EU-Datenschutzgrundverordnung
20.10.2017
|
Fachberichte/Softwareinfo/Praxistipps
| Dr. Markus Knasmüller
Wie betrifft die DSGVO BMD und Sie?
Die neue Datenschutzgrundverordnung, die mit 25. Mai 2018 in Kraft treten wird, wird wohl alle Unternehmen treffen und den Umgang mit Daten völlig verändern. Laut einer deutschen Studie glauben 81 % der befragten Unternehmen, dass sie die Verordnung nicht rechtzeitig und vollständig umsetzen können und ganz ehrlich, ich denke die übrigen 19 % haben sich noch nicht ausreichend mit der DSGVO auseinandergesetzt. Angesichts von Strafandrohungen von bis zu 20 Millionen Euro (für internationale Konzerne sogar darüber hinaus) ist das also ein sehr ernstes Thema.
Die wichtigsten Punkte der Vorschrift, die sich auf die Verarbeitung von personenbezogenen Daten bezieht - dazu gehören neben Datenfeldern in Software auch Excel- bzw. Word-Dateien, E-Mails, Videos oder Fotos - sind:
- Für jede Speicherung von Daten ist ein Rechtsgrund (z. B. gesetzliche Verpflichtung, Einwilligung, aber auch berechtigtes Interesse) erforderlich. Außerdem dürfen sie nur solange gespeichert werden, wie es für den Zweck erforderlich ist. Das heißt alle Daten müssen jedenfalls irgendwann wieder gelöscht werden.
- Unternehmen ab 250 Mitarbeitern sind zur Führung eines Verzeichnisses der Verarbeitungstätigkeiten verpflichtet. Darin sind alle Anwendungen mit denen personenbezogene Daten verarbeitet werden (also etwa eine Kundendatenbank, die Lohnverrechnung, aber auch eventuell einfache Excel-Tabellen) anzuführen und unter anderem zu beschreiben, welche Kategorien von Daten zu welchem Zweck verarbeitet werden. Auch kleinere Unternehmen müssen für einen Teil ihrer Anwendungen (etwa für die Lohnverrechnung) derartige Verzeichnisse führen.
- Recht auf Auskunft: Jede Person hat das Recht Auskunft zu verlangen, ob über sie Daten verarbeitet werden und falls ja welche, zu welchem Zweck und wie lange die Speicherdauer sein wird.
- Bei unrechtmäßiger Verarbeitung oder etwa auch bei widerrufener Einwilligung sind die Daten zu löschen. Macht die betroffene Person dieses Recht geltend, so sind die Daten unverzüglich zu löschen (inkl. etwaiger Sicherungen!)
- Bei etwaigen Verletzungen des Datenschutzes, etwa wenn irrtümlich persönliche Daten für die Allgemeinheit ins Netz gestellt werden, aber auch bei einem Hackerangriff, bzw. sogar teilweise bei einer irrtümlich falsch versendeten E-Mail sind die Behörden und unter Umständen auch die Betroffenen zu verständigen.
- Für die Speicherung der Daten in Drittländern gelten besondere, sehr strenge Vorschriften.
Wie gesagt: Bei Vergehen gegen all diese Vorschriften gilt ein Strafrahmen von bis zu 20 Millionen Euro! Grund genug, um sich intensiv mit diesen Vorschriften zu beschäftigen und die innerbetrieblichen Abläufe zu analysieren.
Natürlich hat die Verordnung auch massive Auswirkungen auf die BMD Software, insbesondere was die Module Lohn und CRM betrifft. So unterstützen wir Sie, indem wir Folgendes umsetzen:
- Der wichtigste Punkt ist dabei sicherlich das Verzeichnis der Verarbeitungstätigkeiten, das Unternehmen ab 250 Mitarbeiter verpflichtend für alle Verarbeitungen führen müssen. Bei kleineren Unternehmen ist es für regelmäßige Datenverarbeitungen (da wird BMD wohl dazu zählen) jedenfalls auch verpflichtend, und für alle anderen auch empfohlen. Dieses Verzeichnis ist sicherlich der Ausgangspunkt für alle DSGVO-Maßnahmen, denn wie soll ein Recht auf Auskunft wahrgenommen werden, das jedermann in der EU berechtigt zu fragen, ob man Daten über ihn gespeichert hat, wenn nicht bekannt ist, welche Anwendungen Daten speichern. Wir liefern Ihnen eine Unterstützung bei der Erstellung des Datenverarbeitungsverzeichnisses, wobei auch Nicht-BMD-Anwendungen in dieses aufgenommen werden können.
- Je Anwendung bzw. sogar je Feld kann eingestellt werden, auf Grund welcher Rechtsgrundlage die Daten gespeichert werden dürfen und wie lange die Speicherung zu erfolgen hat. Dabei sind nicht nur Werte hinterlegbar, sondern auch Makros mit denen etwa spezielle Termine (z. B. drei Jahre nach letztem Kontakt) eingestellt werden können.
- Außerdem wurden auch ein Standardbrief und ein Report vorbereitet, um Ersuchen betreffend des Rechts auf Auskunft nachkommen zu können.
- Durch das Verzeichnis der Verarbeitungstätigkeiten können auch - natürlich nur für die BMD-Anwendungen - Löschaufträge verwaltet werden. Durch die DSGVO dürfen ja Daten nicht mehr beliebig lange aufbewahrt werden, sondern müssen regelmäßig gelöscht werden (je nach Zweck, bzw. Rechtsgrundlage für die Speicherung). Durch die Hinterlegung der Speicherdauer im Verzeichnis der Verarbeitungstätigkeiten erstellt BMD einen Vorschlag für die zu löschenden Daten. Außerdem können auch einzelne Datensätze, etwa wenn die betroffene Person deren Löschung verlangt, entsprechend für Löschaufträge vorgenommen werden. Diese Löschaufträge werden dann nach einer Überprüfung, ob wirklich gelöscht werden kann (z. B. BAO-Aufbewahrungspflichten) ausgeführt, dabei werden die Daten rückstandslos (auch inkl. Protokolle, etc) gelöscht. Dazu gehört auch das Entfernen von z. B. Aufträgen einer zu löschenden Person. Falls gewünscht, etwa um Statistiken weiter erzeugen zu können, ist dabei aber auch eine (vollständige) Anonymisierung möglich.
Datenschutzverzeichnis
Datenschutzverzeichnis für BMD 5.X
Alle BMD NTCS-Kunden haben mit dem Jahresupdate ein Programm erhalten mit dem das Datenschutzverzeichnis geführt werden kann, alle BMD-Anwendungen (sowohl NTCS als auch 5.X) sind darin bereits mit Vorschlägen enthalten. Kunden, die noch keine NTCS-Installation haben, können sich einen Vorschlag für das Datenschutzverzeichnis mit den BMD 5.X-Verarbeitungen hier herunterladen.
Dr. Markus Knasmüller, Abteilungsleiter Softwareentwicklung, klärt Sie über die EU-Datenschutz-Grundverordnung (DSGVO) auf
Datum:
20.10.2017
Bereich:
Fachberichte/Softwareinfo/Praxistipps
Autor:
Dr. Markus Knasmüller