Welche DSGVO-Funktionen bietet ibo QSR?
Daniel Marx ist bei ibo intern für das Thema Datenschutz verantwortlich und zugleich als Key-Account-Manager auch in die Produktentwicklung unserer Revisions-Software ibo QSR involviert. Für den Newsletter haben wir ihn zu Artikel 17 der DSGVO befragt.
ibo-Blog: „DSGVO-konformes Löschen von Daten“ und das „Recht auf Vergessen-werden“ sind zwei Schlagworte, die auch uns bei ibo in den letzten Wochen und Monaten beschäftigt haben. Was genau verbirgt sich hinter diesen Schlagworten?
DAM: Seit dem 25. Juni 2018 ist die EU-Datenschutz-Grundverordnung anzuwenden. Diese Verordnung hat sowohl für Unternehmen als auch für Privatpersonen viele Veränderungen im Vergleich zur bisherigen Rechtslage mit sich gebracht. ibo hat dies zum Anlass genommen, die eigenen Software-Produkte und Prozesse auf den Prüfstand zu stellen und datenschutzfreundlich anzupassen. So gibt es bspw. ein Löschkonzept für von ibo erhobene personenbezogene Daten. Aber auch innerhalb der ibo-Produktpalette haben wir uns Gedanken gemacht, wie unsere Kunden mögliche personenbezogene Daten ordnungsgemäß löschen können.
Das „Recht auf Vergessen-werden“ ist eines der zentralen Rechte der DSGVO. Es umfasst einerseits, dass eine betroffene Person das Recht hat, das Löschen aller sie betreffenden Daten zu fordern, wenn die Gründe für die Datenspeicherung entfallen. Darüber hinaus muss aber auch der Verarbeiter andererseits selbst aktiv die Daten löschen, wenn es keinen Grund mehr für eine Speicherung und Verarbeitung gibt.
ibo-Blog: Welche Persönlichkeitsrechte sollen damit geschützt werden und wie sind die gesetzlichen Vorgaben dazu?
DAM: Kern aller datenschutzrechtlicher Regelungen ist das Grundrecht auf informationelle Selbstbestimmung. Dahinter verbirgt sich die Möglichkeit, durch Auskunftsansprüche in Erfahrung zu bringen, wer welche personenbezogenen Daten speichert und verarbeitet. Ggf. kann auch das Löschen oder die Berichtigung fehlerhafter personenbezogener Daten verlangt werden.
ibo-Blog: Welche Relevanz haben diese Vorgaben für eine Software wie ibo QSR?
DAM: Neben bereits bekannten Pflichten stellt die DSGVO auch weitergehende Anforderungen an den Datenschutz in Unternehmen. Neu ist bspw. die Pflicht, Anwendungen datenschutzfreundlich voreinzustellen. Dies spielt bei der Software-Konzeption natürlich eine Rolle.
ibo-Blog: Welche Anforderungen haben Sie im QSR-Team daraus für ibo QSR abgeleitet?
DAM: Im Rahmen der Prüfungsdokumentation kann es zur Erfassung personenbezogener Daten kommen. Dies gilt insbesondere für unsere QSR-Kredit-Kunden. Darüber hinaus sind auch Daten der QSR-Nutzer in der Software hinterlegt. Das Löschen war bereits vor der EU-DSGVO möglich. Dafür mussten allerdings an unterschiedlichen Stellen im System Daten gelöscht werden und es war wichtig, dabei eine gewisse Reihenfolge einzuhalten.
ibo-Blog: Wie haben Sie diese Anforderungen dann in ibo QSR umgesetzt?
DAM: Wir haben den gestiegenen Ansprüchen durch die DSGVO durch eine eigene Programmfunktion Rechnung getragen. Um personen- und auftragsbezogene Daten komfortabel und gesetzeskonform löschen bzw. anonymisieren zu können, haben wir die Anwendungen erweitert. Die Konzeption der Programmfunktion ist in enger Abstimmung mit unseren Kunden bereits 2018 erfolgt.
ibo-Blog: Können Sie uns diese Funktion kurz vorstellen?
DAM: Gerne. In der Verwaltung von ibo QSR finden Sie die Funktion Personenbezogene Daten/Altdaten löschen …
Zuerst wählen Sie einen Stichtag aus (A). Dann können Sie Schritt für Schritt die zu diesem Stichtag ermittelten Aufträge, Planungen, Vorgabe Arbeitstage, Vorgabe Fehlzeiten und die Fehlzeiten der Revisoren löschen (B).
