Weitere Themen

Die neue EU-DSGVO

von Dr. Robert Meyer am 24.01.2018

Dr. Robert Meyer im Gespräch mit Rainer Giersbach über die neue EU-DSGVO (Datenschutz-Grundverordnung)

Giersbach: Die EU-DSGVO gilt verbindlich für alle EU-Mitgliedstaaten. Welche Auswirkungen hat diese EU-DSGVO auf myfactory?

Meyer: Da hilft es erst einmal die EU-DSGVO etwas zu beleuchten. Sie regelt die Verarbeitung von personenbezogenen Daten und gibt „Betroffenen“ Rechte gegenüber den „Verantwortlichen“ (das sind diejenigen, die personenbezogene Daten verarbeiten). myfactory selber verarbeitet relativ wenige personenbezogene Daten (Daten unserer Mitarbeiter, Vertriebspartner, Public Cloud-Kunden und Lieferanten), ist also im Sinne des Gesetzes in nur wenigen Fällen ein „Verantwortlicher“.  Da wir unsere eigene personenbezogene Datenverarbeitung schon seit längerem nach den Rechts¬vorschriften des BDSG (Bundesdatenschutzgesetz) durchführen und dabei starken Kontrollen durch unseren externen Datenschutzbeauftragten und dem TÜV-Süd unterliegen, erwarte ich keine allzu großen Auswirkungen auf myfactory direkt.  Auf jeden Fall erhöhen sich aber durch die EU-DSGVO die Kontroll- und Dokumentationspflichten und die Rechenschaftspflichten gegenüber Daten¬schutz¬behörden. Derzeit prüfen wir unter Anleitung unseres Datenschutzbeauftragten alle Verarbeitungs¬tätigkeiten bei myfactory, die mit personenbezogenen Daten in Verbindung stehen, auf Compliance mit den EU-DSGVO-Vorschriften.

Giersbach: Neben der Unternehmenssicht gibt es natürlich auch noch die Auswirkungen auf myfactory als Software¬hersteller. Wie schätzen Sie diese indirekten Auswirkungen ein?

Meyer: Die indirekten Auswirkungen sind da schon deutlich größer. Mit der von uns zur Verfügung gestellten Software verarbeiten viele tausend Anwender personenbezogene Daten (ihrer Mitarbeiter, Kunden, Lieferanten). Die neue Rechtsvorschrift EU-DSGVO ist komplex, nicht jedem Anwender ist klar, dass er selber „Verantwortlicher“ im Sinne des Gesetzes ist. Es gibt viele Anwender, die fälschlicherweise denken, dass der Softwarehersteller verantwortlich für die Einhaltung der EU-DSGVO ist. Aber: Das ist wie mit einem Messer (oder einem anderen Werkzeug). Der Hersteller des Messers trägt keine Verantwortung, falls der Mensch mit dem Messer gegen Rechtsvorschriften verstößt. Es geht also in der EU-DSGVO viel um Organisation, Dokumentation und Einhaltung von Spielregeln, weniger um Software. Aber selbstverständlich sollte unsere Software dafür geeignet sein (bzw. unterstützen), dass der Anwender (als Verantwortlicher) die EU-DSGVO einhalten kann. So werden wir z.B. in unserer Software durchgängig nachvollziehbar machen, wo überhaupt überall personenbezogene Daten eingegeben werden. Wir werden programmieren, dass diese eingegebenen personenbezogenen Daten einfach und in einem gängigen Format ausgelesen werden können (um diese dann an andere Programme transferieren zu können, siehe „Recht auf Datenportabilität“ Art. 20 DSGVO). Wir werden programmieren, dass personenbezogene Daten sicher gelöscht (oder wenigstens rückstandsfrei anonymisiert) werden können. Und wir werden im Programm einbauen, dass die Nutzung von personenbezogenen Daten auf den jeweils zulässigen Zweck eingeschränkt werden kann (z.B. wenn bei Konflikten über die Rechtmäßigkeit der Speicherung personenbezogener Daten nach Art. 18 DSGVO nicht mehr alle Nutzer sondern nur noch die Mitarbeiter der Rechtsabteilung auf personenbezogene Daten eines Betroffenen zugreifen dürfen). Kurz zusammengefasst: Wir überprüfen derzeit, welche neuen oder höheren Anforderungen durch die EU-DSGVO (gegenüber dem BDSG) entstehen und planen unsere Software diesbezüglich anzupassen und danach testen und zertifizieren zu lassen. Dieses Projekt ist im Zeitplan, wir gehen derzeit davon aus, rechtzeitig die Anforderungen der EU-DSGVO abbilden zu können.

