GDPR-/DSGVO-Anforderungen erfüllen – aber wie?

Der effiziente Schutz personenbezogener Daten in ABRA Gen erfüllt nicht nur die Anforderungen der Datenschutz-Grundverordnung (DSGVO) – das System bietet auch umfassende Tools, mit denen festgelegt werden kann, wer Zugang zu ausgewählten Daten hat und wie damit umgegangen wird.

ABRA plně podporuje GDPR

Ist Ihr Informationssystem bereit für die DSGVO?

Falls ja, kann es:

  • die DSGVO im gesamten Unternehmen umsetzen – es sorgt nicht für mehr Arbeit, sondern nimmt Ihnen Arbeit ab
  • personenbezogene Daten unterscheiden und schützen, z.B. auch durch Pseudonymisierung
  • steuern, wer Zugang zu den Daten hat und was er damit macht
  • die notwendigen Auszüge erstellen, Anfragen von Personen archivieren und ggf. alle Daten löschen
  • jeglichen Umgang mit den Daten (auch die Anzeige) überwachen und archivieren und jederzeit nachprüfen, was mit den Daten passiert ist
  • erteilte Genehmigungen und den Umgang mit den Informationen anhand von Verträgen oder Gesetzen berücksichtigen
  • personenbezogene Daten prozessübergreifend (z.B. Löhne und Gehälter, Finanzen, Marketing oder CRM) schützen

Das Informationssystem ABRA Gen ist auf die DSGVO vorbereitet. ABRA Software gewährt so ein wirksames Tool, das Ihnen bei der Verarbeitung personenbezogener Daten im Einklang mit der DSGVO hilft.

Umfassender Schutz von personenbezogenen und besonders schützenswerten Daten in ABRA Gen:

Neues generisches System zum Schutz von personenbezogenen und besonders schützenswerten Daten über den Rahmen der DSGVO hinaus

Tools zum Schutz beliebiger Elemente beliebiger, auch benutzerdefinierter Objektklassen in ABRA Gen

Tools und Werkzeuge für die Zusammenstellung, den Export und das Löschen von Daten und Erfassung der Anträge auf diese Tätigkeiten sowie deren Lösung

Verschlüsselte Kommunikation zwischen Client und Anwendungsserver (https)

Neuer Sachbereich „Datenschutzdefinition“ mit einstellbaren Zugangsrechten sowie damit zusammenhängender Sachbereich „Genehmigungen zur Verarbeitung personenbezogener Daten“

Verschiedene Niveaus von Benutzerrechten, durch die nur befugte Benutzer Zugang zu den Daten erhalten, und nur für den Zeitraum, für den die Genehmigung erteilt wurde oder für die ein rechtlicher Grund vorliegt

Protokollierung der Datenverarbeitung – einschließlich Lese-/Anzeigevorgänge

In der Grundversion sind die Systemelemente in den Unternehmens- und Personenadressbüchern geschützt

Der effiziente und effektive Schutz personenbezogener Daten im System ABRA Gen entspricht nicht nur den Anforderungen der DSGVO – er bietet umfassende, moderne Tools, mit denen genau bestimmt werden kann, wer auf ausgewählte Daten Zugriff hat und was er damit machen kann. Lesen Sie Details zum Datenschutz und zur DSGVO im Informationssystem ABRA Gen.

Wir beantworten Ihre Fragen

Nein. Ein richtig funktionierendes Informationssystem ist nur einer von mehreren Punkten, der bis zum Inkrafttreten der DSGVO geklärt werden muss. Es müssen die notwendigen Einwilligungen eingeholt, Verträge, interne Richtlinien angepasst, Mitarbeiter geschult und das verwendete Informationssystem richtig unter Berücksichtigung der konkreten Prozesse im Unternehmen eingestellt werden. Alle notwendigen Schritte zur erfolgreichen Einführung der DSGVO haben wir auf unserer Website zusammengefasst.

Nein. Wie jedes Informationssystem muss auch ABRA Gen zuerst richtig eingerichtet und verwendet werden – wenn zum Beispiel die Lohnsteuernummer im falschen Feld (z. B. im Feld „Telefonnummer“) steht oder keine Einwilligung zur Verarbeitung erteilt wird, garantiert das Informationssystem selbst den Schutz nicht. Am Anfang müssen die Prozesse analysiert werden, bei denen personenbezogene Daten verarbeitet werden. Anschließend muss alles Notwendige rechtzeitig angepasst werden. Dann bietet das System ein wirklich hohes Maß an Sicherheit.

