Nachtrag Datenschutz / Newsletter

Nachtrag zu unserer DSGVO-Serie

Politik

Es ist ruhig geworden nach der ersten Aufregung. Zwar ist das gut, wenn man an den oft sinnlosen Aktivismus denkt (gut das Ihr Eure Shops nicht gleich abgeschaltet habt), aber eher nicht so gut, wenn man an die Gewöhnung an schlechte Datenschutzerklärungen denkt. Oft wird die DSGVO auch als Bürokratiemonster verurteilt, was unserem allgemeinem Wunsch nach Datenschutz andererseits aber nicht förderlich ist. Nach wie vor nehmen es viele nicht ernst und verwenden z.B.  (leider auch von Euch Lesern) Tracker, ohne die Einhaltung der Regeln zu hinterfragen.

Haben wir zu viel Wichtigeres zu tun?

DSGVO bei uns

Den Vertrag zur Auftragsverarbeitung mit Ökobox-Online haben über 84% zugestimmt. Einige habe es wohl vergessen, zwei Anwender wollten einen eigenen Vertrag…der ist aber nicht so ausführlich und niemals so aktuell wie unser Vorschlag; zudem ist die Aktualisierung unklar und zeitaufwändig.

Wir haben unsere interne Prozessliste und auch die Dokumentation weiter vervollständigt (Anwender können die z.B. zum Anwendertreffen einsehen). Mittlerweile haben wir auch mit allen unseren Zulieferern einen sinnvollen und gültigen AV Vertrag.

Weitere Anwender sind auf unser Datenschutz-konformes und vor allem vereinfachendes Google-Tracking-Plugin umgestiegen – wir haben dies mittlerweile auch um die e-Commerce Kennzahlen erweitert.

Wie bekomme ich Neukunden in den Newsletter?

Bei der Neumeldung in den Shop ist der Kunde nun aufgefordert, den Haken für den Newsletter aktiv zu setzen. Das „vergessen“ die Kunden natürlich öfters. Was tun?

Naturgemäß befinden wir uns im Online Shop in einer Grauzone, was das Zusenden von Emails betrifft. Solange der Inhalt eindeutig mit dem Kauf – oder in unserem Fall- mit einem Abo zu tun hat, und es sich ausschließlich um unser eigenes Geschäft bzw. Produkte handelt, sollte eine Einwilligung des Kunden unterstellt werden können. Auch auf das „berechtigte Interesse“ im Rahmen der Geschäftsbeziehungen mit dem Kunden könnte man sich berufen. Wenn das auch so in der Datenschutzerklärung beschrieben ist, sollte man die Kundin auch ohne eine explizite Newsletter-Einwilligung anschreiben dürfen.

Anders ist es, wenn das Abo beendet ist oder der Kunde explizit kündigt – hier bietet es sich an, bei der Bearbeitung der Kündigung explizit nach einer weiteren Erlaubnis zu fragen.

Man könnte also auch das Häckchen anders beschriften:  „Ich erlaube die Zusendung von gelegentlichen Werbenachrichten in eigener Sache auch nach Abwicklung des Kaufes oder dem Ende meines Abo’s“.

Die obige Argumentation liegt nahe, und wird auch in verschiedenen Publikationen so dargestellt. Da es aber leider in dieser Sache noch keine eindeutige Rechtsauslegung gibt, obliegt Euch die Entscheidung:

a) Möchte  ich mehr Kunden erreichen und folge obiger Argumentation? -> Option im Admin Bereich einschalten.

b) Ich bleibe bei der strikten Lösung.

Wie überzeuge ich Kunden, doch den Newsletter zu empfangen?

Was tun wenn die Abonnentenzahlen nun eingebrochen sind? Mit einem Platzhalter für transaktionale Nachrichten vom Shop, der eingeblendet wird, wenn eine Empfänger keine Werbeerlaubnis erteilt hat, kann man versuchen, ihn doch noch zum Empfänger zu machen.  Mit Hilfe der Variable %Zustimmung% im Text kann der Empfänger dies mit einem Klick erledigen.

