Viele Änderungen durch neue Datenschutz-Grundverordnung

Gut vorbereitet.

Sie war in aller Munde. Die mit 25. Mai dieses Jahres in Kraft getretene Datenschutz-Grundverordnung brachte viele Änderungen in Österreich und Europa mit sich. Umzusetzen galt es die Prinzipien der Datensparsamkeit, Datenminimierung, Datenportabilität und Eigenverantwortung. Um die Fülle an Neuerungen bis zum Stichtag erfolgreich abschließen zu können, wurde in der Raiffeisen Informatik das Projekt zur Realisierung der DSGVO bereits 2017 gestartet.

Bestens umgesetzt – die DSGVO-Erfolgsbilanz der Raiffeisen Informatik.

Im ersten Schritt erhob die Raiffeisen Informatik alle internen Datenverarbeitungstätigkeiten und identifizierte die jeweils dazugehörenden Applikationen. In Summe waren es um die 100. Parallel dazu wurde eine neue Anwendung zur Umsetzung des Verzeichnisses von Verarbeitungstätigkeiten entwickelt, befüllt und in Abstimmung mit den Kunden programmtechnisch umgesetzt. Mit Erfolg. Denn dieses Verzeichnis ist nun aktiv im Einsatz und kann jederzeit zur Dokumentation genutzt werden.

Richtig mit Daten umzugehen ist wichtig.

Was soll man und was darf man mit den Daten machen? Auf Basis der juristischen Bewertung der Vorschriften durch externe Experten erstellte die Raiffeisen Informatik eine interne Richtlinie zum Umgang mit personenbezogenen Daten. Entwickelt wurde auch eine Löschfristenmatrix, durch die bei internen Systemen eine Implementierung tourlicher Löschmechanismen erfolgt. Falls erforderlich, wird jetzt auch die Erstlöschung personenbezogener Daten durchgeführt.

Raiffeisen Informatik nimmt Verantwortung wahr.

Es war noch mehr, viel mehr zu erledigen. So galt es auch die Prozesse bei internen Abläufen anzupassen. Das betraf sowohl die vorgeschriebene Auskunftsverpflichtung, zum Beispiel gegenüber ausgetretenen MitarbeiterInnen, als auch die Implementierung von Fristen und Abläufen in Notfallplänen. Das Ziel war und ist klar: Mögliche Verletzungen des Schutzes personenbezogener Daten – Stichwort „Data Breach“ – sollen ab sofort so gut wie möglich ausgeschlossen werden. Für Kunden wurden Informationspakete zu den technisch-organisatorischen Maßnahmen geschnürt, die als Grundlage für einen Auftragsverarbeitungs-Vertrag dienen. Damit bringt die Raiffeisen Informatik ihre Verantwortung als Auftragsverarbeiter deutlich zum Ausdruck.

Offenes Ohr für Kundenwünsche.

Das erfolgreiche Umsetzen großer Projekte erfordert Teamwork. Basierend auf den Wünschen und Anforderungen der Kunden der Raiffeisen Informatik wurden je nach Kundengruppe und Service unterschiedliche Muster von Auftragsverarbeitungs-Verträgen erstellt. Dadurch konnten mit vielen Kunden rasch derartige Verträge abgeschlossen werden. Dass keine Fragen offenbleiben, dafür sorgt der eigens für Fragen rund um die neue Datenschutz-Grundverordnung eingerichtete Briefkasten.

Lückenlose Dokumentation.

Über den richtigen Umgang mit Daten zu berichten ist gut. Besser ist es, das auch beweisen zu können. Und Raiffeisen Informatik kann es. Mit Lieferanten wurde eine Spezifizierung des Verarbeitungszwecks und der personenbezogenen Datenkategorien erarbeitet. Damit kann Raiffeisen Informatik für jede Verarbeitungstätigkeit die Kette bis zum Sublieferanten lückenlos dokumentieren und nachweisen. Soviel sei verraten – Daten sind bei Raiffeisen Informatik in sicheren Händen.