von Ardita Kolari | Jan 2, 2020 | Neu
Im Forschungsprojekt “Inverse Transparenz” arbeitet die Software AG daran mit, die Datenverwendung für den Beschäftigten selbst transparent zu gestalten.
Im Arbeitsprozess fallen immer mehr Daten an, die unterschiedlich dokumentiert und sichtbar sind. Nicht immer wird für den Mitarbeiter transparent, was mit diesen Daten geschieht. Entwickelt sich hier nicht das Potenzial für eine umfassende Kontrolle und Überwachung von Beschäftigten und ihrer Arbeit? Genau damit befasst sich das vom Bundesministerium für Bildung und Forschung geförderte Forschungsprojekt Inverse Transparenz.
Mit „Vertrauenskultur statt Kontrollkultur“ setzt das Projekt ein neues Paradigma: die konsequente Teilnahme der Mitarbeiter an der Kontrolle der Verwendung ihrer Daten. Diese Offenheit zielt auf die Kontrolle der Beschäftigten (Employee Empowerment) über die eigenen Daten, stärkt das Vertrauensverhältnis zu seinem gesamten Umfeld und bietet eine regelkonforme Grundlage für den Datenumgang. Durch die Digitalisierung in der Produktentwicklung werden bei der Software AG z.B. alle Aufgaben in dem Problemverfolgungstool iTrac erfasst und priorisiert und die jeweiligen Arbeitsprozesse- und -schritte geplant. Die zentralen Systeme und ihre Daten stehen einer breiten Masse an Datennutzern, Teammitgliedern, Führungskräften, dem Management, und gegebenenfalls anderen interessierten Abteilungen für weitere Arbeitsschritte bzw. zur Informationsgewinnung zur Verfügung.
Gefahr des gläsernen Mitarbeiters
Die Daten führen zu einem digitalen Abbild der Arbeitsweise des Mitarbeiters. Technisch gesehen ermöglichen es die Systeme ohne großen Aufwand eine Verhaltens- und Leistungskontrolle über jeden Systemnutzer oder Mitarbeiter zu erstellen. Ganz im Stil des „Gläsernen Menschen“, könnte jeder Schritt verfolgt werden. Die Leistungen ließen sich mit denen anderer Kollegen vergleichen. Der Mitarbeiter könnte so in seinem Handeln, seiner Arbeitsweise und seiner Effektivität transparent werden, sich damit beobachtet und eingeschränkt fühlen und aufgrund dessen könnte sein Handeln und Verhalten beeinflusst werden.
Zusätzlich zu den klassischen Instrumentarien zum Schutz der Mitarbeiterdaten, wie sie z.B.: das Datenschutzgesetz, das Betriebsverfassungsgesetz, der Schutz durch den IuK-Ausschuss und den Betriebsrat als Kontrollorgan etc. darstellen, ist es das Ziel des Projekts „Inverse Transparenz“, die Datensouveränität der Beschäftigten zu stärken und ihnen aufzuzeigen, wie ihre Daten im Unternehmen genutzt werden, ohne einen Datenmissbrauch fürchten zu müssen.
Inverse Transparenz setzt auf drei zentrale Prinzipien:
- „Watch the Watcher“: Die Verwendung von Daten für die Beschäftigten sichtbar machen
- Beteiligung: Beschäftigte zu Akteuren eines beteiligungsorientierten Datenschutzes befähigen
- Empowerment: Beschäftigte zur aktiven Nutzung von Daten befähigen, um eigenständig Arbeitsprozesse und Organisationsstrukturen zu verbessern
Expertengespräche in der Software AG
Um im Projekt ganz nah am Beschäftigten zu sein, wurden Mitarbeiter bei uns in der Software AG befragt. Die Kollegen aus allen drei wissenschaftlichen Einrichtungen des Projekts erhoben Daten an den Standorten Saarbrücken und Darmstadt. Das Sample bestand aus 22 Interviewten bei der Software AG – 14 in Darmstadt und acht in Saarbrücken. Die Interviews führten die Kollegen als Expertengespräche mit VertreterInnen des Managements aus diversen Leitungsfunktionen (Bereichs-, Abteilungs- und Teamleiter), aus HR, dem Betriebsrat sowie mit den Beschäftigten aus Entwicklung und Support durch. Dabei ging es um Fragen wie „Welche Bedeutung haben Daten im Arbeitsalltag?“ oder „Wie nutzen Beschäftigte selbst Daten aus dem Arbeitsprozess?“ und „Wie erleben sie die Transparenz?“.