Giersbach: Wie wird myfactory Partner und Anwender über die Änderungen informieren?

Meyer: Wie bei jeder Einführung von neuen Rechtsvorschriften gibt es im Vorfeld einen immensen Informationsbedarf. Anwender sind dann schnell in der Versuchung, uns oder unsere Vertriebs-partner mit Fragen zu überhäufen. Unsere Vertriebspartner sind dann doppelt betroffen, einerseits, weil sie die Fragen der Anwender beantworten wollen, andererseits, weil sie im Falle von Partner-Hosting als Auftragsverarbeiter direkt von der EU-DSGVO betroffen sind. Deshalb verstehen wir schon, dass es verführerisch erscheint, möglichst viele dieser Fragen an den Hersteller weiterzugeben. Es ist aber nicht unser Job, Anwender oder Vertriebspartner über den Inhalt oder die Einführung neuer Gesetze zu beraten. Wir bitten unsere Anwender und Vertriebspartner daher um Verständnis, dass wir nicht juristisch beratend tätig werden dürfen, können und wollen. Falls sich Fragen zur EU-DSGVO ergeben, sind darauf spezialisierte Rechtsanwälte oder Datenschutz¬beauftragte die geeigneten Ansprechpartner. Unser Support ist dafür nicht der geeignete Ansprech¬partner (Antworten auf konkrete Fragen, wie bestimmte Aktivitäten mit unserer Software durchzu¬führen sind, werden wir aber natürlich gerne geben). Informieren werden wir ausschließlich per Neuerungsdokument(en) über realisierte Detailänderungen in der Software, die aufgrund der EU-DSGVO notwendig wurden. Und wir werden nach Vorliegen des diesbezüglichen Testats letztendlich alle Vertriebs¬partner über die erfolgreiche Zertifizierung informieren. Weitere Kommunikationen sind nicht vorgesehen. Wir bitten darum, von Nachfragen der Art: „Wann kommt das EU-DSGVO-Zertifikat?“ oder „Wie realisiert myfactory das Recht auf Vergessen?“ oder „Wann kann ich mit Data Protection by Design rechnen?“ abzusehen. Bei mehr als hundert Partnern ist das von uns nicht mehr in Einzel-kommunikationen zu bewältigen. 

Giersbach: Dennoch stellt sich die Frage, bei welchen Bereichen in der myfactory-Software es am meisten Änderungsbedarf geben wird?

Meyer: Diese Frage bekomme ich häufig gestellt. Ich mag diese Frage überhaupt nicht, weil damit fälschlicherweise schon wieder die Software so im Vordergrund steht. Wir müssten meiner Meinung nach mehr über Organisation, Dokumentation u. ä. beim Anwender (oder Auftragsverarbeiter) sprechen, weniger über Software. Ich möchte versuchen, das an einem Beispiel zu erläutern: Verantwortlich für einen Webshop ist der Webshop-Betreiber und nicht die Webshop-Software. Wenn ein Webshop-Besucher im Webshop des Betreibers persönliche Daten eingibt und dann nichts kauft, dann ist der Webshop-Betreiber für die Löschung dieser Daten verantwortlich, nicht die Software. Löschen kann der Webshop-Betreiber solche Daten auch heute schon jederzeit, und wenn es direkt in der Datenbank ist. Der Webshop-Betreiber muss gemäß EU-DSGVO dokumentieren, was er mit diesen Daten tut und er muss seine Mitarbeiter schulen, damit die das auch verlässlich durchführen usw. Unter Umständen muss der Webshop-Betreiber ein internes Dokumentations¬system aufbauen, mit dem er darlegt/ protokolliert, welche Daten zu welchem Zweck erhoben werden und was mit den erhobenen Daten geschieht. Unter Umständen trifft ihn die Pflicht, das datenschutzrechtliche Risiko seiner Nutzer einzuschätzen (Datenschutz-Folgenabschätzung), usw. Hat alles nichts mit unserer Software zu tun.  Aber: Natürlich werden wir z. B. überprüfen und sicherstellen, dass Daten einfach und vollständig gelöscht werden können. Natürlich werden wir z. B. überprüfen und sicherstellen, dass die DoNotTrack-Funktion und die IP-Anonymisierung unserer Software von vornherein richtig eingestellt ist (Data Protection by Default). Das können wir übrigens nur für unsere Software tun, nicht für deren Betriebsumgebung (Browser, Firewall, IIS, u.ä.) Natürlich werden wir auch z. B. unsere mitausgelieferten Templates daraufhin optimieren, dass überall Checkboxen für die Zustimmung des Nutzers zur Daten-speicherung enthalten sind. Und wir werden auch unsere Software insgesamt noch einmal daraufhin überprüfen ob wir den Grundsatz des „Data Protection by Design“ einhalten. Besonders an dieser wichtigen Stelle ist die Gesetzgebung (noch) besonders schwammig. Es werden zwar mögliche Maßnahmen für „Data Protection by Design“ genannt (Pseudonymisierung, Anonymisierung, Verschlüsselung, etc.), aber es wird auch darauf hingewiesen, dass Maßnahmen unter Berücksichtigung des Stands der Technik und der Implementierungskosten auszuwählen sind. Aus dem Gesetzestext geht hervor, dass derjenige, der personenbezogene Daten speichert (nicht der Hersteller der Software) für die Umsetzung der Prinzipien von „Data Protection by Design and by Default“ verantwortlich ist. Aber natürlich werden wir durch Änderungen und Ergänzungen in der Standardsoftware sicherstellen, dass unsere Kunden diese Prinzipien auch umsetzen können. Für uns ist das ein zusätzliches Verkaufsargument und wir werden uns das auch durch eine externe Zertifizierung bestätigen lassen. Ich möchte aber dadurch jetzt wiederum keine zu hohe Erwartungshaltung wecken. Der größte Teil der Arbeit (nämlich Dokumentation, Organisation, Mitarbeiter¬schulung) wird auf den ERP- oder Webshop-Betreiber und seine Mitarbeiter entfallen und kann auch nicht an die Software delegiert werden.
 
