Am 25. Mai 2018 tritt die Datenschutz-Grundverordnung (DSGVO) in Kraft. Die DSGVO ist ein europäisches Datenschutz- und Sicherheitsgesetz, das einen neuen globalen Standard für Datenschutzrechte, Sicherheit und Compliance festlegt.
Die DSGVO deckt grundsätzlich den Schutz und die Einhaltung der Persönlichkeitsrechte von Einzelpersonen ab. Die neuen Regelungen legen dabei strikte Datenschutzbestimmungen fest, wie Organisationen personenbezogene Daten bestmöglich verwalten und schützen können – unabhängig davon, wo genau diese verarbeitet, versendet oder gespeichert werden.
Wenn Sie in Ihrem Unternehmen Microsoft Dynamics NAV einsetzen, sind auch Sie unter gewissen Voraussetzungen von der Neuregelung betroffen. Wir möchten Ihnen in diesem Beitrag wesentliche Punkte vorstellen, die Sie in diesem Fall vor dem Hintergrund Ihrer individuellen betrieblichen Situation prüfen sollten.
Die Auswirkungen der DSGVO
Die DSGVO umfasst komplexe Regelungen, die unter Umständen erhebliche Änderungen bei der Erfassung, Nutzung und Verwaltung personenbezogener Daten in Unternehmen erfordern kann. Unter anderem haben die Neuregelungen folgende Auswirkungen:
- Stärkung der Persönlichkeitsrechte – Verschärfung des Datenschutzes für Einzelpersonen innerhalb der EU durch Sicherung des Rechts auf: Zugang zu den eigenen personenbezogenen Daten, Korrektur von Ungenauigkeiten darin, Löschung personenbezogener Daten auf Anfrage, Einspruch gegen ihre Verarbeitung und Verschiebung.
- Pflicht zum Schutz personenbezogener Daten – Stärkung der Rechenschaftspflicht von Unternehmen und öffentlichen Organisationen, die personenbezogene Daten verarbeiten.
- Obligatorische Meldung von Verletzungen personenbezogener Daten – Unternehmen müssen Verletzungen ihrer personenbezogenen Daten unverzüglich (innerhalb von 72 Stunden) ihren Aufsichtsbehörden melden.
- Signifikante Strafen für Nichteinhaltung – Möglichkeit zur Verhängung strenger Sanktionen und Strafen bei Verstößen gegen die DSGVO, unabhängig davon, ob eine Organisation absichtlich oder unabsichtlich gehandelt hat.
Neben den rein IT-technischen Themenstellungen gibt es also eine Reihe organisatorischer Maßnahmen zu beachten, die Sie in Ihrem Unternehmen gegebenenfalls ergreifen und anpassen müssen, sofern Sie mit personenbezogenen Daten in Berührung kommen.
Personenbezogene Daten
Eine der wichtigsten organisatorischen Vorbereitungsmaßnahmen ist, die Stellen transparent zu machen, an denen personenbezogene Daten gespeichert und verarbeitet werden.
Die Datenschutz-Grundverordnung betrachtet personenbezogene Daten als Informationen, die sich auf eine bestimmte oder bestimmbare natürliche Person beziehen. Dabei kann es sich sowohl um eine direkte Identifikation (offizieller Name), als auch eine indirekte Identifikation (z.B. IP-Adressen, IDs mobiler Endgeräte und Standortdaten) handeln.
Sensible Daten markieren dabei eine besondere Kategorie personenbezogener Daten, die besonders geschützt werden müssen und für ihre Verarbeitung in der Regel die ausdrückliche Einwilligung der betreffenden Person erfordern.
Wichtig ist es auf Basis dieser Definition, die in Microsoft Dynamics NAV gespeicherten Daten zu identifizieren und klassifizieren, zu kontrollieren und sichern:
- Identifizieren Sie, welche persönlichen Daten Sie verarbeiten und wo sich diese befinden.
- Kontrollieren Sie, wie die persönlichen Daten verwendet und abgerufen werden.
- Führen Sie Maßnahmen ein, um Sicherheitslücken und Datenverstöße zu erkennen, verhindern und rechtzeitig darauf zu reagieren.
- Handeln Sie bei Datenanforderungen, melden Sie Datenverletzungen und dokumentieren Sie sämtliche Prozesse.
Bei der Klassifizierung und Einordnung der Prozesse und Daten ist es zudem wichtig, dass Sie sich Ihrer Rolle bzw. Stellung hinsichtlich der Definition der DSGVO bewusst werden. Grundsätzlich werden dabei folgende Rollen unterschieden:
- Betroffene Person
- Verantwortlicher
- Verarbeiter / Auftragsverarbeiter
Je nach Rolle erfordert die DSGVO schließlich unterschiedliche Maßnahmen. Die einzelnen Schritte und konkrete Hinweise zur DSGVO-konformen Speicherung und Verarbeitung von personenbezogenen Daten – speziell beim Einsatz von Microsoft Dynamics NAV – werden wir für Sie in einem weiteren Blogbeitrag ausführen.
Diese Veröffentlichung ist ein Kommentar zur DSGVO, wie prisma informatik sie zum Zeitpunkt der Veröffentlichung und auf Grundlage der seitens Microsoft bereitgestellten Informationen interpretiert. Wir haben uns eingehend mit der DSGVO beschäftigt und denken, dass wir deren Absicht und Bedeutung kennen. Die Anwendung der DSGVO ist jedoch sehr sachspezifisch und bisher sind nicht alle Aspekte und Auslegungen der DSGVO vollends geregelt und erprobt.
Die Veröffentlichung wird daher nur zu Informationszwecken bereitgestellt und sollte nicht als Rechtsberatung herangezogen werden oder um zu ermitteln, wie die DSGVO für einzelne Organisationen gelten könnte. Wir empfehlen, mit einem rechtskundigen Experten zusammenzuarbeiten, um zu erörtern, wie die DSGVO speziell für Ihre Organisation ausgelegt werden muss und wie Sie die Einhaltung der neuen Vorschriften am besten sicherstellen können.
PRISMA INFORMATIK ÜBERNIMMT KEINE GESETZLICHEN GEWÄHRLEISTUNGEN HINSICHTLICH DER INFORMATIONEN IN DIESER VERÖFFENTLICHUNG.