Prozessmanagement zur praktischen Umsetzung der EU-Datenschutz-Grundverordnung

Die praktische Umsetzung der ab dem 25. Mai 2018 geltenden EU-Datenschutz-Grundverordnung konfrontiert viele Unternehmen mit erheblichen Problemen. Es fehlt an erprobten Umsetzungsbeispielen, die Orientierung bei der Umsetzung der neuen Richtlinien bieten. Eine funktionierende Lösung zur Verfahrensdokumentation kann ein hilfreicher Startpunkt sein.

Unserer Überzeugung nach ist eine Verfahren- oder Prozessdokumentation unverzichtbar für die praktische Umsetzung der gesetzlichen Vorgaben. Seit Beginn der Digitalisierung explodieren die Datenmengen. Täglich werden unvorstellbare 2,5 Trillionen Bytes an neuen Daten erzeugt. Davon sind die meisten - zumindest im weitesten Sinne - personengebunden. Ob es um Bewerber-, Mitarbeiter-, Dienstleister-  oder Kundendaten geht. Nicht nur Internetdienste produzieren sie, sondern tatsächlich jedes Unternehmen jeder Branche. In der Realität existieren personenbezogene Datensätze sogar oft in vielfachen Versionen - auf Servern, in Ordnern, auf Mitarbeiterrechnern, Tablets und Smartphones. Ein Status-quo, der die Übersicht über vorhandene unternehmensinterne "Daten-Sammlungen" erschwert.

Der verantwortungsvolle Umgang mit persönlichen Daten

Das Bewerbungsmanagement ist ein gutes Beispiel dafür, welche internen Prozesse bei einer Stellenausschreibung - ein Vorgang, der jedes Unternehmen betrifft - angestoßen werden. Der Eingang der Bewerbungsunterlagen wird in der Regel zuerst vom Backoffice bestätigt und dokumentiert. Dann kommen Personal- und Fachabteilungen ins Spiel, um den Bewerber und seine eingereichten Zeugnisse auf Herz und Nieren zu prüfen. In der nächsten Phase wird nicht selten die Geschäftsleitung involviert. Rechtsabteilung und Buchhaltung treten bei Vertragsabschluss auf den Plan. Auch bei einer Ablehnung verbleiben die Bewerberunterlagen oft im Unternehmen. Der Durchlauf von sechs bis acht Stationen ist also keine Seltenheit. Das bedeutet natürlich auch, das persönliche Daten, Zeugnisse sowie Gesprächsprotokolle in verschiedensten Versionen an verschiedensten Orten im Unternehmen gelagert sind.

Mit Confluence Prozesse effizient dokumentieren

Für die Umsetzung der Datenschutz-Richtlinien kann das richtig kompliziert werden. Ein Überblick und eine detaillierte Dokumentation und Standardisierung der Prozesse ist erforderlich.

Genau hier setzt brainbits mit der Wiki-Software Confluence an. Das Enterprise-WIKI Confluence des australischen Software-Herstellers Atlassian wurde speziell für die Kommunikation und den Wissensaustausch in Unternehmen, Organisationen und Teams entwickelt. Es zeichnet sich durch eine überzeugend einfache Handhabbarkeit und große Flexibilität aus. Anders als auch heute noch in den meisten Unternehmen üblich, werden die Informationen des Unternehmens nicht in Dateien auf Datei-Servern gepflegt und verwaltet, sondern auf Web-Seiten. Diese können einfach über jeden handelsüblichen Web-Browser abgerufen und mit einem Klick schnell und komfortabel bearbeitet werden. Dafür wird kein spezielles Programm auf dem Rechner des Anwenders benötigt: der Editor zum Bearbeiten der Inhalte erscheint nach einem Klick auf den Bearbeiten-Button direkt im Browser. Ein weiterer entscheidender Vorteil gegenüber der Informationsverwaltung in Dokumenten ist die Tatsache, dass die Informationen auf den Web-Seiten in Confluence über Hyperlinks beliebig miteinander verknüpft werden können. Zudem stehen zahllose Module zur Verfügung, mit deren Hilfe die Inhalte um interaktive und gestalterische Elemente angereichert werden können: Anreicherung um Metadaten, dynamische, filterbare Inhaltslisten, interaktive Tabellen und sogar vollständig im Browser erzeugte Infografiken sind möglich.

Auf dieser weltweit bei über 35.000 Kunden genutzten Plattform hat brainbits ein Prozessdokumentationssystem konzipiert, mit dem neben den typischen Anforderungen etablierter Managementsysteme wie der ISO 9001 und ISO 27001 nun auch die Dokumentationspflichten der Datenschutzgrundverordnung abgedeckt werden können. Die Plattform stellt neben Freigabe-Workflows, einem Rollenkonzept und Funktionen zur Dokumentation der Abdeckung beliebiger Normen auch die Möglichkeit zur Dokumentation von datenschutzrelevanten Prozessinformationen. So kann am Prozess hinterlegt werden, welche personenspezifischen Daten erfasst werden, welche Personengruppen betroffen sind, ob besonders risikobehaftete Daten erfasst werden und in welchen Systemen und Anwendungen die Daten verwaltet werden. Ebenso können Löschfristen dokumentiert werden.

Bewerbungsmanagement mit JIRA

Während Confluence in erster Linie für die Dokumentation datenschutzrechtlicher Belange eingesetzt wird, eröffnet sich in Kombination mit der Prozess-Software JIRA ein nahezu unerschöpfliches Potenzial für die digitale Steuerung konkreter Unternehmensprozesse

Für das angesprochene Bewerbungsmanagement bedeutet das etwa, dass sämtliche Unterlagen, die im Kontext der Stellenausschreibung anfallen, zentral in JIRA-Vorgängen abgelegt werden. Pro Bewerbung wird ein eigener Vorgang angelegt, der anschließend gemäß eines zuvor definierten Workflows durch die Instanzen geleitet wird. Auf diese Weise kann gewährlistet werden, dass die Daten des Bewerbers immer nur jenen Personen aktuell zugänglich sind, die diese für die Bearbeitung des aktuellen Prozessschrittes auch tatsächlich benötigen.

Auch die jeweiligen Aufbewahrungsfristen - in der Regel sechs Monate - werden automatisch eingehalten. Nach Ablauf der definierten Frist erfolgt eine automatische Benachrichtigung und das Löschverfahren kann vom autorisierten Mitarbeiter eingeleitet werden.

zur Übersicht