Leitfaden zur DSGVO

Was ist die DSGVO?

Die Datenschutz-Grundverordnung ist eine europaweite Verordnung, die mit einem umfangreichen Regelwerk die Datenverarbeitung im Unternehmenskontext regelt. Grundsätzlich gilt die Regelung für alle Unternehmen mit Sitz in der Europäischen Union und Unternehmen aus Drittstaaten, die Daten von EU-Bürgern verarbeiten.

Ziele der DSGVO

• Schutz der Daten von Unternehmen und natürlichen Personen
• Rechtssicherheit in einer immer höher digitalisierten und vernetzten Welt
• Einführung eines europaweiten Standards

Was bedeutet das in der Praxis?

Da seit Mai 2018 nun Verstöße, gegen das Datenschutzgesetz mit hohen Geldstrafen geahndet werden, ist jetzt noch genauer auf die penible Einhaltung zu achten. Deswegen bietet folgender Leitfaden einen Überblick über alle Fragen, die im Bezug auf die DSGVO von Unternehmen beachtet werden müssen.

DSGVO-Leitfaden

Was sind die wichtigsten ToDo´s und welche Prozesse gehören definiert?

• Welche Daten werden an welchen Stellen erfasst?
• Wohin werden diese Daten weitergeleitet und wofür werden sie verwendet?
• Welche Dienste werden für die Datenübertragung verwendet? (E-Mail, Whatsapp, etc.)
• Liegt eine Einwilligung zur Nutzung der Daten vor?
• Welche Auftragsverarbeiter werden herangezogen und gibt es schriftliche Vereinbarungen?
• Überprüfung der Dienstverträge, Betriebsvereinbarungen etc.
• Kommunikation mit dem Betriebsrat
• Prozesse für die Löschung der Daten definieren
• Maximale Aufbewahrungsdauer definieren

Welche Merkmale muss ich bei einer Cloud-Software beachten?

Eine Cloud-Software wird auf den Servern des Software-Anbieters gehostet. Dabei hat man selbst keinen Einfluss darauf, wo die Daten gespeichert werden. Deshalb ist es wichtig darauf zu achten, wie der Software-Anbieter mit den gespeicherten Daten umgeht. Eine wichtige Frage ist, ob die Server innerhalb der EU stehen. Antworten auf dieses Thema findet man in der Datenschutzerklärung auf der Webseite eines Anbieters. Ist das Thema Datenschutz nicht transparent von einem Unternehmen aufgearbeitet, ist von einem Kauf abzuraten. Um auf Nummer sicher zu gehen, kann man mit dem Software-Anbieter eine Auftragsverarbeiter-Vereinbarung abschließen.

Weiters sollte in der Software ein Rollensystem vorhanden sein, damit für unterschiedliche Benutzergruppen eigene Rechte und Privilegien definiert werden können. Gerade im Personalbereich sind oft personenbezogene Daten betroffen und eine Vielzahl von Kollegen hat Zugriff auf das System. Um hier einen sicheren Umgang zu gewährleisten, muss man genau steuern können, wer auf welche Daten Zugriff hat.

Benötigt man eine Software um DSGVO-konform zu sein?

Ja und Nein: Bei dieser Frage scheiden sich die Geister. Grundsätzlich braucht man keine Software um DSGVO-konform zu sein. Allerdings kennen wir die Umsetzungen in der Praxis, wenn es eben keine standardisierten Prozesse gibt. Allzu oft werden Dienstpläne, Arbeitsaufzeichnungen und andere sensible Daten per Mail oder WhatsApp versendet. Oft werden auch E-Mail Postfächer über Jahre nicht bereinigt, sodass man keine Kontrolle mehr über die Daten hat. Eine Software mit verschiedenen Zugriffsrechten, um die Sichtbarkeit von sensiblen Daten einzuschränken, ist hier eine Unterstützung.

Fazit

Wir von Planery finden die DSGVO sehr gut, auch wenn diese natürlich gerade in der Umstellungsphase einen zusätzlichen bürokratischen Aufwand verursacht. Diese ist aber trotzdem dringend nötig, denn in den letzten Jahren ist die Menge an Daten, die über das Internet transferiert worden sind, um ein Vielfaches gestiegen und zukünftig wird die Menge an Daten noch weiter steigen. Deswegen ist ein bewusster Umgang mit Daten im Allgemeinen sehr wichtig. Gerade aber für personenbezogene Daten von Mitarbeitern ist ein verantwortungsbewusster Umgang die Pflicht für jeden Geschäftsführer und Personalmanager.