News
Brandaktuelle Neuigkeiten aus der Welt des Business Process Management und FireStart!

Prozessmanagement im DSGVO-Land

Mit durchgängigem Prozessmanagement die Anforderungen der neuen DSGVO meistern

Ein Artikel von Theresa Zwotzl, FireStart Community Manager

Die DSGVO ist die neue Datenschutzgrundverordnung der EU, die ab 25. Mai 2018 gültig wird. Im Gegensatz zur bisherigen Datenschutzrichtlinie, in der die EU Ziele zum Datenschutz vorgegeben hat, die auf nationaler Ebene durch diverse Gesetze erreicht werden mussten, ist die DSGVO in der gesamten EU bindend. Die DSGVO gilt nicht nur für Unternehmen mit Sitz in der EU. Sie betrifft jedes Unternehmen, das mit Unternehmen in der EU zusammenarbeitet oder Daten von EU-Bürgern in jeglicher Weise erhebt, verarbeitet oder sammelt.

Diese neue Verordnung verursacht schon seit langem Unruhe in Unternehmen aller Branchen und ist Thema vieler Diskussionen, Whitepapers und Workshops. Wir wollen Ihnen hier noch einmal einen Überblick über die wichtigsten Punkte für Ihr Unternehmen geben. Außerdem wollen wir Ihnen jegliche Angst nehmen, indem wir zeigen, wie Sie mit durchdachten und implementierten Prozessen auch diese neuen Herausforderungen meistern können.

firestart-news-dsgvo

Die neuen Grundsätze der DSGVO

Im Grunde gab es in der bisher geltenden Datenschutzrichtlinie bereits wichtige Grundsätze in Bezug auf personenbezogene Daten. In dieser wurde festgelegt, dass personenbezogene Daten:

  • auf rechtmäßige Art und Weise erfasst und verarbeitet werden müssen.
  • nur für einen oder mehrere festgelegte und rechtmäßige Zwecke aufbewahrt werden dürfen.
  • nur für jene Fälle für die sie ursprünglich erfasst wurden, verarbeitet werden dürfen.
  • in einem sicheren, geschützten Umfeld gesichert werden müssen.
  • korrekt und auf dem neuester Stand sein müssen.

Auch die neuen Grundsätze beziehen sich hauptsächlich auf den Umgang mit der Erfassung, Speicherung und Verarbeitung von personenbezogenen Daten. Allerdings geben sie Einzelpersonen mehr Macht über ihre eigenen Daten. Die neuen Grundsätze lassen sich folgendermaßen zusammenfassen:

  • Die ausdrückliche Zustimmung/Einwilligung zur Verarbeitung von personenbezogenen Daten.
  • Einzelpersonen können, auch im Nachhinein, der Verarbeitung ihrer personenbezogenen Daten widersprechen.
  • Das Auskunftsrecht, welche es für Personen möglich macht, Informationen sowie eine Kopie zu ihren persönlichen, gesammelten Daten zu erhalten.
  • Die Berichtigung falscher, unvollständiger Daten kann beantragt werden
  • Das oft besprochene “Recht auf Vergessen”, welches bedeutet, dass Personen die Löschung ihrer personenbezogenen Daten aus allen existierenden Systemen fordern können.
  • Die Datenübertragung zu anderen Organisationen muss, wenn angefordert, jederzeit möglich sein.

Checkliste für Ihre DSGVO Konformität

Eine der größten Herausforderung der neuen Richtlinie ist der Überblick darüber, welche personenbezogenen Daten, zu welchem Zweck, wann, wo, wie, warum von wem verarbeitet werden. Im digitalen Zeitalter werden daher organisatorische und technische Voraussetzungen in Organisationen verlangt, um diese Fragen beantworten und im Fall von Audits beweisen zu können. Damit Sie im Vorschriftendschungel den Überblick behalten und Ihren Kunden Transparenz im Umgang mit ihren Daten gewährleisten können, haben wir für Sie eine Checkliste ausgearbeitet.

Die Checkliste fokussiert sich in einem ersten Schritt auf die Evaluierung der bisherigen Prozesse und Datenverarbeitung, um Ihnen dann bei der Erstellung neuer, durchgängiger Geschäftsprozess zu helfen. Das Ziel ist dabei, einheitliche Prozesse für alle möglichen Use-Cases und Kundenanfragen zu haben. Dadurch wird Zeit eingespart, die beispielsweise bei der Auskunft gegenüber Kunden eine große Rolle spielt. Außerdem wird eine Basis für die Dokumentation der Datenverarbeitung und Rollenverteilung für mögliche Audits und Überprüfungen geschaffen. Unternehmen müssen mit der Einführung der DSGVO ihre Prozesse im Zusammenhang mit dem Datenschutz dokumentieren, implementieren und nachweisen können. Diese müssen dann jederzeit bereit für ein Audit der nationalen Sicherheitsbehörde sein.

