Die markantesten Punkte der DGSVO im Überblick — Teil I
Die ALOS GmbH unterstützt Unternehmen bei der Digitalisierung ihrer Unternehmensprozesse. Dabei entwickelt und nutzt sie seit 65 Jahren innovative Technologien, um ihren Kunden maßgeschneiderte Lösungen für ihre individuellen Bedürfnisse zu bieten.
Spezialist für Reprographie und Mikrofilm
Das Unternehmen wurde 1958 in Köln als deutsche Niederlassung der Schweizer ALOS AG gegründet. Die Marke ALOS steht seit 1946 für die schnelle und einfache Bereitstellung großer Datenmengen auf kleinstem Raum. Was mit der Herstellung und dem Vertrieb von Maschinen für die Reproduktion – analogen Vorläufern von Kopiergeräten – begann, entwickelte sich mit dem technologischen Fortschritt zu einem bedeutenden Anbieter modernster Digitalisierungslösungen auf dem deutschen Markt. Den Kern des Angebots bildeten zunächst eigene feinmechanisch-optische Reproduktionsgeräte. Mit ihnen konnten im analogen Zeitalter Bilder und Dokumente vervielfältigt, vergrößert oder verkleinert werden. Das Medium diente vor allem der Archivierung von Dokumenten, denn die Filmspulen – oft im 16-mm- oder 35-mm-Format – galten als langlebiges analoges Speichermedium.
ALOS entwickelte sich bald auch zu einem bedeutenden Handelsunternehmen in der Mikrofilmbranche und vertrieb erfolgreich Filmmaterial und Systeme namhafter internationaler Hersteller für die Verfilmung und das Auslesen von Mikrofilmen.
Aufbruch ins digitale Zeitalter
Nach dem Bezug des heutigen Firmensitzes in Köln-Lövenich im Jahr 1986 folgte bald der Siegeszug der digitalen Technologien. Die ALOS GmbH nahm optische Speicherplatten in ihr Portfolio auf und präsentierte Anfang der 90er Jahre mit ALOSVIEW ein elektronisches Ablagesystem – eine digitale Lösung, die vor allem Verwaltungen und Behörden den Einstieg in die digitale Archivierung ermöglichen sollte. Später folgte mit ALOS Scan eine selbst entwickelte Scan-Workflow-Lösung, die bis heute in unzähligen Unternehmen das Auslesen und Indexieren gescannter Belege automatisiert und die erfassten Daten an nachgelagerte Systeme und Prozesse übergibt. Neben dem neuen Geschäftsfeld des digitalen Dokumentenmanagements stieg ALOS auch in die Hardware-Distribution ein und vertreibt seitdem Scanner verschiedener Hersteller.
Maßgeschneiderte Lösungen und Services
Heute begeistert das Kölner Unternehmen mit mehr als 50 Mitarbeitenden vor allem mit seinen intelligenten Capture-Lösungen einschließlich vollautomatisierter Workflows und modernen DMS/ECM-Lösungen Kunden jeder Größe. Bisher papierbasierte Geschäftsabläufe vom Posteingang über das Rechnungswesen bis hin zu Vertrieb und Kundenservice werden in digitale Prozesse überführt, beschleunigt und flexibler gemacht. Dabei heben die vielfältigen, maßgeschneiderten Service-Angebote – von der Bedarfsanalyse über das Projektmanagement bis hin zu umfassenden BPO-Services für die Digitalisierung von Dokumenten und Prozessen – ALOS vom Wettbewerb ab. Mit professionellen Scan-Dienstleistungen und einem eigenen, zertifizierten Scan-Zentrum digitalisiert ALOS analoge Dokumente schnell und in höchster Qualität, um sie recherchier- und durchsuchbar digital zur Verfügung zu stellen.
Seit fünf Jahren ist die ALOS GmbH Teil der Kyocera-Gruppe in Deutschland. Im Verbund mit Kyocera Document Solutions, einem weltweit führenden Anbieter im Bereich Informations- und Dokumentenmanagement, und dem Druckinfrastrukturspezialisten AKI erhalten Kunden von der Informationserfassung über die -verarbeitung bis hin zum Output-Management alles aus einer Hand. Unter dem gemeinsamen Leistungsversprechen „Making information faster“ werden Informationsprozesse in Unternehmen und Behörden so nachhaltig, sicher und schnell.
