Die markantesten Punkte der DGSVO im Überblick — Teil I

Die ALOS GmbH unterstützt Unternehmen bei der Digitalisierung ihrer Unternehmensprozesse. Dabei entwickelt und nutzt sie seit 65 Jahren innovative Technologien, um ihren Kunden maßgeschneiderte Lösungen für ihre individuellen Bedürfnisse zu bieten.

Spezialist für Reprographie und Mikrofilm

Das Unternehmen wurde 1958 in Köln als deutsche Niederlassung der Schweizer ALOS AG gegründet. Die Marke ALOS steht seit 1946 für die schnelle und einfache Bereitstellung großer Datenmengen auf kleinstem Raum. Was mit der Herstellung und dem Vertrieb von Maschinen für die Reproduktion – analogen Vorläufern von Kopiergeräten – begann, entwickelte sich mit dem technologischen Fortschritt zu einem bedeutenden Anbieter modernster Digitalisierungslösungen auf dem deutschen Markt. Den Kern des Angebots bildeten zunächst eigene feinmechanisch-optische Reproduktionsgeräte. Mit ihnen konnten im analogen Zeitalter Bilder und Dokumente vervielfältigt, vergrößert oder verkleinert werden. Das Medium diente vor allem der Archivierung von Dokumenten, denn die Filmspulen – oft im 16-mm- oder 35-mm-Format – galten als langlebiges analoges Speichermedium.

ALOS entwickelte sich bald auch zu einem bedeutenden Handelsunternehmen in der Mikrofilmbranche und vertrieb erfolgreich Filmmaterial und Systeme namhafter internationaler Hersteller für die Verfilmung und das Auslesen von Mikrofilmen.

Aufbruch ins digitale Zeitalter

Nach dem Bezug des heutigen Firmensitzes in Köln-Lövenich im Jahr 1986 folgte bald der Siegeszug der digitalen Technologien. Die ALOS GmbH nahm optische Speicherplatten in ihr Portfolio auf und präsentierte Anfang der 90er Jahre mit ALOSVIEW ein elektronisches Ablagesystem – eine digitale Lösung, die vor allem Verwaltungen und Behörden den Einstieg in die digitale Archivierung ermöglichen sollte. Später folgte mit ALOS Scan eine selbst entwickelte Scan-Workflow-Lösung, die bis heute in unzähligen Unternehmen das Auslesen und Indexieren gescannter Belege automatisiert und die erfassten Daten an nachgelagerte Systeme und Prozesse übergibt. Neben dem neuen Geschäftsfeld des digitalen Dokumentenmanagements stieg ALOS auch in die Hardware-Distribution ein und vertreibt seitdem Scanner verschiedener Hersteller.

Maßgeschneiderte Lösungen und Services

Heute begeistert das Kölner Unternehmen mit mehr als 50 Mitarbeitenden vor allem mit seinen intelligenten Capture-Lösungen einschließlich vollautomatisierter Workflows und modernen DMS/ECM-Lösungen Kunden jeder Größe. Bisher papierbasierte Geschäftsabläufe vom Posteingang über das Rechnungswesen bis hin zu Vertrieb und Kundenservice werden in digitale Prozesse überführt, beschleunigt und flexibler gemacht. Dabei heben die vielfältigen, maßgeschneiderten Service-Angebote – von der Bedarfsanalyse über das Projektmanagement bis hin zu umfassenden BPO-Services für die Digitalisierung von Dokumenten und Prozessen – ALOS vom Wettbewerb ab. Mit professionellen Scan-Dienstleistungen und einem eigenen, zertifizierten Scan-Zentrum digitalisiert ALOS analoge Dokumente schnell und in höchster Qualität, um sie recherchier- und durchsuchbar digital zur Verfügung zu stellen.

Seit fünf Jahren ist die ALOS GmbH Teil der Kyocera-Gruppe in Deutschland. Im Verbund mit Kyocera Document Solutions, einem weltweit führenden Anbieter im Bereich Informations- und Dokumentenmanagement, und dem Druckinfrastrukturspezialisten AKI erhalten Kunden von der Informationserfassung über die -verarbeitung bis hin zum Output-Management alles aus einer Hand. Unter dem gemeinsamen Leistungsversprechen „Making information faster“ werden Informationsprozesse in Unternehmen und Behörden so nachhaltig, sicher und schnell.