Alle Interviews wurden bereits qualitativ ausgewertet. Erste Teilergebnisse der Forschungspartner zeigen, dass jüngere Befragte prinzipiell offener mit der Transparenz ihrer Daten umgehen, während etablierte Kollegen skeptischer gegenüber dem Vorhaben waren. Allerdings ist festzuhalten, dass auch sie, wie die jüngeren Kollegen, den Mehrwert der Transparenz erkannt haben und schätzen.
Kollegen für Praxislaboratorien gesucht
Das 36-monatige Projekt gliedert sich in drei Phasen: Analysephase, Pilotierungsphase und Transferphase. Am Ende jeder Phase steht ein Wissenschafts-Praxis-Dialog, bei dem sich Forschungspartner und die Software AG zusammenfinden, um die zentralen Befunde zu evaluieren und weiterzuentwickeln.
Im zweiten Quartal des nächsten Jahres soll dann in Praxislaboratorien der Prototyp in der Praxis angewendet werden. Es werden noch Kollegen aus der Entwicklung in Deutschland gesucht, die das Tool testen wollen. Wer Interesse hat, kann sich gerne bei den Projektleitern Christian Gengenbach oder Klotilda Muca melden.
Das Projekt Inverse Transparenz
In dem interdisziplinären Forschungsprojekt arbeiten drei wissenschaftliche Einrichtungen mit: das Institut für sozialwissenschaftliche Forschung München (ISF München), die Technische Universität München (TU München) und die Ludwig-Maximilians-Universität München (LMU München). Sie alle haben es sich zum Ziel gesetzt, Potenziale und Anwendungsszenarien inverser Transparenz in einer digitalen Arbeitswelt zu bestimmen. Die Software AG ist nicht nur ein relevanter Forschungspartner aus der Industrie, sondern hat die spezielle Rolle des Anwendungspartner in allen Phasen der Forschung übernommen. Konkret bedeutet dies, dass bei der Software AG die Pilotlösungen erprobt und Erfolgsfaktoren für eine breite Anwendbarkeit und Umsetzung des Kozepts entwickelt werden.
von Andreas Schophoven | Mrz 13, 2018 | Allgemein
Unternehmen kommen in große Schwierigkeiten, wenn sie die EU-Datenschutz-Grundverordnung (DSGVO) bis Mai 2018 nicht umsetzen können. In einem vorangegangenen Blogbeitrag haben wir festgestellt, dass die DSGVO mehr als nur ein IT-Problem ist und in erster Linie Prozesse und Mitarbeiter betrifft. Massiver Technologieeinsatz löst keine Probleme, so die heute gängige Theorie. Dennoch wäre es ein Fehler, darauf zu verzichten. Darüber hinaus benötigen Unternehmen große Personalressourcen, um die EU-DSGVO erfolgreich umzusetzen. Warum das so ist, lesen Sie im folgenden Beitrag.
Schauen wir uns zunächst die Mitarbeiter in einem Unternehmen an, die mit der Datenschutz-Grundverordnung zu tun haben. Hier einige Beispiele und ihre Rollen im Rahmen der DSGVO-Compliance:
- Datenschutzbeauftragter: Er ist laut DSGVO vorgeschrieben und leitet die Maßnahmen zur Umsetzung der neuen Verordnung.
- Enterprise-Architecture-Team: Das sind die Personen, die das große Ganze sehen. Sie setzen die heterogene und dezentrale Business- und IT-Landschaft zu einem großen stimmigen Bild der Datenspeicher- und Verarbeitungstätigkeiten zusammen.
- Verantwortliche für IT-Systeme und Geschäftsprozesse: Das sind die Mitarbeiter, die über die DSGVO-Relevanz ihrer Anwendungen, Technologien und Prozesse Bescheid wissen.
- IT-Sicherheitsexperten: Sie wissen, wie man sensible Daten und Anwendungen schützt.
- Compliance-Experten: Ihr tägliches Brot ist es, Gesetze und Vorschriften in konkrete Maßnahmen zu übertragen.
- Risikomanager: Sie wägen den potenziellen Schaden und die Wahrscheinlichkeit DSGVO-bezogener Risiken ab und empfehlen Maßnahmen zur Schadensminimierung.
- Projektmanager: Sie müssen sich Gedanken darüber machen, ob laufende Projekte DSGVO-relevant sind und ob sie neu dimensioniert werden müssen.
- IT-Planer und -Strategen: Mit einem einmaligen DSGVO-Projekt ist es nicht getan, DSGVO-Compliance wird auch nach dem 25. Mai 2018 ein Thema bleiben. Compliance muss in zukünftige Business- und IT-Lösungen eingebaut werden.
