geben. Denn die Nicht-Einhaltung der DSGVO könnte Unternehmen teuer zu stehen kommen: Satte Strafen drohen – bis zu 20 Millionen Euro oder 4 Prozent des Konzernjahresumsatzes. Da personenbezogene Daten so gut wie jede Tätigkeit in einem Unternehmen betreffen, muss also auch jeder Prozess auf DSGVO-Konformität geprüft werden. Das erfordert nicht selten strukturelle und organisatorische Veränderungen. Zudem muss jeder Mitarbeiter ein Bewusstsein und Wissen über die Datenschutzregeln haben, um ihre Einhaltung in Bezug auf seine Tätigkeit sicherstellen zu können.
- Welche Daten sind betroffen?
- DSGVO erfordert besseres Wissen über Daten und Prozesse
- 1. Schluss mit Datensilos
- 2. Intelligente Suche mit dem Scoper
- 3. Automatisches Protokollieren
- 4. Zweckbindung im System hinterlegen
- 5. Ausnahmentatbestände – etwa GoBD-relevante Daten
- 6. Privacy by Default
- 7. Technische und organisatorische Maßnahmen (TOM) für Datensicherheit an Anbieter delegieren
- Fazit
Welche Daten sind betroffen?
Personenbezogene Daten (im Folgenden nur: Daten) lassen sich direkt oder indirekt einer Person zuordnen. Dazu gehören zum Beispiel Name, Anschrift, Telefonnummer, IP-Adresse, Cookies, Standortdaten, KFZ-Kennzeichen und biometrische Daten aus Überwachungskameras. Besondere Vorschriften gelten für den Umgang mit Daten, die „ein Risiko für die Rechte und Freiheiten“ einer Person bedeuten können, etwa ethnische Zugehörigkeit, sexuelle Orientierung, Straftaten, Bonität oder Gesundheitsdaten. Auch Daten von Kindern unterliegen einem besonderen Schutz.
DSGVO erfordert besseres Wissen über Daten und Prozesse
Selbst wenn sich Unternehmen theoretisch schon intensiv mit der DSGVO beschäftigt haben, scheitern sie oft in der Praxis am ersten Schritt in Richtung DSGVO-Compliance: nämlich am Wissen, wo Daten lagern, was sie enthalten, inwieweit sie relevant sind und wann sie gelöscht werden müssen. Eine Untersuchung von Veritas Technologies 2017 bestätigt: 39 Prozent der befragten Unternehmen befürchten, dass sie Daten nicht treffsicher identifizieren und in der IT-Landschaft lokalisieren können. Die einfache Ursache: Es mangelt an technologischen Voraussetzungen. In allen Unternehmen werden personenbezogene Daten an ganz unterschiedlichen Stellen erhoben und verarbeitet: Im Marketing, im Vertrieb, im Support, in der Finanzbuchhaltung oder im Online-Shop. In den meisten mittelständischen Unternehmen liegen die Daten dann in abgekapselten und wenig kontrollierbaren Silos. Das können Insellösungen für einzelne Unternehmensanwendungen wie Kontaktmanagement oder Finanzbuchhaltung, Excel-Tabellen, Word-Dokumente genauso wie kleine Datenbanken oder aber der PC sowie das E-Mail-Postfach einzelner Mitarbeiter sein.
1. Schluss mit Datensilos
Der erste und ganz fundamental wichtige Schritt in Richtung DSGVO-Compliance ist, zu wissen, wo überall im Unternehmen welche personenbezogenen Daten liegen. Bei einer heterogenen IT-Landschaft mit Datensilos kann die Suche nach bestimmten Daten schon einmal der einer Nadel im Heuhaufen gleichen. Bei einer integrierten Komplettlösung wie Scopevisio stellt sich die Frage „Wo liegen meine Daten?“ nicht: Dort werden alle Daten einmal und zentral in der Cloud gespeichert. Eine einheitliche Datenbasis ist das Herzstück von Scopevisio. Alle Prozesse der Datenverarbeitung greifen auf diese Datenbasis zu – natürlich an den jeweiligen Verwendungszweck angepasst.
2. Intelligente Suche mit dem Scoper
Mit einer einheitlichen Datenbasis haben Unternehmen den Grundstein für die Umsetzung der „Betroffenenrechten“ der DSGVO gelegt. Diese sehen etwa ein „Recht auf Auskunft“ oder ein „Recht auf Korrektur“ vor: Das bedeutet, Unternehmen müssen auf Nachfrage über personenbezogene Daten Auskunft geben, sie korrigieren oder aktualisieren und auf Wunsch löschen können. Eine intelligente Suche wie das Scopen in Scopevisio hilft, alle zu einem Kontakt vorhandenen Informationen und Dokumente auf Knopfdruck zu finden – etwa Adressdaten, Belege, Aufträge, Rechnungen, Verträge und vieles mehr. Unternehmen müssen dabei nicht in vielen Silos „graben“, sondern wie beim Googeln lediglich den Suchbegriff in die Suchzeile eingeben. Scopevisio erlaubt zudem die automatische E-Mail-Archivierung an einem Kontakt. Dann wird jede eingehende und ausgehende E-Mail direkt am Kontakt angehängt. Auch das gibt Transparenz.
