Autoren: Dr. Eljalill Tauschinsky, dacuro GmbH und Dr. Gerhard Wiechert, target Software Solution GmbH

Die Walldorfer dacuro GmbH (www.dacuro.de) stellt den externen Datenschutzbeauftragten für Unternehmen, hilft bei der Erfüllung der Dokumentationspflichten und berät rund um den Themenkomplex Datenschutz. Erfüllen der Anforderungen der DSGVO, ohne den Alltag zu blockieren, ist der Anspruch der dacuro GmbH. Das Team aus Juristen und IT-Spezialisten unterstützt bei allen Herausforderungen der DSGVO, seien sie juristischer oder technischer Natur.

 

Die Datenschutzgrundverordnung in der Praxis des Ideenmanagements

Die europäische Datenschutzgrundverordnung (DSGVO) gilt seit dem 25. Mai 2018 und entfaltet immer mehr Wirkung. Im letzten Jahr haben sich viele Unternehmen auf den Weg gemacht, diese gesetzlichen Anforderungen umzusetzen. Nicht zuletzt deswegen hat auch die Zahl der DSGVO-Ratgeber und Implementierungshilfen zugenommen. Es stellen jedoch einige Unternehmen fest, dass bei der Umsetzung der DSGVO, wie bei einem Frühjahrsputz, viele der problematischen Ecken erst nach und nach erkennbar werden. Eine solche „Ecke“, die beim Datenschutz häufig noch vernachlässigt wird, ist das Ideenmanagement.

In diesem Artikel wollen wir für Sie als Ideenmanager praxisgerecht erläutern, über welches Grundwissen zum Datenschutz Sie verfügen sollten. Aus unseren Erläuterungen ergeben sich konkrete Handlungsempfehlungen, die wir am Schluss tabellarisch zusammenfassen. Dieser Artikel soll Sie in die Lage versetzen, die Thematik Datenschutz mit einem internen oder externen Datenschutzbeauftragten fachbezogen zu diskutieren und darauf aufbauend für Ihren Verantwortungsbereich im Ideenmanagement die Regelungen auf Vollständigkeit und Rechtskonformität zu prüfen.

Unsere Ausführungen können natürlich keine Rechtsberatung darstellen. Zudem werden manche Anforderungen der DSGVO erst nach und nach in der behördlichen Anwendung und Rechtsprechung klar, so dass es zum gegenwärtigen Zeitpunkt unmöglich ist, sich über die Vollständigkeit der Ausführungen sicher zu sein.

 

Begriffsbestimmungen (Artikel 4 DSGVO)

Zunächst sollen einige Begriffe des Datenschutzes geklärt werden.

Der zentrale Begriff des Datenschutzes ist der der „personenbezogenen Daten“. Generell sind dies Daten, die einer identifizierbaren Person zugeordnet werden können. „Personenbezogene Daten“ im Ideenmanagement sind z. B. Name, Personalnummer, E-Mail Adresse, aber auch Verknüpfungen, mit denen eine Person mit einer Idee (z. B. als Einreicher, Gutachter oder Realisierer) oder einer Mitarbeitergruppe (z. B. als Kommissionsmitglied oder Ideenmanager) in einen Zusammenhang gebracht werden kann – also alle Daten, die einem bestimmbaren Mitarbeiter zugeordnet werden können.

Datenschutz spielt sich immer in der Verarbeitung der Daten einer betroffenen Person durch eine verantwortliche Stelle ab. Der Ausdruck „Verarbeitung“ ist sehr weit gefasst und umfasst u. a. das Speichern, Anzeigen oder Löschen der Daten einer bestimmbaren Person. Diese Person gilt dann als „Betroffene“.

Verantwortliche Stelle im Sinne der DSGVO ist immer die Rechtsperson, in deren Rahmen die Datenverarbeitung stattfindet. Innerhalb einer Organisation ist aber häufig die Organisationseinheit Ideenmanagement („das Ideenmanagement“) für die Verarbeitung personenbezogener Daten im Ideenmanagement verantwortlich.