Einwilligung zur Datenverarbeitung

Ste­fan Luther & Eli­sa Jan­n­asch, ALOS GmbH

An die­ser Stel­le sei beson­ders auf die Ein­wil­li­gung zur Daten­ver­ar­bei­tung hin­ge­wie­sen. Häu­fig fin­det man auf Platt­for­men oder Web­sites schon heu­te eine Stel­le, an der man ein ent­spre­chen­des Häk­chen für sein Ein­ver­ständ­nis zur Daten­ver­ar­bei­tung set­zen muss. Ganz so ein­fach geht das aller­dings gar nicht. Hier­zu ein prak­ti­sches Beispiel:

Ange­nom­men, Sie über­nach­ten, ob beruf­lich oder pri­vat, in einem Hotel. Da Sie oft unter Nacken­schmer­zen lei­den, bit­ten Sie am Emp­fang um ein ent­spre­chen­des Nacken­kis­sen. Han­delt es sich bei dem Hotel um ein Haus einer Ket­te, wird die­ser „Extra­wunsch“ oft in Ihrer Kun­den­da­tei ver­merkt. Stei­gen Sie wie­der in einem Haus der glei­chen Ket­te ab, liegt die­ses Nacken­kis­sen viel­leicht schon für Sie bereit. Aber! Dies stellt bereits eine Daten­schutz­ver­let­zung dar, denn Ihre per­so­nen­be­zo­ge­nen Daten wur­den ohne Ihre aus­drück­li­che Geneh­mi­gung gespei­chert. Möch­te das Hotel dies in Zukunft DSGVO-kon­form tun, müss­te mit dem Kis­sen gleich­zei­tig ein For­mu­lar aus­ge­hän­digt wer­den, auf dem Sie unter­schrei­ben, dass Ihre Daten zum Zwe­cke der Kis­sen­aus­ga­be gespei­chert wer­den dür­fen. Und nur dafür! Ergän­zend kommt noch hin­zu, dass die Auf­be­wah­rungs­fris­ten für sol­che Doku­men­te auch anders sind als für die ent­spre­chen­den Zim­mer­rech­nun­gen. – Aller­dings tun sich Hotel­ket­ten hier­mit schwer, weil es sich z.B. auch um ame­ri­ka­ni­sche Ket­ten han­delt, die den deut­schen bzw. euro­päi­schen Daten­schutz nicht zu genau nehmen.

Weg­fall der Pri­vi­le­gie­rung der Auftragsverarbeitung Die DSGVO sieht eine Pri­vi­le­gie­rung des Auf­trag­neh­mers nicht vor. Die Über­mitt­lung muss ent­we­der auf einem gesetz­li­chen Erlaub­nis-Tat­be­stand oder auf einer Ein­wil­li­gung beruhen.
Gemein­sa­me Verantwortlichkeit Art. 82 Abs. 2 DSGVO  geht im Grund­satz davon aus, dass sowohl der Ver­ant­wort­li­che als auch der Auf­trags­ver­ar­bei­ter für Schä­den haften.
Pflicht zur Füh­rung eines Verzeichnisses Es besteht nun­mehr die Pflicht des Auf­trag­ver­ar­bei­ters zur Füh­rung eines Ver­zeich­nis­ses zu allen Kate­go­rien der im Auf­trag durch­ge­führ­ten Ver­ar­bei­tung von per­so­nen­be­zo­ge­nen Daten
Min­dest­an­for­de­run­gen des Art. 28 DSGVO Zusätz­li­che Anforderungen:
  • Expli­zi­te Pflicht zur Doku­men­ta­ti­on von Weisungen
  • Unter­stüt­zung bei der Gewähr­leis­tung der Sicher­heit per­so­nen­be­zo­ge­ner Daten
  • Die vor­he­ri­ge Zustim­mung zu Subunternehmern