Natürlich kann diese Variable auch zum Einholen eines „vergessenen“ Double-Opt-In verwendet werden (also einer zweifachen Bestätigung des Empfängers) – aber: nur kein Aktionismus – siehe oben.

Disclaimer: Wir können und wollen hier keine Rechtsberatung sein – dies ist lediglich unsere nach bestem Wissen geschilderte Vorgehensweise. Die natürlich schon aus Raumgründen unvollständig ist. Wenn Ihr selber Anregungen habt, z.B. von Eurem Haus-Juristen, schreibt einen Kommentar!

Rechte für Mitarbeiterkonten im PCG

In ihrer täglichen Arbeit ist PC Gärtner Anwendern- und Anwenderinnen vertraut, dass es Nutzungsrechte für bestimmte Module des PCG gibt. Diese entscheiden darüber, welches Modul im PC Gärtner von welchem Mitarbeiter bzw. welcher Mitarbeiterin geöffnet werden darf.
Durch die DSGVO und auch auf Wunsch der Anwenderschaft ist diese Funktionalität jetzt erweitert worden. Zusätzlich zu den bisher existierenden Rollen bzw. Nutzungsrechten sind zwei weitere hinzugekommen, die bestimmte Bearbeitungsmöglichkeiten an einigen Stellen im PCG erlauben oder eben auch verhindern.

Die neue Funktionalität wurde zunächst hier implementiert:

  • das Bearbeiten der Verkaufsstellen im Artikelmanager,
  • der Bereich Liefertouren in den Ökobox Stammdaten,
  • das Verändern von Ökobox Auswertungen  und
  • der Bereich Vorschlagstypen des Wareneinkaufsmoduls.

Eine erste Übersicht und ausführliche Beschreibung inklusive einer detaillierten und ständig ergänzbaren Tabelle ist in der Modulreferenz der Mitarbeiterverwaltung enthalten.

Auch im PCG Forum wird aktuell auf das Thema hingewiesen.

DSGVO 5: Die Datenschutzerklärung

Mit dem Start der neuen Datenschutzgrundverordnung DSGVO am 25. Mai 2018 ist es erforderlich, ein separates Dokument bereitzustellen, in dem alle Belange des Datenschutzes dargelegt werden:  die Datenschutzerklärung.
Genau wie das Impressum muss diese leicht auf den Webseiten zu finden sein.

Die AGB, die nun um die Themen der Datenschutzes bereinigt sind, müssen nach wie vor im Verkaufsprozess leicht erreichbar sein.

„Leicht bedeutet in diesem Sinne, dass der Text ohne weitere Hilfsmittel (wie z.B. ein PDF-Reader) lesbar sein soll. Und sie muss natürlich zu finden sein – gleich zu Beginn eines Besuches auf unserer Webseite.

Mit der Datenschutzerklärung erfüllen wir die Informationspflichten laut DSGVO Artikel 13:

  • Kontaktdaten des Verantwortlichen
  • welche Daten werden erhoben, warum brauchen wir sie (sofern nicht offensichtlich), wie lange speichern wir sie.
  • Hinweise auf Auskunftsrechte (über eigene Daten) und Beschwerderechte (bei Aufsichtsbehörden)
  • Hinweise auf  Möglichkeiten Daten zu korrigieren oder zu löschen. In der Regel kann hier ein Hinweis auf die Profil-Seite in den Shopsystemen oder dem Kundensupport gegeben werden.
  • Information, sofern Daten bei anderen Firmen erhoben und gespeichert werden (z.B. Schufa-Auskünfte).
  • Ggf. Information über Unterauftragnehmer  – sofern ein Vertrag vorhanden ist(!) müssen diese nicht namentlich genannt werden. Sinnvoll ist eine Nennung immer dann, wenn der Name in Form von Domains oder Links (z.B. Ökobox-Online) oder bei der Anwendung eines Hilfsmittels (wie Google Maps) sowieso erkennbar ist oder wir einfach transparent unserem Kunden gegenüber sein möchten.
  • Nach Absatz (2) weisen wir den Kunden auch auf die Möglichkeiten hin, der Erfassung o.g. Daten zu widersprechen. Das wird nicht immer möglich sein: Manches, z.B. Sitzungsnummern (die in Verbindung mit Cookies bekannt sind) brauchen wir, damit das System, der Shop sicher funktioniert. Auch die Adresse ist notwendig, um liefern zu können. Anderes aber, wie das Einsammeln statistischer Informationen über das Besucherverhalten (Tracking) ist nicht notwendig um mit dem Kunden ins Geschäft zu kommen. Sofern technisch möglich, bieten wir unseren Kunden also eine Möglichkeit, sich diesem Dienst zu entziehen (sog. „Opt-Out„).