In den meisten Fällen dürfte ein Hersteller von Standard-Software für das Ideenmanagement nicht nur mit der Lieferung der Software, sondern auch mit der Implementierung und dem Support beauftragt werden. Damit wird das Softwarehaus ein „Auftragsverarbeiter“, das personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.

Die verarbeiteten personenbezogenen Daten müssen von der verantwortlichen Stelle angemessen geschützt werden. Dies betrifft nicht nur Maßnahmen wie den Virenschutz oder den Zugang zum Serverraum. Die DSGVO nennt auch ausdrücklich die „Pseudonymisierung“ als Maßnahme zum Schutz von Betroffenendaten.

„Pseudonymisierung“ von personenbezogenen Daten im Ideenmanagement bedeutet, dass diese nicht mehr ohne Weiteres einer spezifischen Person zugeordnet werden können. Beispiel: Für alle Rollen (Einreicher, Gutachter, Verantwortliche, …) werden ID’s zur Identifikation der Rolleninhaber verwendet. Erst durch Hinzuziehung von Informationen des gesondert geschützten Personalwirtschaftssystems kann eine spezifische Person zugeordnet werden.

Die target-Software greift direkt innerhalb der SAP-Software auf die notwendigen Personaldaten zu, so dass eine Datenschnittstelle mit redundanter Speicherung von Personaldaten in der Ideenmanagement-Software entfällt. Dieser Tatbestand erleichtert beträchtlich die Einhaltung der DSGVO, weil die personenbezogenen Daten im Ideenmanagement nur in pseudonymisierter Form gespeichert werden. Ideendaten enthalten Personalnummern für Einreicher, Gutachter, Realisierer etc. Nur unter Hinzuziehung zusätzlicher Informationen aus den Personaltabellen im SAP-System können die Ideen einer spezifischen Person zugeordnet werden.

 

Grundsätze für die Verarbeitung personenbezogener Daten (Artikel 5 DSGVO)

Die DSGVO beschreibt einige Grundsätze, die bei jedem Verarbeitungsprozess personenbezogener Daten beachtet werden müssen. Diese sind die Grundsätze der Zweckbindung, Datensparsamkeit bzw. Datenminimierung, Richtigkeit, Speicherbegrenzung, Integrität und Vertraulichkeit. Zudem gilt für jede Datenverarbeitung die Rechenschaftspflicht des Verantwortlichen. Diese Rechenschaftspflicht begründet die Notwendigkeit der Führung eines Verzeichnisses der Verarbeitungstätigkeiten nach Art. 30 DSGVO, auf das wir später noch eingehen werden. Selbstverständlich sollte in diesem Verzeichnis auch ein Eintrag zum Ideenmanagement zu finden sein, aus dem sich insbesondere Zugriffsrechte und Löschfristen ablesen lassen.

Bei der Umsetzung des Ideenmanagements sind insbesondere die Grundsätze der Zweckbindung und der Datenminimierung zu beachten, d. h. die personenbezogenen Daten müssen dem Zweck „Ideenmanagement“ angemessenen sowie auf das notwendige Maß beschränkt sein.

Personalnummer, Name, E-Mail-Adresse oder die organisatorische Zuordnung, aus der sich der Vorgesetzte oder der Ideenmanager ergibt, sind offensichtlich notwendige Informationen, damit Ideenmanagement funktionieren kann. In anderen Fällen kommt es auf die Ausgestaltung an. Persönliche Adressdaten sind z. B. notwendig, wenn das Ideenmanagement an einen Prämienshop angebunden ist, der Sachpreise an die private Anschrift versendet. In den meisten Fällen dürften private Adressdaten jedoch unnötig sein.