Das Recht auf Vergessenwerden

Ein eben­so wich­ti­ges – und nicht ganz unpro­ble­ma­ti­sches The­ma – ist das Löschen von Daten und damit das soge­nann­te „Recht auf Ver­ges­sen­wer­den“. Aus rein tech­ni­scher Sicht stellt sich die Fra­ge: Wie tief muss man hier ein­grei­fen? Denn jeder weiß: Wenn etwas gelöscht wird, ist es nicht unwi­der­ruf­lich ver­lo­ren. Mit cle­ve­ren Pro­gram­men und Erfah­rung kön­nen Daten oft­mals wie­der­ge­stellt wer­den. – Nein, so tief geht es eben nicht. Es muss in der Ver­hält­nis­mä­ßig­keit der Mög­lich­kei­ten lie­gen, Löschun­gen vor­zu­neh­men. Lie­gen per­so­nen­be­zo­ge­ne Daten vor, kön­nen Sie die­se Daten anony­mi­sie­ren – wo mög­lich. Auf die­se Wei­se sind Sie sau­ber aufgestellt.

Das Recht auf Ver­ges­sen­wer­den bezieht sich nicht nur auf per­so­nen­be­zo­ge­ne Daten, son­dern auch auf die eige­nen Geschäfts­da­ten. Das betrifft nicht nur das Unter­neh­mens-Doku­men­ten­ma­nage­ment-Sys­tem (DMS), son­dern auch das ERP- bzw. CRM-Sys­tem und viel­leicht auch die digi­ta­le Abla­ge. Gera­de wenn ein DMS im Ein­satz ist, soll­ten sich Red­un­dan­zen ver­mei­den las­sen. Etwas schwie­ri­ger wird die­se The­ma­tik bei ERP-Platt­for­men. Es gibt Anbie­ter, die ihre Platt­form nur zum Daten­sam­meln und für die Bereit­stel­lung und Ana­ly­se zu Ver­triebs­zwe­cken aus­ge­legt haben. Fra­gen wie „Wie hat sich ein Kun­de im Ver­gleich zum Vor­jahr ent­wi­ckelt?“ und „Kann ich auf ein frü­he­res Ange­bot zugrei­fen?“ müs­sen mit Vor­sicht behan­delt werden.

Das Recht auf Ver­ges­sen­wer­den deckt auch Bewer­bungs­da­ten ab. Zum einen ist es wich­tig zu beach­ten, dass bei jun­gen Leu­ten – also z. B. Aus­zu­bil­den­den – das Ein­ver­ständ­nis der Eltern für die Ver­ar­bei­tung der per­so­nen­be­zo­ge­nen Daten vor­liegt. Ist eine Stel­le besetzt oder der Bewer­ber unge­eig­net, sind zum ande­ren die Bewer­bungs­da­ten im Anschluss an den Recrui­ting-Pro­zess zu löschen. Bewer­bun­gen dür­fen nicht auf­be­wahrt wer­den, da man die­se Per­son viel­leicht für eine spä­te­re Stel­le in Betracht zieht. Bewer­bungs­un­ter­la­gen dür­fen auch nicht mehr im Unter­neh­men breit gestreut wer­den: Ver­mei­den Sie Kopien und hal­ten Sie Bewer­bung nur noch an zen­tra­ler Stel­le wie dem Per­so­nal­bü­ro vor, um sicher­stel­len zu kön­nen, dass Sie wirk­lich alle Bewer­bungs­da­ten gelöscht haben.

Meldepflichten & Folgenabschätzung

Grund­sätz­lich ist das The­ma ‚Über­trag­bar­keit der Daten‘ ein sehr span­nen­des The­ma. Ein Bei­spiel aus dem All­tag: Ich wech­se­le mei­nen Inter­net-Pro­vi­der. Dann habe ich mitt­ler­wei­le das Recht, dass ich nicht alle Daten ein ums ande­re Mal ein­ge­ben, son­dern dass die­se Daten als Ser­vice von Pro­vi­der zu Pro­vi­der B über­tra­gen wer­den. Damit geht mein Recht ein­her, dass ich Pro­vi­der A um die Löschung all mei­ner Daten nach der Über­tra­gung bit­ten kann.

