Sind Sie GDPR bereit? Wir helfen Ihnen...

Was sind personenbezogene Daten?

Zu den personenbezogenen Daten gehören zum Beispiel: Name, Adresse, geographische Lage, elektronischer Identifikator (Personalausweis in digitaler Umgebung), gesundheitliche Daten, Einkommen, Kulturprofil usw.

Mit dem steigenden Maß an Digitalisierung ist das viel einfacher, die Daten über einzelne Benutzer zu erheben. Oft fällt uns gar nichts ein, welches Risiko wir durch unvorsichtige Teilung von Informationen über die eigene Person eingehen. Sorglos füllen wir die Spalten der E-Shop Formulare aus, nutzen diverse Kundenkarten, beantworten unterschiedliche Befragungen oder versorgen die sozialen Netze mit Angelegenheiten aus unserem Privatleben. Unsere Informationen sind noch bei einzelnen Verwaltern von diesen Datenbasen zerstreut. Aber das Risiko, dass die Informationen über einen konkreten Menschen in ein ganzheitliches Bild verschmelzen, ist schrecklich und immer mehr aktuell. Dieses Risiko versuchen die Gesetzgeber zu bekämpfen, und zwar durch die Bestimmung von Grenzen für die Gewinnung und Aufbewahrung von personenbezogenen Daten, also im Rahmen der GDPR (General Data Protection Regulation).

Wer ist von der GDPR betroffen?

GDPR betrifft nicht nur Institutionen, sondern auch einzelne Personen oder online Anbieter, die mit den Benutzerdaten arbeiten – zum Beispiel diejenigen, die das Verhalten von Menschen auf dem Web bei der Verwendung von Applikationen oder Smarttechnologien verfolgen und analysieren. Eine weitere Gruppe bilden verkäufliche Datenbasen, durch welche die Marktleute gezielt die Werbungsempfänger ansprechen, und zwar nach Alter, Geschlecht, Interessen, Beruf und weiteren Kriterien. Die Pakete von Kontakten waren schon immer ein wertvoller Artikel für deren Besitzer. Für ihre weitere Benutzung wird jedoch die erneute Zustimmung im Rahmen der GDPR Regelwerke notwendig, und zwar durch wissentliches Abhaken der Zustimmung mit Zusendung von geschäftlichen Mitteilungen. Sollte dies der Besitzer der Datenbasis nicht gewinnen, wird er die Kontakte löschen müssen. Viele Firmen können auf dieser Grundlage ihren Unternehmensgegenstand verlieren.

Wer ist der „Data Protection Officer“?

Firmen, die als Datenverwalter handeln (oder mehr als 250 Personen beschäftigen), sollten im Rahmen der erfolgreichen Beherrschung von GDPR die Position eines unabhängigen „Beauftragten für personenbezogene Daten“ (Data Protection Officer) installieren, der dafür verantwortlich ist, dass die Gesellschaft alles korrekt eingestellt hat und die GDPR Vorgaben einhält. Der Beauftragte wird ebenfalls die Kommunikation mit den Aufsichtsorganen, insbesondere mit der Datenschutzbehörde gewährleisten. Die Installierung der Positionen von DPO betrifft ebenfalls kleinere Firmen, die personenbezogene Daten bearbeiten: 1) als öffentliches Organ; 2) als Haupttätigkeit, bestehend in Operationen der regelmäßigen und systematischen Verfolgung der Subjekte – zum Beispiel Verfolgung des online Verhaltens der Benutzer; 3) aus dem Bereich der sensiblen Kategorien (gesundheitliche Daten, biometrische Angaben, Führungszeugnis usw.). Dieser Fachmann sollte die IT Umgebung kennen, da GDPR mit der Einführung der Digitalisierung von Dokumenten verbunden ist. Diese werden dann auf dem elektronischen Wege verarbeitet, aufbewahrt und vernichtet. Sollte eine Firma keine Pflicht haben, einen DPO zu installieren, sollte sie trotzdem eine bestimmte Person oder Abteilung beauftragen, welche die neuen Verordnungen bezüglich der Verwaltung von personenbezogenen Daten betreut.