Überblick verschaffen: bisherige Prozesse und Datenverarbeitung

  • Evaluierung der bisherigen Prozesse im Zusammenhang mit Kundendaten und dem bisherigen Umgang mit Kundendaten und deren Verarbeitung
  • Überprüfung und der Zwecke der Datenverarbeitung und Form des Einverständnis der Kunden
  • Überprüfen, ob bereits ein Verzeichnis zur Verarbeitungstätigkeit geführt wird bzw. ob dieses aufgrund der Hauptgeschäftstätigkeiten geführt werden muss (meist im Falle von Profiling)
  • Analyse der möglichen Risiken der bisherigen Prozesse und Datenverarbeitung auf technischer und organisatorischer Ebene
  • Analyse der genauen Zwecke der jeweiligen Datensammlung, da die Einwilligung jeweils auf diese Zwecke beschränkt wird

Datenschutzkonform werden: neue Prozesse und Strategie für Datenmanagement definieren

  • Definition der neuen bzw. fehlenden Zwecke zur Datenverarbeitung inkl. Formulierung der Einwilligung
  • Erstellung von durchgängigen, automatisierten Prozessen zur Einwilligungserklärung (Double Opt-in)
  • Erstellung von durchgängigen, automatisierten Prozesse zum Management der Kundenanfragen (Auskunftsrecht, Löschung, Übertragbarkeit, Widerspruch der Verarbeitung, Berichtigung)
  • Definieren eines Datenschutzbeauftragten (falls nötig) oder eines Prozessverantwortlichen

Auf Prozessebene gibt es bei der Definition und Erstellung drei wichtige Komponenten zu beachten: Die Daten sollen während dem Prozess und im Austausch mit anderen Systemen in einem durchgängigen Format erhalten bleiben. Außerdem muss das Sicherheitslevel beibehalten werden. Als weitere Komponente müssen die nötigen Schnittstellen und Systeme, die in einem Prozess einbezogen sind und miteinander kommunizieren können, kompatibel sein. Dabei sind nicht nur Sicherheit und Kompatibilität wichtig, sondern auch die Dokumentation der Aktionen an den Schnittstellen. Wie in jedem Prozess ist wichtig, dass die Verantwortlichkeiten klar geregelt sind, da auch diese Beschränkungen unterliegen können und für spätere Audits dokumentiert werden müssen. Bei der Erstellung der Prozesse empfiehlt sich ein ganzheitlicher Blick auf Geschäftsprozessebene, da nur in diesem Fall ein einheitliches Daten-, Schnittstellen-, und Rollenmanagement gewährleistet werden kann. BPM Tools, zur Prozessmodellierung sowie zur Integration von Drittsystemen und Rollenmodellen, können dabei erheblich helfen.

Use Case: Auskunftsrecht eines Kunden

Im Grunde können all diese Grundsätze mit einem durchgängigen Prozessmanagement bereits auf Prozessebene in Angriff genommen werden. Ein einheitlicher Prozess gibt die Sicherheit der zentralen Datensammlung und damit einen Überblick über alle Daten und Systeme in denen besagte Daten gespeichert sind. Neue Prozesse können dann für einzelne, Standardanfragen abgebildet und automatisiert werden. So können Nutzer, die ihre Daten anfragen, durch einen automatisierten Prozess Informationen zu ihren personenbezogenen Daten bekommen. Mit einer Verknüpfung zu den Drittsystemen, in denen die Daten gespeichert sind, können diese dann auch ausgelesen, weitergegeben oder gelöscht werden. Damit können Organisationen automatisiert auf Kundenanfragen zu Auskunftsrecht, Datenübertragung und Löschung von personenbezogenen Daten reagieren.

Zusammenfassung

Grundsätzlich muss keine Organisation den Umstieg auf Datenschutzkonformität fürchten. Wie bei jeder Änderung gilt es, Schritt für Schritt auf die neuen Ansprüche einzugehen. Daher sollte das Risiko bereits im Vorhinein eingeschätzt werden, bestehende Prozesse analysiert und bestenfalls angepasst bzw. verbessert werden. In einem weiteren Schritt helfen dann neue, durchgängige Prozesse für die zukünftige Sicherheit und Konformität. Die Automatisierung dieser Prozesse ermöglicht eine Entlastung der Mitarbeiter und Zeitersparnis. Eine durchgängige BPM Plattform wie FireStart kann nicht nur die Planung neuer Geschäftsprozesse sowie deren Automatisierung übernehmen, sondern unterstützt auch dabei, die geforderten DSVGO Workflows, wie Auskunftsbegehren oder Datenlöschung, passgenau umzusetzen und revisionssicher zu dokumentieren.

Haftungsausschluss

Dieser Artikel stellt keine Rechtsberatung dar, sondern gibt lediglich das wieder, was wir in eigener Recherche zu diesem Thema herausgefunden haben. Wir übernehmen keine Gewähr für Richtigkeit, Aktualität und Vollständigkeit unserer Ausführungen und keinerlei Haftung für mögliche Rechtsfolgen.

Let Your News Flow

Mit dem FireStart Newsletter erhalten Sie monatlich aktuelle News aus der BPM Welt!

  • Dieses Feld dient zur Validierung und sollte nicht verändert werden.

Mit dem Absenden dieses Formulars stimmen Sie der Verarbeitung Ihrer Daten zum Zweck der Zusendung des Newsletters gemäß unseren Datenschutzbestimmungen zu. Sie können die Einwilligung jederzeit widerrufen.

Zur Werkzeugleiste springen