Wie geht Ihr mit dem Thema Datenschutz um?

[Manuel Rühl]

Hallo zusammen,

Mich würde einfach mal interessieren, was so in Euren Datenschutz-Reitern steht.
Lasst Ihr die SmapOne-User vorher was unterschreiben bevor diese SmapOne nutzen dürfen?
Bekommen Externe, die nur etwas quittieren mit Unterschrift, etwas ausgehändigt?

Ich wünsche Euch einen guten Start in den Tag!

Manuel

[Bülent Erbas]

Guten Morgen @Manuel Rühl

das haben wir tatsächlich nicht weiter berücksichtigt, da bei uns die meisten smaps für interne Abläufe genutzt werden.
Dafür holen wir auch keine Einwilligung der User ein, weil keine datenschutzrelevanten Informationen aufgenommen werden.

Bei Externen (unsere Dienstleistungsberichte) versenden wir immer eine Kopie des PDFs an den Kunden, ob quittiert oder nicht.
Die Einwilligung vom Kunden holen wir aber vorher schon, bei der Auftragsbestätigung, falls wir z.B. Fotos machen müssen etc.

Also, wir achten eigentlich nur darauf: kommen personenbezogene Daten zusammen und werden diese irgendwo gespeichert (Löschkonzept) bzw. weiter verarbeitet (intern/extern - Auftragsverarbeitung). Entsprechend passen wir dann die Datenschutzinfos an.

[Manuel Rühl]

Aber sobald jemand seinen Namen einträgt oder auch nur die persönliche EMail-Adresse genutzt wird, brauche ich doch irgendetwas zum Thema Datenschutz oder nicht? Die Daten gehen ja auch an SmapOne auf den Server.

Gibts da keinen Standard von SmapOne dazu?

[Bülent Erbas]

Das sind 2 verschiedene Punkte:

- Wenn es firmeninterne Benutzerdaten sind brauchst du da nichts.
Wenn es firmenexterne Kundendaten sind benötigst idealerweise eine Einwilligung das die Daten aufgenommen werden. Das kann der Reiter Datenschutz im smap sein. 

- Bzgl. der Speicherung der Daten auf den SmapOne Server benötigt euer Unternehmen mit SmapOne einen sog. Auftragsverarbeitungs-Vertrag nach DSGVO. Damit wird das auch entsprechend geregelt.

[Bülent Erbas]

Hier eine Mustervorlage wie eine Einwilligungserklärung aussehen könnte.

[metek allgemein User]

@Manuel Rühl wir haben einen AV-Vertrag mit SmapOne geschlossen und unsere Kunden haben einen Vertrag mit uns.

[Jürgen Sakry]

Hallo zusammen,

gerne geben wir hier Einblicke. Wir haben das sehr lange mit dem Wachstum von smapOne innerhalb DACHSER ausgearbeitet.

Grundsätzlich kommt es natürlich auch auf Strukturen im Unternehmen an. Aber die DSGVO/GDPR und das Telemediengesetz sind auch intern zu berücksichten. Aber auch auf den Use Case selbst.

@Manuel Rühl melde Dich gerne 😉 

Viele Grüße,

Jürgen

 

[Benjamin Wadewitz]

@Jürgen Sakry das klingt sehr Interessant. Würdest Du Dein Wissen / Deine Erkenntnisse auch noch weiter teilen? 

[Manuel Rühl]

Danke für das Angebot, nehme ich gerne an. Wir können das natürlich bilateral klären, aber ich habe einen anderen Vorschlag:

Das Thema scheint ja viele zu interessieren. @Johanna Becker Kannst Du nicht ein Meetup machen "User helfen Usern"?
WIr bekommen von @Jürgen Sakry einen kurzen Einblick, wie Dachser das angegangen ist und wir können vorher schon mal Fragen reingeben für eine Diskussionsrunde.
 

 

Bearbeitet 15. Juli 2023 von Manuel Rühl

[Micha Zenke]

@Manuel Rühl finde ich einen sehr guten Ansatz 👍. 

[Jürgen Sakry]

Guten Morgen zusammen 😀, mir kam am Wochenende auch die Idee, ob man das Wissen nicht in einer kurzen Session teilen sollte und sogar muss 👍

@Tabea Stocker lass uns das im Weekly oder Check-up gerne aufnehmen 🙃 

@Jeanne Merswolken und @Maxime Görmer FYI

[Bülent Erbas]

Guten Morgen,

das ist absolut richtig @Jürgen Sakry. Es kommt auf die Strukturen und Prozesse im Unternehmen an, sowie auf die einzelnen Use Cases.

Im Grunde genommen muss man sich folgende Fragen stellen:
Welche Daten sammle ich, für was erhebe ich die Daten, wo werden die  Daten gespeichert, geht es um Mitarbeiterdaten, Kunden oder Lieferanten, werden Kunden- oder Mitarbeiterdaten weiterverarbeitet?

Daraus ergibt sich z.B.
Bei eigenen Mitarbeitern (gemäß Datenschutz im Beschäftigungsverhältnis):
- Arbeitgeber dürfen grundlegend Mitarbeiterdaten erheben, verarbeiten und nutzen, wenn diese für die Aufnahme, Durchführung oder Beendigung eines Beschäftigungsverhältnis vonnöten sind bzw. die Einwilligung des Betroffenen in die Erhebung, Verarbeitung und Nutzung seiner personenbezogenen Daten nur dann legitim und wirksam ist, wenn diese auf der Grundlage von Transparenz, Freiwilligkeit und in schriftlicher Form erteilt wurde (z. B. im Arbeitsvertrag)

- AV-Vertrag mit dem Dienstleister,  wenn der Dienstleister in  Auftrag des Unternehmens personenbezogene Daten der Nutzer und Kunden erhebt, verarbeitet oder nutzt, z.B. externes Rechenzentrum, Cloud Computing,...