Was ist das „Prinzip der nachvollziehbaren Verantwortlichkeit“?

Zu den GDPR Pflichten gehört das sogenannte Prinzip der nachvollziehbaren Verantwortlichkeit (accountability), was eine durchgehende Dokumentation der Einhaltung von GDPR Regeln und die Fähigkeit der Erfüllung dieser Regel bedeutet. Dieser Maßnahme betrifft die Firmen mit mehr als 250 Mitarbeitern (kleinere Firmen nur bei der Bearbeitung von sensiblen Daten, staatlichen Organisationen und Firmen, welche das online Verhalten verfolgen).

Finanzielle Auswirkungen von GDPR

Man muss sich bewusst sein, dass sie GDPR Agenda zu einem großen Teil das Firmenbudget belasten wird. Es wird notwendig sein, in die erforderliche Software zu investieren und den menschlichen Faktor für die Software Implementierung oder begleitende Beratung zu bezahlen. Ebenfalls kommen höhere Personalkosten zu Buche – bei der Pflicht, die DPO Position zu installieren. Sämtliche genannte Aufwendungen können für kleinere Firmen eine Liquidation bedeuten. Die Kosten für GDPR werden die Firmen wahrscheinlich in ihre Produkte oder Dienstleistungen auflösen, was ihre Preiserhöhung und damit zusammenhängende niedrigere Konkurrenzfähigkeit der europäischen Firmen gegenüber den östlichen (zum Beispiel asiatischen) Firmen, die von der europäischen Verordnung nicht betroffen werden, zur Folge haben wird (betroffen werden jedoch die Gesellschaften und Institutionen außerhalb von EU, die auf dem europäischen Markt agieren).

Droht Ihnen eine Geldbuße?

Die Erfüllung von allen GDPR Anforderungen ist ein Langstreckenlauf. Wer mit GDPR noch nicht begonnen hat, wird die Frist sicherlich nicht schaffen. Man muss zumindest einen Plan erstellen und entsprechende Firmenprozesse einleiten. Sollten die Kontrollorgane nach dem 25. 5. 2018 feststellen, dass sich die Firma im systematischen verantwortungsvollen Prozess der Einführung von GDPR befindet, wird sie nicht mit solchen Sanktionen betroffen, als hätte sie die Maßnahmen noch gar nicht getroffen. Und wie ist die Höhe der Strafe? Sollte die Gesellschaft nicht in der Lage sein, ihren Einklang mit GDPR zu bescheinigen, stellt sie sich dem Risiko einer Sanktion von bis zu 20 Millionen EUR oder 4 % aus dem weltweiten Umsatz der Gruppe für das vorherige Finanzjahr, je nachdem welcher der Beträge höher ist, aus. Laut der Untersuchung der Gesellschaft Gartner werden bis Ende 2018 ca. 50 % der Firmen nicht in vollem Einklang mit der Verordnung der GDPR stehen.

Wo findet man die Hilfe mit GDPR?

Im Hinblick auf die Ansprüche von GDPR auf Informationssysteme sind die Firmen für IT Lieferung und Integrierung die Schlüsselpartner der betroffenen Unternehmen, da die jeweiligen Maßnahmen auf keinem anderen als dem elektronischen/Softwarewege geschaffen werden können. Die Gesellschaft IXTENT ist gerne bereit, Ihnen in dieser Problematik behilflich zu sein. Wir werden Ihre Firma in ein digitales Unternehmen verwandeln und sämtliche elektronische Prozesse zur Erfüllung der GDPR Richtlinien einstellen.

Was ist die Voraussetzung der erfolgreichen GDPR Beherrschung?