- Verantwortliche für Geschäftsplanung und -strategie: Sie werden Wege finden, trotz der DSGVO-Einschränkungen Geschäfte zu machen. Die innovativsten unter ihnen werden die DSGVO nutzen, um mit ihren Kunden über die Datenschutzeinstellungen in Kontakt zu kommen. Sie werden ihnen Produkte und Services anbieten, die zu diesen Einstellungen passen.
- CEOs: Sie bezahlen die Rechnung und werden bei schweren Verletzungen der DSGVO am ehesten ihren Stuhl räumen müssen.
Die Umsetzung der DSGVO erfordert eine Plattform
Die obige Aufzählung ist bei Weitem nicht vollständig: Betroffen sind auch Mitarbeiter in HR, Marketing, technischem Support, Qualitätssicherung und viele andere. Die Liste ist lang. All diese Mitarbeiter wissen, was die Einhaltung der DSGVO in ihrem Bereich des Unternehmens bedeutet. Sie müssen bestimmte Aufgaben übernehmen und brauchen dafür eine Plattform. Bei der DSGVO geht es darum, dass alle etwas und nicht wenige alles machen. Ohne eine Plattform für die Zusammenarbeit funktioniert das nicht.
Aber lassen Sie uns noch ein bisschen tiefer in das Thema Technologie eintauchen. Personenbezogene Daten liegen meist in digitaler Form vor und werden normalerweise in IT-Systemen gespeichert und verarbeitet. Deshalb wird nur eine technologiegesteuerte Lösung Erkenntnisse zu den verteilten Daten liefern und diese beherrschen können.
Ohne Technologie sind die folgenden Aufgaben nicht zu bewältigen:
- Personenbezogene Daten identifizieren, feststellen, wie sie erfasst und wo und wie sie verarbeitet und gespeichert werden.
- Systeme, Prozesse und Daten als DSGVO-relevant klassifizieren.
- Erforderliche Informationen von Daten- und Anwendungsverantwortlichen einsammeln.
- Eine Verbindung herstellen zwischen Prozessen und den IT-Systemen, die sie tragen. So lässt sich nachvollziehen, wo es Berührungspunkte mit Kunden und Mitarbeitern gibt und wo Daten ausgetauscht werden.
- Gespeicherte Daten und Anwendungen, die diese verarbeiten, verbinden. So lassen sich Aussagen zu Datenkorrektheit, Datenminimierung und Aufbewahrungsfristen machen.
- Schnell Informationen über Daten bereitstellen: Dazu zählt der Zweck der Verarbeitung, der Empfänger, die Absicht, sie weiterzuleiten, Aufbewahrungsfristen und automatische Entscheidungen.
- Datenbewegungen nachvollziehen, um die Auswirkungen von Verletzungen korrekt einschätzen zu können.
Bei dieser Fülle an Aufgaben ist klar: Es gilt, alle verfügbaren Ressourcen auf die DSGVO anzusetzen. Der Termin rückt unausweichlich und mit großen Schritten näher. Wenn Sie ihn halten wollen, müssen Sie zu Höchstleistungen auflaufen.
Sie haben bis zum 25. Mai noch viel zu tun? Mit diesem Webinar werden Sie schnell fit für die EU-DSGVO!
von Paula Ziehr | Okt 13, 2017 | Allgemein
In vielen Unternehmen herrscht Unsicherheit über den Umgang mit der EU-Datenschutzgrund-Verordnung (DSGVO) und ihre Auswirkungen. Da käme ihnen eine „Landkarte“ zur Orientierung ganz gelegen. Wichtig ist zunächst, dass Unternehmen erkennen, welche weitreichenden Folgen die DSGVO hat. Sie rückt den Datenschutzbeauftragten der eigenen Firma ins Rampenlicht. Und auch die Unternehmensarchitektur spielt künftig beim Thema Datenschutz eine entscheidende Rolle.
Bis zum 25. Mai nächsten Jahres haben Unternehmen Zeit, die Anforderungen der neuen Datenschutz-Grundverordnung umzusetzen. Datenschutzbeauftragte sollten bei der Zusammenstellung ihrer Teams deshalb darauf achten, den Verantwortlichen für das Enterprise Architecture Management (EAM) mit ins Boot zu holen.
Orientierungshilfe Unternehmensarchitektur
Warum spielt die Unternehmensarchitektur eine so wichtige Rolle für Compliance mit der DSGVO? Um diese Frage zu beantworten, sollten wir uns zunächst damit beschäftigen, was die neue Regelung von Unternehmen, die mit EU-Bürgern Geschäfte machen, fordert.