Im letzten Schritt anonymisieren Sie die Revisoren, die nicht gelöscht werden konnten (C). Auf der Seite Revisoren anonymisieren werden alle Revisoren aufgelistet, die bis zum Jahr des Stichtages aus den Stammdaten gelöscht wurden, aber noch Referenzen in der Datenbank aufweisen. Hier handelt es sich um Referenzen, die aus technischen Gründen nicht entfernt werden können (z. B. weil der Revisor einen Datensatz in den Stammdaten angelegt oder geändert hat). Diese Einträge können zwar nicht gelöscht, aber anonymisiert werden. Beim Anonymisieren werden Vorname und E-Mail-Adresse gelöscht. Das Kürzel wird durch ein automatisch vergebenes Kürzel ersetzt und dadurch anonymisiert. Als Nachnamen wird der Eintrag ‚Gelöschter Revisor‘ gesetzt.
ibo-Blog: Vielen Dank für das Gespräch, Herr Marx!
Welche DSGVO-Funktionen bietet der ibo Aufbau-Manager?
Auch für das Organisationsmanagement mit dem ibo Aufbau-Manager wurde das „Recht auf Vergessen“ zum Thema. Dazu haben wir Alexander Zientek, Account-Manager im Alea-Team interviewt.
ibo-Blog: Wann und wie wurde die DSGVO-Novelle zum Artikel 17 Thema im Alea-Team?
ALZ: Natürlich haben auch wir im Alea-Team uns frühzeitig Gedanken um die Abbildbarkeit dieses Themas in unserem Programmbereich gemacht. Von der ersten Idee bis zur tatsächlichen Umsetzung eines Löschkonzeptes ging jedoch schon ein bisschen Zeit ins Land. Uns war eine starke Orientierung an den Kundenwünschen sehr wichtig, was den Dialog zu dieser Thematik mit mehreren Kunden erforderlich machte. Sowas braucht natürlich etwas Zeit.
ibo-Blog: Welche konkreten Anforderungen ließen sich daraus ableiten?
ALZ: Aus unseren eigenen Überlegungen in Verbindung mit den Kundenwünschen war insbesondere eine Anforderung sehr deutlich ablesbar: Es muss einfach sein. Das gesamte Thema Datenschutz ist schon komplex genug, da muss es nicht noch durch ein verkompliziertes Löschkonzept innerhalb einer Software schwerer als nötig gemacht werden. Der Kundenwusch war ganz klar: „DSGVO-konformes Löschen von personenbezogenen Daten auf Knopfdruck“.
ibo-Blog: Wie wurde die Lösung innerhalb der Software umgesetzt?
ALZ: Es wurde ein eigens dafür entwickelter Programmbereich unter „Stammdaten > Personenbezogene Daten löschen“ implementiert. Über einen Datumsfilter können alle in Frage kommenden Datensätze selektiert und nach einer kurzen Sichtung auf Knopfdruck entsprechend DSGVO-konform gelöscht bzw. anonymisiert werden.
ibo-Blog: Können Sie uns diese Funktion kurz vorstellen?
ALZ: Gerne. Wie gesagt: Sie finden die Funktion unter Stammdaten > Personenbezogene Daten löschen:
Zuerst stellen Sie das Datum ein (A). Dann wählen Sie aus, welche Dokumente berücksichtigt werden sollen (B). Wenn Sie dann die Ansicht aktualisieren (C), werden die zu löschenden Personen und zu den Personen die betroffenen Dokumente angezeigt.
Für jeden zu löschenden Mitarbeiter wird ein Eintrag angelegt (D). Unterhalb dieses Eintrags werden die verschiedenen ibo-Dokumente (z. B. Stellenbeschreibungen und Organigramme) aufgelistet (E). Noch eine Ebene tiefer werden dann die Einzeldokumente aufgelistet (F). Durch Aktivieren bzw. Deaktivieren der Auswahlfelder legen Sie fest, welche Dokumente gelöscht werden sollen. Die so ausgewählten Dokumente werden gelöscht, wenn Sie die Minus-Schaltfläche klicken.
ibo-Blog: Vielen Dank für das Gespräch, Herr Zientek!
Erfahren Sie mehr über die ibo-Software-Lösungen!