Schutz von personenbezogenen Daten in Ultimo

Jede natürliche Person hat personenbezogene Daten.

Jede Person zeichnet sich durch bestimmte Informationen aus, die sie einzigartig machen. Da es sich bei diesen Daten um sehr persönliche Informationen handelt, ist es wichtig, dass diese Daten gesetzlich geschützt werden

Das Bundesdatenschutzgesetz (BDSG) ist das aktuelle Gesetz zum Schutz von persönlichen Daten; in Kürze wird es jedoch durch eine neue europäische Rechtsvorschrift ersetzt werden: die EU-Datenschutz-Grundverordnung (EU-DS-GVO).

In Deutschland bekommt Sie den Namen Datenschutzgrund-verordnung (DS-GVO). Die europäische Verordnung tritt am 25. Mai 2018 in Kraft und ersetzt das bisherige (BDSG).

Allgemeine personenbezogenen Daten(NAW-Daten, zurückzuverfolgende IP-Adressen, Kennzeichen von Fahrzeugen)

Besondere Arten personenbezogener Daten(Angaben über die politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben usw.)

1

2

1): Quelle: https://www.datenschutzbeauftragter-info.de/besondere-kategorien-personenbezogener-daten-nach-der-dsgvo

Was sind personenbezogenen Daten? Es gibt viele Arten von personenbezogenen Daten wie Name, Adresse und Wohnort. Aber auch Telefonnummern und Postleitzahlen mit dazugehörenden Hausnummern sind normalepersönliche Daten. Sensible Daten wie religiöse Überzeugungen oder Gesundheitsdaten gehören zur Kategorie der besonderen personenbezogenen Daten Diese stehen gesetzlich unter besonderem Schutz.1)

Das BDSG weist darauf hin, dass es sich bei personenbezogenen Daten um Informationen handelt, die sich auf eine identifizierte oder identifizierbare natürliche Person bezieht. Das heißt, dass diese Information entweder direkt zu einer Person gehört oder zu dieser Person zurückverfolgt werden kann.

2

Was bedeutet das neue Gesetz zum Schutz von personenbezogenen Daten?

Die DS-GVO wird noch mehr Verantwortlichkeit zum Schutz von personenbezogenen Daten in Unternehmen die personenbezogene Daten registrieren und verarbeiten, übernehmen. Dies bedeutet, dass Unternehmen, die für personenbezogene Daten verantwortlich sind, kontrolliert und bestraft werden können, wenn sich der Schutz von personenbezogenen Daten als unzureichend erweist. Abgesehen von einem Bußgeld ist es natürlich nicht wünschenswert, dass das Image Ihres Unternehmens beschädigt wird. Der Schutz von personen-bezogenen Daten ist daher eine ernst zu nehmende Angelegenheit.

Ob Sie ein Bußgeld zahlen müssen oder nicht hängt davon ab, welche Bedeutung Sie für den Datenschutz haben. Sind Sie Betroffener, Verantwortlicher oder Auftragsverarbeiter?

Wann verarbeiten Sie die personenbezogenen Daten? Die DS-GVO unterscheidet zwischen dem Betroffenen, dem (Verarbeitungs-)Verantwortlichen und dem (Unter) Auftragsverarbeiter der personenbezogenen Daten.

Sie verarbeiten personenbezogene Daten, wenn Sie Daten erfassen, aufzeichnen, organisieren und speichern. Auch das Ansehen von Daten, ohne sie anzupassen, zählt zur Verarbeitung personenbezogener Daten.

Wenn Sie Daten sammeln, müssen Sie dafür einen bestimmten Grund, eine sogenannte Verarbeitungsgrundlage, haben. Denken Sie zum Beispiel an die Registrierung von Mitarbeiterdaten für die Lohnzahlung. In dieser Zeit sind Sie auch für diese personen-bezogenen Daten der Verantwortliche.