Die personenbezogenen Daten dürfen nicht ohne rechtliche Grundlage verarbeitet werden. Die Einwilligung ist eine davon. Weitere Grundlagen können zum Beispiel Verträge oder gesetzliche Anforderungen (z. B. Archivierung von Verträgen, gesetzliche Garantien usw.) sein. In ABRA Gen kann eingestellt werden, auf welcher rechtlichen Grundlage die jeweiligen Daten verarbeitet werden, d. h. ob, zu welchem Zweck und für wie lange eine Einwilligung erteilt wurde, ggf. nach welcher gesetzlich festgelegten Frist die Daten gelöscht werden müssen oder können. Für die konkreten Einstellungen und die Verarbeitung der Angaben ist es sinnvoll, alle Datentypen zuerst zu analysieren und die optimale Art mit einem Rechtsberater zu konsultieren.

Es werden sog. Definitionsmuster erstellt, die Benutzer zur Verarbeitung personenbezogener Daten und für eigene Einstellungen nutzen können. Es muss jedoch von Anfang an eingestellt werden, welche Daten geschützt werden sollen, welche Personen wie viel Zugriff darauf erhalten (z. B. sieht die Buchhaltung andere Daten als die Unternehmensinhaber) und es müssen im Voraus alle notwendigen Anpassungen des Systems gemäß der konkreten Bedürfnisse abgewogen werden. Dazu ist es sinnvoll, zuerst alle Unternehmensprozesse zu analysieren, bei denen personenbezogene Daten verarbeitet werden. In der Grundversion von ABRA Gen stehen kostenlos bestimmte Elementgruppen für den Schutz bereit. Ein umfassenderer Schutz kann im Rahmen von erweiterten Systemversionen oder nach Maß implementiert werden.

Der Datenschutz wird das gesamte System von ABRA Gen organisch durchwachsen, d. h. er kann für alle definierten Felder mit personenbezogenen Daten eingerichtet werden und wird auch in der Cloud und über die API umgesetzt.

Erste Schritte mit der DSGVO: Vergessen Sie nichts Wichtiges und erstellen Sie einen Aktionsplan.

Auch die beste Software bereitet Ihr Unternehmen nicht allein auf die DSGVO vor. Jeder Unternehmer muss die Unternehmensprozesse, bei denen personenbezogene Daten verarbeitet werden, analysieren und bei Bedarf ändern.

Was ist notwendig?

Anm.: Kreuzen Sie die notwendigen Schritte an, wählen Sie einen Termin aus, bis wann sie erledigt sein müssen, und speichern Sie sie in Ihrem Kalender.

  • Prozesse mit unserem kostenlosen Formular analysieren.
  • Beginn der Einholung von Einwilligungen gemäß DSGVO (in ABRA Gen können Einwilligungen bereits ab der aktuellen Version gespeichert werden).
  • Beratung mit einem Rechtsberater (Anpassung der Verträge mit Zulieferern, Abnehmern, Mitarbeitern, Anpassung interner Richtlinien usw.)
  • Änderungen der Unternehmensprozesse anhand der Feststellungen aus der Analyse und Beratung.
  • Erfassung aller Träger personenbezogener Daten und Plan für ihre Vernichtung, Archivierung oder Übertragung.
  • Revision der Technologien und Informationssysteme – Plan zur Implementierung der Änderungen (Austausch der verwendeten Software, Vernetzung der einzelnen Systeme und deren richtige Einrichtung).
  • Notwendige Änderungen zur Absicherung der Daten sowie Anpassung der IT-Systeme durchführen oder ein System auswählen, das im Einklang mit der DSGVO arbeitet.
  • Schulung der Mitarbeiter mit Schulung zum richtigen Einsatz der Informationssysteme. Einrichtung der Absicherung gegen Daten-Leaks und Aufzeichnung aller Maßnahmen.
  • Weitere Schritte anhand den spezifischen Bedingungen des Unternehmens (z. B. Benennung eines Datenschutzbeauftragten).

Wir empfehlen, sämtliche Änderungen an den Unternehmensprozessen mit einem Rechtsberater zu konsultieren.

Die Datenschutz-Grundverordnung im Detail

Was ist die DSGVO?

Die Datenschutz-Grundverordnung (DSGVO) ist eine Verordnung des europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr. Sie wurde im April 2017 verabschiedet, ist für alle Mitgliedsstaaten verpflichtend und tritt zum 25. Mai 2018 in Kraft.

Das Ziel dieser Verordnung ist es, die Rechte der Bürger vor unbefugtem Umgang mit ihren besonders schützenswerten bzw. personenbezogenen Daten zu schützen. Durch diese Regeln soll das Recht auf den Schutz personenbezogener Daten ungeachtet ihrer Staatsangehörigkeit oder ihres Aufenthaltsorts gewahrt werden

Wenn betrifft die DSGVO?

Der Schutz, der durch diese Verordnung geregelt wird, betrifft die Verarbeitung personenbezogener Daten natürlicher Personen. Der Schutz natürlicher Personen bezieht sich sowohl auf die automatisierte als auch auf die manuelle Verarbeitung personenbezogener Daten, wenn diese Daten in einem Dateisystem gespeichert sind oder gespeichert werden sollen. Die Grundsätze des Datenschutzes beziehen sich auf alle Informationen zu identifizierten oder identifizierbaren natürlichen Personen.

