Wer diese Serie verfolgt hat, ist nun in der Lage jederzeit seine Prozessliste zu zeigen und zu korrigieren. Heute berühren wir nun den Kern der neuen Verordnung und müssen gleich wieder Neues in diese Liste einpflegen.
Welche Prozesse arbeiten mit sensiblen Daten? Nochmal zur Erinnerung, das sind Informationen, die man Personen zuordnen kann. Sofern noch nicht erfolgt, fügen wir nun zu unserer Liste hinzu, welche Daten das sind. Hier ein paar Beispiele für Abläufe aus verschiedenen Bereichen eines typischen Geschäftsbetriebes:
- Bei der Anmeldung (im Online-Shop oder auch am Telefon) erfassen wir Namen,…, Geburtsdatum etc.
- Bei der Kundenbetreuung fallen Kommunikations-Daten an: wer hat wann angerufen, welche Veränderungen wurden an Kundenkonten gemacht etc., wo/wie wird dies protokolliert?
- Bei der Auslieferung tracken wir die Position der Tablets und Auslieferungszeitpunkte, damit also die Position und das Verhalten des Fahrers.
- Beim Kundenbesuch auf der Webseite werden die einzelnen Seitenbesuche mit Zeitstempel und IP-Adresse in den Logfiles vermerkt
- Jeder Auftrag eines Kunden hinterlässt Spuren im ERP-System: Welche Produkte wurden gekauft, mit welcher Methode hat er bezahlt.
Im nächsten Schritt überlegen wir uns, wozu diese Daten eigentlich gesammelt werden – oft erscheint uns das super-logisch („klar brauchen wir die!“) – aber hier müssen wir den Grund -unser berechtigtes Interesse– irgendwie benennen. Das hilft auch die Rechtsgrundlage (Artikel 6, „Rechtmäßigkeit“) zu finden, die uns das Sammeln erlaubt. Hier also die neue Spalte in unserer Prozessliste für die obigen Beispiele:
- mit Name und Geburtsdatum können wir den Auftraggeber eindeutig bestimmen – notwendig, um eine Rechnung zuzustellen. Fällt in Absatz b, ist also klar für „Durchführung vorvertraglicher Maßnahmen“ oder „Erfüllung eines Vertrags“ nötig.
- Die Kommunikationsprotokolle dienen der Organisation der Arbeit im Team und somit der effizienten Abwickung des Kundenauftrages, Absatz b, Evtl. sollte man auch die Einwilligung nach Absatz a erfragen (Im PCG gibts die „Anonym“-Option für Kunden – aber hier gehts auch um das Loggen der Mitarbeiter-Aktivitäten!)
- Das Tracken der Tablets ermöglicht uns Vorhersagen des Auslieferungszeitpunktes – ein Mehrwert für den Kunden- und die disziplinarische Kontrolle der Fahrer (habe ich absichtlich hier sehr direkt formuliert) – Klar ein Fall für Absatz a, wir brauchen die Einwilligung des Fahrers.
- Das Logfile mit IP-Adressen wird zur Sicherheit benötigt: so sind z.B. Angriffe aus dem Internet oder allgemein das Verfolgen von Anmeldefehlern -auch für den Kunden- möglich (Hieraus folgt dann auch gleich, das wir diese Daten nicht ewig aufgeben sollen). Damit wir das auch dürfen, müssen wir den Kunden/Besucher fragen: Etwa mit einer Einwilligung laut Absatz a (das entspricht etwa der „Cookie“-Frage die heute überall zu sehen ist)
- Die Daten zu den Aufträgen brauchen wir zunächst für die Abwicklung – danach aber auch noch 10 Jahre um Betriebsprüfungen zu ermöglichen (Absatz c – Danach müssen die Daten dann aber gelöscht werden 😉 ) . Ein anderer Grund wäre, Statistiken zu ermöglichen – damit optimieren wir unser Angebot und unsere Abläufe. Bei einer Statistik muss man aber nicht die einzelnen Datensätze aufheben – es reicht die monatliche Tortengrafik, die keine Kunden-Details mehr beinhaltet.
Wenn uns zu einer Position kein Grund einfällt – dann sollten wir diese Daten auch nicht mehr sammeln. Die Verordnung spricht hier von der Regel der Datensparsamkeit.
Man kann an den Beispielen sehen, das es durchaus eine Grauzone für die Gründe gibt – „wichtig für die Prozessoptimierung“ kann ja vieles bedeuten. Sofern kein anderer Absatz in Artikel 6 das Daten-Erheben erlaubt – die Einwilligungs-Frage an den Kunden bleibt immer (z.B. per AGB). Hier werden wir aber gezwungen, den Grund verständlich zu Formulieren, „wichtig für die Prozessoptimierung“ wird da wohl durchfallen.
Dies ist also die Hausaufgabe bis zum April:
- Prozessliste um relevante Daten erweitern, und
- dazu schreiben warum diese Daten erhoben werden – am Besten mit einem Hinweis auf die Rechtsgrundlage.
Das nächste mal wird es dann darum gehen, wie auch die Dienstleister und Zuarbeiter in unserem vernetzten Business berücksichtigt werden. Schliesslich Ende April, also kurz vor knapp, gehts dann darum diese Botschaft („Auch wir halten uns an die Regeln und finden sie gut!“) auch raus zu unseren Kunden zu tragen, z.B. in Form der AGB.
Disclaimer: Wir können und wollen hier keine Rechtsberatung sein – dies ist lediglich unsere nach Bestem Wissen geschilderte Vorgehensweise. Wenn Ihr selber Anregungen habt, z.B. von Eurem Haus-Juristen, schreibt einen Kommentar!