Wenn wir schon bei Cookies sind: dies sind Informationshäppchen die im Browser des Kunden hinterlegt werden, typischerweise beinhalten sie nur Sitzungsnummern und sind, wie beschrieben, zur Funktion der Webseite notwendig. Die Tatsache, das etwas beim Kunden gespeichert wird, ist übrigens kein Grund für den oft eingeblendeten Hinweis „wir verwenden Cookies“.  Weil wir diese Nummern aber  auf unserer Seite (dem Server) einsehen und dem Kunden zuordnen können,  ist es uns möglich z.B. den Ablauf einer Kundensitzung rekonstruieren. Damit gehört diese Information zu dem o.g. Punkt „welche Daten werden erhoben…“ und ein separater Hinweis erübrigt sich.

Neben den notwendigen Dingen in diesem Text steht es uns auch frei, weitere Informationen zu übermitteln, die gegenüber dem Kunden Vertrauen aufbauen. Z.B. dass die Mitarbeiter speziell im Umgang mit personenbezogenenen Daten geschult wurden, oder dass bewusst auf Detailfunktionen beim  Tracking verzichtet wird. Dabei hilft auf jeden Fall auch eine einfache und verständliche Formulierung, eventuell auch Grafiken oder Video’s. Die Grenze zur Werbung oder gar Entertainmant muss man ja nicht unbedingt überschreiten 😉

Disclaimer: Wir können und wollen hier keine Rechtsberatung sein – dies ist lediglich unsere nach bestem Wissen geschilderte Vorgehensweise. Die natürlich schon aus Raumgründen unvollständig ist. Wenn Ihr selber Anregungen habt, z.B. von Eurem Haus-Juristen, schreibt einen Kommentar!

Hinweise zur Gestaltung der Datenschutzerklärung für Anwender des PCG und des Online-Shops von Ökobox-Online

DSGVO – 4: Dienstleister

Die DSGVO widmet sich umfangreich der Frage nach der Verantwortung und den Beziehungen zwischen den Verantwortlichen. Zur Erinnerung: wir hatten ja einen in der Firma, der für alle Fragen zum Datenschutz verantwortlich ist – er/sie hat möglicherweise die Verantwortung für verschiedene Prozesse an Kollegen delegiert, hat aber bei Fragen „den Hut auf“.

Nun gibt es aber in jedem Unternehmen Dinge, die man nicht selber macht – Spezialisten tun manches einfach effizienter.  Klar kann man auch seine Steuererklärung selber machen,  aber wenn es keinen Spaß macht, delegiert man es gern. Und gibt dazu jede Menge Daten außer Haus.

Aber, wird nun der Verantwortliche für den Datenschutz fragen…dieser Steuermensch sieht ja ALLES von unseren Kunden und von unseren Mitarbeitern! Laut DSGVO sind dies „Betroffene“ – genau genommen müssten wir sie vorher fragen, ob sie das auch OK finden. Und sie könnten auch noch  Widerspruch einlegen!

Im Falle der Steuerberater scheint sich ein Konsens durchzusetzen, dass sie keine „Auftragsverarbeiter“ sind, aber das Beispiel verdeutlicht, wie man vorgehen kann um Prozesse zu identifizieren, die „extern“ sind.