Vergeben Sie die Lohnbuchhaltung an ein Lohnbüro und geben diesem Lohnbüro Zugang zu den personenbezogenen Daten? Dann ist das Lohnbüro der Auftragsverarbeiter dieser personenbezogenen Daten; Sie bleiben aber immer noch dafür verantwortlich. Ihre Mitarbeiter sind in beiden Fällen Betroffene, da es ihre personen-bezogenen Daten betrifft.Betroffene

Personen die es betrifft(Eigentümer von Daten)

VerantwortlicherUnternehmen das die personenbezogenen Daten registriert und

verarbeitet

VerarbeiterUnternehmen das diese

personenbezogenen Daten verarbeitet, aber nicht

dafür verantwortlich ist.

3

Legen Sie ein Verarbeitungsverzeichnis für personenbezogene Datenan. Beschreiben Sie hier in jedem Fall die folgenden Punkte und informieren Sie die beteiligten Personen darüber.

- Die Art der personenbezogenen Daten, die Sie verarbeiten;- Warum und zu welchem Zweck Sie die Daten verarbeiten;- In welchem System Sie die Daten verarbeiten;- Wer ist für die Daten verantwortlich und wer verarbeitet sie;

Möchten Sie mehr erfahren? Klicken Sie auf: Behörde für persönliche Daten

Wissen Sie welche personenbezogenen Daten sich in Ihrer Datenbank befinden?

Vermutlich nutzen Sie verschieden Arten von Informationssystemen und Softwarepaketen um Daten und Informationen zu registrieren. Gerade aufgrund der weitreichenden Integration von Systemen können personenbezogene Daten daher in unterschiedlichen Systemen gespeichert werden. Wissen Sie in welchen Systemen personenbezogene Daten verarbeitet werden?

Wo kommen personenbezogene Daten vor? Ein HR-System ist ein gutes Beispiel für ein System in dem personenbezogene Daten verarbeitet werden. Es ist daher nicht schwer zu analysieren, welche personenbezogenen Daten Sie im HR-System gespeichert haben.

Was aber, wenn das HR-System als Quelle für andere Systeme dient, um daraus Mitarbeiterdaten abzurufen? Dann verarbeiten Sie auch personenbezogene Daten in beispielsweise Kommunikationssoftware, Einkaufssoftware, Produktionssoftware, Zutrittskontrollsystemen, usw. Sorgen Sie dafür, dass Sie ein Verzeichnis anlegen, damit Sie immer wissen, wo Sie welche personenbezogenen Daten speichern und bearbeiten.

HR

4

Personenbezogene Datenin der Ultimo Software

5

Warum Sie in Ultimo auf personenbezogene Daten stoßen können

Verwenden Sie die Ultimo Software? Beachten Sie dann, dass Sie in Ultimo auch personenbezogene Daten festlegen. Obwohl Ultimo nicht primär das System zur Speicherung und Verarbeitung von personenbezogenen Daten ist, sind persönliche Daten in Ultimo zur Unterstützung bestimmter Arbeitsprozesse unerlässlich.

Oft besteht eine Verknüpfung zu HR-Software oder ActiveDirectory, um personenbezogene Daten in Ultimo zur Verfügung zu stellen. So kann zum Beispiel ein Mitarbeiter direkt mit einem Dienstplan verknüpft werden. Sie können auch schnell erkennen, ob ein Mitarbeiter über die richtigen Kurse verfügt, um die Funktion eines Betriebssanitäters ausüben zu können.

Beispiel 1: Personenbezogene Daten in MeldeprozessenMitarbeiter Ihres Unternehmens müssen in Ultimo einen Bericht erstellen können. Die Verarbeitung dieser Daten erfordert Informationen über den Namen, die E-Mailadresse und Telefonnummer des Melders.

Beispiel 2: Personenbezogene Daten bei der Registrierung von Verträgen Sie können zum Beispiel auch personenbezogene Daten bei der Registrierung von Verträgen finden. Vermutlich legen Sie nicht nur die personenbezogenen Daten des Lieferanten (auch personen-bezogene Daten) fest, sondern auch die Daten des verantwortlichen Mitarbeiters.

