Mit Eintreten der Datenschutz Grundverordnung (DSGVO) im Mai diesen Jahres werden viele Unternehmen vor die Frage gestellt, wie diese umgesetzt werden muss und was konkret zu tun ist. Imixs-Office-Workflow bietet hier nun eine neue Lösung.
Mit der Datenschutz-Grundverordnung – kurz – DSGVO hat die Europäische Union die Rechtsgrundlage für einen einheitlichen digitalen Binnenmarkt geschaffen. Dadurch kommen zahlreiche neue Pflichten auf die Unternehmen zu. Gleichzeitig erhalten EU-Bürger mehr Schutzrechte für ihre Daten.
Egal ob Konzern oder Kleinunternehmer, die DSGVO gilt für alle Unternehmen, die in der EU tätig sind. Nachweispflicht, Privacy by Design, Recht auf Vergessenwerden, Meldepflicht bei Verstößen – die Liste ist lang, und es gilt sich rasch auf die Einhaltung der neuen Regeln vorzubereiten. Neben Pflichten und Risiken birgt die Datenschutz-Grundverordnung aber auch viele Chancen: Der einheitliche Rechtsraum verbessert die Aussichten, neue Geschäftsmodelle europaweit zu etablieren.
Datenschutzverstöße werden teuer
Bei Nichteinhaltung der DSGVO drohen hohe Strafen. 20 Millionen Euro oder bis zu vier Prozent des Bruttoumsatzes können als Strafe verhängt werden, wenn sich Firmen beim speichern und verarbeiten personenbezogener Daten nicht an die Vorgaben halten. Für Unternehmen bedeutet dies neue technisch-organisatorische Maßnahmen und Geschäftsprozesse für den Umgang mit Daten einzuführen – etwa für das Datenmanagement und das Compliance-Management. Imixs-Office-Workflow hilft Ihnen dabei diese Prozesse schnell umzusetzen.
Welche Punkte müssen beachtet werden?
Die DSGVO stellt eine Vielzahl an Regeln im Umgang mit Daten auf. Die wichtigsten Maßnahmen, die in in Zusammenhang mit der DSGVO künftig beachtet werden müssen, sind:
- Verantwortlichkeiten für den Datenschutz klären (Datenschutzbeauftragter)
- Personenbezogene Daten müssen schnell lokalisierbar sein
- Nachweis- und Dokumentationspflicht einhalten und Verfahrensverzeichnisse führen
- Kurze Frist für Meldepflicht bei Datenschutzverstößen einhalten – es drohen empfindliche Bußgelder
- Compliance-Management-System für Datenschutz einführen
- Bewusstsein für Datenschutz und DSGVO im eigenen Unternehmen schärfen
- Prozesse in Zusammenhang mit Datenschutz etablieren
DSVGO mit Imixs-Office-Workflow
Imixs-Office-Workflow bietet hierfür jetzt eine smarte Lösung und stellt mit dem DSGVO-Workflow ein Compliance-Management zur Verfügung, das schnell eingeführt werden kann. Vor allem die Nachweis- und Dokumentationspflicht sind damit kein Problem mehr. Aber auch konkrete Hilfestellungen beim Umgang mit Datenschutz in vorhandenen IT-Lösungen sind hier enthalten. Konkret werden folgende Punkte sofort umgesetzt:
- Verantwortlichkeiten festlegen und dokumentieren
- Dokumentation der Verarbeitungstätigkeiten
- Bearbeitung von Anfragen
- Der richtige Umgang mit dem „Recht auf Vergessenwerden“
- Meldungen und Datenschutz Folgenabschätzung
Verantwortlichkeiten festlegen
Durch das flexible Organisationsmanagement von Imixs-Office-Workflow lassen sich die Verantwortlichkeiten sowie der Datenschutzbeauftragte schnell auf Basis einer eigenen Prozessebene festlegen. So können die auf der Prozessebene ‚Datenschutzverordnung‘ definierten Personen jeder Zeit selbst Datenschutz Folgenabschätzungen erfassen oder Meldungen von Datenschutzverstößen erstellen. Sämtliche Dokumente sind zugriffsgeschützt, so dass ein unerlaubter Zugriff unterbunden wird. Die Verantwortlichkeiten werden damit klar geregelt und sind dokumentiert.
Verarbeitungstätigkeiten erfassen
Mit einem eigenen Workflow lassen sich sämtliche Verarbeitungstätigkeiten im Unternehmen erfassen. Es können Verantwortlichkeiten zugeordnet werden und die einzelnen Datenkategorien erfasst werden. Anschließend kann die Dokumention auch einem Freigabeprozess zugeführt werden. Das Workflow System legt einen erfassten Vorgang automatisch nach einer zuvor festgelegten Periode wieder vor. So wird nichts vergessen und das Verzeichnis der Verarbeitungssysteme ist immer auf dem neuesten Stand.
