27.04.2018
Die EU-DSGVO (Datenschutzgrundverordnung, englisch GDPR für General Data Protection Regulation) ist bereits am 24.05.2016 in Kraftgetreten. Am 25.05.2018 endet nun die zweijährige Übergangszeit, nach der private Unternehmen und öffentliche Stellen europaweit die Regelungen der Verordnung umgesetzt haben müssen. Die DSGVO regelt dabei im Kern, wie personenbezogene Daten verarbeitet werden dürfen. Dabei stehen einzelne Personen im Mittelpunkt, da diese in Bezug auf Erhebung und Speicherung ihrer Daten verschiedene Rechte haben, die seitens der Unternehmen eingehalten werden müssen. So müssen Personen z.B. vorher befragt werden, bevor überhaupt personenbezogene Daten erhoben werden. Außerdem hat jeder das Recht auf "vergessen werden" seiner Daten. Das bedeutet, dass Daten nach einer gewissen Zeit wieder gelöscht werden müssen.
Die aus dem Jahr 1995 stammende Richtlinie 95/46/EG wird durch die DSGVO ersetzt. Anders als bei der alten Richtlinie sind die Vorgaben aber nicht erst in nationales Recht umzusetzen, sondern gelten unmittelbar. Was heißt das für Unternehmen? Es muss genau geprüft werden, wo personenbezogene Daten erhoben werden, ob dies im Einverständnis der betroffenen Personen erfolgt, wer auf diese Daten Zugriff hat und ob das Recht auf Vergessen werden (automatische Löschung nach bestimmter Zeit) gewährleistet ist. All diese Themen müssen dokumentiert und per Verfahrensanweisung jederzeit vorzeigbar sein.
Für die Lösungen aus dem Portfolio der HENRICHSEN AG bedeutet das folgendes:
Als direkte Auswirkung der neuen Rechenschaftspflicht ergibt sich die Verpflichtung, jederzeit die Befolgung aller Vorschriften der EU-DSGVO nachweisen zu können. Personalabteilungen müssen daher deutlich mehr dokumentieren.
Als Beispiele für weitere Anforderungen seien genannt:
Zudem muss die Aufbewahrung, Archivierung und Vernichtung von Daten in den HCM-Systemen geregelt werden. Eine Lösung von SAP — zur Verwaltung des Lebenszyklus produktiver und archivierter Daten — stellt das Information Lifecycle Management (ILM) dar. Die Datenverwaltung erfolgt hierbei auf Grundlage von Regeln, bei deren Konfiguration die gesetzlichen Vorgaben und Aufbewahrungsfristen berücksichtigt werden müssen.
Auch im Bereich der Auftragsdatenverarbeitung, beispielsweise für Lohnabrechnung oder Software der Service Betreiber gibt es Änderungen. Die Pflichtinhalte des Vertrags zur Auftragsdatenvereinbarung sind geändert. Alle bestehenden Verträge und Vertragsmuster müssen geprüft und ggf. angepasst werden. Am 25.05.2018 müssen alle Verträge – auch Altverträge – den neuen Anforderungen genügen. Dienstleister sind zukünftig selber verantwortlich, dass ihre Dienstleistung oder Software den Anforderungen der EU-DSGVO genügt.
Um DSGVO-Konformität zu gewährleisten sind Unternehmen dazu gezwungen ihr bisheriges Datenmanagement, ihre Geschäftsprozesse, Compliance-Regelungen und vor allem bestehende Sicherheitsstrategien zu überprüfen und der neuen Rechtslage anzupassen.
Schwierigkeiten bereiten dabei die Identifizierung und Löschung nicht mehr benötigter Daten und veralteter Datensilos, die Anpassung von Prozessen und Verträgen (z. B. neue ADV Verträge, neue EU-Standardverträge), die die erweiterten Informationsrechte berücksichtigen und natürlich eine datenschutzgerechte Security-Infrastruktur.
Als Beispiele lassen sich hier nennen:
Im Fokus der Rechnungseingangsverarbeitung stehen alle Belege, bei denen personenbezogene Daten verarbeitet werden. Die Frage, die hier gestellt werden muss: „Gibt es Rechnungen, die personenbezogene Daten enthalten?“. Üblicherweise sind dies Sammelrechnungen wie z.B. Telekom Mobilfunkrechnung, Tankkartenabrechnung, Airplus-Rechnungen und so weiter. Also alle Rechnungen, bei denen Namen einzelner Personen auftauchen.
Können Anwender diese Rechnungen identifizieren, muss eine Abstimmung mit dem internen Datenschutzbeauftragten erfolgen, wie mit diesen Rechnungen umzugehen ist.
Grundsätzlich gibt es dann auf Kundenseite zwei Möglichkeiten:
Im Fall 2 muss mit der gestiegenen Anzahl an Rechnungen im Prozess natürlich erst umgegangen werden. Hier empfiehlt sich ein weitgehender Automatismus, bei dem der Großteil der Rechnungen automatisch verarbeitet wird - ohne Eingriffe eines Users. Seitens der HENRICHSEN AG liegt bereits ein Konzept vor, wie dies auf Kundenseite umgesetzt werden kann. Durch dieses Konzept kann eine DSGVO-konforme Bearbeitung von Sammelrechnungen auch nach dem 25.05.2018 sichergestellt werden.
Gerne zeigen wir Ihnen, wie unsere Lösung konkret aussieht. Bitte füllen Sie hierzu das Kontaktformular aus.
Die Sicherheit der IT-Landschaft in Unternehmen wird oftmals mit der Absicherung der jeweiligen Infrastruktur gleichgesetzt. Digitalisierte Geschäftsprozesse landen in diesem Zusammenhang meist nicht im Fokus. Dabei sind es genau diese Prozesse, die anfällig und schützenswert sind.
mehr lesenDie neue EU Datenschutz-Grundverordnung wird am 25. Mai 2018 wirksam. Erfahren Sie bereits heute, welche Auswirkungen dies für Unternehmen hat & welche Schritte für die erforderliche Transformation des Datenschutz-Managementsystems notwendig sind, um den neu entstehenden Compliance Verpflichtungen nach zu kommen.
mehr lesenErfahren Sie, wie Sie durch die Installation intelligenter Löschworkflows auf Basis von SAP die Zahl Ihrer täglichen, zeitintensiven Arbeiten reduzieren können.
mehr lesen