6

Beispiele für personenbezogene Daten in UltimoIn Ultimo können Sie also an verschiedenen Stellen auf personenbezogene Daten stoßen. Und an sich ist mit der Registrierung von Daten nichts verkehrt. Es ist jedoch wichtig, dass Sie wissen, wo diese personenbezogenen Daten zu finden sind und dass Sie Ihre Mitarbeiter im Voraus darüber informieren. Nutzen Sie dafür das Verarbeitungsverzeichnis für personenbezogene Daten .

Wo Sie personenbezogene Daten finden können, hängt von den jeweiligen Produkten und Modulen ab, die Sie von Ultimo verwenden und von der möglichen Konfiguration für Ihre Umgebung.

Im Allgemeinen begegnen Sie personenbezogenen Daten an folgenden Stellen:+ Im Fenster Mitarbeiter;+ Verknüpfte Dokumentation;+ Beziehungen, Lieferanten, externe Mitarbeiter;+ Ausleihinformation; + Persönliche Daten von Unterzeichnungsberechtigten von Verträgen.

Ultimo Flotten Management

Ultimo Infra Asset Management

Ultimo Facility Management

Ultimo IT Service Management

Ultimo Maintenance Management

Ultimo Enterprise SoftwareTankfüllungen und Bußgelder bei Tankfüllungs-registrierung

Gescannte persönliche Dokumente bei der Besucherregistrierung

Zeugen und Betroffenen bei HSE-Incidents

In den folgenden Produkten und Modulen kommen personenbezogene Daten vor:

Zeugnisse, Ausweisdokumente für Arbeitserlaubnis

Mieter und Mietverträge in der Mietverwaltung

Beteiligte Personen an Unfällen mit Schäden

Nutzer von CI's in der Konfigurationsverwaltung

Accounts anlegen in Meldungen in Dienst

Persönliche Angaben von Auftragnehmern bei Lieferanten

Personen die Mängel melden unter Zustandsmessungen

All diese Beispiele dienen lediglich der VeranschaulichungEs gäbe noch unendliche Beispiele. Wenn Sie mehr über personenbezogene Daten in Ihrer spezifischen Ultimo-Umgebung wissen wollen, wenden Sie sich an das Ultimo-Helpdesk.

Mitarbeiter die Aufträge durchführen bei PW-Aufträge

Teilnehmer an Sitzungen bei Reservierungen

Einkauf von Produkten bei Lagerhaltung und Einkauf

Anträge auf Unterstützung am Arbeitsplatz in der Serviceauftragsverwaltung

Eigentümer und Manager von Objekten in der Objektverwaltung

Produkte

7

8

Wie können Sie personenbezogene Daten schützen?

Kommen in Ihrer Ultimo-Umgebung personenbezogene Daten vor?Wenn in Ihrer Ultimo-Umgebung personenbezogene Daten vorhanden sind, müssen Sie sich Gedanken machen über den Schutz dieser Informationen.

Sicherheit der Ultimo SoftwareDie Ultimo Software ist standardmäßig mit guten Sicherheitsfunktionen ausgestattet und ein Penetrationstest (Pen-Test) wird jährlich von einer externen Partei durchgeführt. Jedoch ist die Sicherheit in der von Ultimo gelieferten Umgebung nicht der einzige Schutz den Sie berücksichtigen müssen. Vor allem, wenn Ultimo auf Ihrer eigenen IT-Infrastruktur installiert ist.

Es kann auch vorkommen, dass Sie eine Umgebung an den Ultimo-Support senden für extra Unterstützung oder zu einem Ultimo-Berater, der zusätzliche Konfigurationsarbeiten für Sie ausführt.

Bitte beachten Sie, dass - laut Gesetzgeber - Handlungen wie Informationssicherheitsmaßnahmen angemessen und nachprüfbar zu organisieren, in Ihrer Verantwortung liegen.

Die Sicherheitsmaßnahmen für personenbezogene Daten können in IT-technische und organisatorische Maßnahmen unterteilt werden. In diesem Teil der Informationsschrift (White Paper) werden die zu ergreifenden Maßnahmen weiter erörtert.

9

Es gibt verschiedene Möglichkeiten, personenbezogene Daten durch organisatorische oder verfahrenstechnische Maßnahmen zu schützen.

