Wie geht Embrace mit BDSG/AVG um und was bedeutet das für Ihr Unternehmen?

In diesem Blogeintrag erfahren Sie mehr über:

  1. Was ist BDSG/AVG?
  2. Recht auf Zugang
  3. Recht auf Vergessen/ Recht auf Nachbesserung und Ergänzung
  4. Recht auf Datenübertragbarkeit
  5. Datenminimierung
  6. Datenschutzerklärung

Zweifellos haben Sie kürzlich den Begriff BDSG, AVG und/oder GDPR gehört. BDSG steht für Bundesdatenschutzgesetz (AVG ist die niederländische und GDPR die englische Bezeichnung). Diese Gesetz-gebung schützt die Privatsphäre des Einzelnen. Sehr schön! Es ist jedoch nicht immer leicht zu verstehen, wie es von der Gesetzgebung stereotyp erwartet wird.

Also Zeit für eine kurze, prägnante und klare Geschichte von zwei Eriks; Erik van Essen, CTO von Embrace und Erik Drijfhout, Security Officer bei Embrace. Im Folgenden erfahren Sie, wie wir mit BDSG/AVG umgehen, was das für Ihre Organisation und Ihr soziales Intranet bedeutet.

Was ist BDSG/AVG?

Um mit der Tür ins Haus zu fallen: Was ist das BDSG/AVG? Erik Drijfhout erklärt, dass die AVG bereits seit zwei Jahren in Betrieb ist und dass sie ab dem 25. Mai 2018 gilt. In den Niederlanden gibt es das Gesetz zum Schutz personenbezogener Daten (WBP), in dem bereits viele Punkte bei der AVG geregelt sind. Aufgrund der AVG gilt sie nun für die gesamte Europäische Union. (Dies gilt in Deutschland ebenfalls für BDSG.)

Als Person haben Sie ein Recht auf Transparenz darüber, wie Ihre Daten verarbeitet werden, sagt Erik van Essen. Aus diesem Grund verwendet Embrace personenbezogene Daten von Nutzern nur dort, wo sie wirklich benötigt werden. Wir verwenden diese Daten für das soziale Intranet und nicht für andere Zwecke.

Wie gesagt, das Gesetz ist vor zwei Jahren in Kraft getreten. Embrace erfüllt daher schon seit ge-raumer Zeit die Anforderungen dieses Gesetzes. Darüber hinaus sind wir nach ISO 27001 und NEN 7510 zertifiziert, um zu zeigen, dass wir unsere internen Prozesse aufeinander abstimmen. Dies bedeutet unter anderem, dass wir jährlich von einer externen Stelle überprüft werden, um sicherzustellen, dass wir mit den dort verarbeiteten Daten sicher sind.

Embrace ist nach ISO 27001 und NEN 7510 zertifiziert

Da wir für BDSG/AVG bereit sind, dachten wir, es wäre gut und bequem für alle Embrace-Benutzer, einen Schritt weiter zu gehen. Zusammen mit einer externen Agentur haben wir eine Reihe neuer Funktionalitäten hinzugefügt, die das soziale Intranet von Embrace wesentlich benutzerfreundlicher gemacht haben.

Der Sicherheitsbeauftragte Erik Drijfhout erklärt, dass die BDSG/AVG über eine Reihe von Rechten spricht:

  • Recht auf Einsicht
  • Recht auf Vergessen/Recht auf Berichtigung und Ergänzung
  • Recht auf Datenportabilität

Im Folgenden werden wir für jedes Recht besprechen, wie wir damit in Embrace umgehen. Wir bekommen auch oft Fragen zu z.B. einer Datenschutzerklärung und Datenminimierung, darauf werden wir auch kurz eingehen.

Dieser Blogeintracht befasst sich mit den Teilen, die dem Benutzer am meisten auffallen, Teile Privacy by Design und Privacy by Default, die bei der Entwicklung des Produkts Embrace verfolgt werden, werden vorerst nicht berücksichtigt.

Welche Rechte haben Sie als Benutzer auf einer Embrace-Plattform (BDSG/AVG)?

Recht auf Einsicht

Sie können sehen, welche Ihrer persönlichen Daten bei Embrace verwendet werden.

Jeder Benutzer kann leicht herausfinden, welche Daten in Embrace verwendet werden, da sie sich auf Ihrer Profilseite befinden. Eine Übersicht darüber können Sie nun auch über die Schaltfläche “Exportieren” exportieren. Sie können dies selbst tun und wenn Sie z.B. bereits außer Betrieb sind und nicht mehr auf Ihr Embrace-Konto zugreifen können, kann dies auch ein Umweltadministrator für Sie tun.

Recht auf Vergessen/ Recht auf Nachbesserung und Ergänzung

Die Möglichkeit, Ihre persönlichen Daten zu ändern und zu löschen.

Das Korrigieren und Löschen von persönlichen Daten war bereits in Embrace möglich, sagt Erik van Essen. Das Embrace-Produktteam hat nun dafür gesorgt, dass dies alles viel einfacher wird. Auf diese Weise kann der Benutzer die Daten auf seiner Profilseite in Embrace ändern. Der Benutzer kann den Prozess nicht selbst starten, sondern die Löschung der Daten verlangen. Die Umweltmanager der Organisation können auf Wunsch ein Profil komplett löschen.

