Bild - DSGVO bei Invoice, IT und HR | © HENRICHSEN AG

DSGVO bei Invoice, IT und HR

27.04.2018

Die EU-DSGVO (Datenschutzgrundverordnung, englisch GDPR für General Data Protection Regulation) ist bereits am 24.05.2016 in Kraftgetreten. Am 25.05.2018 endet nun die zweijährige Übergangszeit, nach der private Unternehmen und öffentliche Stellen europaweit die Regelungen der Verordnung umgesetzt haben müssen. Die DSGVO regelt dabei im Kern, wie personenbezogene Daten verarbeitet werden dürfen. Dabei stehen einzelne Personen im Mittelpunkt, da diese in Bezug auf Erhebung und Speicherung ihrer Daten verschiedene Rechte haben, die seitens der Unternehmen eingehalten werden müssen. So müssen Personen z.B. vorher befragt werden, bevor überhaupt personenbezogene Daten erhoben werden. Außerdem hat jeder das Recht auf "vergessen werden" seiner Daten. Das bedeutet, dass Daten nach einer gewissen Zeit wieder gelöscht werden müssen.  

 

Die aus dem Jahr 1995 stammende Richtlinie 95/46/EG wird durch die DSGVO ersetzt. Anders als bei der alten Richtlinie sind die Vorgaben aber nicht erst in nationales Recht umzusetzen, sondern gelten unmittelbar. Was heißt das für Unternehmen? Es muss genau geprüft werden, wo personenbezogene Daten erhoben werden, ob dies im Einverständnis der betroffenen Personen erfolgt, wer auf diese Daten Zugriff hat und ob das Recht auf Vergessen werden (automatische Löschung nach bestimmter Zeit) gewährleistet ist. All diese Themen müssen dokumentiert und per Verfahrensanweisung jederzeit vorzeigbar sein.  

 

Für die Lösungen aus dem Portfolio der HENRICHSEN AG bedeutet das folgendes:  

 

Auswirkungen auf den HR-Bereich: 

Als direkte Auswirkung der neuen Rechenschaftspflicht ergibt sich die Verpflichtung, jederzeit die Befolgung aller Vorschriften der EU-DSGVO nachweisen zu können. Personalabteilungen müssen daher deutlich mehr dokumentieren.  

Als Beispiele für weitere Anforderungen seien genannt: 

  • Beschreibung von Prozessen 
  • Nachweispflicht, dass verwendete Softwareprodukte ausschließlich notwendige Daten verarbeiten 
  • Vorlage eines dokumentierten Rechtekonzepts auf Verlangen 
  • Fristgerechte Löschung aller personenbezogenen Daten 
  • Information von Bewerbern und Mitarbeitern über die Datenverarbeitung 

 

Zudem muss die Aufbewahrung, Archivierung und Vernichtung von Daten in den HCM-Systemen geregelt werden. Eine Lösung von SAP — zur Verwaltung des Lebenszyklus produktiver und archivierter Daten — stellt das Information Lifecycle Management (ILM) dar. Die Datenverwaltung erfolgt hierbei auf Grundlage von Regeln, bei deren Konfiguration die gesetzlichen Vorgaben und Aufbewahrungsfristen berücksichtigt werden müssen. 

 

Auch im Bereich der Auftragsdatenverarbeitung, beispielsweise für Lohnabrechnung oder Software der Service Betreiber gibt es Änderungen. Die Pflichtinhalte des Vertrags zur Auftragsdatenvereinbarung sind geändert. Alle bestehenden Verträge und Vertragsmuster müssen geprüft und ggf. angepasst werden. Am 25.05.2018 müssen alle Verträge – auch Altverträge – den neuen Anforderungen genügen. Dienstleister sind zukünftig selber verantwortlich, dass ihre Dienstleistung oder Software den Anforderungen der EU-DSGVO genügt. 

 

Auswirkungen auf die IT: 

Um DSGVO-Konformität zu gewährleisten sind Unternehmen dazu gezwungen ihr bisheriges Datenmanagement, ihre Geschäftsprozesse, Compliance-Regelungen und vor allem bestehende Sicherheitsstrategien zu überprüfen und der neuen Rechtslage anzupassen. 

Schwierigkeiten bereiten dabei die Identifizierung und Löschung nicht mehr benötigter Daten und veralteter Datensilos, die Anpassung von Prozessen und Verträgen (z. B. neue ADV Verträge, neue EU-Standardverträge), die die erweiterten Informationsrechte berücksichtigen und natürlich eine datenschutzgerechte Security-Infrastruktur.