Wirk­lich inter­es­sant wird das The­ma Mel­de­pflicht: Wie gehe ich mit einem Vor­fall – also einem Ver­stoß gegen die DS-GVO – um? Häu­fig wird das noch recht locker gehand­habt. Es gibt Fäl­le, in denen wer­den Akten­ta­schen mit einem Note­book im Zug ver­ges­sen. Kön­nen Sie nicht nach­wei­sen, dass Sie Ihr Note­book bin­nen 72 Stun­den zurück­er­hal­ten haben, müs­sen Sie die­sen Ver­stoß gegen die DS-GVO mel­den. Hier emp­fiehlt sich auch immer eine Ver­schlüs­se­lung des Note­books, um den gröbs­ten Scha­den zu ver­mei­den. Auf die­se Wei­se haben Sie schon einen wesent­li­chen Schritt getan und haben tech­ni­sche Maß­nah­men ergrif­fen, die zum Daten­schutz beitragen.

In die­sem Zusam­men­hang kommt das The­ma ‚Fol­ge­ab­schät­zung‘ aus. Bis­her ist dies eher aus dem Bereich Risk-Manage­ment bekannt. Doch sind Unter­neh­men auf­ge­for­dert, sich Gedan­ken über den Fal­le der Fäl­le zu machen und einen Not­fall­plan zu ent­wer­fen. Unter­neh­men sol­len sich die Fra­ge stel­len: Wie ist mein Unter­neh­men auf­ge­stellt? Der betrieb­li­che Daten­schutz­be­auf­trag­te ist zukünf­tig Pflicht. Er muss nicht unbe­dingt aus dem eige­nen Unter­neh­men stam­men; es kann ein Beauf­trag­ter sein, der den Daten­schutz abwi­ckelt. Unter­neh­men sind ver­pflich­tet, einen Daten­schutz­be­auf­trag­ten zu benen­nen, der dann auch als Sprach­rohr für die Auf­sichts­be­hör­den fun­giert. Daten­schüt­zer müs­sen mel­den, wel­che Unter­neh­men sie ver­tre­ten und wel­che Maß­nah­men bereits ergrif­fen wur­den. Wann dann die Auf­sichts­be­hör­den auf die Unter­neh­men zuge­hen, wird sich im Lau­fe der Zeit erst zeigen.

Beson­ders inter­es­sant und wich­tig ist der Daten­schutz­be­auf­trag­te auch für die Unter­neh­men, die Geschäf­te außer­halb der EU täti­gen. Damit gewinnt das The­ma noch an Kom­ple­xi­tät. Hier spielt Arti­kel 44 eine wich­ti­ge Rol­le: Was pas­siert, wenn per­so­nen­be­zo­ge­ne Daten an Dritt­län­der über­mit­telt wer­den? Even­tu­ell ist es not­wen­dig, nun neue Abkom­men zu schließen.

Das The­ma Geld spielt natür­lich eine jetzt ganz geän­der­te Rol­le. Noch wis­sen wir nicht, wie weit die Auf­sichts­be­hör­den noch ein­grei­fen wer­den – aber die Mög­lich­keit besteht eben doch. So wur­den die Sät­ze für Buß­gel­der deut­lich ange­ho­ben. Ins­ge­samt wer­den zukünf­tig Kon­zer­ne betrach­tet und nicht nur die ein­zel­nen Unterfirmen.

Soll­te der Schutz per­so­nen­be­zo­ge­ner Daten ver­letzt wer­den, so muss dies inner­halb von 72 Stun­den nach Bekannt­wer­den der Auf­sichts­be­hör­de gemel­det wer­den. Eine Aus­nah­me kann gemacht wer­den, wenn ver­mut­lich kein Risi­ko für die Rech­te und Frei­hei­ten natür­li­cher Per­so­nen (rechts­kräf­ti­ge Per­so­nen im Gegen­satz zu Ver­ei­nen und Trä­ger­schaf­ten) besteht.

Inhalt der Mel­dung an die Aufsichtsbehörde:

  • Art der Verletzung
  • Kate­go­rien und Zahl der Betrof­fe­nen und Datensätze
  • Kon­takt­da­ten des Datenschutzbeauftragten
  • Beschrei­bung der Fol­gen für die Betroffenen
  • Beschrei­bung der ergrif­fe­nen oder vor­ge­schla­ge­nen Maß­nah­men zur Behe­bung der Ver­let­zung und zur Redu­zie­rung der Fol­gen für den Betroffenen