EU-Datenschutz-Grundverordnung – Kein Grund zur Panik!

6 Lösungen für DSGVO konforme Prozesse

Tipps & Tricks - DSGVO

Bereits am 25. Mai 2016 ist sie in Kraft getreten: Die EU-Datenschutz-Grundverordnung. Zwei Jahre später kommt sie nun zur Anwendung und löst die bis dahin geltende Datenschutzrichtlinie 95/46/EG ab. Sie wird das Datenschutzrecht innerhalb der Europäischen Union nicht völlig umwälzen, aber weiter verschärfen und standardisieren. In der Praxis hat das für alle, die mit personenbezogenen Daten arbeiten, einen erheblichen Aufwand zur Folge.  

Für Unternehmen leiten sich daraus neue Transparenz und Informationspflichten ab, die bereits bei der Einführung bzw. Ausübung neuer Technologien oder Arbeitsweisen mitgedacht werden müssen (Privacy by design/by default). Sie müssen demnach genau dokumentieren, welchen Daten in einem Prozess von einer Person gespeichert werden, diese bei Bedarf abrufen und löschen können und nachweisen, dass diese Schritte erfolgt sind. Bei Verstoß gegen die neuen Vorgaben drohen hohe Strafen, die sich auf bis zu 20 Mio. EUR oder 4 Prozent des gesamten weltweiten erzielten Jahresumsatzes belaufen können. Ihre Einhaltung wird durch die EU-Datenschutzaufsichtsbehörde und Gerichte überprüft.

Digitale Hilfsmittel und Technologien können auf Basis digitaler Prozesse und umfassender Workflows helfen, den manuellen Mehraufwand und die Kosten zu reduzieren. Im Umkehrschluss schafft Automatisierung Nachvollziehbarkeit und Sicherheit für alle Beteiligten. Wir haben sechs Beispiele für DSGVO-konforme digitale Prozesse mit JobRouter® herausgesucht, um diesen Mehrwert zu verdeutlichen:

Angefragte Dateneinsicht

Unternehmen sind verpflichtet, bei Anfrage des Kunden, alle gespeicherten, genutzten und weiterverarbeiteten personenbezogenen Daten offenzulegen. Das kann bei einer hohen Kunden- und Interessentenzahl sehr aufwendig sein, kostbare Ressourcen blockieren und bei langen Bearbeitungszeiten die Beziehung zum Kunden schädigen.

Lösung

Ein JobRouter®-Prozess stellt diese Daten automatisch – auch aus unterschiedlichen Quellen (Systemen, Datenbanken) – zusammen und übermittelt sie direkt. Zum Beispiel könnte der Prozess über ein Formular auf der Webseite voll automatisiert angestoßen werden, die Bearbeitungszeit würde sich dadurch stark reduzieren – der Kunde hätte Sicherheit über seine Daten und das Unternehmen über die erfüllte Informationspflicht. 

Angefragte Datenlöschung

Darüber hinaus kann der Kunde oder Interessent die Löschung seiner personenbezogenen Daten beantragen. Das Unternehmen ist in der Pflicht, dies sicherzustellen und nachzuweisen.

Lösung

Mit einem JobRouter®-Prozess ist das leicht realisierbar: Er steuert diese Schritte automatisch und versendet zum Schluss eine Bestätigungs-Mail an den Antragssteller. Dafür prüft JobRouter®, welche Daten in Verbindung mit der Person gespeichert sind, wo diese abliegen und wie bzw. von wem sie genutzt wurden – ebenso wie bei der angefragten Dateneinsicht. Daraufhin können diese Daten/Unterlagen entweder automatisch gelöscht oder alternativ durch einen Administrator protokolliert und ausgegeben werden.

Automatisierte Datenlöschung

Unternehmen sind ebenso dazu verpflichtet, personenbezogene Daten und Unterlagen (z. B. Bewerbungen) nach einer bestimmten Zeit zu löschen. Dies kann je nach Sachverhalt zeitlich stark variieren und würde manuell verwaltet einen immensen Mehraufwand bedeuten. Da Daten im Unternehmen oft unter Kollegen geteilt, weitergeleitet und an mehreren Orten (Postfächern, Ordnern, Boxen) gespeichert werden, ist oft unklar, an welchen Stellen die Daten und Unterlagen tatsächlich überall vorliegen. Dies erschwert es ungemein, Daten dem Datenschutzgesetz entsprechend vollständig zu löschen

Lösung

JobRouter® kann eingesetzt werden, um Prozesse wie das Bewerbungsmanagement komplett in einer Plattform abzuwickeln und Dateien an Mitarbeiter zu versenden, abzuspeichern und sobald die gesetzliche Aufbewahrungsfrist erreicht ist, zu löschen. Es ist möglich, kritische Inhalte für bestimmte Mitarbeiter zu schwärzen oder weitere Freigabestufen einzubinden. Somit liegen alle Daten immer in JobRouter®, verlassen das System nicht und können automatisch verwaltet werden. Das Unternehmen muss sich um die Administration nicht kümmern, erhält aber volle Sicherheit und Kontrolle.