 

Als Beispiele lassen sich hier nennen: 

  • Verwehrung des Zugangs zu Verarbeitungsanlagen, mit denen die Verarbeitung durchgeführt wird, für Unbefugte (Zugangskontrolle) 
  • Verhinderung des unbefugten Lesens, Kopierens, Veränderns oder Löschens von Datenträgern (Datenträgerkontrolle) 
  • Verhinderung der unbefugten Eingabe von personenbezogenen Daten sowie der unbefugten Kenntnisnahme, Veränderung und Löschung von gespeicherten personenbezogenen Daten (Speicherkontrolle) 
  • Verhinderung der Nutzung automatisierter Verarbeitungssysteme mit Hilfe von Einrichtungen zur Datenübertragung durch Unbefugte (Benutzerkontrolle) 
  • Gewährleistung, dass die zur Benutzung eines automatisierten Verarbeitungssystems Berechtigten ausschließlich zu den von ihrer Zugangsberechtigung umfassten personenbezogenen Daten Zugang haben (Zugriffskontrolle) 
  • Gewährleistung, dass überprüft und festgestellt werden kann, an welche Stellen personenbezogene Daten mit Hilfe von Einrichtungen zur Datenübertragung übermittelt oder zur Verfügung gestellt wurden oder werden können (Übertragungskontrolle) 
  • Gewährleistung, dass nachträglich überprüft und festgestellt werden kann, welche personenbezogenen Daten zu welcher Zeit und von wem in automatisierte Verarbeitungssysteme eingegeben oder verändert worden sind (Eingabekontrolle) 
  • Gewährleistung, dass bei der Übermittlung personenbezogener Daten sowie beim Transport von Datenträgern die Vertraulichkeit und Integrität der Daten geschützt werden (Transportkontrolle) 
  • Gewährleistung, dass eingesetzte Systeme im Störungsfall wiederhergestellt werden können (Wiederherstellbarkeit) 
  • Gewährleistung, dass alle Funktionen des Systems zur Verfügung stehen und auftretende Fehlfunktionen gemeldet werden (Zuverlässigkeit) 
  • Gewährleistung, dass gespeicherte personenbezogene Daten nicht durch Fehlfunktionen des Systems beschädigt werden können (Datenintegrität) 
  • Gewährleistung, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können (Auftragskontrolle) 
  • Gewährleistung, dass personenbezogene Daten gegen Zerstörung oder Verlust geschützt sind (Verfügbarkeitskontrolle) 
  • Gewährleistung, dass zu unterschiedlichen Zwecken erhobene personenbezogene Daten getrennt verarbeitet werden können (Trennbarkeit) 

 

Auswirkungen auf den Invoice-Bereich:

Im Fokus der Rechnungseingangsverarbeitung stehen alle Belege, bei denen personenbezogene Daten verarbeitet werden. Die Frage, die hier gestellt werden muss: „Gibt es Rechnungen, die personenbezogene Daten enthalten?“. Üblicherweise sind dies Sammelrechnungen wie z.B. Telekom Mobilfunkrechnung, Tankkartenabrechnung, Airplus-Rechnungen und so weiter. Also alle Rechnungen, bei denen Namen einzelner Personen auftauchen.  

Können Anwender diese Rechnungen identifizieren, muss eine Abstimmung mit dem internen Datenschutzbeauftragten erfolgen, wie mit diesen Rechnungen umzugehen ist.  
 
Grundsätzlich gibt es dann auf Kundenseite zwei Möglichkeiten: 

  • Fall 1: Es darf nur noch ein sehr begrenzter Personenkreis die Rechnungen einsehen und freigeben. Dies muss im Workflow bzw. im Prozess sichergestellt und auch dokumentiert werden. 
  • Fall 2: Es erfolgt eine Umstellung von Sammelrechnungen auf Einzelrechnungen. Nachteil: Das Rechnungsvolumen wird erhöht.  

 

Im Fall 2 muss mit der gestiegenen Anzahl an Rechnungen im Prozess natürlich erst umgegangen werden. Hier empfiehlt sich ein weitgehender Automatismus, bei dem der Großteil der Rechnungen automatisch verarbeitet wird - ohne Eingriffe eines Users. Seitens der HENRICHSEN AG liegt bereits ein Konzept vor, wie dies auf Kundenseite umgesetzt werden kann. Durch dieses Konzept kann eine DSGVO-konforme Bearbeitung von Sammelrechnungen auch nach dem 25.05.2018 sichergestellt werden.  

Gerne zeigen wir Ihnen, wie unsere Lösung konkret aussieht. Bitte füllen Sie hierzu das Kontaktformular aus.

 
 

Diese Beiträge könnten Sie auch interessieren

Die Sicherheit der IT-Landschaft in Unternehmen wird oftmals mit der Absicherung der jeweiligen Infrastruktur gleichgesetzt. Digitalisierte Geschäftsprozesse landen in diesem Zusammenhang meist nicht im Fokus. Dabei sind es genau diese Prozesse, die anfällig und schützenswert sind.

mehr lesen
News

Die neue EU Datenschutz-Grundverordnung wird am 25. Mai 2018 wirksam. Erfahren Sie bereits heute, welche Auswirkungen dies für Unternehmen hat & welche Schritte für die erforderliche Transformation des Datenschutz-Managementsystems notwendig sind, um den neu entstehenden Compliance Verpflichtungen nach zu kommen.

mehr lesen
News

Erfahren Sie, wie Sie durch die Installation intelligenter Löschworkflows auf Basis von SAP die Zahl Ihrer täglichen, zeitintensiven Arbeiten reduzieren können.

mehr lesen
News

Ich suche nach