Die damit einhergehenden steigenden Dokumentationspflichten und verschärften Datenschutzrichtlinien verlangen nach DSGVO-konformen Geschäftsprozessen sowie Verarbeitungsverzeichnissen und sollten idealerweise von geeigneten Softwaretools unterstützt werden. Als Unterstützung bietet die Österreichische Post mit dem Linzer Partner Fabasoft ab sofort praktische Umsetzungswerkzeuge in einer digitalen „EU-DSGVO Toolbox“ an. In der hauseigenen Data Academy des Fachbereichs Daten- und Adressmanagement können sich Unternehmen zudem noch Last-Minute-Hilfe für dringend notwendige Änderungen holen.

Schon seit Bekanntwerden der DSGVO bereitet sich Mail Solutions, ein Geschäftsfeld der Österreichischen Post AG, auf die mit 25. Mai 2018 in Kraft tretenden Änderungen vor. Als Anbieter von integrierten Dokumentenverarbeitungslösungen wie Scanning, der digitalen Erfassung von Dokumenten und Lösungen in der dualen Zustellung stellt Mail Solutions Werkzeuge, wie zum Beispiel die Lösung „EU-DSGVO Toolbox“ des Linzer Post-Kooperationspartners Fabasoft, zur Verfügung.

Martin Ferger, Geschäftsführung Scanpoint GmbH und Leitung Dokumentenlogistik Österreichische Post AG

| Österreichische Post AG

„Damit können wir Unternehmen ganzheitliche Lösungen bieten: Von der Last-Minute-Vorbereitung mit Schulungen und Workshops in der Data Academy über ISO-zertifizierte Lösungen zur Umsetzung, wie zum Beispiel für die Digitalisierung des Posteingangs, bis hin zu den praktischen Werkzeugen der EU-DSGVO Toolbox“, sagt Martin Ferger, Geschäftsführung Scanpoint GmbH und Leitung Dokumentenlogistik der Österreichischen Post AG. Um im Daten-Dschungel den Überblick zu behalten, empfiehlt Ferger Unternehmen die Orientierung anhand von drei Eckpfeilern.

Datenherkunft- und -qualität überprüfen

Zunächst gilt es die Frage zu klären, welche personenbezogenen Daten gesammelt beziehungsweise verarbeitet werden und ob dafür eine DSGVO-konforme Rechtsgrundlage vorliegt. Dabei empfiehlt es sich, fachkundigen Rat von Dritten einzuholen, beginnend bei der juristischen Klärung, ob für das Unternehmen ein berechtigtes Interesse besteht, Daten zu verarbeiten. Wenn neben dem eigenen Adressbestand zusätzlich Kontaktadressen von Drittanbietern verwendet werden, sollte ebenso klargestellt werden, ob sie DSGVO-konform verarbeitet werden und wie sie weiterverwendet werden können.

„Darüber hinaus erhalten viele Unternehmen von ihren Kunden auf physischem und elektronischem Weg personenbezogene Informationen, wie etwa Gesundheitsdaten“, so Ferger. „Werden diese Daten digital erfasst, sind Unternehmen verpflichtet, die Herkunft und den Speichergrund belegen zu können.“ Bei der Post sorgt beispielsweise die Tochter Scanpoint GmbH, die von der Österreichischen Computer Gesellschaft nach ISO/IEX 27001 zertifiziert ist, für die nachvollziehbare und revisionssichere Verarbeitung von Daten.

Datenschutz geht jeden an: Mitarbeiter eingehend schulen

Datenschutz ist Aufgabe jedes einzelnen Mitarbeiters– auch wenn es einen firmeninternen oder externen Datenschutzbeauftragten geben muss. Die Data Academy des Fachbereichs Daten- und Adressmanagement beleuchtet in Schulungen und Workshops zur EU-DSGVO unter anderem die größten Stolperfallen, spezielle rechtliche Rahmenbedingungen und den drohenden Strafrahmen.

Matthias Schlemmer, Leitung Daten- und Adressmanagement Österreichische Post AG | Österreichische Post AG

„Wir sehen, dass das Thema DSGVO in vielen Führungsebenen erstaunlicherweise noch kaum oder gar nicht angekommen ist. In der Data Academy wird mit Last-Minute-Schulungen auf die Priorisierung der wichtigsten To-dos eingegangen, um noch rechtzeitig datenschutz-fit zu werden“, erklärt Matthias Schlemmer, Leitung Daten- und Adressmanagement. „Jeder Mitarbeiter muss die Datenschutz-Prozesse kennen und bei Verstößen auch über mögliche Konsequenzen Bescheid wissen, damit der sorgsame Umgang mit sensiblen Daten gelebte Realität und dauerhafte Selbstverständlichkeit wird.“

IT-Lösung für Datenlöschung und Behördenmeldungen einführen

Schon jetzt müssen die IT-Systeme und -Anwendungen auf ihre Verlässlichkeit geprüft werden, damit der Umgang mit Daten nach größtmöglichen Sicherheitsstandards abläuft. Im Post-Fachbereich Outputmanagement sorgt beispielsweise ein Closed-Loop-Verfahren durch die Codierung und laufende Prüfung jeder einzelnen Mailing-Seite für die korrekte und sichere Übermittlung von Dokumenten. Aber nicht nur für den Datentransfer, sondern auch für deren Löschung sollte eine IT-Lösung implementiert werden.

Ab 25. Mai muss es möglich sein, Datensätze so zu löschen, dass sie weder les- noch wiederherstellbar sind. Meist ist dafür eine neue Software nötig. „Die EU-DSGVO Toolbox, die wir gemeinsam mit Fabasoft bereitstellen, bietet dafür nützliche Lösungen, genauso wie für das Verwalten des Verarbeitungsverzeichnisses oder der Risikofolgeabschätzungen. Außerdem kann über die Toolbox im Fall eines ‚data breach‘, etwa bei einem Hackerangriff, eine automatisierte Meldung an die Behörden erfolgen“, so Ferger abschließend.