In vielen Fällen wird es von der Rolle des Nutzers in Bezug zu einer Idee ankommen, welche personenbezogenen Daten dem Nutzer angezeigt werden. Bei einer allgemeinen Ideen-Recherche z. B. nach Schlagworten werden dem Nutzer die Ideen angezeigt, die seinen Suchkriterien genügen und vom Unternehmen für diese Recherche zugelassen sind (z. B. nur abgeschlossene, keine offenen Ideen). Wenn man nach dem Zweck dieser Recherche fragt, wird man verschiedene Antworten erhalten, wie „Ich habe da eine Idee, aber vielleicht ist die schon bekannt“ oder „Ich habe da ein Problem, vielleicht gibt es schon eine Lösung.“ Eine Anzeige der Einreicher oder gar die Anzeige der gezahlten Prämien ist für diese Zwecke unerheblich, also sollte das entfallen. In anderen Fällen ist die Entscheidung schwieriger. Darf der Einreicher sehen, wer das Gutachten verfasst hat und was im Gutachten steht? Dazu kann es unterschiedliche Auffassungen geben, die im Zusammenhang mit der gelebten Unternehmenskultur stehen.

Eine Nutzung von Informationen wie Geschlecht, Alter oder Nationalität mit denen Statistiken zur Beteiligungsquote differenziert dargestellt werden könnten, ist u. E. in der Regel nicht zulässig, weil diese Daten zur Abwicklung des Ideenmanagements nicht benötigt werden. Sollte eine statistische Erhebung zum Gebrauch des Ideenmanagement in einem Unternehmen notwendig geworden sein, so lässt sich diese, zeitlich begrenzte Erhebung als separate Verarbeitungstätigkeit darstellen. Diese muss dann jedoch eigenständig den Anforderungen der Rechtmäßigkeit (unten ausgeführt) und den oben genannten Grundprinzipien genügen. Dies im Einzelnen darzustellen würde allerdings den Rahmen dieses Artikels sprengen.

Die Rechenschaftspflicht liegt beim Ideenmanagement, d.h. das Ideenmanagement muss die Einhaltung der Grundsätze nachweisen können.

 

Rechtmäßigkeit der Verarbeitung (Artikel 6 DSGVO)

Nach den Datenschutzgesetzen muss jede Datenverarbeitung „rechtmäßig“ sein, das heißt, sie muss aus einem anerkannten Grund stattfinden. Diese Gründe sind in Art. 6 Abs 1 DSGVO aufgelistet, und schließen etwa die Einwilligung, den Vertrag mit den Betroffenen aber auch die Erfüllung spezifischer gesetzlicher Pflichten mit ein. Die Rechtmäßigkeit der Verarbeitung wird sich in der Regel aus Ihrer Betriebsvereinbarung zum Ideenmanagement ergeben.

Es ist aber zu beachten, dass grundsätzlich nur die Datenverarbeitungsprozesse von einer Rechtsgrundlage abgedeckt sind, die für diesen „Grund“ unerlässlich sind. Deswegen kann es folgerichtig sein, zusätzlich eine Einwilligung einzuholen. Wir empfehlen Ihnen hierzu, im Einreichformular einer Idee eine Checkbox vorzusehen, mit der der Einreicher seine Einwilligung zu der Verarbeitung erklären muss.

Allerdings ist zu beachten, dass es ein integraler Bestandteil einer datenschutzrechtlichen Einwilligung ist, dass diese auch widerrufen werden kann. Falls eine Einwilligung genutzt werden soll, müssen also interne Prozesse zum Vorhalten des Nachweises, wie auch zur Durchsetzung des Widerrufs gegeben sein.

Vorteilhaft ist ferner, dass Sie in der Software eine Verlinkung zur Betriebsvereinbarung und zu den Datenschutzhinweisen vorsehen, damit ein Einreicher hier den Kontext der Verarbeitung verstehen kann – wie hierunter beschrieben.

 

Informationspflicht (Artikel 13 DSGVO)

Werden personenbezogene Daten bei der betroffenen Person erhoben, so muss das Ideenmanagement die betroffene Person hierüber informieren.