Giersbach: Wie Sie vorhin schon angesprochen haben, der ERP-Hersteller liefert das „Messer“, was, wo, wie geschnitten wird muss immer der Anwender definieren und festlegen. Was kann man aber jemanden antworten, der seine Daten gelöscht haben möchte?

Meyer:  Auch darüber kann Ihnen ein Jurist oder Datenschutzbeauftragter besser Auskunft geben als ich. Ich kann Ihnen lediglich sagen, wie wir das derzeit interpretieren. Sie sprechen mit Ihrer Frage wahrscheinlich direkt den Artikel 17 „Recht auf Vergessenwerden“ der EU-DSGVO an. Darüber gibt es aktuell noch viel Verwirrung und Unverständnis der Rechtslage. Mein Informationsstand ist derzeit wie folgt: Erstens ist das Recht auf Löschung nicht neu, es gab eine solche Rechtsvorschrift auch schon in §35 BDSG. Zweitens hat ein „Betroffener“ nicht immer das Recht auf Löschung seiner personenbezogenen Daten, sondern z.B. nur dann, wenn nicht anderslautende Verträge oder Vorschriften dem entgegenstehen. Beispiel: Es gibt in Deutschland die Aufbewahrungspflicht für Geschäftsunterlagen (z.B. für Rechnungen). Falls also bereits eine Geschäftsbeziehung zwischen „Verantwortlichem“ und „Betroffenen“ besteht, dann gibt es eine Aufbewahrungspflicht und dann hat der Betroffene nach unserem derzeitigen Verständnis kein Recht auf Löschung seiner personen¬bezogenen Daten. Allerdings muss dann eine Sperrung der Daten (so §35 Abs. 3 BDSG) beziehungs¬weise nach dem Wortlaut der DSGVO eine Einschränkung der Verarbeitung (Art. 4 Nr. 3 DSGVO) möglich sein. 
Falls sich aber aufgrund der EU-DSGVO (und weil keine andere Vorschrift einer Löschung entgegen-steht) ein Recht auf Löschung ergibt, sollte der Betroffene den Verantwortlichen schriftlich auffordern, seine personenbezogenen Daten zu löschen und sich die Löschung dann bestätigen lassen.

Giersbach: Gibt es beim Thema Löschung noch beachtenswerte Dinge? Wie sieht es z. B. mit dem Thema „Wiederherstellung“ älterer Sicherungen aus?
 
