Die 11 Bestandteile einer EU-DSGVO-Einführung
Seit 24.05.2016 ist die neue EU-Datenschutz-Grundverordnung (EU-DSGVO) in Kraft getreten. Sie schreibt strengere Regeln für den ordnungsgemäßen Umgang mit personenbezogenen Daten vor. Für Unternehmen ist sie ab 25.05.2018 verpflichtend. Bei Nicht-Einhaltung drohen teils empfindlich hohe Strafen von bis zu 20 Millionen Euro oder bis zu 4 % des gesamten Jahresumsatzes. Höchste Zeit also, sich mit dem Thema etwas genauer zu befassen. In diesem Artikel stelle ich Ihnen die zentralen 11 Bestandteile der EU-DSGVO vor, auf die Sie bei der Umsetzung in Ihrem Unternehmen dringend achten müssen.
Voraussetzung für die Umsetzung ist ein solides Grundverständnis der neuen gesetzlichen Anforderungen. Welche spezifischen Änderungen kommen denn jetzt im Detail auf ein Unternehmen zu? Wie können diese Bestandteile umgesetzt werden? Mit diesem Artikel möchte ich Licht ins Dunkel bringen und stelle Ihnen die 11 grundsätzlichen Aspekte vor, auf die es zu achten gilt:
1. Zugangskontrolle
Hier geht es darum, nur berechtigten Nutzern Zugriff auf die jeweiligen Systeme des Unternehmens zu verschaffen. Eine solche Kontrolle ist durch die Nutzung von individuellen Log-In Daten zwar in praktisch jedem modernen System gegeben, jedoch versteckt sich hier vor allem ein menschliches Fehlerpotential. Wenn Passwörter oder Log-in-Daten freizügig untereinander ausgetauscht werden oder ein unachtsamer Umgang damit stattfindet, können diese schnell in die falschen Hände geraten. Alleine durch den Verlust eines Mobile Devices kann die Integrität solcher Daten nicht mehr garantiert werden.
Die gute Nachricht: Durch Maßnahmen wie Mitarbeiterschulungen, regelmäßigen Sicherheits-Patches und einem Enterprise Mobility Management können diese Gefährdungen effektiv eingedämmt werden. Für mehr Infos zum Thema Mobility Management kann ich Ihnen die Informationen auf der Webseite unserer Kollegen von Mission Mobile ans Herz legen.
2. Zugriffskontrolle
Nicht immer ist es notwendig, dass all Ihre Mitarbeiter Zugriff auf diverse Systeme und deren Funktionen haben. Vor allem sind hier nach der neuen EU-DSGVO nun auch Lesezugriffe relevant, über die sensible Daten von nicht-berechtigten Angestellten ausgelesen werden können. Ein sinnvolles, durchdachtes Berechtigungskonzept und vor allem dessen strikte Einhaltung durch organisatorische Rahmenbedingungen ist hier essenziell.
3. Weitergabekontrolle
Sie müssen sicherstellen, dass Daten bei der Speicherung und der elektronischen Übermittlung nicht unbefugt gelesen werden können. Hierfür sollte die Systemlandschaft gründlich dokumentiert, sowie die Kommunikationswege der Schnittstellen überprüft und ggf. angepasst werden.
4. Eingabekontrolle
Die EU-DSGVO sieht außerdem vor, dass alle Änderungen an personenbezogenen Daten protokolliert und dem ändernden Benutzer zugeordnet werden müssen. Moderne Systeme verfügen über die Funktion Änderungsbelege, bzw. Change-Logs anzulegen, mit denen jede Änderung dokumentiert und von Ihnen nachvollzogen werden kann.
5. Auftragskontrolle
Auftragnehmer müssen durch den Verantwortlichen für Datenverarbeitung sorgfältig ausgewählt und kontrolliert werden. Insbesondere wenn dieser, in Verbindung mit dessen Leistung, mit persönlichen Daten innerhalb des Unternehmens in Kontakt kommt. Das können Sie gewährleisten, indem Sie regelmäßige Audits durchführen.
6. Verfügbarkeitskontrolle
Sie müssen sicherstellen, dass personenbezogene Daten jederzeit verfügbar sind. Um dies zu gewährleisten, sind Back-Ups und Datenrettungskonzepte obligatorisch.
7. Prinzip der Datentrennung
Laut EU-DSGVO müssen Sie Datensätze, auch wenn sie identisch sind, prinzipiell getrennt voneinander halten, wenn sie für unterschiedliche Zwecke erhoben wurden.
8. Auskunftsrecht der Betroffenen
Sie müssen Betroffenen in Ihrem Betrieb jederzeit eine ausführliche und verständliche Auskunft über folgende Daten ermöglichen:
- Alle zur Person gespeicherten Daten
- Die Empfänger oder Empfängerkategorien
- Die Zwecke der Speicherung
- Die Herkunft der Daten, sofern nicht beim Betroffenen erhoben
- Daten über Profile und deren Grundlage
- Aufbewahrungsdauer der Daten
Der Betroffene hat außerdem das Recht, die Löschung der Daten zu fordern. Beim SAP-SuccessFactors-System können Sie diese Auskunft z. B. bequem über den „Data Subject Information Report“ erstellen.
9. Sperren und Löschen personenbezogener Daten
Personenbezogene Daten dürfen nur solange genutzt werden, wie es für deren Einsatzzweck gerechtfertigt ist. Das bedeutet, dass alle Daten, die aus diesem Rahmen herausfallen, umgehend gelöscht werden müssen. Für manche Daten gibt es jedoch gesetzliche Aufbewahrungsfristen. In diesem Falle müssen die Daten bis zum Ablauf der gesetzlichen Frist gesperrt werden. Das physische Löschen von Daten im Rechenzentrum wird bei SAP SuccessFactors übrigens auch als „Data Purge“ bezeichnet.
10. Verschlüsselung
Durch eine Verschlüsselung der Daten sowohl in der Datenbank als auch auf den Kommunikationswegen werden unberechtigte Zugriffe deutlich erschwert. Solche Verschlüsselungen sind mittlerweile zu einem Basis-Feature bei SAP geworden.
11. Einwilligung
Die Erhebung und Verarbeitung von personenbezogenen Daten setzen grundsätzlich das Einverständnis des Betroffenen voraus. Jedoch stehen diesem auch die Rechte und Pflichten des Arbeitsgebers gegenüber.
Full-Service: EU-DSGVO im HCM-Bereich umsetzen
Machen Sie mit unserem Angebot Ihr Personalsystem langfristig und ohne großen Eigenaufwand EU-DSGVO-konform – und vermeiden Sie so hohe Strafgebühren.
Ihre nächsten Schritte
Mit diesem Blogbeitrag haben Sie nun einen ersten Überblick über die Anforderungen der neuen EU-DSGVO erhalten. Für mehr Details zu den einzelnen Punkten können Sie sich zum Beispiel unser kostenloses E-Book zum Thema DSGVO herunterladen: Wie mache ich mein SAP-System fit für die DSGVO?
Sie wollen erfahren, wie Sie die neuen Bestimmungen der neuen EU-DSGVO-Verordnung in Ihrem eigenen Unternehmenskontext effektiv umsetzen, um alle gesetzlichen Bestimmungen zu erfüllen? Gerne beraten wir Sie individuell. Hinterlassen Sie einfach einen Kommentar oder kontaktieren Sie uns unter info@activate-hr.de.