Persönliche Attribute (Name, E-Mail, organisatorische Zuordnung etc.) werden wohl niemals vom Ideenmanagement erhoben, sondern von der für die Personalverwaltung zuständigen Stelle. Die benötigten Personalstammdaten werden dem Ideenmanagement zur Verfügung gestellt.

Wird jedoch ein Mitarbeiter im Ideenmanagement-Prozess in einer gewissen Rolle (z. B. als Gutachter, Verantwortlicher, Realisierer, …) einer Idee zugeordnet, so werden auch dadurch personenbezogene Daten erhoben, die eine entsprechende Informationspflicht auslösen. Hierzu genügt eine E-Mail an die betroffene Person. Sinnvollerweise kann der Empfänger direkt aus dieser E-Mail heraus über einen Link in die Software gelangen, um dort seine Aufgabe zu erledigen.

Die E-Mail sollte ebenfalls eine Verlinkung zu einem für das Ideenmanagement spezifischen Datenschutzhinweis erhalten.

Zum Hintergrund: In der Regel ist die Ideenmanagement-Software in das Mitarbeiterportal des betrieblichen Intranets eingebunden. In diesem Mitarbeiterportal ist vom Unternehmen eine allgemeine Datenschutzerklärung vorzuhalten. Je nach thematischem Schwerpunkt ist ein zusätzlicher, für das Thema spezifischer Datenschutzhinweis zu erstellen. So auch für das Ideenmanagement. In dem spezifischen Datenschutzhinweis für das Ideenmanagement werden z. B.  Aussagen dazu gemacht, welche personenbezogenen Daten im Ideenmanagement verarbeitet und wann diese gelöscht werden. Diese Informationen sind nach Art. 13 DSGVO den Betroffenen bei der Erhebung zur Verfügung zu stellen.

 

Recht auf Löschung („Recht auf Vergessenwerden“) (Artikel 17 DSGVO)

Die DSGVO begründet auch rechtlich durchsetzbare Rechte für Betroffene. Diese sind das Recht auf Information/Auskunft und eine Kopie der vorgehaltenen Daten, das Recht auf Richtigkeit der verarbeiteten Daten und das Recht auf Löschung oder Einschränkung der Verarbeitung dieser Daten.

Für das Ideenmanagement praxisrelevant ist hier das Recht des Mitarbeiters, dass Informationen über seine Mitwirkung in Ideen (als Einreicher, Gutachter, Realisierer oder in einer sonstigen Rolle) gelöscht werden, wenn dieser es verlangt oder wenn diese personenbezogenen Daten nicht mehr für die Zwecke des Ideenmanagements benötigt werden. Das Recht auf Löschung besteht allerdings nicht, wenn die Erfüllung einer rechtlichen Verpflichtung dem entgegensteht.

Das Recht auf Löschung personenbezogener Daten erfordert auch nicht, dass die Idee zu löschen ist. Die Ideenhistorie (Beschreibungen, Kommentare, Nutzenkalkulation etc.) kann durchaus erhalten bleiben. Das Recht auf Löschung meint vielmehr, dass die Beziehungen zu Personen entfernt werden müssen. Dieser Grundsatz der Lösung des Personenbezugs schließt aber mehr ein, als im ersten Moment ersichtlich ist.

Zunächst wollen wir aber der Frage nachgehen, wann personenbezogene Daten in einer abgeschlossenen Idee nicht mehr für die Zwecke des Ideenmanagements benötigt werden.