Heutzutage gibt es viele Teilprozesse in unserem Bereich des Lebensmittelhandels, die komplett im Internet ablaufen – Neukundenanmeldung, Bestellungen und Änderungen annehmen, Bezahlen abwickeln, Informationen über die Zustellung übertragen usw. Und bei vielen dieser Aktionen treten Spezialisten  in Aktion -“ im Auftrag“.

Auch bisher schon musste man bei Auftragsverarbeitung genau hinschauen, was der Dienstleister denn so tut. Hält er die Vorgaben ein? Dokumentiert er Prozesse und sorgt sich wirklich um meine Daten? Da aber im Zweifelsfall nur der Auftraggeber haftete, war dem Auftragnehmer das, nun ja, nicht so wichtig. Jetzt aber haben die Auftragnehmer auch ein eigenes Interesse die Regeln einhalten – sie müssen nun ebenso für Schäden bei Betroffenen geradestehen.

Diese Schäden möchte der Auftragnehmer natürlich vermeiden – und wie bisher sollte er dazu seine „technischen und organisatorischen Maßnahmen“ dazu darlegen. Schon das Niederschreiben dieser Dinge kann einiges an Nachfragen im eigenen Haus auslösen – und einiges an Schwachstellen aufdecken.

Mit der neuen Datenschutzregelung muss ein Vertrag mit jedem Dienstleister geschlossen werden, der personenbezogene Daten verarbeitet. Im Rahmen des PCG-Teams ist Ökobox-Online so ein Dienstleister. Aber auch Ökobox-Online  macht nicht alles selbst und hat deshalb Verträge mit diesen Unter-Auftragnehmern, die wieder mit ihren Lieferanten u.s.w.

Diese Kette kann ganz schön lang werden, trotzdem muss der „Betroffene“ oft vorher gefragt werden, z.B. wenn die Daten in Gegenden landen, die nicht dem europäischem Recht unterliegen. Bis zu welchem Detail dies geht, wird wohl erst die zukünftige Rechtssprechung zeigen. Der Auftrag des Gesetzgebers ist aber klar: schaffe Transparenz und mach es möglich, das Deine Kunden wissen was mit ihren Daten passiert, sollten sie mit Dir Geschäfte machen.

Und Geschäfte machen wir schon, wenn ein Besucher unsere Webseite betritt – ich vermute viele Leser wissen nicht, wie viele Unter-Auftragnehmer allein bei einem simplen Seitenaufruf beschäftigt werden. Hier mal ein Bild eines Firefox-Browser-Plugins („Lightbeam„), welches grafisch darstellt, wer alles noch von meinem Besuch der bild.de Starteite (Rund, in der Mitte) erfahren hat.

Fast alle der kleinen Dreiecke sind Internet-Computer von Firmen, die nicht zu Bild gehören, also in diesem Sinne Auftragsverarbeiter sind. Oft sind dies Werbenetzwerke – der Verlag möchte natürlich auch etwas verdienen für die Recherche all dieser wichtigen Nachrichten – (das nennt man übrigens „berechtigtes Interesse“). Die IP-Adresse, also eine Kennung die unser  Browser beim Abruf mitgibt, wird aber allgemein zu den „persönlichen Daten“ gezählt  (vielleicht möchte man ja lieber für sich behalten, das man mal auf bild.de war ;-=) ) . Das heißt, dass in der Datenschutzerklärung der Webseite einiges aufgelistet sein müsste.

Einige Dreiecke in dem Bild „gehören“ übrigens Google. Wir wissen das Google mit Werbung Geld verdient – und die kann man umso besser platzieren, je genauer man die Zielgruppe kennt. Nun ja, ich war also auch mal auf bild.de, das weiß nun auch Google.

Google hat das übrigens clever angestellt, um an diese Daten zu kommen – sie haben über die Jahre phantastisch einfach zu benutzende und kostenlose Programmier-Werkzeuge, Bibliotheken und Dienste geschaffen, die oft und gern von Web-Designern und Programierern verwendet werden.  Google Analytics? Tolle Schriften? Landkartenansichten? Wir sind selbst schuld daran, das wir die nun in unseren Datenschutzerklärungen auflisten müssen.