Systemübergreifende Datenlöschung

Je großer das Unternehmen (Mitarbeiterzahl, Niederlassungen, Unternehmensbereiche, Software-Lösungen), desto schwieriger wird die Datenkontrolle und Transparenz. Mit der DSGVO gibt es auch weiterhin kein Konzernprivileg. Für Unternehmensgruppen gilt: Die Übermittlung von Daten für interne Verwaltungszwecke wird als überwiegend berechtigtes Interesse anerkannt (Erwägungsgrund 48). Um diese Daten nun zentral überwachen, verwalten oder löschen zu können, müssten Unternehmen entweder viel Zeit investieren oder eine Lösung finden, die diese Schritte automatisieren kann.

Lösung

Mit JobRouter® als zentraler Plattform, können automatisierte Workflows aufgesetzt werden, die zu vordefinierten Zeitpunkten Informationen aus unterschiedlichsten Systemen und Datenbanken abfragen und löschen. Dabei ist es möglich, zwischen der Datenqualität und nach Löschungspflicht zu unterscheiden und den Datenstamm demnach schrittweise auszudünnen, bis keine personenbezogenen Daten mehr vorhanden sind. Beispielsweise kann es sehr sinnvoll sein, die Kreditkarten-Info oder Bankverbindung des Käufers nach einem Zahlungserfolg zu löschen, aber Kaufinformationen für Garantiezwecke bis zur Aufhebungsfrist zu speichern. Mit JobRouter® kann diese Herausforderung über eine einfache Zeitsteuerung und konsequente Datenpflege innerhalb der entsprechenden Systeme sehr einfach und kostensparend umgesetzt werden.

Automatisierung Datenbereitstellung & Aktualisierung

Die verschärfte Informationspflicht eines Unternehmens muss nicht allein negativ ausgelegt werden: Für die Kundenpflege und-Kommunikation ergeben sich daraus auch neue Chancen! So wäre es eine sinnvolle Maßnahme, Kunden aktiv darüber zu informieren, welche Daten dem Unternehmen vorliegen und genutzt werden bzw. in Zukunft noch gebraucht werden. Beispielsweise bieten immer mehr Unternehmen ein Portal an, in dem sich Bewerber/Kunden registrieren und ihr Profil hinterlegen können. Um die Informationen nach erfolgter Interaktion weiterhin speichern oder die Interessenten mit Neuigkeiten versorgen zu dürfen, müssen Unternehmen das Einverständnis der Nutzer einholen. 

Lösung

Dieser und ähnliche Prozesse lassen sich sehr gut mit JobRouter® realisieren. Nach einer vordefinierten Zeit wird eine automatisierte E-Mail oder Nachricht an den Interessenten verschickt mit Informationen zu den vorliegenden Daten. Damit kann eine Rückfrage verbunden werden, ob der Kunde die Dienste weiterhin nutzen möchte und ggf. weitere Daten bereitstellen möchte. Ohne Mehraufwand kann das Unternehmen so Vertrauen durch Datentransparenz und eine offene Kommunikation schaffen und die Kundenzufriedenheit erhöhen – während die Bestimmungen der EU-DSGVO nicht nur eingehalten, sondern vorteilhaft ausgenutzt werden.

Audits Trails & Dokumentation

Die neue Regelung weitet die bisherige Vorabkontrolle zur Datenschutz-Folgenabschätzung und Risikoanalyse aus, sofern die Form der Datenverarbeitung „aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen“ darstellt (Art 35, DSGVO). Diese enthält zumindest eine „systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung, gegebenenfalls einschließlich der von dem Verantwortlichen verfolgten berechtigten Interessen“.

Lösung

Regelmäßige Audits und eine gute Dokumentation aller Prozesse, Prozessverantwortlichen oder -Beteiligten sowie der gespeicherten und genutzten Daten erleichtern diese Aufgabe. Alle JobRouter®-Prozesse werden jederzeit dokumentiert und enthalten alle Informationen über den geplanten Prozessablauf sowie den Prozesszugriff und alle folgenden Schritte. Damit sind alle Prozesse ohne Mehraufwand zertifizierbar und vereinfachen so die Audit-Pflicht. Innerhalb weniger Stunden können Audits erfolgreich durchgeführt und abgeschlossen werden.

Vertragsmanagement - kurz erklärt

Vorschaubild JobContract

video ansehen

Vertragsverwaltung: Lösung mit JobRouter

Ein optimal definierter Contract-Management-Prozess unterstützt den gesamten Kundenlebenszyklus, denn er deckt alle Schritte ab, die Vertragsdaten beinhalten, verarbeiten oder benötigen.

Mehr erfahren

Solution Template: Automatisierte Informationsbereitstellung

Das JobRouter® DSGVO-Solution-Template ermöglicht es, durch einen teilautomatisierten Prozess, Anfragen zur Dateneinsicht und Datenlöschung schnell, nachverfolgbar und eindeutig abzuarbeiten. Im ersten Schritt werden die im Unternehmen eingesetzten Systeme und Anwendungen gesammelt und Verantwortlichen zugewiesen, die das System bei eingehenden Datenanfragen überprüfen. Des Weiteren muss ein Datenschutzbeauftragter festgelegt werden, der als Ansprechpartner zur Verfügung steht und die Anfragen verwaltet. Damit sind die einzelnen Rollen und Pflichten jedes Mitarbeiters klar definiert, der Rest wird vom Prozess automatisch abgefragt bzw. verarbeitet.

mehr erfahren

Zurück