Die DSGVO in der Administration, betrifft alle Abläufe, bei denen es um personenbezogene Daten geht. Damit sind auch alle Bereiche deines Unternehmens betroffen – von der Buchhaltung, über Vertrieb, IT, Poststelle und Personalmanagement – bis hin zum Controlling und Marketing. Die Datenschutz-Grundverordnung wurde verabschiedet, um den Umgang, die Verarbeitung und Speicherung dieser Daten zu regeln. Wie sich der Gesetzgeber das vorstellt, erfährst du hier.
Dieser Beitrag ist Teil der Blogserie zur DSGVO (GDPR) für die Schweiz.
DSGVO gilt für personenbezogene Daten – auch offline
Grundsätzlich soll der Datenschutz länderübergreifend einheitlicher – und somit professioneller werden. Bei der EU-basierten Verordnung geht es um den Schutz all jener Daten, mit denen sich Personen identifizieren lassen bzw. lassen könnten. Die Verordnung macht dabei keinen Unterschied, ob es um Informationen in Datenbanken (wie in der Lohnbuchhaltung), Dokumente, Listen oder sogar Papier geht.
Die Kommission nimmt Unternehmen ab 25. Mai 2018 noch mehr in die Pflicht, Daten rechtmässig und zweckgebunden zu verarbeiten und sie vor dem Zugriff Unbefugter zu schützen.
Beispiele solcher Daten
Um personenbezogene Daten zu schützen, musst du wissen, was sich für Daten im beruflichen Alltag ansammeln und wo genau sie sich befinden. Hier ein paar Beispiele:
- Daten in Aktenordnern
- Adressen im Buchhaltungs-Laufwerk
- Bewerber- oder Mitarbeiterdaten in der Personalabteilung
- Gesprächsnotizen
- Herumliegende Visitenkarten
- Daten und Dokumente auf einem eigenen Server
- Daten und Dokumente auf einem fremden Server
- Daten und Dokumente in einer Cloud
- Im Tresor gelagerte Personenangaben
- E-Mails mit personenbezogenen Inhalten
- Geburtstagslisten
- Kundendateien
- Gedruckte Korrespondenzen im Ausgabefach des Druckers
- Unterlagen im Ablagekorb
- Allgemeine Post mit Adressdaten auf dem Schreibtisch
und viele mehr.
Einhaltung der Grundsätze DSGVO
Neben der bereits oben beschriebenen Rechtmässigkeit und Zweckgebundenheit, sieht die EU-Verordnung nach Art. 5 DSGVO vor, dass Daten
- dem Zweck angemessen,
- auf das notwendige Mass beschränkt
- inhaltlich und sachlich richtig und
- vertraulich
verarbeitet werden. Hinzu kommt die Rechenschaftspflicht der Datenverarbeiter bzw. der Daten-Verantwortlichen. Du musst also dokumentieren und somit nachweisen, ob die oben genannten Grundsätze eingehalten werden.
Übersicht durch interne Prozesse
Bei den vielen Datenquellen ist es zwingend notwendig, einen internen Prozess aufzustellen. So hältst du schriftlich fest, wo sich die personenbezogenen Daten befinden (siehe Beispiel oben) – und erhöhst somit die Möglichkeit, nichts zu vergessen. Berücksichtige dabei aber auch den Datentransfer.
Bsp: Woher kommen die Daten?
- Kommen Sie vom Mitarbeiter?
- Vom Lieferanten?
- Vom Bewerber?
- Von anderen internen Abteilungen?
- Kunden?
- Dritte? (Wenn ja, welche?)
Wohin gehen diese Daten?
- Steuerberater?
- Finanzbehörde?
- Druckerei
- Partnerunternehmen
In jedem Fall solltest du dokumentieren, welche Daten für welchen Zweck verarbeitet werden, welche Absicht dahintersteckt und an wen sie weitergegeben werden.
Auch intern musst du gewährleisten, dass Daten mit personenbezogenem Bezug sicher aufbewahrt werden. Sorge dafür, den Zugang zu vertraulichen Daten mit entsprechenden Sicherheitsmassnahmen zu versehen und zu überwachen bzw. einzuschränken.
DSGVO – Sichere Aufbewahrung
Im Grunde benötigt es die eierlegende Wollmilchsau, um 100%ig gegen Datenmissbrauch gefeit zu sein. Mit ein paar kleinen Veränderungen, kannst du jedoch schon eine Menge bewirken. Dabei solltest du dir ein paar simple Fragen stellen:
- Wer hat Zugriff auf das Laufwerk, auf dem personenbezogene Daten abgelegt sind?
- Wie kann dieser Personenkreis reduziert werden?
- Ist es möglich, diese Daten zu vervielfältigen (zum Beispiel mittels USB-Stick/CD)?
- Kann man diesen Vorgang für bestimmte Personen einschränken?
- Oder kann man diese Art der Kopie sogar für alle verunmöglichen?
- Wer hat Zutritt in den Raum, in dem sich die Akten mit sensiblen Daten befinden?
- Wie kann der Zutritt kontrolliert oder überwacht werden?
- Benötigt es einen Sichtschutz für den Bildschirm?
- Ist der Aktenschrank abschliessbar?
- Ist mein Korpus/Trolley abschliessbar?
- Liegen noch Datenblätter im Drucker?
- Liegen Unterlagen mit personenbezogenen Daten offen auf dem Tisch herum?
- Habe ich an einen Auftragsbearbeitungsvertag für den Steuerberater, Treuhänder oder sonstigen dritten Dienstleistern gedacht?
Persönlicher Eindruck
Es ist wichtig alle beschriebenen Abläufe schriftlich festzuhalten und sicherzustellen, dass diese lückenlos aufgeführt sind. Ein Prozess ist deshalb unumgänglich, weil wichtige Informationen dadurch nicht verloren gehen – auch die Folgeprozesse nicht:
- Wie funktioniert der Backup?
- Wie oft werden Daten gesichert?
- Werden irgendwo noch Papierkopien aufbewahrt?
- Habe ich bei der Weitergabe der Daten an Dritte an die Geheimhaltungserklärung gedacht?
Und zuletzt: Kriegen wir das alleine hin – oder sollten wir uns einen Berater ins Haus holen?
Persönlich habe ich die Erfahrung gemacht, dass die Dokumentation firmenintern funktioniert, aber Fleissarbeit ist. Dafür müssen die Abläufe aufgeschrieben werden. Dem Gesetzgeber geht es darum, dass wir Unternehmen den verantwortlichen Umgang mit sensiblen Daten noch ein bisschen ernster nehmen, als in der Vergangenheit. Und das werden wir, um uns – vor allem aber unsere Kunden zu schützen.
Dir wünsche ich eine gute Vorbereitungszeit und hoffe, dir mit diesem Beitrag ein Stück weiterhelfen zu können.
Herzliche Grüsse
Sven
Wenn du mehr zum Thema DSGVO lesen möchten, hast du hier die Möglichkeit.
Haftungsausschluss: Bitte beachte, dass die Beiträge innerhalb der Blogserie keine Rechtsberatung darstellen oder ersetzen. Für eine individuelle Abklärung der Massnahmen in deinem Unternehmen, empfehle ich ggf. einen Rechtsberater aufzusuchen.
Quellen: www.financesuite.de, www.wko.at