In den nächsten Tagen werden die Kunden von Ökobox-Online den neuen DSGVO-AV-Vertrag von Ökobox-Online bekommen. „AV“ steht hier für Auftragsverarbeitung.  Die Kollegen haben sich Mühe gegeben, das Dokument lesbar zu gestalten. Übrigens auch eine Vorgabe der Verordnung.

Einiges davon wird auch in den Datenschutzerklärungen Eurer Websites stehen müssen. Aber dazu das nächste Mal.

Hausaufgabe:
Browser-Plugin installieren (s.o.) und den eigenen WebSite kontrollieren: was wird dabei alles abgefragt?

Disclaimer: Wir können und wollen hier keine Rechtsberatung sein – dies ist lediglich unsere nach bestem Wissen geschilderte Vorgehensweise. Die natürlich schon aus Raumgründen unvollständig ist. Wenn Ihr selber Anregungen habt, z.B. von Eurem Haus-Juristen, schreibt einen Kommentar!

Update 13.5.18: Die DSGVO schreibt Verträge mit Auftragsverarbeitern vor. Ein Vertragsabschluss erfolgt z.B. durch eine (auch elektronische) Bestätigung der Kenntnisnahme. Nur so kann die DSGVO erfüllt werden und der AV im Schadensfall eines Betroffenen auch mit in Haftung genommen werden.

 

DSGVO – die Dritte: Grund und Erlaubnis

Wer diese Serie verfolgt hat, ist nun in der Lage jederzeit seine Prozessliste zu zeigen und zu korrigieren. Heute berühren wir nun den Kern der neuen Verordnung und müssen gleich wieder Neues in diese Liste einpflegen.

Welche Prozesse arbeiten mit sensiblen Daten? Nochmal zur Erinnerung, das sind Informationen, die man Personen zuordnen kann. Sofern noch nicht erfolgt, fügen wir nun zu unserer Liste hinzu, welche Daten das sind. Hier ein paar Beispiele für Abläufe aus verschiedenen Bereichen eines typischen Geschäftsbetriebes:

  • Bei der Anmeldung (im Online-Shop oder auch am Telefon) erfassen wir Namen,…, Geburtsdatum etc.
  • Bei der Kundenbetreuung fallen Kommunikations-Daten an: wer hat wann angerufen, welche Veränderungen wurden an Kundenkonten gemacht etc., wo/wie wird dies protokolliert?
  • Bei der Auslieferung tracken wir die Position der Tablets und Auslieferungszeitpunkte, damit also die Position und das Verhalten des Fahrers.
  • Beim Kundenbesuch auf der Webseite  werden die einzelnen Seitenbesuche mit Zeitstempel und IP-Adresse in den Logfiles vermerkt
  • Jeder Auftrag eines Kunden hinterlässt Spuren im ERP-System: Welche Produkte wurden gekauft, mit welcher Methode hat er bezahlt.

Im nächsten Schritt überlegen wir uns, wozu diese Daten eigentlich gesammelt werden – oft erscheint uns das super-logisch („klar brauchen wir die!“) – aber hier müssen wir den Grund -unser berechtigtes Interesse–  irgendwie benennen. Das hilft auch  die Rechtsgrundlage (Artikel 6, „Rechtmäßigkeit“) zu finden, die uns das Sammeln erlaubt. Hier also die neue Spalte in unserer Prozessliste für die obigen Beispiele:

  • mit Name und Geburtsdatum können wir den Auftraggeber eindeutig bestimmen – notwendig, um eine Rechnung zuzustellen.  Fällt in  Absatz b, ist also  klar für „Durchführung vorvertraglicher Maßnahmen“ oder „Erfüllung eines Vertrags“ nötig.
  • Die Kommunikationsprotokolle dienen der Organisation der Arbeit im Team und somit der effizienten Abwickung des Kundenauftrages, Absatz b, Evtl. sollte man auch die Einwilligung nach Absatz a erfragen (Im PCG gibts die „Anonym“-Option für Kunden – aber hier gehts auch um das Loggen der Mitarbeiter-Aktivitäten!)
  • Das Tracken der Tablets ermöglicht uns Vorhersagen des Auslieferungszeitpunktes – ein Mehrwert für den Kunden- und die disziplinarische Kontrolle der Fahrer (habe ich absichtlich hier sehr direkt formuliert) – Klar ein Fall für Absatz a, wir brauchen die Einwilligung des Fahrers.
  • Das Logfile mit IP-Adressen wird zur Sicherheit benötigt: so sind z.B. Angriffe aus dem Internet oder allgemein das Verfolgen von Anmeldefehlern -auch für den Kunden- möglich (Hieraus folgt dann auch gleich, das wir diese Daten nicht ewig aufgeben sollen). Damit wir das auch dürfen, müssen wir den Kunden/Besucher fragen: Etwa mit einer Einwilligung laut Absatz a (das entspricht etwa der „Cookie“-Frage die heute überall zu sehen ist)
  • Die Daten zu den Aufträgen brauchen wir zunächst für die Abwicklung – danach aber auch noch 10 Jahre um Betriebsprüfungen  zu ermöglichen (Absatz c – Danach müssen die Daten dann aber gelöscht werden 😉 ) . Ein anderer Grund wäre, Statistiken zu ermöglichen – damit optimieren wir unser Angebot und unsere Abläufe. Bei einer Statistik muss man aber nicht die einzelnen Datensätze aufheben – es reicht die monatliche Tortengrafik, die keine Kunden-Details mehr beinhaltet.

Wenn uns zu einer Position kein Grund einfällt – dann sollten wir diese Daten auch nicht mehr sammeln. Die Verordnung spricht hier von der Regel der Datensparsamkeit.

Man kann an den Beispielen sehen, das es durchaus eine Grauzone für die Gründe gibt – „wichtig für die Prozessoptimierung“ kann ja vieles bedeuten. Sofern kein anderer Absatz in Artikel 6 das Daten-Erheben erlaubt – die Einwilligungs-Frage an den Kunden bleibt immer (z.B. per AGB). Hier werden wir aber gezwungen, den Grund verständlich zu Formulieren, „wichtig für die Prozessoptimierung“ wird da wohl durchfallen.

Dies ist also die Hausaufgabe bis zum April:

  1. Prozessliste um relevante Daten erweitern, und
  2. dazu schreiben warum diese Daten erhoben werden – am Besten mit einem Hinweis auf die Rechtsgrundlage.

Das nächste mal wird es dann darum gehen, wie auch die Dienstleister und Zuarbeiter in unserem vernetzten Business berücksichtigt werden. Schliesslich Ende April, also kurz vor knapp, gehts dann darum diese Botschaft („Auch wir halten uns an die Regeln und finden sie gut!“) auch raus zu unseren Kunden zu tragen, z.B. in Form der AGB.

Disclaimer: Wir können und wollen hier keine Rechtsberatung sein – dies ist lediglich unsere nach Bestem Wissen geschilderte Vorgehensweise. Wenn Ihr selber Anregungen habt, z.B. von Eurem Haus-Juristen, schreibt einen Kommentar!

DSGVO – die Zweite

Über die neuen Datenschutz-Regelungen, die ab Mai 2018 EU-weit reformiert wurden, haben wir bereits berichtet und als erste Aufgabe die Bestandsaufnahme angeregt.  Hausaufgabe erledigt? Hier eine kleine Kontrollfrage: Sollten alle wichtigen Mitarbeiter gleichzeitig ausfallen – könnten gute Leute aus der Branche den Betrieb anhand der Liste aller Prozesse wieder aufnehmen?