Der DSGVO Workflow unterstützt Sie mit Hintergrundinformationen bei der Erfassung .
Recht auf Vergessenwerden
Künftig haben Kunden wie auch ehemalige Mitarbeiter das Recht, von einem Unternehmen zu verlangen, personenbezogene Daten zu löschen oder Auskunft darübr zu erhalten. Dies wird auch als ‚Recht auf Vergessenwerden‘ bezeichnet.
Dies gilt beispielsweise für bestimmte Personaldaten nachdem ein Mitarbeiter das Unternehmen verlassen hat. Auch können Kunden gegebene Einwilligungen zur Datenverarbeitung nachträglich widerrufen.
Wurden personenbezogenen Daten erfasst und liegt eine Aufforderung zur Löschung der Daten durch den Betroffenen vor, müssen angemessene Maßnahmen ergriffen werden. Der DSGVO Workflow von Imixs-Office-Workflow verteilt eine solche Anfrage anhand des Verzeichniskatalogs automatisch an die zuständige IT. Die verantwortliche Person muss dann prüfen inwieweit die Daten gelöscht werden können und diesen Vorgang dokumentieren. Dadurch entsteht das sogenannte Löschprotokoll, das zum Nachweis der Datenlöschung erforderlich ist. Durch diesen Workflow wird sicher gestellt, dass sämtliche Systeme eines Unternehmens geprüft werden. Versehentlich doch noch gespeicherte Daten können so gar nicht erst entstehen.
Die Datenschutz Folgenabschätzung
Bei der Datenschutz Folgenabschätzung handelt es sich um einen mehrstufigen Bewertungs- und Freigabeworkflow in dem die betroffenen IT Systeme und Verfahren dokumentiert werden. Es werden sowohl mögliche Risiken erfasst, als auch mögliche Maßnahmen für den Schutz der Daten dokumentiert.
Jedes IT System und Verfahren das im Unternehmen zum Einsatz kommt, kann so schnell dokumentiert und klassifiziert werden. Nicht bei jedem Verfahren ist eine Datenschutz Folgenabschätzung notwendig. Dies kann über einen Freigabe und Bewertungsworkflow vom Datenschutzbeauftragten entschieden und dokumentiert werden. Der Workflow bietet hier eine konkrete Hilfestellung und enthält auch eine automatische Wiedervorlage Funktion, womit die einzelnen Systeme regelmäßig überprüft werden können.
Über eine Liste von Auswahlkriterien kann vom Verantwortlichen entschieden werden, ob eine Datenschutz Folgenabschätzung erforderlich ist oder nicht. Die Freigabe erfolgt nach dem 4-Augen Prinzip und wird im System dokumentiert und abgelegt. So können die relevanten Systeme jeder Zeit und schnell überprüft werden.
Meldung und Dokumentation von Datenschutzverstößen
Bei der Meldung von Datenschutzverstößen kommt es grundsätzlich auf die Dokumentationspflicht an. Hier heißt es: schnell handeln! Mit dem Workflow ‚DSGVO Meldung‘ können Meldungen im Unternehmen von jedem Mitarbeiter erstellt und weitergeleitet werden. Der Datenschutzbeauftragte kann diese dann prüfen und weitere Schritte einleiten. Nicht jeder Vorfall muss auch an die Aufsichtbehörde gemeldet werden. Wird bei der konkreten Risikobewertung einer Verletzung des Schutzes personenbezogener Daten festgestellt, dass dies voraussichtlich nicht zu einem Risiko
für die Rechte und Freiheiten natürlicher Personen führt, muss auch keine Meldung an die Aufsichtsbehörde erfolgen. Wichtig ist es jedoch hier den Vorgang insgesamt zu dokumentieren, um spätere Rückfragen beantworten zu können.
DSGVO mit Imixs-Office-Workflow
Imixs-Office-Workflow stellt mit dem neuen Workflow ‚DSGVO‘ eine einfache und schnelle Lösung bereit, um die Datenschutzgrundverordnung richtig im Unternehmen umzusetzen. Imixs-Office-Workflow stellt dabei verschiedene Workflows bereit und hilft die Dokumentationspflicht des Unternehmens zu erfüllen. Auch wird so im Falle einer Schutzverletzung eine konkrete Vorgehensweise definiert, die zu einer schnellen Bearbeitung führt.