3. Automatisches Protokollieren
Um die DSGVO einzuhalten, muss der Umgang mit personenbezogenen Daten nach strengen Regeln erfolgen, die auch dokumentiert sind. Scopevisio verfügt über eine automatische Protokollierung, dem so genannten Aktivitätenjournal. Dieses zeichnet Änderungen an Daten und Dokumenten unveränderlich auf – zum Beispiel wenn Kontaktdaten, Belege, Verwendungszwecke oder ähnliches geändert werden, erstellt Scopevisio einen automatischen Protokolleintrag. Über die Protokollierung regelt Scopevisio auch die geforderte Eingabekontrolle. Im Rechtsstreit kann diese Funktion Unternehmen helfen, die Beweislast zu tragen, die mit der DSGVO von der betroffenen Person auf das Unternehmen übertragen wurde. Einfaches Beispiel: Jemand zieht um und gibt seine Adressänderung bekannt. Anschließend bestellt er einen Artikel, der nie bei ihm ankommt. Der Verdacht: Die Adresse ist nicht korrekt aktualisiert worden. Mit dem Aktivitätenjournal kann das Unternehmen jedoch leicht nachweisen, dass sie korrekt aktualisiert wurde und dass die Ursache für den Verlust an anderer Stelle zu suchen ist.
4. Zweckbindung im System hinterlegen
Die Nutzung von personenbezogenen Daten ist laut DSGVO zweckgebunden. Unternehmen dürfen also Daten nur zu einem bestimmten dafür freigegebenen Zweck und nur für den dafür vorgesehenen Zeitraum nutzen. In Scopevisio gibt es unterschiedliche Möglichkeiten, diese Zweckbindung im System zu hinterlegen. Ganz klassisch können Firmen im CRM von Scopevisio Felder anlegen, in denen sie den Zweck eintragen und selektieren. Also etwa, wenn eine Person nur zu einem bestimmten Thema Informationen erhalten möchte. Für die automatisierte Kontakterfassung über das Web, also bei klassischen Web-to-Lead-Prozessen, hilft das sehr einfache selbst zu konfigurierende Webformular „web2lead“: Darüber können Firmen eine Einwilligungserklärung zur zweckgebundenen Verarbeitung der Daten einholen und diese Einwilligung am Kontakt speichern. Auch lässt sich die Zweckgebundenheit über abgeschlossene Container beziehungsweise Projekte abbilden: Das können vertriebliche, wiederkehrende oder auch interne Projekte sein. Wird ein Projekt abgeschlossen, endet auch die zweckgebundene Verarbeitung der personenbezogenen Daten.
5. Ausnahmentatbestände – etwa GoBD-relevante Daten
In bestimmten Fällen schreibt die DSGVO die Löschung oder Veränderung von Daten vor. Dies gilt aber nicht für solche Daten, die zum Beispiel im Sinne der GoBD unveränderbar und aufbewahrungspflichtig sind. Die Scopevisio-Software ist von PwC nach den GoBD zertifiziert. Das heißt, ein Löschen oder Verändern von GoBD-relevanten Daten „aus Versehen“ ist in Scopevisio nicht möglich.
6. Privacy by Default
Dieser Begriff bedeutet, dass in einer Software datenschutzfreundliche Voreinstellungen getroffen sind. Scopevisio unterstützt Unternehmen in Bezug auf diese datenschutzrechtlichen Voreinstellungen mit einer Reihe von Funktionalitäten, darunter ein Rollen- und Berechtigungskonzept. Zum Beispiel ist ein in das Dokumentenmanagement-System hochgeladenes Dokument für andere erst nach manueller Freigabe sichtbar.
7. Technische und organisatorische Maßnahmen (TOM) für Datensicherheit an Anbieter delegieren
Im Rahmen der DSGVO sind Unternehmen verpflichtet, Maßnahmen zur Daten- und IT-Sicherheit zu ergreifen, zum Beispiel Netzwerk, Server und Speichermeiden ausreichend vor Datenlecks zu schützen und eine Backup-Strategie zu haben, die vor Datenverlust schützt. Ebenso dazu gehören Themen wie Verschlüsselung, Firewalls und die Benutzer-Authentifizierung. Im Fall von Scopevisio sind diese Kriterien erfüllt: Die Cloud-Lösung ist technologisch „State oft he Art“ und wird in einem hoch sicheren und zertifizierten Rechenzentrum in Deutschland betrieben. Daten werden dort redundant gesichert und verschlüsselt. Der Zugang und Zugriff auf das Rechenzentrum sind streng geregelt. Mit der Auftragsdatenverarbeitung an einen externen Dienstleister können Unternehmen also bereits einige der technischen und organisatorischen Maßnahmen delegieren.
Fazit
Jedes Unternehmen selbst dafür verantwortlich, die Vorgaben der DSGVO umzusetzen. Ein integriertes Komplettsystem auf einer einheitlichen und zentralen Datenbasis wie Scopevisio hilft jedoch dabei, bestimmte Grundanforderungen einfacher zu erfüllen.