Die Verordnung gilt für Unternehmen, Behörden und Einzelpersonen aller Branchen, die personenbezogene Daten von Mitarbeitern, Kunden, Klienten oder Lieferanten verarbeiten.

Die DSGVO regelt außerdem den Schutz der digitalen Rechte der Bürger und umfasst auch Stellen, die das Verhalten der Benutzer im Internet beobachten und analysieren.

Bei ernsthaften Verstößen drohen Unternehmen Sanktionen und hohe Geldbußen (bis zu 20 Mio. EUR oder 4 % des gesamten weltweit erzielten Jahresumsatzes).

Grundlegende Änderungen durch die DSGVO

  • Die Bürger erhalten das Recht auf Löschung ihrer Daten und eine Erweiterung des Rechts auf Vergessen, d. h. der Verantwortlicher muss in diesem Fall alle personenbezogenen Daten löschen, wenn kein rechtlicher Grund zur weiteren Verarbeitung vorliegt.
  • Die Bürger müssen Zugriff auf die Daten erhalten, die über sie erfasst werden, und zwar idealerweise direkt und online.
  • Bürger haben das Recht, der Verarbeitung personenbezogener Daten zu widersprechen; in diesem Fall darf der Verantwortliche die Daten nur dann weiter verarbeiten, sofern er nachweisbare Gründe dafür hat.
  • Als personenbezogene Daten gelten neu auch technische Parameter wie E-Mail-Adressen, IP-Adressen oder Cookies auf den Geräten des Benutzers. Auch genetische und biometrische Daten wurden in die Definition aufgenommen.

Welche Verpflichtungen entstehen Institutionen und Unternehmen durch die DSGVO?

Die neue DSGVO erweitert und konkretisiert vorhandene Rechtsnormen zum Schutz und der Absicherung personenbezogener Daten. Die Grundprinzipien ändern sich also nicht, folgende Verpflichtungen kommen für Unternehmer neu hinzu:

  • Personenbezogene Daten dürfen nur zu berechtigen Zwecken und nur für die dafür notwendige Zeit gespeichert werden.
  • Personenbezogene Daten müssen vor Unbefugten geschützt werden.
  • Meldepflicht im Falle von festgestellten Daten-Leaks
  • Recht der betroffenen Personen auf:
    • Auskunft
    • Löschung (Vergessen)
    • Übertragbarkeit
  • Führung eines Verzeichnisses der Verarbeitungstätigkeiten; Zusammenarbeit mit Aufsichtsbehörden und Vorlage der entsprechenden Verzeichnisse auf Anfrage
  • Erstellung einer Datenschutz-Folgenabschätzung
  • In bestimmten Fällen Durchführung einer sog. Pseudonymisierung – Verarbeitung der personenbezogenen Daten so, dass sie ohne Heranziehung zusätzlicher, getrennt gespeicherter Informationen keiner konkreten Person zugeordnet werden können.
  • Meldung über eine Verletzung des Schutzes personenbezogener Daten an die zuständige Datenschutzbehörde und die betroffenen Personen
  • In einigen Fällen Benennung eines Datenschutzbeauftragten

Grundbegriffe der DSGVO

Was sind personenbezogene Daten?

Alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen. Als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann.

Datenschutzbeauftragter

Mit der DSGVO wird die Institution des Datenschutzbeauftragten (Data Protection Officer, DPO) geschaffen, dessen Benennung für bestimmte Unternehmen verpflichtend ist. Die Hauptaufgabe des Datenschutzbeauftragten ist die Überwachung der Einhaltung der Verarbeitung personenbezogener Daten mit den Pflichten, die aus der DSGVO hervorgehen. Der Datenschutzbeauftragte führt interne Audits durch, schult die Mitarbeiter und leitet insgesamt den internen Datenschutz.

Datenschutz-Folgenabschätzung

Die Datenschutz-Folgenabschätzung (Data Protection Impact Assessment, DPIA) ist ein Expertengutachten, das vom Verantwortlichen durchgeführt werden muss, wenn es wahrscheinlich ist, dass eine bestimmte Art der Verarbeitung, insbesondere durch neue Technologien, unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringt.

Betroffene Person

Eine natürliche Personen, auf die sich die personenbezogenen Daten beziehen.

Verantwortlicher

Alle Unternehmen, Behörden und Institutionen, die während ihrer Tätigkeit personenbezogene oder besonders schützenswerte Daten erfassen, verarbeiten oder speichern.

Auftragsverarbeiter

Alle natürlichen oder juristischen Personen oder andere Stellen, die personenbezogenen Daten verarbeiten. Jeder, der Zugriff auf personenbezogene Daten hat, ist ein Auftragsverarbeiter.

Haben Sie weitere Fragen zur DSGVO?

Mám zájem o předvedení [post_title] DACH