- Des Weiteren müssen Unternehmen ein Verzeichnis der Verarbeitungstätigkeiten führen. U.a. Zwecke der Datenverarbeitung, die Kategorien der betroffenen Personen und personenbezogener Daten, etc...

Bei smaps muss man das, je nach Use Case, individuell betrachten:
- habe ich mit SmapOne einen AV-Vertrag, da alle Daten im Rechenzentrum liegen
- nutze ich die smap intern oder extern?
- welche personenbezogenen Daten erfasse ich in der smap?
- wenn die smap intern genutzt wird, habe ich den Datenschutz gemäß der Regelung des Arbeitsverhältnisses berücksichtigt?
- wenn die smap extern genutzt wird (z.B. Kunde), habe ich eine Einwilligung des Kunden zur Erfassung seiner Daten und der Weiterverarbeitung seiner Daten eingeholt?

Gibt bestimmt noch andere Punkte.. 

Daher finde ich die Idee von @Manuel Rühl auch sehr gut. Mich würde der Einblick und der Austausch auch sehr interessieren.

[Johanna Becker]

Hallo zusammen! 
Klasse, dass Ihr Euch austauschen wollt! Ich wäre auch bereit eine Session zu organisieren, in  welcher wir uns vor Ort gemeinsam einen Tag treffen und gemeinsam Workshoppen können- es gibt sicherlich auch EInblicke von Allen, die den Tag füllen würden 🙂 

Ansonsten können wir unsere Meet-up-Reihe auch gern erweitern. Es ist Eure Community, ich freue mich, wenn Ihr die Impulse gebt. Was meint ihr?

[Bülent Erbas]

Herzlichen Dank für die Vorschläge @Johanna Becker

Mein Meinung dazu wäre, erst einmal die Meet-Up-Reihe zu erweitern.
Sollten wir dabei merken, dass  man aufgrund der Komplexität der Themen, Zeit, etc. mit dieser Kommunikationsform nicht zurecht kommt, können wir uns doch bestimmt für einen Vor-Ort Workshop entscheiden.

 

[Alex Schlüter]

Da Datenschutz ein recht umfangreiches und mitunter kompliziertes Thema ist, lassen wir uns dazu extern von einem Anwaltsteam für Datenschutz beraten. Pauschale Regeln, wann eine Einwilligung der Person erforderlich ist, gibt es nicht, was das m.E. Thema so schwierig macht und weshalb ich mich als Nicht-Experte auch scheue, da konkrete Ratschläge zu geben.

Nur so viel glaube ich bisher verstanden zu haben: Ob die Einwilligung der jeweils betroffenen Person notwendig ist, kommt auf den jeweiligen konkreten Einzelfall an und innerhalb dieser Abwägung (Interessen der verarbeitenden vs. Interessen der betroffenen Person) insbesondere darauf, zu welchem Zweck die Daten verarbeitet werden. 

Eine Einwilligung der betroffenen Person in die Datenverarbeitung ist demnach gerade nicht immer notwendig und u.A. deshalb auch nur eins der in Art. 6 Abs. 1 DSG-VO genannten Szenarien einer rechtmäßigen Datenverarbeitung. Unter Umständen ist sogar eine Datenverarbeitung gegen den expliziten Willen der Person zulässig.

[Johanna Becker]

 @Alex Schlüter wenn ich nicht wüsste dass du Jurist bist hätte ich es spätestens jetzt erraten... 

[metek allgemein User]

Supi, bei einem Treffen, egal wie, wäre ich auch interessiert.

Am 17.7.2023 um 09:01 schrieb Johanna Becker:

Klasse, dass Ihr Euch austauschen wollt! Ich wäre auch bereit eine Session zu organisieren, in  welcher wir uns vor Ort gemeinsam einen Tag treffen und gemeinsam Workshoppen können- es gibt sicherlich auch EInblicke von Allen, die den Tag füllen würden 🙂 

Ansonsten können wir unsere Meet-up-Reihe auch gern erweitern. Es ist Eure Community, ich freue mich, wenn Ihr die Impulse gebt. Was meint ihr?

Also Meet-Up? 

[Johanna Becker]

Jesss @René Röder, ich plane und gebe Bescheid im Thread. Also klickt gern auf den "FOLGEN" Button für mehr Infos, dann entgeht euch nichts mehr!

https://forum.community.smapone.com/forum/31-meetups/

[Johanna Becker]

Hallo zusammen, 

wer Interesse an einem Austausch mit @Jürgen Sakry und @Jeanne Merswolken hat, kann sich gern hier zuschalten: 

@Bülent Erbas @Benjamin Wadewitz @Micha Zenke @René Röder @Manuel Rühl @Alex Schlüter , hier ist ein erster Aufschlag, bei dem es ua. auch um das Thema  Governance geht. Freue mich euch dort zu sehen!

[Bülent Erbas]

Sehr, sehr schade @Johanna Becker
Da kann ich leider nicht teilnehmen, aufgrund Terminüberschneidung. 🙁