Es kann sein, dass durch die Verknüpfung mit einem anderen System, z.B. einem AD, bestimmte Felder in Ihrem Profil nicht geändert werden können. Dies liegt daran, dass bestimmte personenbezogene Daten aus dem externen System stammen und daher in Embrace nicht geändert werden können. Dazu müssen Sie zu diesem anderen System gehen, um es anzupassen.

Organisationen können auch bestimmte Felder verlangen, die in einer Datenschutzerklärung/Disclaimer (siehe unten) angegeben werden können. In der Regel kann der Anwender vieles selbst einstellen.

Die Entfernung Ihrer persönlichen Daten ist einfacher geworden. Der Benutzer kann die Prozesseingabe zur Deaktivierung seines Kontos selbst einstellen. Dadurch ist dieses Profil nicht mehr im sozialen Intranet aktiv, es wird nicht mehr in der Suchfunktion gefunden, es können keine @-Mentions mehr an es gesendet werden und der Benutzer kann sich nicht mehr einloggen. Nach 6 Monaten werden die persönlichen Daten aus den archivierten Profilen bis auf den Namen geleert. Die vollständige Löschung des Kontos kann nur von einem Umweltbeauftragten vorgenommen werden. Wenn jemand den Namen löschen möchte, kann er dies auf Anfrage tun.

Recht auf Datenportabilität

Das Recht, von Embrace verarbeitete persönliche Daten zu erhalten.

Das war auch möglich, aber es war Handarbeit. Deshalb wurde beschlossen, dies einfacher und zeit-sparender zu gestalten, indem dem Anwender die Möglichkeit geboten wird, die Profildaten selbst zu exportieren. Natürlich kann dies auch der Umweltmanager tun, der trotzdem mit der gleichen Leichtig-keit einen Export für Sie durchführen kann.

Datenminimierung

Erstens, was ist Datenminimierung? Erik Drijfhout erklärt, dass dies bedeutet, dass Sie nicht mehr Daten (persönliche Daten) sammeln, als notwendig sind, um das Ziel zu erreichen. In dieser Hinsicht sollten Sie so weit wie möglich mit den Quellsystemen verknüpfen. Die Daten werden dann nicht in Embrace gespeichert, sondern geschweige denn in diesem Quellsystem.

Das mag logisch klingen, aber wie funktioniert das in der Praxis in Embrace? Sie können an den Skype für Unternehmen Link denken, wie Erik van Essen erzählt. Sie können Ihre Präsenz so anzeigen, wie sie in Skype in Ihrem Embrace-Profil angezeigt wird. Diese Informationen bleiben in Skype erhalten. Wenn Sie sich das Profil von jemandem ansehen, stellt Embrace eine Anfrage direkt an Skype und Sie sehen sich die Präsenzinformationen auf Skype über Embrace an. Gleiches gilt z.B. auch für die Verbindung mit Office 365.

Datenminimierung: Die Daten werden nicht in Embrace, sondern im Quellsystem gespeichert.

Ein weiteres Beispiel für die Datenminimierung ist, dass wir möglichst wenige Profilfelder obligatorisch machen. Die von Embrace verwendeten Pflichtprofilfelder sind ein Name und eine E-Mail-Adresse. Es ist natürlich möglich, dass eine Organisation andere Felder selbst zur Pflicht macht.

Wir sammeln keine Informationen, um sie zu sammeln. Die von Embrace verwendeten Daten müssen einen klaren Zweck für die Nutzung des sozialen Intranets haben. Die Erhebung von Daten für analytische Zwecke zur Verbesserung des Produkts erfolgt anonym durch Embrace und wird in der Datenschutzerklärung erwähnt.

Datenschutzerklärung

Sie sind gesetzlich verpflichtet, die Nutzer klar darüber zu informieren, welche personenbezogenen Daten im Intranet zu welchem Zweck erhoben werden. Informationen werden in der Regel durch eine Datenschutzerklärung, auch bekannt als Datenschutzerklärung, zur Verfügung gestellt. Die Besucher sollen sie leicht finden können.

Wir haben eine Datenschutzerklärung zur Verfügung. Diese Erklärung finden Sie im Umweltmanagement. Als Embrace bieten wir Ihnen unser Template an, auf das Sie sich für Ihre Organisation weiter konzentrieren können. Wenn Benutzer sich zum ersten Mal bei Embrace anmelden (sowohl als interne als auch als externe Benutzer), sehen sie diese Datenschutzerklärung und können angeben, dass sie diese gelesen haben. Selbst wenn größere Änderungen an der Erklärung durch die Organisation vorgenommen werden, sehen die Benutzer sie, wenn sie sich einloggen.

25. Mai, und dann?

Als Embrace haben wir uns entschieden, nicht einfach die Checkliste durchzugehen, sondern einen Schritt weiter zu gehen und alle Organisationen, die Embrace nutzen, zu unterstützen, indem wir es viel benutzerfreundlicher gestalten. Darüber hinaus stellen unsere Zertifizierungen nach ISO 27001 und NEN 7510 sicher, dass wir auch in Zukunft ein sicheres soziales Intranet für alle unsere Kunden anbieten können. Wir sind und waren bereit für die BDSG/AVG!

Möchten Sie mehr wissen? Kontaktieren Sie uns:

  • info@embracesbs.de
  • 0531224361177