Einwilligung zur Datenverarbeitung
Stefan Luther & Elisa Jannasch, ALOS GmbH
An dieser Stelle sei besonders auf die Einwilligung zur Datenverarbeitung hingewiesen. Häufig findet man auf Plattformen oder Websites schon heute eine Stelle, an der man ein entsprechendes Häkchen für sein Einverständnis zur Datenverarbeitung setzen muss. Ganz so einfach geht das allerdings gar nicht. Hierzu ein praktisches Beispiel:
Angenommen, Sie übernachten, ob beruflich oder privat, in einem Hotel. Da Sie oft unter Nackenschmerzen leiden, bitten Sie am Empfang um ein entsprechendes Nackenkissen. Handelt es sich bei dem Hotel um ein Haus einer Kette, wird dieser „Extrawunsch“ oft in Ihrer Kundendatei vermerkt. Steigen Sie wieder in einem Haus der gleichen Kette ab, liegt dieses Nackenkissen vielleicht schon für Sie bereit. Aber! Dies stellt bereits eine Datenschutzverletzung dar, denn Ihre personenbezogenen Daten wurden ohne Ihre ausdrückliche Genehmigung gespeichert. Möchte das Hotel dies in Zukunft DSGVO-konform tun, müsste mit dem Kissen gleichzeitig ein Formular ausgehändigt werden, auf dem Sie unterschreiben, dass Ihre Daten zum Zwecke der Kissenausgabe gespeichert werden dürfen. Und nur dafür! Ergänzend kommt noch hinzu, dass die Aufbewahrungsfristen für solche Dokumente auch anders sind als für die entsprechenden Zimmerrechnungen. – Allerdings tun sich Hotelketten hiermit schwer, weil es sich z.B. auch um amerikanische Ketten handelt, die den deutschen bzw. europäischen Datenschutz nicht zu genau nehmen.
Wegfall der Privilegierung der Auftragsverarbeitung | Die DSGVO sieht eine Privilegierung des Auftragnehmers nicht vor. Die Übermittlung muss entweder auf einem gesetzlichen Erlaubnis-Tatbestand oder auf einer Einwilligung beruhen. |
Gemeinsame Verantwortlichkeit | Art. 82 Abs. 2 DSGVO geht im Grundsatz davon aus, dass sowohl der Verantwortliche als auch der Auftragsverarbeiter für Schäden haften. |
Pflicht zur Führung eines Verzeichnisses | Es besteht nunmehr die Pflicht des Auftragverarbeiters zur Führung eines Verzeichnisses zu allen Kategorien der im Auftrag durchgeführten Verarbeitung von personenbezogenen Daten |
Mindestanforderungen des Art. 28 DSGVO | Zusätzliche Anforderungen:
|
Das Recht auf Vergessenwerden
Ein ebenso wichtiges – und nicht ganz unproblematisches Thema – ist das Löschen von Daten und damit das sogenannte „Recht auf Vergessenwerden“. Aus rein technischer Sicht stellt sich die Frage: Wie tief muss man hier eingreifen? Denn jeder weiß: Wenn etwas gelöscht wird, ist es nicht unwiderruflich verloren. Mit cleveren Programmen und Erfahrung können Daten oftmals wiedergestellt werden. – Nein, so tief geht es eben nicht. Es muss in der Verhältnismäßigkeit der Möglichkeiten liegen, Löschungen vorzunehmen. Liegen personenbezogene Daten vor, können Sie diese Daten anonymisieren – wo möglich. Auf diese Weise sind Sie sauber aufgestellt.
Das Recht auf Vergessenwerden bezieht sich nicht nur auf personenbezogene Daten, sondern auch auf die eigenen Geschäftsdaten. Das betrifft nicht nur das Unternehmens-Dokumentenmanagement-System (DMS), sondern auch das ERP- bzw. CRM-System und vielleicht auch die digitale Ablage. Gerade wenn ein DMS im Einsatz ist, sollten sich Redundanzen vermeiden lassen. Etwas schwieriger wird diese Thematik bei ERP-Plattformen. Es gibt Anbieter, die ihre Plattform nur zum Datensammeln und für die Bereitstellung und Analyse zu Vertriebszwecken ausgelegt haben. Fragen wie „Wie hat sich ein Kunde im Vergleich zum Vorjahr entwickelt?“ und „Kann ich auf ein früheres Angebot zugreifen?“ müssen mit Vorsicht behandelt werden.