Datenverantwortliche müssen einige wichtige Fakten zum Umgang mit personenbezogenen Daten berücksichtigen: Wie wurden sie erfasst? Und für welchen Zweck werden sie eingesetzt? Darüber hinaus gilt es sicherzustellen, dass die verwendeten Daten korrekt sind, und nur solche Daten genutzt werden, die für einen bestimmten Zweck benötigt werden. Schließlich dürfen die Daten auch nur über den Zeitraum gespeichert werden, der erforderlich ist, um eben jenen Zweck zu erreichen.
Was bedeutet das in der Praxis? In erster Linie müssen Datenschutzbeauftragte wissen, welche Daten erfasst wurden, wo sie gespeichert sind und wie sie verarbeitet werden. Dafür brauchen sie eine Übersicht – ähnlich einer Landkarte – aller Datenspeicher und Anwendungen. Darauf basierend können Unternehmen ein Verzeichnis erstellen, in dem Daten analysiert und gemäß der verschiedenen DSGVO-relevanten Attribute klassifiziert werden.
Was ist wo gespeichert?
Das Verzeichnis hält fest, welche Daten an welchem Ort zu finden sind. Es liefert Auskunft darüber, ob die Datensätze einer Person zugeordnet werden können und welche Art von Daten sie enthalten. Darunter fallen Standortinformationen, Rechnungsinformationen, Informationen zu Einkäufen, Informationen aus Communities oder Foren, Informationen zu verwendeten Geräten, zur Bonität der betroffenen Person oder zur Nachverfolgung der Benutzeraktivität.
Den Anwendungen werden verschiedene Eigenschaften zugeordnet. So wird der Zweck der Anwendung (Abrechnung, Marketinganalysen, Direktmarketing, Monitoring, Incident-Management, Personalbeschaffung oder Kundenranking) bestimmt und es wird festgehalten, ob es ein Sicherheitskonzept gibt – und wenn ja, welches. Zusätzlich sollte die Übersicht festhalten, ob es ein gesondertes Testsystem gibt und ob dieses anonymisiert ist.
Darüber hinaus enthält das Verzeichnis Informationen darüber, wie die Datensätze verarbeitet werden können: dazu zählen Speicherfristen, Löschmethoden, Verarbeitungsort, Ursprung der Daten, Zugriffsrechte, Zugriffsprotokollierung sowie Informationen darüber, an welche Personen oder Systeme Daten transferiert werden, welche Personen betroffen sind und ob es sich dabei um Privatpersonen oder Unternehmenskunden, Mitarbeiter oder Bewerber handelt.
Zurück zur Unternehmensarchitektur: Sie umfasst die Bereiche Geschäftsarchitektur, Datenarchitektur, technische Architektur und Anwendungsarchitektur – und ist somit ein guter Ausgangspunkt für ein Verzeichnis über Datenverarbeitungsprozesse. Aufgrund ihrer Struktur und Inhalte liefert sie entscheidende Einblicke in die Business- und IT-Landschaft, die Unternehmen benötigen, um sich gemäß den Vorgaben der DSGVO zu organisieren.
In der Vorbereitungsphase auf die neue Verordnung, in der noch keiner so genau weiß, was auf Unternehmen zukommen wird, ist es der leitende Enterprise Architect, der den Weg in Richtung Compliance weisen kann.
Ist Ihr Unternehmen bereit für die DSGVO? Nehmen Sie am Live Webinar teil und werden Sie fit für die neue Datenschutz-Grundverordnung. Mehr Informationen zur DSGVO bekommen Sie auch in unserem neuen Video.
von Bärbel Strothmann-Schmitt | Mai 16, 2017 | Allgemein
Im Mai 2018 wird die Anwendung der Datenschutz-Grundverordnung der EU (EU-DSGVO) verpflichtend. Die Vorbereitung darauf ist für Unternehmen zeitraubend und aufwendig, und sehr viele haben noch gar keine Vorkehrungen getroffen. Die Analysten von Gartner gehen davon aus, dass 50 Prozent der Unternehmen, die von der EU-DSGVO betroffen sind, bis Ende 2018 die neuen Anforderungen nicht vollständig erfüllen werden.
Wer das ungute Gefühl hat, nicht ausreichend vorbereitet zu sein, und keine Sanktionen aufgrund von Verstößen riskieren will, sollte umgehend die folgenden ersten Schritte unternehmen.
