Sie sind in einem Unternehmen/ einer Organisation die in der EU ansässig ist oder in Verbindung mit personenbezogenen Daten von EU-Bürgern stehen? Nach diesem Beitrag wissen Sie, wie Sie bestenfalls mit den personenbezogenen Daten in ihrer Organisation umgehen.
Die Datenschutz-Grundverordnung (DSGVO) regelt den Umgang mit personenbezogenen Daten in der EU. Alle Daten, die einer bestimmten Person zugeordnet werden können oder zur Identifizierung einer bestimmten Person dienen können, sind personenbezogene Daten. Die DSVGO beschreibt die Rechte von Personen an ihren personenbezogenen Daten. Durch die DSGVO wird zudem geklärt, ob personenbezogene Daten uneingeschränkt gespeichert werden dürfen.
Die Verarbeitung personenbezogener Daten, die die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, genetische oder biometrische Daten, die eine natürliche Person eindeutig identifizieren ist nicht erlaubt. Auch Daten über Gesundheit, Sexualleben oder sexuelle Orientierung einer natürlichen Person zu offenbaren, ist nur mit der Zustimmung der entsprechenden Person erlaubt.
Ist JPlatform DSGVO-konform? Grundsätzlich, ja. Es hängt jedoch von der Nutzung der Plattform durch den Kunden ab. JPlatform bietet alle Werkzeuge, um innerhalb der DSGVO-Grenzen zu bleiben. Entscheidet sich der Kunde jedoch, persönliche Daten auf unserer Plattform zu speichern, können wir dafür nicht verantwortlich gemacht werden. Diese möchten wir Ihnen im Folgenden näher aufzeigen.
Für die Benutzenden sollte es möglich sein, die Software so zu verwalten, dass nur notwendige Datenfelder für bestimmte Zwecke verwendet werden.
Hierbei bietet JPlatform eine große Flexibilität in der Nutzung und Konfiguration der Lösung: Kunden definieren ihre eigene Strategie für die Nutzung der verwendeten personenbezogenen Daten (z.B. mit der Auswertung von Lesern spezieller Inhalte, für den kollaborativen Aspekt relevante Geschäftsfunktionen, die aber durch die Konfiguration jederzeit deaktiviert werden können).
JPlatform ist eine Digital Workplace-Lösung: Es ist daher selbstverständlich, dass unsere Kunden andere Dienste integrieren möchten, z.B. von anderen Softwareanbietern oder Open Source. In diesen Fällen liegt es in der Verantwortung des Kunden, das richtige Verhalten dieser Dienste im Hinblick auf die DSGVO-Empfehlungen zu überprüfen und gegebenenfalls deren Nutzung einzuschränken.
Der Softwarehersteller sollte Funktionen bereitstellen, die den Export personenbezogener Daten in ein maschinenlesbares Format ermöglichen. Dabei sollte die Beschreibung der Software einen Überblick darüber enthalten, wo welche personenbezogenen Daten gespeichert sind.
Auf globaler Ebene bietet JPlatform Funktionen zur Datenumkehrbarkeit (XML-Datenexport, Web Services, etc.). Für eine authentifizierte Person können wir eine Standardfunktionalität für den Export der vom Mitglied selbst eingegebenen Daten (detailliertes Profilblatt, Hintergrund, Fähigkeiten, etc.) bereitstellen. Im Intranet-Kontext gehören alle von einem Mitglied abgelegten Inhalte und Dokumente meist dem Unternehmen und nicht den Mitgliedern, wenn es der Arbeitsvertrag vorsieht.
Löschfunktionen sollten in der Software verfügbar und dokumentiert sein, sowie Funktionen zur Anonymisierung/ Pseudonymisierung von personenbezogenen Daten. Dokumentenmanagementsystem (DMS) -Lösungen sollten administrative Aufbewahrungsfristen enthalten.
Jalios bietet bezüglich der Daten nativ alle Löschfunktionen (per UI, oder über die API). Das Geschäftsmodell von Jalios ist das eines "klassischen" Herstellers: Die Daten sind und bleiben Eigentum des Jalios Kunden. Einige Unternehmen monetarisieren personenbezogene Daten, was nicht das Ziel von Jalios ist, da unsere Umsätze durch den Verkauf von Lizenzen und Dienstleistungen gesichert werden. Mit den Löschfunktionen von JPlatform können Sie Daten aus der JPlatform-Datenbank dauerhaft löschen (z. B. Löschen eines Mitglieds).
Die Dokumente und ihre Eigenschaften in einer DMS-Lösung müssen ausreichend sicher aufbewahrt werden. Die verwendeten Verschlüsselungsverfahren (z.B. Datenverbindungen, externer Zugriff, Ablage von Dokumenten) müssen nachvollziehbar dokumentiert werden. Kritische Datenfelder (z.B. Passwörter) müssen in verschlüsselter Form gespeichert werden. Die Dokumentation des Softwareherstellers muss Informationen zur Datensicherung enthalten. Die Software muss Funktionen enthalten, die ein entsprechendes Berechtigungskonzept im Unternehmenseinsatz ermöglichen.
Jalios hat drei Methoden definiert, um die Sicherheit in seiner Software in jeder wichtigen Phase der Entwicklung und Wartung zu gewährleisten. Das sind: ein Sicherheitsmanagementprozess (z.B. jährliches internes Audit), Sicherheit auf Anwendungs- und Architekturebene (z.B. eine Identitäts- und Authentifizierungskontrolle) sowie Best Practices, wie beispielsweise ein Leitfaden zu den Entwicklungsregeln für die Sicherheit.
Die Software sollte Funktionen enthalten, die den Anwender bei der Auswertung personenbezogener Daten unterstützen. Bei Bedarf sollte die Möglichkeit bestehen, Datenfelder und/oder Dokumente selektiv zu sperren oder zu löschen.
JPlatform stellt seinen Kunden Softwarefunktionen zur Verfügung, die die Implementierung der DSVGO vereinfachen. Dazu gehören schlanke und konfigurierbare Zugriffsrechte, Aufbewahrungs- und Löschmechanismen, explizites Zustimmungsmanagement mit der Unterzeichnung einer Nutzungsrichtlinie, Verschlüsselung von Dokumenten und Austausch zwischen Client- und Serverarbeitsplätzen, starker Passwortschutz, Anonymisierung exportierter Geschäftsabläufe, und weiteres.
Einen DSGVO Ansprechpartner: dsgvo@jalios.com
Ein Leitfaden für unsere Kunden
Im Lizenz- und Softwarewartungsvertrag finden Sie einen Anhang zu dem Thema: Schutz der Persönlichen Kundendaten
Lizenz-, Wartung und SaaS- Vertragsreiter
Selbstverständlich stehen wir Ihnen gerne für ein Gespräch über dieses wichtige Thema zur Verfügung!