Die Ausgangssituation
Nach Artikel 15 der Datenschutz-Grundverordnung (DSGVO) hat jede betroffene Person das Recht zu erfahren, ob ein Unternehmen ihre persönlichen Daten speichert und wenn ja, welche Daten dies sind. Neben dieser Auskunft kann die betroffene Person zusätzlich eine Berichtigung, Löschung oder Nutzungseinschränkung der sie betreffenden personenbezogenen Daten fordern. Für Unternehmen bedeutet dies, dass sie innerhalb von maximal 30 Tagen eine umfassende Auskunft erstellen bzw. die Löschung oder Korrektur vornehmen müssen.
Da die Prozesse zur Auskunft und Löschung in den meisten Fällen auf die gleichen Daten referenzieren, wurde bei eprimo eine Möglichkeit zur Standardisierung und Vereinfachung gesucht, um die bisherigen Bearbeitungen über E-Mail und Excel zu ersetzen. Neben der eigentlichen Optimierung der Prozesse stand zudem die Verbesserung der Dokumentation im Fokus, mit dem Ziel, die Tätigkeiten für jeden einzelnen Vorgang lückenlos dokumentieren zu können. Zur Steigerung der Benutzungsfreundlichkeit sollte zudem durch ein automatisiertes Fristen- und Eskalationsmanagement der Verwaltungsaufwand reduziert werden. Abgerundet werden sollte die Lösung durch ein integriertes Löschkonzept für die bearbeiteten Anfragen, um auch an dieser Stelle dem Datenschutz zu genügen.
Zielsetzung und Auftrag an Panvision
„Wir haben nach einem Tool gesucht, mit dem wir die Begehren abbilden und jederzeit den Status der Bearbeitung nachvollziehen können.“, berichtet Stefan Büttgen, Leiter Datenschutz / IT Security bei eprimo, und fügt hinzu: „Wichtig war uns dabei, ein Werkzeug zu finden, mit dem wir verschiedene Prozesse möglichst einfach digital umsetzen und auf der gleichen Datenbasis parallel betreiben können. Dies ohne Berührungspunkte in den Prozessen selber – hierfür hat sich PANFLOW perfekt angeboten. Ein weiterer und für uns entscheidender Vorteil ist, dass wir in einem schrittweisen Ausbauverfahren agieren können: wir fangen also zunächst mit kleineren Prozessen an und erweitern diese sukzessive. Wir können somit aus den Erfahrungsberichten der Nutzer im System die Verbesserungspotenziale ableiten und Verbesserungen einleiten. Dies fördert die Akzeptanz und ist ein wichtiger Schritt in der Agilisierung der Arbeitsweise bei eprimo und auch im Datenschutz. Diese Anforderungen decken die Software PANFLOW und das Unternehmen Panvision ab.“
Die Workflows im Überblick
Derzeit arbeiten etwa 25 Personen im Unternehmen mit den digitalen Workflows, die dafür sorgen, dass die Anfragen unverzüglich an die verantwortlichen Mitarbeiter geleitet und direkt im System verarbeitet werden. Der Vorteil ist, dass die Daten nunmehr nicht per E-Mail versendet und zusammengetragen werden müssen, sondern an einem zentralen Ort gespeichert werden. In der Datenbank ist somit jederzeit der aktuelle Stand ersichtlich und Redundanzen müssen und können nicht erzeugt werden.
Der Beauskunftungs-Workflow
Der Ablauf der Datenzusammenstellung bindet alle Abteilungen und Personen ein, die sich mit Kundendaten beschäftigen. In der PANFLOW-Systemadministration lassen sich dazu die entsprechenden Abteilungen definieren und für jede dieser Abteilungen die verantwortlichen Personen hinterlegen. Wird ein Vorgang gestartet, so werden zuerst die Abteilungen ausgewählt und die jeweils Verantwortlichen werden direkt über den Eingang der Auskunftsanfrage benachrichtigt. Hierzu sind im System bereits mehrere Vorlagen hinterlegt, die individuell herangezogen werden können. Die Verantwortlichen können nun alle benötigten Informationen zusammentragen, z. B. welche Daten gespeichert sind und woher das Unternehmen die Daten erhalten hat - aber auch wenn zur betreffenden Person keinerlei Daten vorliegen.