Schritt zwei: Machen wir ein „Betriebshandbuch“ aus der Liste

Was tun wir nun mit dieser Liste? Zunächst bringen wir sie in eine Form, die es uns erlaubt damit über eine lange Zeit -also eigentlich für immer- zu arbeiten. Eine Tabelle in Excel wäre eine einfache Möglichkeit, abgespeichert mit einem Versionsdatum oder einer Nummer, z.B. prozesse_0218.xls . Die DSGVO verlangt ein vollständiges und laufend gepflegtes Dokument – so wird das glaubhaft. Das ist aber nicht nur Bürokratie – mit Dokumenten, die den Stand der internen Abläufe zu einem Termin in der Vergangenheit zeigen können, wird es möglich Fehler zu finden – oder auch den Grund für eine Datenpanne zu analysieren.

Bisher haben wir ja nur eine Liste der Prozesse im Unternehmen – ein „Betriebhandbuch“ ist natürlich umfassender, es soll auch im Detail über alle Abläufe informiereren – das ist mehr als bei der DSGVO gefordert. Aber da es ja ein „lebendes“ Dokument ist, muss es ja auch nicht gleich komplett sein. Für unsere Zwecke sind diese Dinge zu jedem Prozess aus der Liste wichtig:

  • Wer ist der Verantwortliche? Hier sollte eine Rollenbezeichnung  stehen, Herr Müller könnte ja mal das Unternehmen verlassen und durch Frau Schulze ersetzt werden – oder Herr Müller und Frau Meier teilen sich den Job.
  • Berührt dieser Prozess Dinge, die die DSVGO regeln will? Also: Fallen beim Ablauf des Prozesses  Informationen über Personen (Kunden, Mitarbeitern, Lieferanten) ? Also mehr als Name oder Rollenbezeichnung?

Damit ergibt sich schon: Es braucht auch eine Tabelle, wo die echten Personen den Rollen zugeordnet werden. Hier einige Ideen für „Rollen“:  Lieferant, Chef-Einkäufer, Packer, Chef, Steuerberater, etc.

Das ist also die Hausaufgabe bis zum März: Das Dokument und die Abläufe so einrichten, das Änderungen jederzeit einfach und schmerzarm eingepflegt werden können – sei es ein Mitarbeiterwechsel, ein neuer Lieferant oder der verbesserter Packablauf oder Backup-Ablauf.

Mindestens so einfach wie

  1. Dokument rausholen
  2. Änderung reinschreiben
  3. unter neuem Datum bzw. neuer Version (mit Datum) abspeichern

Das Ganze ist übrigens auch ein Prozess in unserer Liste…

Disclaimer: Wir können und wollen hier keine Rechtsberatung sein – dies ist lediglich unsere nach Bestem Wissen geschilderte Vorgehensweise.

zum Teil 3

Neue Datenschutzregelungen 2018

Ein Thema, das 2016 schon mal auf dem Tisch war – da gab es doch die Datenschutzgrundverordnung (DSGVO) … und nun schon wieder? – Ich sehe, dass viele jetzt beim Lesen mit den Augen rollen 😉 Aber zum fairen Handel gehört der faire Umgang mit den Daten der Menschen mit denen wir handeln und zusammenarbeiten – und deshalb sollte es sogar ein Chef-Thema sein.

Im Mai 2018 tritt EU-weit eine umfassende Datenschutzreform in Kraft. Die Regeln sind schon seit einiger Zeit bekannt und werden zu dem Termin aber mit dem Bundesdatenschutz-Gesetz (BDSG) aktualisiert und verpflichtend.

Relevant ist es in aller Regel für die Anwender des PCG – selbst wenn man ein System ohne Online Shop betreiben würde. Im Kern geht es ja um personenbezogene Daten.  Aber bei der Gelegenheit kann man auch gleich andere Datenflüsse beleuchten.

Für größere Betriebe gibt es ausführliche Regelwerke (ITIL) und „Best Practices“, die oft zur Bedingung oder Vorbereitung von Zertifizierungen dienen.  Aber auch wenn man keinen ISO9000-Stempel haben möchte, bieten schon die Inhaltsverzeichnisse solcher Anleitungen gute Hinweise wo alles Risiken versteckt sein können.