Organisatorische Maßnahmen

+ Weisen Sie eine verantwortliche Person an

Übertragen Sie einem Mitarbeiter Ihres Unternehmens die Verantwortung für die Sicherheitsrichtlinien, den Schutz für personenbezogene Daten und den Umgang mit gemeldeten Vorfällen.

+ Vereinbarungen mit Mitarbeitern

Es ist wichtig, dass Sie mit Ihren Mitarbeitern über die Verarbeitung von personenbezogenen Daten Vereinbarungen treffen. Wie bereits erwähnt sind einige persönliche Angaben notwendig, wie zum Beispiel für die Lohnabrechnung. Andere personenbezogene Daten sorgen für Effizienz und Transparenz. Es empfiehlt sich, im (Arbeits-)Vertrag oder im Personalhandbuch Ihres Unternehmens anzugeben, welche personenbezogenen Daten zu welchem Zweck verwendet werden.

+ Verarbeitungsvereinbarung

Sobald andere Parteien, als Ihr eigenes Unternehmen, personenbezogene Daten verarbeiten, müssen Sie Verarbeitungsvereinbarungen abschließen. Dies betrifft nicht nur die tatsächliche Verarbeitung personenbezogener Daten, sondern ist auch relevant, wenn die andere Partei nur Einsicht in die Datenbank nehmen kann.

+ Sorgen Sie für Bewusstsein

Achten Sie darauf, wenn es um den Schutz personenbezogener Daten geht, das Bewusstsein der Mitarbeiter zu erhöhen. Wenn Sie regelmäßig an das Bewusstsein appellieren, werden die Mitarbeiter mehr in der Lage sein zu erkennen, dass sie mit personenbezogenen Daten arbeiten und mit den einschlägigen Sicherheitsanforderungen vertraut sind. Sie wissen, dass sie bei der Verarbeitung und dem Austausch von personenbezogenen Daten sorgsam umgehen und bei Fragen oder Vorfällen schnell handeln müssen. Stellen Sie außerdem sicher, dass neue Mitarbeiter über den Schutz von personenbezogenen Daten informiert werden.

+ Meldepunkt für personenbezogene Daten

Erstellen Sie in Ultimo einen Meldepunkt, an dem Mitarbeiter Fragen stellen und Vorfälle melden können. Sie können schnell Vorfälle antizipieren, Trends analysieren und bei Bedarf zusätzliche Erläuterungen bereitstellen.

+ Funktionswechsel und Beendigung des Arbeitsverhältnisses

Stellen Sie Verfahren bereit, die gewährleisten, dass personenbezogene Daten bei Änderungen der Funktion und bei Beendigung des Arbeitsverhältnisses geschützt bleiben. Schränken Sie die Rechte ausscheidender Mitarbeiter rechtzeitig ein.

10

Technische Maßnahmen - Allgemeines

+ Gute Sicherheit für Ihre eigene IT-Umgebung

Nutzen Sie eine On-Premise (lokaler Server) Installation? Stellen Sie dann sicher, dass Ihre IT-Umgebung gut gesichert ist. Nutzen Sie SaaS? Dann bietet Ultimo eine sichere Cloud-Umgebung. Sie müssen jedoch sicherstellen, dass auch Ihre eigene IT-Infrastruktur gut gesichert ist. Weitere Informationen finden Sie im White Paper Ultimo in der Cloud.

+ Ändern Sie Standardpasswörter

Sobald Sie Ultimo installiert haben, empfehlen wir Ihnen, direkt das Standardpasswort zu ändern. Ändern Sie nicht nur für die verschiedenen Benutzerrollen das Passwort, sondern auch das Passwort für Administratorrechte und das Ultimo Customization Tool (UCT).

+ Sichere Anmeldung

Für die On-Premise-Installationen von Ultimo ist es möglich, wenn Mitarbeiter sich in Ultimo von zuhause aus anmelden, eine Whitelist mit IP-Adressen zu erstellen. Zudem ist es möglich sich in der Anwendung mit einer Zwei-Faktor-Authentifizierung anzumelden. Auf diese Weise können Sie Ihre Ultimo-Umgebung zusätzlich absichern.

