Zu ideeFix Tipp-Übersicht

ideeFix antwortet:
Koblank und EU-DSGVO


Seit 25. Mai 2018 ist in der gesamten Europäischen Union die Datenschutzgrundverordnung (DSGVO) als unmittelbar geltendes Recht anzuwenden. Sie betrifft den Umgang mit personenbezogenen Daten.

Im englischsprachigen Raum heißt die Verordnung General Data Protection Regulation (GDPR).

Die folgenden Ausführungen stellen keine Rechtsberatung dar und erheben keinen Anspruch auf Vollständigkeit. Sie sollen lediglich eine einfach verständliche und praxisgerechte Hilfestellung zu den wichtigsten erforderlichen Maßnahmen auf Grund der neuen gesetzlichen Regelung geben. Bei weiteren Fragen wenden Sie sich bitte an Ihren Datenschutzbeauftragten oder Ihre Rechtsabteilung.

Was sind personenbezogene Daten?

Personenbezogene Daten sind im Ideenmanagement beispielsweise folgende Mitarbeiterdaten:

  • Name
  • Mitarbeiter-Nummer
  • E-Mail Adresse
  • Telefon-Nr.
  • Adressdaten
  • Klassifizierungen
  • Verknüpfungen zu Ideen (Einreicher, Auftragsempfänger, Kommentator usw.) – aber nicht die Inhalte der Ideen, Gutachten, Kommentare usw.
  • Verknüpfungen zu anderen Mitarbeitern (Einreichergruppen, Stellvertretungen usw.)

Was muss ich als Ideenmanager künftig beachten?

Aus der EU-DSGVO ergeben sich für die Anwender Koblank ® Ideenmanagement Software u.a. folgende neue Anforderungen:

  • Zweckbindung und Datenminimierung. Es dürfen nur solche personenbezogene Daten verarbeitet werden, die für die Abwicklung des Ideenmanagements tatsächlich erforderlich sind. Verboten wäre beispielsweise die Speicherung der Religionszugehörigkeit in einer der sechs Mitarbeiterklassifizierungen. Denn diese ist zur Abwicklung von Verbesserungsvorschlägen nicht erforderlich.
  • Zustimmung. Die Mitarbeiter müssen der Verarbeitung zustimmen. Dies wird normalerweise kollektivrechtlich über die BVW-Betriebsvereinbarung umgesetzt. Man kann aber auch in ideeNet® beispielsweise bei jedem Einreichen die Zustimmung zu irgendwelchen Richtlinien ankreuzen lassen.
  • Betriebsvereinbarung und Datenschutzerklärung. Es empfiehlt sich, die Betriebsvereinbarung, so vorhanden, in ideeNet® beispielsweise auf der Startseite als PDF zu verlinken. Sofern über die Betriebsvereinbarung hinaus auch eine Datenschutzerklärung existiert bzw. erforderlich ist, sollte auch diese verlinkt sein.
  • Auskunftsrecht. Der Mitarbeiter hat ein Recht, zu wissen, was über ihn gespeichert ist. Dies ist in ideeNet® mit dem Baustein Extras | Benutzerdaten realisiert.
  • Verzeichnis der Verarbeitungstätigkeiten. Wer personenbezogene Daten automatisiert verarbeitet, muss intern ein Verzeichnis dieser Verarbeitungstätigkeiten erstellen, in dem Zweck, Verantwortlichkeiten, Löschfristen u.ä. beschrieben sind. Möglicherweise kann Sie Ihr Datenschutzbeauftragter mit einem firmenspezifischen Muster unterstützen.
  • Privacy by Design, Privacy by Default. Es muss verhindert werden, dass Unbefugte Daten sehen können, für die sie nicht berechtigt sind. Hierzu dient das filigrane Berechtigungssystem, das in ideeNetAdmin | Berechtigungen verwaltet werden kann. Weiterhin hat Ihre IT dafür zu sorgen, dass keine Unbefugten Zugriff auf die Koblank Datenbank(en) erhalten und diese durch Datensicherungen vor Verlust geschützt werden. Dies wird dadurch erleichtert, dass die Koblank Ideenmanagement Software Datenbanktechniken verwendet, die mit Standardverfahren verwaltet werden können.
  • Protokollierung. In der Koblank Datenbank werden sämtliche Hinzufügungen, Änderungen und Löschungen von personenbezogenen Daten in einer eigens dafür eingerichteten Tabelle namens DSGVO_Log protokolliert. Dadurch ist jederzeit nachvollziehbar, wer wann mit welchem Verfahren welche personenbezogenen Daten verarbeitet hat.
  • Löschen nicht mehr erforderlicher Daten. Während in der Vergangenheit die Frage war, nach welcher Zeit Verbesserungsvorschläge frühestens gelöscht werden können, stellt sich jetzt die Frage, ab wann sie spätestens gelöscht werden müssen. Zu den rechtlich vorgegebenen Fristen siehe auch Aufbewahrungsfristen im BVW.
  • Vollständige Löschung. Die Entscheidung, wann ein Mitarbeiter einzeln oder mit dem in ideeNetAdmin enthaltenen Datenbanktool "Ideen anonymisieren und anderere Datenbanküberarbeitungen" zu löschen ist, liegt beim Anwender. Von einem gelöschten Mitarbeiter bleibt als einziger Rest ein Satz in der DSGVO_Log, aus dem hervorgeht, wann die Mitarbeiter-Nr. XYZ von wem und mit welchem Verfahren gelöscht wurde.