Das Recht auf Vergessenwerden deckt auch Bewerbungsdaten ab. Zum einen ist es wichtig zu beachten, dass bei jungen Leuten – also z. B. Auszubildenden – das Einverständnis der Eltern für die Verarbeitung der personenbezogenen Daten vorliegt. Ist eine Stelle besetzt oder der Bewerber ungeeignet, sind zum anderen die Bewerbungsdaten im Anschluss an den Recruiting-Prozess zu löschen. Bewerbungen dürfen nicht aufbewahrt werden, da man diese Person vielleicht für eine spätere Stelle in Betracht zieht. Bewerbungsunterlagen dürfen auch nicht mehr im Unternehmen breit gestreut werden: Vermeiden Sie Kopien und halten Sie Bewerbung nur noch an zentraler Stelle wie dem Personalbüro vor, um sicherstellen zu können, dass Sie wirklich alle Bewerbungsdaten gelöscht haben.
Meldepflichten & Folgenabschätzung
Grundsätzlich ist das Thema ‚Übertragbarkeit der Daten‘ ein sehr spannendes Thema. Ein Beispiel aus dem Alltag: Ich wechsele meinen Internet-Provider. Dann habe ich mittlerweile das Recht, dass ich nicht alle Daten ein ums andere Mal eingeben, sondern dass diese Daten als Service von Provider zu Provider B übertragen werden. Damit geht mein Recht einher, dass ich Provider A um die Löschung all meiner Daten nach der Übertragung bitten kann.
Wirklich interessant wird das Thema Meldepflicht: Wie gehe ich mit einem Vorfall – also einem Verstoß gegen die DS-GVO – um? Häufig wird das noch recht locker gehandhabt. Es gibt Fälle, in denen werden Aktentaschen mit einem Notebook im Zug vergessen. Können Sie nicht nachweisen, dass Sie Ihr Notebook binnen 72 Stunden zurückerhalten haben, müssen Sie diesen Verstoß gegen die DS-GVO melden. Hier empfiehlt sich auch immer eine Verschlüsselung des Notebooks, um den gröbsten Schaden zu vermeiden. Auf diese Weise haben Sie schon einen wesentlichen Schritt getan und haben technische Maßnahmen ergriffen, die zum Datenschutz beitragen.
In diesem Zusammenhang kommt das Thema ‚Folgeabschätzung‘ aus. Bisher ist dies eher aus dem Bereich Risk-Management bekannt. Doch sind Unternehmen aufgefordert, sich Gedanken über den Falle der Fälle zu machen und einen Notfallplan zu entwerfen. Unternehmen sollen sich die Frage stellen: Wie ist mein Unternehmen aufgestellt? Der betriebliche Datenschutzbeauftragte ist zukünftig Pflicht. Er muss nicht unbedingt aus dem eigenen Unternehmen stammen; es kann ein Beauftragter sein, der den Datenschutz abwickelt. Unternehmen sind verpflichtet, einen Datenschutzbeauftragten zu benennen, der dann auch als Sprachrohr für die Aufsichtsbehörden fungiert. Datenschützer müssen melden, welche Unternehmen sie vertreten und welche Maßnahmen bereits ergriffen wurden. Wann dann die Aufsichtsbehörden auf die Unternehmen zugehen, wird sich im Laufe der Zeit erst zeigen.
Besonders interessant und wichtig ist der Datenschutzbeauftragte auch für die Unternehmen, die Geschäfte außerhalb der EU tätigen. Damit gewinnt das Thema noch an Komplexität. Hier spielt Artikel 44 eine wichtige Rolle: Was passiert, wenn personenbezogene Daten an Drittländer übermittelt werden? Eventuell ist es notwendig, nun neue Abkommen zu schließen.
Das Thema Geld spielt natürlich eine jetzt ganz geänderte Rolle. Noch wissen wir nicht, wie weit die Aufsichtsbehörden noch eingreifen werden – aber die Möglichkeit besteht eben doch. So wurden die Sätze für Bußgelder deutlich angehoben. Insgesamt werden zukünftig Konzerne betrachtet und nicht nur die einzelnen Unterfirmen.
Sollte der Schutz personenbezogener Daten verletzt werden, so muss dies innerhalb von 72 Stunden nach Bekanntwerden der Aufsichtsbehörde gemeldet werden. Eine Ausnahme kann gemacht werden, wenn vermutlich kein Risiko für die Rechte und Freiheiten natürlicher Personen (rechtskräftige Personen im Gegensatz zu Vereinen und Trägerschaften) besteht.
Inhalt der Meldung an die Aufsichtsbehörde:
- Art der Verletzung
- Kategorien und Zahl der Betroffenen und Datensätze
- Kontaktdaten des Datenschutzbeauftragten
- Beschreibung der Folgen für die Betroffenen
- Beschreibung der ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung und zur Reduzierung der Folgen für den Betroffenen