+ Periodische Überprüfung der Log-Dateien

Überprüfen Sie regelmäßig die Protokolldateien in Ultimo, zum Beispiel das Ereignisprotokoll oder das Anpassungsprotokoll. Machen Sie es sich zur Gewohnheit, regelmäßig die Anmeldedaten, Änderungen an der Anwendung und die Sicherheit der Datenbank in der Sie Ihre personenbezogenen Daten speichern, zu überprüfen. Auf diese Weise können Sie verdächtige Aktivitäten proaktiv identifizieren und überwachen.

+ Rechtzeitige Updates

Stellen Sie sicher, dass Sie nicht nur Ihre IT-Infrastruktur rechtzeitig aktualisieren , sondern auch die Ultimo Software. Software-Entwicklung erfolgt immer auf der Grundlage neuer Trends und Entwicklungen, auch im Bereich der Sicherheit. Mit regelmäßigen und rechtzeitigen Updates, sind Sie besser vor aktuellen (Hacker)Angriffen geschützt.

Neben organisatorischen Maßnahmen gibt es auch technische Maßnahmen, mit denen Sie personenbezogene Daten in Ultimo schützen können.

11

Technische Maßnahmen – Operationen

+ Kopien von Datenbanken so schnell wie möglich löschenSobald Sie Kopien einer Datenbank erstellt haben, sollten Sie die aktuellste Kopie behalten und alle anderen irrelevanten Kopien löschen. So können diese nicht verloren gehen.

+ Anonymisierung von DatenbankenIn einigen Situationen kann es erforderlich sein, dass eine Datenbank oder eine Ultimo-Umgebung zugesendet werden muss. Vergessen Sie dann nicht die Datenbank zu anonymisieren, damit Ihre personenbezogenen Daten nicht mehr zurückverfolgt werden können. Ultimo bietet ein Anonymisierungsskript das auf internationalen Standards basiert. Damit können Sie die Datenbank anonymisieren.

+ Realisierung von VerknüpfungenWenn Sie eine Verknüpfung zwischen Ultimo und anderen Systemen herstellen möchten, müssen Sie wahrscheinlich auch mit anderen Abteilungen zusammenarbeiten. Seien Sie sich bewusst, dass Sie möglicherweise auch Einsicht in personenbezogene Daten haben. Sie können dann mit der verknüpften Abteilung eine Auftragsverarbeitungsvereinbarung abschließen, um Ihre personenbezogenen Daten zu schützen.

12

Beachten Sie folgende Punkte, wenn Sie Konfigurationen für die Ultimo-Umgebung durchführen (lassen).

Verantwortlichkeit für personenbezogene Daten

Obwohl Ultimo Software Solutions alles unternimmt, um ein gutes und sicheres Softwareprodukt zu gewährleisten, und als Unternehmen mit NEN7510 und ISO27001 Zertifizierung, wird die Sicherheit personenbezogener Daten immer ein wichtiger Punkt bleiben. Dies gilt sowohl für unser Unternehmen als auch für Ihr eigenes Unternehmen.

Dieses Dokument dient zu Ihrer Beratung und zur Unterstützung bei der Sicherheit von personenbezogenen Daten. Letztendlich bleibt jedoch Ihr Unternehmen, wie im BDSG und DS-GVO festgelegt, für den Schutz von personenbezogenen Daten verantwortlich.

Sollten Sie in Ihrer Ultimo-Umgebung weitere Hilfe und Unterstützung in Bezug auf personenbezogene Daten benötigen, wenden Sie sich an den Ultimo-Support oder Ihren Ultimo-Berater.

13

Ultimo ist seit 1988 auf dem Gebiet der Softwareentwicklung für die gezielte Verwaltung von Betriebsmitteln und Prozessen tätig. Sind Sie auf der Suche nach einer geeigneten Lösung für Ihre Situation, nehmen Sie dann Kontakt mit uns auf.

Ultimo Software Solutions GmbHLohbergstraße 20a46537 Dinslaken02064 - 82 84 754info@ultimo.com

Möchten Sie mehr erfahren?

Wir helfen Ihnen gerne!Nehmen Sie für weitere Informationen Kontakt mit Ultimo Software Solutions auf