In der Regel werden in einer Betriebsvereinbarung die folgenden Fristen festgelegt, die die Aufbewahrung der Idee über die reine Umsetzung oder Ablehnung hinaus regeln:

  • Einspruchsfrist
    Der Mitarbeiter legt gegen die Entscheidung bezüglich einer Idee (Ablehnung oder Nutzenberechnung) einen Einspruch ein, mit der Folge, dass die Idee wieder in Bearbeitung genommen wird und die personenbezogenen Daten weiterhin verfügbar sein müssen. In der Praxis wird es hier eine Frist von wenigen Monaten geben, innerhalb der ein Einspruch möglich ist.
  • Prioritätsfrist
    Wird eine abgelehnte Idee zu einem späteren Zeitpunkt von einem anderen Mitarbeiter in gleicher Art erneut eingereicht, hat der Ersteinreicher innerhalb der Prioritätsfrist den Vorrang. Die Prioritätsfrist wird in der Regel auf ein bis zwei Jahre festgelegt.
  • Schutzfrist
    Wird eine zunächst abgelehnte Idee innerhalb der Schutzfrist doch noch umgesetzt, entstehen Ansprüche des Einreichers. Die Schutzfrist wird in der Regel auf ein bis zwei Jahre festgelegt.
  • Verfallsfrist von arbeitsrechtlichen Ansprüchen
    Eine Vereinbarung hierüber kann im Arbeitsvertrag eines Mitarbeiters getroffen werden, z. B. mit einer Dauer von einigen Monaten. Ohne eine vertragliche Regelung gilt für Verjährung von arbeitsrechtlichen Ansprüchen gemäß BGB eine Frist von 3 Jahren.

Als Faustformel kann somit gelten, dass personenbezogene Daten in den Ideen für die Zwecke des Ideenmanagements nach ca. drei Jahren nicht mehr benötigt werden. Achtung: dies heißt allerdings nicht, dass die personenbezogenen Daten nach dieser Frist in allen Ideen generell entfernt werden dürfen, da Sie zusätzlich steuerrechtliche Vorschriften beachten müssen.

Wegen solcher steuerrechtlichen Vorschriften müssen Sie bezüglich der Löschfrist prämierte Ideen von nicht prämierten Ideen unterscheiden. Für nicht prämierte Ideen kann jedoch schon mal festgehalten werden, dass der Personenbezug nach ca. drei Jahren entfernt werden muss.

Prämien führen zu zusätzlichen Daten in der Lohn- und Gehaltsabrechnung. In der Praxis handelt es sich dabei um Lohnarten mit den Angaben Personalnummer, Lohnart-ID, Betrag, Entstehungsdatum, ID des Vorschlags zu Referenzzwecken und ggf. Kostenstellen-ID für eine Kostenzuordnung der Prämie auf die nutzende Kostenstelle der Idee. Diese Daten fallen unter die gleichen Vorschriften und Aufbewahrungsfristen wie andere lohn- und gehaltsrelevante Daten.

Nach steuerrechtlichen Vorschriften (Abgabenordnung) gilt für Abrechnungsunterlagen und Buchungsbelege eine Aufbewahrungsfrist von 10 Jahren. Diese Frist kann sich jedoch noch verlängern, z. B. wenn die Steuerfestsetzung für einzelne Jahre nur vorläufig erlassen wurde. Diese Aufbewahrungsfrist betrifft in erster Linie die Abrechnungsstelle in Ihrem Unternehmen. Zu diskutieren ist nun, ob sich die lange Aufbewahrungsfrist nun auch auf die personenbezogenen Daten in den Ideen bezieht.

Nach unserer Einschätzung ist die Frage zu bejahen, d.h.  die lange Aufbewahrungsfrist ist auch für  die personenbezogenen Daten im Ideenmanagement zu beachten.  In den Grundsätzen zur ordnungsgemäßen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff (GoBD) heißt es: „Neben den außersteuerlichen und steuerlichen Büchern, Aufzeichnungen und Unterlagen zu Geschäftsvorfällen sind alle Unterlagen aufzubewahren, die zum Verständnis und zur Überprüfung der für die Besteuerung gesetzlich vorgeschriebenen Aufzeichnungen im Einzelfall von Bedeutung sind (vgl. BFH-Urteil vom 24. Juni 2009, BStBl II 2010 S. 452).“

