Inzwischen sollte allen Lesern bekannt sein, dass ab dem 25. Mai die neue EU-Datenschutzgrundverordnung anzuwenden ist. Diese ist aus mehreren Gründen auch für Anwender der C-Plattform relevant, denn auch hier werden teilweise relevante Daten gehalten. Der Betreff ist – wie auch früher schon – sehr weit gefasst; personenbezogene Daten sind:
Personenbezogene Daten [sind] alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck physischer, physiologischer, genetischer, psychischer, wirtschaftlicher, kultureller oder sozialer Identität dieser natürlichen Person sind, identifiziert werden kann.
Neu sind allerdings einige Themen, die für Anwender der C-Plattform – bzw. hauptsächlich die Administratoren – wichtig sind:
- neuer, wesentlich größerer Strafrahmen: bis 20 Mio. € oder 4 % vom weltweiten Umsatz (zum Vergleich, die „alte“ Datenschutzverordnung sah max. 300.000 € für Verstöße vor).
- Recht auf „Vergessenwerden“: Personen dürfen Auskunft darüber verlangen, welche Daten von ihnen gespeichert sind und – wenn keine zwingenden Gründe dagegen sprechen – verlangen, dass alle Daten über sie gelöscht werden.
- Nicht mehr verwendete Daten müssen aktiv gelöscht werden.
- Falls möglich, müssen Datensätze auf Wunsch von Personen übertragen werden.
Punkte 2 und 3 müssen ggf. innerhalb der Software gelöst werden; da es allerdings unterschiedlich ist, wie Kunden die Daten verwenden, kann man nicht generell sagen, dass alle personenbezogenen Daten einfach gelöscht werden. Es kann ja schon sein, dass diese Daten relevant für Verträge, Aufträge, Schlüsselausgaben, Belegungsplanung etc. sind. Das heißt, man muss innerhalb eines Projektes definieren, wie mit den einzelnen Daten umzugehen ist bzw. unter welchen Umständen diese Daten aktiv zu löschen sind.
Auf der C-Plattform wurden Methoden geschaffen, um zu löschende Daten einfach identifizieren und dann löschen zu können. Allerdings müssen die Regelwerke, welche Kriterien zu erfüllen sind, damit personenbezogene Daten als löschbar identifiziert werden, individuell gestaltet sein. Dies liegt einfach daran, dass wir festgestellt haben, dass bei jedem unserer Kunden unterschiedliche Bedingungen gelten.
Der Löschvorgang ist dann sehr einfach und wird natürlich vom System protokolliert. Allerdings werden die zugehörigen Objekte selbstverständlich nicht mitgelöscht (so wie das einige Mitbewerber machen), denn man kann ja schlecht den Raum löschen, nur weil die Belegung unter die EU-DSGVO fällt …
Falls Sie aufgefordert sind, in Ihrem Unternehmen Lösungen zu erarbeiten, dann sprechen Sie uns an. Inzwischen haben wir eine Reihe von Projekten in dieser Richtung begleiten dürfen.