Zudem ist es möglich, wiederkehrende Fragen über eine FAQ-Funktion schnell und einfach zu beantworten. Hierzu werden im Vorgang die Standard-Antworten ausgewählt und dem Antwortformular per Klick hinzugefügt. Eventuelle weitere Informationen oder auch Rückfragen können zusätzlich in Freitext-Form an das Formular angehängt werden.
Die durch den Workflow zusammengetragenen Informationen stehen automatisch dem Datenschutzteam bei eprimo zur Verfügung. Dieser erstellt nach Abschluss der Teilvorgänge die finale Auskunft. Bei Erstellung des Ausdrucks werden alle relevanten Informationen über den Workflow zusammengefasst und automatisch in das Antwortschreiben überführt. Je nachdem, in welcher Form die betroffene Person die Auskunft angefordert hat, stellt das System verschiedene Möglichkeiten der Übergabe bereit – zusätzlich zur obligatorischen postalischen Zustellung zum Beispiel als CSV-Datei per E-Mail.
Liegen zu einem bestimmten Zeitpunkt noch nicht alle benötigten Daten vor, weil die Recherche aufwendiger ist, kann ein Zwischenbescheid angefertigt werden. Dieser verlängert die Frist für die Gesamt-Abgabe. Über ein Ampelsystem lässt sich für jeden Vorgang direkt erkennen, in welchem Status die Auskunft ist, wo eine Eskalation vorkommen kann und welche Auskünfte bereits abgeschlossen sind.
Workflow zur Unterstützung bei organisatorischer Löschung
Ein weiterer Workflow unterstützt die Verpflichtung zum Löschen von kundenbezogenen Daten durch regelmäßige Nachfrage beim Verantwortlichen für die entsprechenden Systeme. Diese Compliance-Funktion des PANFLOW-Systems stellt für den Datenschutz sicher, dass der jeweils zuständige Fachbereich auf die Löschungen im System hingewiesen wurde. In diesem Schritt wird eine entsprechende Bestätigung abgefragt und dokumentiert. Sofern diese positiv ist, erfolgt keine weitere Analyse. Sollte keine positive Bestätigung erfolgen, so muss im PANFLOW-Vorgang eine Begründung eingegeben werden. Da das System automatisch termingesteuert die Anfragen erzeugt und nachverfolgt, kann sich das Datenschutzteam verstärkt um die Kontrolle der Angaben kümmern.
Fazit
„Unsere Arbeit rund um den Datenschutz ist durch die Workflows viel effizienter geworden und die Qualität der Prozesse hat deutlich zugenommen“, erklärt Stefan Büttgen. „Das System schickt von sich aus die Anfragen, wir müssen uns nur um die Auswertung der Rückmeldungen kümmern. Der operative Vorteil dabei ist enorm, wir sehen im System direkt, welcher Prozess in welcher Phase steckt und haben bei Bedarf die Möglichkeit zur Erinnerung und Wiedervorlage. Der Lösch-Workflow kann zudem als Kontrollhandlung verstanden werden, mit der festgestellt wird, wie ernst wir das Thema nehmen. Neben der Workflow Software ist vor allem aber auch die Zusammenarbeit mit den Entwicklern von Panvision hervorzuheben. Diese arbeiten sehr zielgerichtet und konzentriert unsere Wünsche ab. Wenn es notwendig ist, wird aber auch ehrlich und kritisch hinterfragend mit uns an das Thema herangegangen. Ziel ist es, gemeinsam die beste Lösung abbilden zu können. Wir sehen die bisherigen Workflows nicht nur als Proof of Concept, bei dem wir geschaut haben, ob unser Vorhaben funktioniert. Alle Prozesse laufen gut und stabil, daher gehen wir jetzt sukzessive die nächsten Workflows und Ausbaustufen an.“