DSGVO & Datenschutz – Checkliste & Maßnahmen für das ERP-System projectfacts

Ab dem 25. Mai 2018 gilt die neue EU Datenschutzgrundverordnung (EU-DSGVO) auch in Deutschland. Ziel war es das Datenschutzrecht in Europa zu vereinheitlichen.
Die neue DSGVO hat Auswirkungen auf die Beziehung zu Kunden und Mitarbeitern, die Zusammenarbeit mit Dienstleistern und viele interne und externe Prozesse die unter anderem auch mit projectfacts abgewickelt werden.
Im Folgenden werden daraus resultierende Neuheiten und Änderungen im Allgemeinen und in Bezug zu projectfacts vorgestellt. Es handelt sich bei allen Aussagen um keine Rechtsberatung, sondern um eine Sensibilisierung für die aus unserer subjektiven Sicht wichtigsten Punkte.

Im Fokus standen insbesondere die stärkeren Nutzerrechte, wie z.B. das Recht auf Auskunft und das Recht auf Löschung seiner Daten. Das bedeutet konkret, jedermann hat Anspruch auf eine klare und verständliche Auskunft, welche Daten über ihn gespeichert sind und wie sie verarbeitet werden.
Gestärkt wird außerdem das Recht des Nutzers auf Löschung seiner Daten. Grundsätzlich sollen Daten auch nur solange gespeichert werden, wie es eine konkrete Verwendung für die Daten gibt.
Für die meisten Unternehmen entstehen dadurch insbesondere im Bewerbungsprozess und bei der sonstigen Personalarbeit neue Herausforderungen. Konkret bedeutet dies, dass z.B. alle Bewerbungsunterlagen nach einer Absage wieder gelöscht werden müssen und dass Personalstammdaten in Abhängigkeit der Schutzklasse gesondert geschützt werden müssen.
Neu ist auch die Pflicht die Grundeinstellung von Software möglichst datenschutzfreundlich einzustellen (Privacy by default). Außerdem wurde eine Pflicht zur Datenschutzfolgeabschätzung eingeführt, welche die Datenschutzrisiken von besonderen Daten abschätzen soll.

Hier kommt eine kurze Checkliste, um einzelne wichtige Themen hervorzuheben:

Neu zu berücksichtigen:

• IT-Sicherheit – Privacy by design/default
• Datenschutzfolgenabschätzung bei Verarbeitung von Daten mit hohem Risiko
• Haftung ist stark erhöht worden
• Need to know – Prinzip (Forderung nach minimalen Rechten und Informationen)

Folgende Unterlagen bzw. Prozessen sollten angepasst werden:

• Vertrag zur Auftragsverarbeitung
• Technische und organisatorische Maßnahmen
• Verfahrensverzeichnis (Löschregeln, Datenschutzstufen)
• Verpflichtung auf Datengeheimnis (Sensibilisierung der MA)
• Disclaimer und Datenschutzerklärung auf Homepage
• Meldung von Datenpannen (Verkürzte Fristen von 72h)

Folgende Betroffenenrechte sollten bekannt, verstanden und berücksichtigt werden:

• Recht auf Auskunft (Art. 15 DSGVO)
• Recht auf Berichtigung (Art. 16 DSGVO)
• Recht auf Löschung / Vergessenwerden (Art. 17 DSGVO )
• Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
• Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
• Widerspruchsrecht (Art. 21 DSGVO)

Die 5 POINT AG als Hersteller und Betreiber von projectfacts geht konform zu neuen Datenschutzregeln die in unserer neuen Datenschutzerklärung auf unserer Homepage beschrieben werden.

Wir werden mit allen projectfacts-Kunden neue Verträge zur Auftragsverarbeitung abschließen, welche die neuen DSGVO Anforderungen berücksichtigen.

Wir bieten zukünftig im Rahmen unserer beliebten Empower-Workshops auch das Thema Sicherheitsaspekte und die Überprüfung der projectfacts-Konfiguration zur Berücksichtigung des Datenschutzes gemäß DSGVO“ an.

Vorhandener Datenschutz vor der DSGVO

Projectfacts verfügt auch vor Einführung der DSGVO bereits über umfangreiche Schutzmaßnahmen um neben den personenbezogenen Daten generell alle Daten zu schützen:

• Generelles gruppenbasiertes Berechtigungssystem
• Detailliertes Berechtigungssystem von Datenelementen
• Berechtigungssystem auf der Basis von Organisationen und zugehörigen Kontakten
• Löschmöglichkeiten von Kontakten und einzelnen Datensätzen.
• Verteilung von Betriebsvereinbarungen für Mitarbeiter mit Speicherung der Kenntnisnahme z.B. zur regelmäßigen Datenschutz-Sensibilisierung Ihrer Kollegen
• Passwort-Regeln
• IP-Schutz, um Zugang nur von bestimmte Orten zu erlauben
• Verschlüsselung der Datenübertragung
• SMS Login
• Einmalpasswörter
• Tägliche Backups auf unseren Servern
• ISO 27001 zertifiziertes Rechenzentrum

Neuerungen zum Datenschutz zur Unterstützung der DSGVO

Das nächste Update von projectfacts wird einige Änderungen enthalten, welche Sie bei der Umsetzung Ihrer eigenen Datenschutzmaßnahmen maßgeblich unterstützen können:

• Bericht über gespeicherte Kontaktdaten
• Die Möglichkeit des Veröffentlichen bzw. Passivieren von privaten Adressfeldern und des Geburtstagsdatums durch den Benutzer
• Vergessen, d.h. Löschen von personenbezogenen Daten und optionales anonymisieren der Namen
• Löschklassifizierung von Kontaktdaten gemäß Verfahrensregister (z.B. Bewerber, Vertriebskontakt, Geschäftskontakt)
• Vergessenszeiträume gemäß Kontaktklassifizierung nach Verfahrensregister (z.B. 3 Monate nach letzter Aktion bei Bewerbern)
• Filter- und Löschmöglichkeit gemäß Löschzeiträumen
• Dateien erhalten eine Sicherheitskennzeichnung, so dass Sie nicht mehr manuell geändert werden können.
• Bei Organisationen wird es ein neues Dateifeld für den AV-Vertrag geben.
• Datenschutzstufen und Datenschutzstufenberechtigungen als zusätzliches übergeordnetes Berechtigungssystem und zur Nutzung zur Risikofolgeabschätzung.
• Zukünftige Urlaube und Krankheiten können als Abwesenheit angezeigt werden
• Einstellbares Aufbewahrung und Zugriff auf die Systemlogs in Tagen
• Standardberechtigung (Privat) von neuen Dateien die nicht direkt an einem Element mit Berechtigungen hängen.
• Neues Recht um auf archivierte Daten zuzugreifen

Das nächste Update ist für den 15. Mai geplant.

Tipps im Umgang mit projectfacts

• Berechtigungen prüfen und auf minimale Berechtigung anpassen.
• Schutzstufen in der Konfiguration einrichten.
• Sensible Daten mit der entsprechenden Schutzstufe einstellen.
• Benutzer mit der zulässigen Schutzstufe klassifizieren.
• Kontakttypen mit Löschregeln in der Konfiguration einrichten.
• Kontakte den entsprechenden Kontakttypen zuordnen.
• Passwortsicherheit prüfen und ggfls. auf hoch einstellen.
• Bei selbst betriebenen Servern regelmäßig Backups testen und Patches einspielen.
• Bei öffentlich erreichbaren Servern Autologin ausschalten.
• Mitarbeiter auf Gerätesicherheit und die Möglichkeit über die projectfacts-Oberfläche Autologin-Cookies bei verschiedenen Rechnern auszuschalten, hinweisen.
• Mitarbeiter-Wechsel prüfen. Bei wem aktiv und wer braucht es?
• Layout für Auskunftsbericht erstellen.
• Alte und nicht mehr benötigte Daten löschen.
• Verzeichnisberechtigungen in der Dateiablage überprüfen.
• Berechtigung für archivierte Projektdaten überprüfen.

Im Zweifel einfach nachfragen und mit einem unserer Berater und Sicherheitsexperten einen 1 tägigen Workshop inklusive Audit durchführen.

Anhang

Löschregeln für personenbezogene Daten

Es ist möglich sogenannte Kontaktklassifikationen zu definieren und damit Kontakte einzustufen. In den Klassifikationen können Löschregeln definiert werden. Eine Löschregel besagt nach wie vielen Tagen ohne Aktion eine Löschung vorgesehen ist. So könnten Sie z.B. die Klassifikation „Bewerber“ erstellen und dort eintragen, dass nach 8 Wochen ohne Aktion (Telefonat, Email oder sonstiger Vorgang) diese Daten zum Löschen vorgesehen werden. In der Administration können die zum Löschen vorgesehenen Datenelemente aufgelistet werden. Der Löschvorgang ist anschließend manuell vorzunehmen.

Schutzstufen und Datenschutzfolgenabschätzung (DSFA) – Risikomatrix

In projectfacts können Daten sogenannten Schutzstufen zugeordnet werden. Das erleichtert die zukünftig erforderliche Datenschutzfolgeabschätzung, da es damit möglich wird grundsätzlich zu erkennen, welche Daten aus welcher Datenschutzstufe denn überhaupt vorhanden sind. Wenn sie keine Daten der höchsten Schutzstufe haben, ist auch das Risiko eines Missbrauchs in dieser Stufe nicht vorhanden.
Es gibt verschiedene öffentlich zugängliche Schutzstufenkonzepte. Hier kommen drei als Beispiele:

• Schutzstufenkonzept LfD Niedersachsen,
• Schutzstufenkonzept unabhängiges Datenschutzzentrum Saarland
• Standard Datenschutzmodell (SDM)

Diese Modelle haben gemeinsam, dass die Stufen aufeinander aufbauen. In projectfacts ist es möglich Benutzern grundsätzliche Schutzstufenberechtigungen zu erteilen. Damit könnte man abbilden, dass Daten mit einer Schutzstufe 4 nur von Personen gesehen werden, die auch mindestens Schutzstufe 4 haben. Eine Berechtigung bis zur Stufe X beinhaltet also alle Daten welche einer geringeren Stufe zugeordnet wurden.

Darmstadt, 25.04.2018 Thorsten Lenk

Weitere Themen, die Sie interessieren könnten:

• Features für die DS-GVO Konformität Teil 1
• Release 5.18 – Im Fokus des neuen Datenschutzes (DSGVO)
• Alle Blogbeiträge

Hier können Sie bei Bedarf einen Testaccount anfordern: Test anfordern