Auf gut Deutsch: es reicht nicht aus, nur den digitalen Lohnartenbeleg für die Prämienzahlung in der Abrechnungsstelle aufzubewahren. Ein Prüfer könnte Einsicht in die entsprechende Idee (einschließlich der personenbezogenen Daten) verlangen, weil nur dadurch die Prämie überprüft werden kann. Die personenbezogenen Daten sind erforderlich, da die Prämie von personenbezogenen Fakten, wie z. B. dem Anteil des Einreichers und der Einschätzung der Nähe zum Aufgabengebiet, abhängen kann.

Einfach und pragmatisch ist der Ansatz, grundsätzlich alle nicht prämierten Idee nach ca. 3 Jahren und alle prämierten Ideen nach Ablauf der Aufbewahrungsfrist (10 Jahre und mehr) zu löschen. Nachteilig ist der Verlust der Historie, jedoch sollte sich jedes Unternehmen fragen, ob überhaupt Ideen, die vor mehr als 10 Jahren abgeschlossen wurden, noch wert sind, aufbewahrt zu werden.

Statt des Löschens wäre es natürlich auch denkbar, die Ideen als solche zu behalten und nur den Personenbezug zu entfernen. Dies kann sich aber in der Praxis als schwierig und mit einem hohen Aufwand verbunden darstellen.

Es ist nämlich nicht auszuschließen, dass im beschreibenden Fließtext einer Idee Bezüge zu Personen stehen, die nicht so einfach erkennbar sind. Alle Informationen und Angaben, die eine Identifizierung erlauben, machen aus einem Datensatz personenbezogene Daten. Wenn etwa aus dem Text klar wird, dass der Einreicher männlich war, es aber zur relevanten Zeit nur einen (bekannten) Mann in der entsprechenden Abteilung gab, so liegen personenbezogene Daten vor. Gleiches ist denkbar, wenn z.B. Herkunft, Sprache, körperliche Besonderheiten o.ä. eine Rolle spielen. Solche Merkmale lassen es häufig zusammen etwa mit Informationen zur Abteilung oder der Funktion zu, dass Personen auch ohne Angaben zu Namen oder Kontaktdaten identifiziert werden können.

Ferner enthalten elektronische Dokumente, die einer Idee beigefügt sein können, häufig in den sogenannten „Metadaten“ personenbezogene Daten. So ist über die Dokument-Eigenschaften häufig z.B. der Verfasser oder die letzte Änderung protokolliert. Auch hierbei handelt es sich um personenbezogene Daten. Das ist oberflächlich nicht sofort sichtbar und dürfte Vielen gar nicht bewusst sein.

Das Löschen der gesamten Idee ist daher die vorsichtigere Variante.

Als letzten Punkt muss genannt werden, dass Daten auch auf Antrag des Betroffenen, u.U. vor dem Ablauf „normaler“ Aufbewahrungsfristen, gelöscht werden müssen. Zieht ein Einreicher etwa seine Idee zurück und verwirkt so Prioritätsansprüche, und hat er keine Prämie erhalten, so müssen Ideendaten unverzüglich nach Anfrage gelöscht, bzw. der Personenbezug entfernt werden. Ein eigenes Interesse an diesen (personenbezogenen) Daten kann eine Firma dann ohne Rückgriff auf rechtliche Pflichten nicht geltend machen. Allerdings heißt dies nicht unbedingt, dass nicht die Substanz des Verbesserungsvorschlages trotzdem erhalten und umgesetzt werden kann. Der betroffene Mitarbeiter hat dann u.U. nur eine informationelle Verbindung zu seinem Einreichen dieser Idee unmöglich gemacht.