Meyer: Wichtig für unsere Partner und Anwender ist es in dem Zusammenhang, ein gute „Lösch-Organisation“ zu haben. Was nämlich nicht passieren darf ist, dass ein Datensatz gelöscht wird und dann bei einem Restore der Datenbestände aus dem Datenbackup wieder eingespielt wird. Glücklicherweise kommt diese Konstellation in unserer Zielgruppe selten vor, sodass es zumutbar ist, dass sich der Administrator der Datenbank merkt (in einer getrennten Liste) wann er welche Daten aufgrund Löschung aus der Datenbank gelöscht hat. Damit ist der DB-Administrator in der Lage, nach einem Restore einer älteren Version die gelöschten Daten erneut zu löschen. Wir werden daher derzeit in der Software keine automatisierten Löschroutinen für diesen Vorgang realisieren. Wir werden aber die juristische Diskussion zu diesem Spezialthema weiterhin eng verfolgen und auch beobachten, ob sich bei den Herstellern von Backup-Software Produkte materialisieren, die die Anforderung automatisierter lösen können.
 
Giersbach: Das Thema wird in den nächsten Monaten und Jahren immer mehr an Fahrt aufnehmen. Haben Sie noch einen Rat für myfactory-Vertriebspartner und deren Anwender?

Meyer:  Das Thema ist komplex und hat durchaus größere Auswirkungen. Eine ganz gute Checkliste kann man beispielsweise unter
https://www.lda.bayern.de/media/dsgvo_fragebogen.pdf herunterladen. Bleiben dann Fragen offen, kann ich nur jedem „Verantwortlichen“ raten, die Unterstützung von Datenschutzbeauftragten und/ oder darauf spezialisierten Rechtsanwälten heranzuziehen. Sinnvoll ist es sicherlich, umgehend mit der Dokumentation Ihrer Verarbeitungs-tätigkeiten gemäß Artikel 30 DSGVO zu beginnen. Sinnvoll ist es wahrscheinlich auch, personen-bezogene Daten im Unternehmen wo immer möglich zu reduzieren. Am besten kann man nämlich personenbezogene Daten schützen, indem man diese gar nicht erst erhebt und speichert. Muss denn wirklich alles über jeden gespeichert werden? Besser Sie entschlacken jetzt schon Ihre personen¬bezogenen Daten und Prozesse, dann müssen Sie dort keinen aufwendigen Datenschutz organisieren. Auch bringen manchmal kleine Schritte große Fortschritte im Datenschutz. Ein Beispiel: Ich würde an Ihrer Stelle heute noch ganz penibel sicherstellen, dass Sie myfactory nur in Zusammenhang mit einem SSL-Zertifikat nutzen. Falls Sie das nicht tun, sind Ihre Daten (und nicht nur die personenbezogenen) viel zu leicht für Nicht¬befugte zugänglich. Verantwortlich im Sinne des Gesetzes sind Menschen nicht die Software. Bitte nehmen Sie das Ernst.

Über den Autor: Dr. Robert Meyer

Dr. Robert Meyer ist seit 2011 Geschäfts­führer der myfactory International GmbH. Seine Leiden­schaft ist die Vermarktung von moderner Cloud ERP-Software über Online-Medien und Partner­vertrieb. Im Mittelpunkt steht bei ihm immer das Wohl von Anwendern, die eine funktional ausgereifte, leicht zu in­di­vidualisierende, intuitiv zu bedienende, auf allen Devices verwendbare, und mobil ein­setzbare Unternehmens-Software benötigen.

Über den Autor: Rainer Giersbach

Rainer Giersbach stieg 2000 in die IT-Branche über eine technische Hotline zu kfm. Unternehmens­software ein, wenig später übernahm er das Produkt Management für diesen Bereich. 2006 stieß er im Zuge einer Recherche zum Thema "Online-Warenwirtschaft" auf myfactory. Das Thema hat ihn nicht mehr losgelassen und seit 2007 gestaltet er als Program Manager die myfactory.BusinessWorld aktiv mit.

Über den Autor: Timo Bärenklau

Nach seinem erfolgreichen Studium mit Abschluss als Bachelor of Engineering im Studiengang „Internationales Technisches Vertriebsmanagement“ stieß Timo Bärenklau als Lead Spezialist zur myfactory International GmbH hinzu. Schon während seines Studiums entdeckte er seine Leidenschaft für Vertriebsoptimierung, besonders im Hinblick auf CRM-Systeme. Auch seine Bachelor-Arbeit hatte CRM als Schwerpunkt. Seit 2012 betreut er maßgeblich die Leadqualifizierung bei myfactory.