Löschen vs. Anonymisieren von Ideen

Das Löschen alter Ideen im Rahmen der durch den Datenschutz vorgegebenen Fristen hat zur Folge, dass das Ideenmanagement nach und nach seine komplette Historie verliert.

Aus Datenschutzgründen genügt es jedoch, die Verknüpfungen zu den personenbezogenen Daten zu löschen, indem man alle Bezüge zu den Einreichern, Entscheidern, Gutachtern, Kommentatoren usw. der jeweiligen Ideen entfernt.

Die anonymisierten Ideen können dadurch weiterhin in der Datenbank gefunden werden und sind mit ihren wesentlichen Details abrufbar:

  • Titelzeile: Worum ging es bei der Idee?
  • Ausführliche Beschreibung: Was wollte der Vorschlag wie verändern? Welches Ergebnis hatte er?
  • Kalendarium: Eingangsdatum, Realisierungsdatum, Abschlussdatum, ...
  • Klassifizierungen: Sachgebiet, Bewertungsergebis, ...

Diese Kerninformationen sind in vielen Unternehmen genau das, was man in ideeNet® bei Ideen Dritter (bei denen man weder als Einreicher noch als Entscheider oder Gutachter beteiligt ist) sehen darf. Insofern bleibt nach der Anonymisierung der relevante Kern der Informationen zu den jeweiligen Verbesserungsvorschlägen dauerhaft für jedermann zugänglich, ohne dass der Schutz personenbezogener Daten beeinträchtigt wird.
Praxisbeispiel einblenden.

Welche Neuerungen gibt es seit Frühjahr 2018 in der Software?

Protokollierung. Die umfangreichste Neuerung der Koblank ® Ideenmanagement Software zur Erfüllung der neuen EU-DSGVO ist die neue Protokollierung von Neueinfügungen, Änderungen und Löschungen personenbezogener Daten. Diese beinhaltet die Daten, die z.B. in ideeNet® | Extras | Mitarbeiter verwaltet werden können, sowie alle Verknüpfungen von Mitarbeitern zu Ideen, Einreichergruppen, Punktebuchungen, Stellvertretungen und ähnlichem.

Löschen von Mitarbeitern. Außerdem ist jetzt das Löschen von Mitarbeitern erleichtert: Wenn ein Mitarbeiter kein Koordinator ist und auch mit keiner Idee (als Einreicher, Auftragsempfänger usw.) verknüpft ist, kann er gelöscht werden. Die Mitgliedschaft in Gruppen, Stellvertretungen und ähnliches werden dann automatisch gelöscht und stehen der Löschung nicht mehr, wie in der Vergangenheit, im Wege.

Auskunftsrecht. Im Hinblick auf das Auskunftsrecht wurde die in ideeNet® | Extras | Benutzerdaten angezeigte Seite so erweitert, dass die personenbezogenen Daten vollständig angezeigt werden.

Anonymisierung. Das in ideeNetAdmin enthaltene Datenbanktool "Ideen anonymisieren und anderere Datenbanküberarbeitungen" bietet als Alternative zum Löschen alter Ideen auch die Möglichkeit, alte Ideen zu anonymisieren.

Alle Details zu diesen Aspekten finden Sie in ihrem ideeNetAdmin Handbuch, wenn Sie im Inhaltsverzeichnis rechts unten auf "Protokollierung gemäß EU-DSGVO" klicken.

Siehe auch: Aufbewahrungsfristen im BVW.