Die wenigsten werden die Geduld haben sowas durchzuarbeiten, deshalb werden wir in den nächsten Ausgaben jeweils einige Aspekte des Gesetztes diskutieren. Diesen Lesestoff kann man gern als Hausaufgabe betrachten – so ist der Betrieb im Mai fit dafür.

Alternativ  kann man sich von Dienstleistern helfen lassen, die -im Gegensatz zu uns- auch rechtlich bindende Aussagen machen können.

Erster Schritt: Bestandsaufnahme

Viele Betriebe sind über die Jahre gewachsen – neue Mitarbeiter haben Aufgaben übernommen, welche vorher der Chef/die Chefin selber wahrgenommen hatte; Wachstum führt oft auch zur Spezialisierung von Aufgabengebieten mit eigenen Regeln und Abläufen. Da kann durchaus etwas der Überblick verloren gehen – und den braucht man, um Risiken für die „Daten“ der Mitarbeiter, der Kunden oder den Betrieb selber zu erkennen.

Am Besten man begint mit einer Liste an Prozessen die im Betrieb bekannt sind. „Neukunden-Anlegen“ oder „Bestellung abwickeln“ sind offensichtlich, aber auch „Mitarbeiter verlässt uns“ oder „Artikeleinkauf“ sollten in dieser Liste zu finden sein. Nach einer Weile Nachdenken sollte die Liste vielleicht 20 Einträge haben, vielleicht mehr. Manche Prozesse, die zwar schon immer existieren werden mitunter dabei erstmals einen Namen bekommen.

So ein Prozessverzeichnis ist übrigens auch hilfreich um neue Mitarbeiter anzulernen oder um interne Abläufe zu vermessen und zu optimieren. Aber darum soll es hier nicht gehen.

Im nächsten Schritt schreibt man zu diesen Listeneinträgen die Datenprozesse, die beteiligt sind. Beim Beispiel der Neukunden-Anlage wäre dies zunächst  die Erfassung der Daten – vom Online Shop oder einer Email oder per Telefon. Vielleicht hilft eine kleine Skizze dabei. Nun könnte man hinzufügen, wer diese Daten „bewegt“ (Ein Name oder eine Rolle, z.B. „Kundenbetreuung“), womit er sie bewegt („Email-Programm“, „PCG“) und wo diese Daten „lagern“ („Sever mit PCG“, „oekobox-online“). Wahrscheinlich zuerst in einer Email-Mailbox, dann lokal in einer Datenbank und dann auch Online in einer Datenbank – der neue Kunde soll sich ja im Shop anmelden können.

Hier noch ein paar Ideen für Prozesse, die in der einen oder anderen Form bestimmt bei jedem zu finden sind, manche sind möglicherweise sehr ähnlich und können zusammengefasst werden:

  • Aboänderung, Urlaubseinträge, Stammdatenänderung von Kunden
  •  Änderung von Mitarbeiter-Daten (o-ja, das sind auch Personen!), Zeiterfassung oder Urlaubsabsprachen
  • Tracking-Daten-Sammlung von WebSeiten und dem Online Shop: wer sammelt, wer macht was mit den Daten?
  • Erfassung und Pflege von Lieferanten-Daten
  • Prozesse im Bestellwesen
  • Fahrer und Liefer-Prozesse (Fahrer-App)

Einige dieser Dinge mögen Euch nicht so bewusst sein (weil hinter einem Button im PCG verborgen) oder sogar gar nicht interessieren – gern könnt Ihr uns im PCG-Team dazu befragen. Oft ist es interessanter als Ihr denkt 😉 – zudem ist es wie gesagt Chefsache, es könnte ja auch sein, ein Datenschutzeauftragter kommt bei Euch vorbei und fragt.

In vier Wochen werden wir diese Liste brauchen, um Datenfelder zu benennen, Risiken zu identifizieren und um Verantwortlichkeiten zu erkennen.