Über den Autor: Tobias Korch

Tobias Korch arbeitet seit März 2011 bei myfactory als Software-Entwickler. Seine Schwerpunkte sind die Produktionsplanung (PPS) und das Modul eCommerce. Er ist ein engagierter Verfechter des myfactory-Konzeptes EasyRelease, mit dem Partner updatesichere Zusatzprogramme zur myfactory Business Software erstellen können. Bei Partnern und Partner-Interessenten sind deshalb seine Programmierer-Schulungen und unterstützende Coachings sehr gefragt. Durch seine vieljährigen Praxiserfahrungen mit komplexen Softwareprojekten hat er den Kontakt zum Mittelstand und das Verständnis für Anforderungen und Problemstellungen der Unternehmen und Anwender. Wenn es nichts zu tun gibt (gibt es das eigentlich?) dann kümmert er sich um seine Familie, macht Musik oder interessiert sich für alles was mit IT zu tun hat.

Über den Autor: Jan Schweighart

Jan Schweighart arbeitete nach einem Software Engineering Studium an der Hochschule Konstanz als Software Entwickler für einen Software Dienstleister. Überzeugt von Produkt und Mentalität, kam er Ende 2013 zu myfactory wo er heute schwerpunktmäßig an der Weiterentwicklung von myfactory.CRM arbeitet. Herr Schweighart hatte früher mal Hobbies, Freunde und ein soziales Leben, so wird zumindest berichtet. Heute ist er Vater einer kleinen Tochter ;)

Über den Autor: Dr. Mathias Hamp

Dr. Mathias Hamp ist Kommunikations- experte und entwickelt Kommunikations- strategien zur Vermarktung von Ideen, Waren und Marken. Seit 2015 verantwortet er für myfactory den Bereich Online Marketing.

Über den Autor: David Lauchenauer

David Lauchenauer (*1963) ist seit 1988 als Unternehmer im Bereich Business Software für KMU tätig. Seit 2008 ist er in der Schweiz Geschäftsführer und VR der myfactory Software Schweiz AG und startete 2009 mit myfactory das professionelle Cloud ERP für den Schweizer KMU-Markt, weshalb er über sehr umfassende Praxiserfahrungen mit Cloud-Computing verfügt. Seit 2016 ist David Lauchenauer auch Geschäftsführer und Gesellschafter der myfactory Gruppe.

Über den Autor: Stefan Girschner

Stefan Girschner (* 1967) berichtet als Fachjournalist seit vielen Jahren über Neuheiten und Trends in der IT-Branche. Seine journalistische Laufbahn startete er 1999 bei der Fachzeitschrift e-commerce magazin (ehemals IWT Magazin Verlag), wo er bis 2003 als Redakteur tätig war. Seit 2004 ist er freiberuflich für verschiedene Fachzeitschriften und Online-Portale in den Bereichen Unternehmens-IT, Computing sowie Wirtschaft und Industrie tätig. Darüber hinaus arbeitet er als Lektor und in der Schlussredaktion für Verlage und Agenturen. Von 2010 bis 2016 hatte er die redaktionelle Leitung des Digitalbusiness Magazin (WIN-Verlag) inne. Seit 2016 schreibt er wieder verstärkt für bekannte IT-Fachzeitschriften und -Portale.

Über die Autorin: Sandra Bültermann

Sandra Bültermann (*1975) ist seit 1999 als Technische Redakteurin tätig. Als langjährige Mitarbeiterin bei Fachzeitschriften, Agenturen und Softwareunternehmen verfügt sie über umfassende Kenntnisse in den Bereichen IT, Kommunikation und Contentmanagement. Ihre Kernkompetenz liegt darin, komplexe, technische Themen verständlich und zielgruppenorientiert aufzubereiten.
Zurück zur Übersicht der Blog-Beiträge

Kommentare


Es wurde noch keine Kommentare abgegeben.
Zurück zur Übersicht der Blog-Beiträge

Kommentar verfassen

Name:

E-Mail:

Kommentar: Bild-Link*:

*Möchten Sie, dass ein individuelles Bild neben Ihrem Kommentar angezeigt wird, dann tragen Sie bitte den Link zu dem Bild in das Feld "Bild-Link" ein. Idealerweise hat das Bild eine Abmessung von 50x50 Pixeln.

Weitere Themen

<< < 1 2 3 ... > >>

© myfactory International GmbH 2016. Alle Rechte vorbehalten.

Über uns

myfactory ist die webbasierte Business Software für KMU in den Bereichen ERP, CRM, PPS, MIS, Portal, Shop, Groupware und Finanzbuchhaltung.

Kontakt

Agnes-Pockels-Bogen 1
D-80992 München

30.10.2018
26.10.2018
23.10.2018
19.10.2018
16.10.2018