Wir fassen zusammen: Die Pflicht zur Löschung personenbezogener Daten im Ideenmanagement besteht in Bezug auf nicht prämierte Ideen nach ca. drei Jahren, in Bezug auf prämierte Ideen frühestens nach 10 Jahren. Eine Verlängerung tritt ein, wenn Gründe für eine längere Aufbewahrung von Abrechnungsunterlagen gegeben sind. Die Erfüllung steuerrechtlicher Vorschriften erlaubt keine frühere Löschung personenbezogener Daten der prämierten Ideen. Auf Anfrage ist eine Löschung allerdings vorher möglich – vor allem wenn keine weiteren Vorgänge, wie etwa Prämierung, durch die Idee ausgelöst wurden. Die steuerrechtlichen Aufbewahrungspflichten gehen einem Löschgesuch generell vor.

Die target-Software bietet alle Möglichkeiten, das „Recht auf Vergessenwerden“ abzubilden, unabhängig davon, welchen der möglichen Wege der Kunde wählt.

 

Auftragsverarbeiter (Artikel 28 DSGVO)

Da das Ideenmanagement häufig durch externe Software implementiert wird, ist hier die Frage zu stellen, ob eine Auftragsverarbeitung vorliegt. Ein Vertrag zur Auftragsverarbeitung ist zwischen dem Verantwortlichen und dem Auftragsverarbeiter zu erstellen, sofern der Dienstleister Zugang zu personenbezogenen Informationen erhält, Dieser Zugang ist dann gegeben, wenn Daten (unverschlüsselt) auf dem System eines Dienstleisters gespeichert werden, oder wenn ein Dienstleister durch Fernzugriff Zugang zu personenbezogenen Daten erhält.

Wartungszugriffe lassen sich häufig nicht so einschränken, dass ein Zugriff auf Datenbanken, die Echtdaten von Mitarbeitern enthalten, unmöglich ist.  Insofern wird in den meisten Fällen ein Auftragsverhältnis nach Art. 28 DSGVO gegeben sein. Beschränkt sich der Zugriff des Dienstleisters jedoch lediglich auf (Entwicklungs-) Systeme, in denen keinerlei Informationen über reale Personen vorhanden sind, ist ein Vertrag zur Auftragsverarbeitung nicht erforderlich.

Ein Verantwortlicher darf nur einen solchen Auftragsverarbeiter (im konkreten Fall Dienstleister, der Software und Services im Ideenmanagement liefert) – insbesondere im Hinblick auf Fachwissen, Zuverlässigkeit und Ressourcen - heranziehen, der hinreichende Garantien dafür bietet, dass  technische und organisatorische Maßnahmen getroffen werden, die den Anforderungen der DSGVO genügen. Diese Garantien werden im Zuge der Unterzeichnung des Vertrages geleistet, und u.U. turnusmäßig durch Berichte bestärkt.

Die target Software Solution hat eine unternehmerische Datenschutzorganisation eingeführt, die regelmäßig geprüft und überwacht wird. Auf Wunsch stellen wir unseren Auftraggebern einen Muster-Vertrag zur Auftragsdatenverarbeitung zur Verfügung.  Die technischen und organisatorischen Maßnahmen der target werden periodisch im Hinblick auf neue technische Möglichkeiten aktualisiert. Wiederkehrende Schulungen zum Datenschutz sind für alle Mitarbeiter verpflichtend.

 

Verzeichnis von Verarbeitungstätigkeiten (Artikel 30 DSGVO)

Wie schon oben erwähnt, findet auch das Ideenmanagement seinen Niederschlag im Verzeichnis der Verarbeitungstätigkeiten. Die hier aufgenommene Information kann der Ideenmanager häufig maßgeblich beeinflussen. Obwohl das Verzeichnis der Verarbeitungstätigkeiten vielleicht als eine mühsame Übung erscheinen mag, ist sein Inhalt doch äußerst relevant. So wird nicht nur der Datenschutzbeauftragte seine Risikobewertungen nach den hier gespeicherten Informationen ausrichten, auch die Aufsichtsbehörden fragen im Beschwerdefall regelmäßig die entsprechenden Einträge im Verzeichnis ab. Die hier gelieferte Beschreibung beeinflusst dann die behördliche Bewertung der beanstandeten Situation.