- Prüfen Sie, ob die EU-DSGVO für Ihr Unternehmen gilt
Sie denken: „Für uns ist das nicht relevant, unser Unternehmen hat seinen Sitz nicht innerhalb der EU.“ Moment! Die EU-DSGVO betrifft nicht nur Unternehmen in der EU. Sie gilt für jede Organisation, die durch den Vertrieb von Gütern und Dienstleistungen – auch wenn diese kostenlos sind – personenbezogene Daten von Einwohnern der EU verarbeitet oder deren Verhaltensmuster erfasst. Das heißt: Auch viele Unternehmen außerhalb der EU sind betroffen. - Zuständigkeiten festlegen
Die EU-DSGVO sieht vor, dass Organisationen einen Datenschutzbeauftragten benennen müssen, wenn ihre Kerntätigkeit „in der Durchführung von Verarbeitungsvorgängen besteht, welche eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen“ oder wenn ihre Kerntätigkeit in der „umfangreichen Verarbeitung besonderer Kategorien von Daten“ besteht. - Wie sich die EU-DSGVO auf Prozesse, Daten und Systeme auswirkt
Laut der neuen Verordnung müssen Unternehmen ermitteln und erfassen, welche Geschäftsprozesse personenbezogene Daten enthalten. Es ist Pflicht zu dokumentieren, wie die Daten verarbeitet werden, um festzustellen, welche Datenschutzrisiken mit Ihren Geschäftsprozessen und den zugrunde liegenden Systemen verbunden sind. Auch Kontrollen und Verfahren zum Schutz der Vertraulichkeit, Korrektheit und Verfügbarkeit dieser Daten gehören zu den neuen Standards. Die Effektivität Ihrer Maßnahmen muss nachweisbar sein – das erfordert kontinuierliches Testen und Überprüfen Ihrer Methoden. - Fremdfirmen und externe Anbieter
Die Auslagerung von Prozessen an Dritte entbindet Sie nicht von Ihren Pflichten zur Einhaltung der EU-DSGVO. Die Verantwortung liegt nach wie vor bei Ihnen. Wenn Fremdfirmen oder externe Anbieter in Ihre Verarbeitungsprozesse einbezogen sind, müssen Sie sicherstellen, dass auch dort die entsprechenden Kontrollmaßnahmen zum Schutz personenbezogener Daten angewendet werden. - Eindeutige, transparente Einwilligungserklärung
Die EU-DSGVO schreibt vor, dass betroffene Personen ausdrücklich der Erfassung und Verarbeitung ihrer Daten zustimmen müssen. In den meisten Fällen ist es nicht mehr zulässig, den Nutzern automatisch angekreuzte Kästchen anzuzeigen oder stilles Einverständnis vorauszusetzen. Sie müssen Ihre aktuellen Datenschutz- und Offenlegungserklärungen überprüfen und, wenn erforderlich, anpassen. - Mitteilungspflichten
Machen Sie es Ihren Kunden leicht, ihre Einwilligung zu widerrufen. Es gibt eine neue Bestimmung, die Personen ein „Recht auf Vergessen“ zusichert. Beruft sich ein Nutzer darauf, müssen Organisationen seine Daten löschen. Zusätzlich sind sie verpflichtet sicherzustellen, dass auch alle anderen Parteien, denen Sie die Daten zur Verfügung gestellt haben, diese Daten löschen. Außerdem dürfen Betroffene, ihre personenbezogenen Daten in einem lesbaren, übertragbaren Format einfordern, was Nutzern die Auswahl von (Online-)Services erleichtern soll. - Einführung von Prozessen zur Meldung von Verstößen
Nach der EU-DSGVO ist ein Verstoß gegen den Schutzes personenbezogener Daten wie folgt definiert: „Eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt , die übermittelt, gespeichert oder auf sonstige Weise verarbeitet werden.“ Diese muss „unverzüglich und möglichst binnen 72 Stunden“, nachdem die Verletzung bekannt wurde, an die Aufsichtsbehörde gemeldet werden. - Grenzüberschreitender Datentransfer
Im Falle eines internationalen Datentransfers müssen Sie sicherstellen, dass Sie eine legitime Basis für die Übertragung personenbezogener Daten in Drittstaaten haben, deren Datenschutzgesetze in der EU als nicht angemessen gelten.
An der EU-Datenschutz-Grundverordnung führt kein Weg vorbei, und ihre Einhaltung erfordert eine Menge an Vorbereitung. Fangen Sie jetzt damit an!
In unserem kostenlosen Webinar zeigen wir anhand von praxisnahen Beispielen, wie Sie sich optimal auf die EU-DSGVO vorbereiten. Melden Sie sich an und machen Sie sich fit für die neue Datenschutz-Grundverordnung!