„Es ist wichtig, die Maßnahmen einer Retentionspolitik zwecks regelmäßiger und gesteuerter Dokumentenvernichtung einzuführen. Die Daten sollten nicht länger aufbewahrt werden, als es für die Zweckerfüllung notwendig ist,“ sagt Roman Knapp, Geschäftsführer von IXTENT s.r.o. Es ist also notwendig: die Politik hinsichtlich Einstellung der Retentionsfristen zu definieren, und zwar für alle Datenträger von personenbezogenen Daten, die in der Organisation bearbeitet werden; administrative und IT Prozeduren im Einklang mit dieser Politik einzustellen und zu benutzen; sicherzustellen, damit die Informationen über ehemalige Kunden, Mitarbeiter oder Geschäftspartner regelmäßig und routinemäßig aus dem System gelöscht werden.“

Wissen Sie, dass personenbezogene Daten auch auf der Rechnung oder dem Lieferschein stehen?

Personenbezogene Daten sind in verschiedenen Formaten gespeichert: geschäftliche und arbeitsmäßige Kommunikation beinhaltet nicht strukturierte Informationen in Dokumenten. Die Geschäftsprozesse bilden dagegen strukturierte Daten. Personenbezogene Daten beinhalten zum Beispiel: HR Eintragungen, Logistikdokumenten, Verträge und Bestellungen, Marketingunterlagen, Ausschreibungsdaten, Daten der Wertschöpfungskette. Diese Daten müssen gelöscht werden, nachdem der Grund für ihre Speicherung erloschen ist.

Welche Software ist für GDPR auszuwählen?

Für diese Zwecke ist das sogenannte Records Management, Bestandteil der Plattform OpenText, geeignet – Instrument für die Steuerung von Lebenszyklus von nicht strukturierten Informationen (ermöglicht die Bildung der Archivierungspläne, Einstellung der Retentionspolitik, Applikation von „Daten Freeze“, Suche von allen archivierten Informationen). Die Plattform ist ein ideales Arbeitsumfeld für den Records Manager/Data Protection Officer, der im Rahmen der Firma das GDPR zu betreuen hat). Sie ermöglicht ihm, einzelne Regelwerke und komplette Politiken, Verwaltung der Retentionsperioden, Datensuche und „Daten Freeze“ oder Berichtswesen zu realisieren.  

Ein ergänzender Nachtrag dieser Software ist Ixtent Smart Document Flow, der im Zusammenhang mit GDPR nützliche Extrafunktionen ermöglicht, wie zum Beispiel Definition der Regeln für automatisches Löschen der Dokumente; logisches und physisches löschen der Dokumente; einfache Einstellung der Rechte für einzelne Gruppen von Dokumenten oder Benutzern usw.

 

 

Zusammenfassung

EU ist mit ihren neuen Verordnungen an die Unterstützung der Digitalisierung gerichtet. Aus Sicht der GDPR ist es notwendig, auch an personenbezogene Daten in den Dokumenten und nicht nur in den Datenbasen zu denken. Ixtent ist technologisch vorbereitet, die Anforderungen von GDPR gerade im Bereich der Dokumente mit dem Tool OpenText Records Management, das den Grundstein der Plattform für die Dokumentenverwaltung bildet, zu meistern. Die Voraussetzung einer erfolgreichen Implementierung von GDPR besteht im Wechsel zur elektronischen Version der Dokumente. Die IXTENT Lösung ist in der Lage, verschiedene Quellen von nicht strukturierten Daten und Informationen zu gewährleisten. Die komplexe Abdeckung der GDPR Anforderungen werden wir in Zusammenarbeit mit dem Systemintegrator gewährleisten (höheres Niveau von Ixtent Smart Document Flow). Für einleitende und nachfolgende rechtliche Konsultationen werden wir einen Fachmann für die GDPR Fragen vermitteln.

Noch heute bei uns eine zuverlässige Lösung anfragen und die GDPR Richtlinie erfolgreich schaffen!