Das Ideenmanagement muss einen Verfahrenseintrag erstellen, aus dem u.a. die Zweckbestimmung der Daten, die Rechtsgrundlage der Erhebung, die Kategorie der verarbeiteten Daten, die Zugriffsberechtigung und die Regelfristen für die Löschung hervorgehen, sowie das Vorhandensein eines Auftragsverhältnisses.

Hier ist darauf zu achten, dass die Datenverarbeitung in Bezug auf die im Ideenmanagement vorhandenen Rollen klar beschrieben wird, und auch die verschiedenen möglichen Fälle klar (z. B. Mit/Ohne Prämierung) deutlich definiert werden, um spätere Beanstandungen durch die Behörden zu vermeiden.

 

Handlungsempfehlungen – worauf Sie achten sollten

Wir fassen die sich aus den obigen Erläuterungen für Sie ergebenden Handlungsempfehlungen nach den folgenden Gliederungspunkten zusammen:

  • Dokumentation der Verarbeitungsvorgänge
  • Auswahl des Partners für Software und Dienstleistung
  • Konfiguration und Betrieb der Software

Im Hinblick auf „Dokumentation“ sollten Sie beachten:

  • Erstellen Sie eine Intranet-Seite mit Datenschutz-Hinweisen für das Ideenmanagement.
  • Erstellen Sie einen Eintrag im Verfahrensverzeichnis.

Im Hinblick auf „Auswahl des Partners für die Software und Dienstleistung“ sollten Sie beachten:

  • Wählen Sie nur einen Partner aus, der hinreichende Garantien gemäß DSGVO bietet.
  • Schließen Sie einen Vertrag zur Auftragsdatenverarbeitung.

Im Hinblick auf „Konfiguration und Betrieb der Software“ sollten Sie beachten:

  • Minimieren Sie die personenbezogenen Daten.
  • Zeigen Sie rollen- und aufgabenangemessen nur die notwendigen Daten.
  • Verlinken Sie auf die Datenschutz-Hinweise in der Ideenmanagement-Software und in allen E-Mails, die zum Ideenmanagement verschickt werden.
  • Verlinken Sie auf die Betriebsvereinbarung in der Ideenmanagement-Software.
  • Sehen Sie im Einreichformular eine obligatorische Checkbox zur Einwilligung vor.
  • Informieren Sie eine Person jedes Mal, wenn sie einer Idee zugeordnet wird.
  • Löschen Sie nicht prämierte Ideen nach ca. drei Jahren – oder - entfernen Sie dann personenbezogene Daten in nicht prämierten Ideen.
  • Löschen Sie prämierte Ideen nach Ablauf der Aufbewahrungspflicht (10 Jahre und mehr) – oder – entfernen Sie dann personenbezogene Daten in prämierten Ideen.

 

Weitere Informationen

Weitere Informationen sind für target-Kunden im „my target“-Bereich verfügbar (Login erforderlich).

 

Fazit

Vielen Firmen wird erst nach und nach der Umfang der datenschutzrechtlichen Verpflichtungen klar. So wird es nicht wenige geben, die das Ideenmanagement bei der Umsetzung der DSGVO noch gar nicht bedacht haben. Da allerdings auch in diesem Kontext personenbezogene Daten verarbeitet werden, kommt die DSGVO voll zum Zuge.

Diese Tatsache soll aber kein Anlass zur Panik sein. Obwohl es zur datenschutzkonformen Umsetzung des Ideenmanagements einige Punkte zu beachten gibt, wird hier doch von keinem Unmögliches verlangt. Die oben genannten Handlungsempfehlungen werden sich in aller Regel unter dem Einsatz von etwas Sorgfalt und Zeit gut umsetzen lassen.

 

< Zur Übersicht

target top