Durchblick bei
DSGVO & Co.
DSGVO: So funktioniert IT Compliance in Ihrem Unternehmen
Rechtliche Vorgaben gibt es viele. Doch welche sind für Ihr Unternehmen relevant? Und wie können Sie die Umsetzung durch den Einsatz von Software vereinfachen?
DSGVO, GoBD, ISO 9001 – geht es um Datenschutz und Rechtssicherheit in Unternehmen, wimmelt es plötzlich von Abkürzungen. Häufig taucht dann auch noch der Begriff „IT Compliance“ auf. Kein Wunder, dass Sie womöglich erst einmal den Überblick verlieren, wenn Sie sich plötzlich mit dem Thema auseinandersetzen müssen. Oft hat man mal mehr, mal weniger Ahnung davon, was sich eigentlich genau hinter diesen Begriffen verbirgt. Doch eines ist gewiss: Compliance im Bereich IT ist ein weites Feld – und dieses gilt es zu verstehen, um Prozesse im eigenen Betrieb von A bis Z rechtskonform zu gestalten.
Inhaltsübersicht
Was ist IT Compliance überhaupt?
Compliance heißt auf Deutsch so viel wie „Beachtung“ oder „Befolgung“. Laut Gabler Wirtschaftslexikon ist sie als „Einhaltung von Gesetzen, Regeln und Normen“ definiert. In der IT geht es bei Compliance nach dieser Definition also vor allem um die Einhaltung von Regeln für Datenschutz und Informationssicherheit. Dies ist heute in sämtlichen Branchen gesetzlich verpflichtend – von Mittelständlern über öffentliche Verwaltungen bis hin zu Verbänden und Stiftungen. Denn für Unternehmen und ihre Mitarbeiter ist es Pflicht, gesetzliche Regelungen beim Management ihrer Daten zu beachten und einzuhalten. Ansonsten drohen strafrechtliche Konsequenzen und horrende Bußgelder.
Sie sehen: Fehler bei der Dokumentation, der falsche Umgang mit sensiblen Daten und unklare Abläufe können interne Komplikationen verursachen, aber auch unangenehme Folgen in der Zusammenarbeit mit Kunden, Partnern oder Lieferanten nach sich ziehen. Verpflichtend ist daher ein Katalog von internen Regeln, Maßnahmen und Richtlinien im Rahmen der Corporate Governance. Dieser regelt das Verhalten der Mitarbeiter und die Vorschriften des Datenmanagements – auch Compliance Management genannt. Mit der allgemeinen Verwaltung der IT hilft ein Datenschutzbeauftragter, der entweder aus Ihrem eigenen Mitarbeiterstamm bestimmt wird oder extern dazugeholt werden kann. Da manuelle Prozesse dennoch sehr fehleranfällig sind, bietet sich ergänzend eine digitale Lösung an: ein sogenanntes Compliance Management System (CMS).
Compliance Management digital gestalten
Eine CMS-Lösung bringt erst dann einen echten Mehrwert für Ihr Unternehmen, wenn alle Teams und Abteilungen auf das gleiche Wissen zugreifen können. Eine herkömmliche Software für das Compliance Management erfüllt zwar ihren Zweck in puncto Rechtskonformität, ist aber meist nicht ausreichend in die bestehende IT-Infrastruktur integriert. Deshalb ist es sinnvoll, die eigenen Arbeitsabläufe in einer Software abzubilden. Zudem genügen Standardlösungen allein oft nicht aus, um die gesetzlichen Vorgaben zu erfüllen – auch dann nicht, wenn sie von einem Wirtschaftsprüfer abgenommen sind. Erst mit einer umfassenden Verfahrensdokumentation und der Abnahme des gesamten Archivierungsprozesses sind Sie auf der sicheren Seite.
Regelkonform und flexibel arbeiten
Softwareseitig erfüllt unsere Lösung agorum core pro alle Voraussetzungen. Das heißt, indem Sie das System nutzen, handeln Sie bereits vollumfänglich IT Compliance-konform und müssen nichts extra beachten. Dazu lassen wir unser System regelmäßig abnehmen, um Ihnen eine zuverlässige Lösung mit der erforderlichen Sicherheit zu bieten. Die Bescheinigung des Wirtschaftsprüfers für die Version 9.0 finden Sie hier. Bei Bedarf passen wir agorum core flexibel an Ihre Bedürfnisse an, um Ihnen die Arbeit so leicht wie möglich zu machen. Damit reduzieren Sie den Aufwand für Ihre Compliance-Vorgaben und können die Zeit für die wirklich wichtigen Dinge nutzen. Das Ergebnis: Sind alle Informationen digitalisiert, kann schnell und einfach auf sie zugegriffen werden. Der Gang zum Aktenschrank erübrigt sich; unübersichtliche Papierstapel und der Verlust einzelner Dokumente oder ganzer Verträge gehören der Vergangenheit an. Der große Pluspunkt: Sie nutzen das volle Potenzial Ihrer archivierten Daten und handeln dabei nicht nur rechtskonform, sondern beschleunigen Ihre unternehmensinternen Prozesse immens.
Achtung: Besonders bei der Digitalisierung von analogen Belegen sollten Sie Ihre Prozesse von einem Wirtschaftsprüfer überprüfen lassen, um rechtlich auf der sicheren Seite zu sein. Eine abgenommene Softwarelösung allein reicht nicht aus.
Rechtssicherheit: Richtlinien von DSGVO bis GoBD
Nachvollziehbare, automatische Prozesse beginnen mit der Erstellung einer sinnvollen Berechtigungsstruktur und enden bei der automatischen Ablage von revisionssicheren Dokumenten. Mit einer geeigneten Softwarelösung machen Sie die Informationen genau dann verfügbar, wenn sie gebraucht werden. Dynamische Benachrichtigungen erinnern Sie rechtzeitig an ablaufende Fristen, und die Positionen Ihrer Rechnungen lassen sich direkt ins passende Projekt buchen. Die Erfüllung gesetzlicher Vorgaben wird dabei fast zur Nebensache. Bereits in der Standardversion bietet Ihnen agorum core Lösungen für die Einhaltung gesetzlicher Richtlinien. Unsere Module unterstützen Sie bei der revisionssicheren Archivierung oder dem korrekten Umgang mit personenbezogenen Daten. Die wichtigen Informationen aus den betreffenden Dokumenten machen Sie dabei für jeden verfügbar.
Prozesse DSGVO-konform abbilden
Die Datenschutz-Grundverordnung (DSGVO) hat in den letzten Jahren für einige Aufregung gesorgt. Mittlerweile sind die Richtlinien zwar in jedem Unternehmen angekommen, die rechtskonforme Umsetzung gestaltet sich dennoch manchmal schwer. Welche Pflichten kommen auf Ihr Unternehmen im Rahmen der Digital Compliance zu? Zunächst sollten Sie sich vor Augen führen: Auch im IT-Datenschutz steht der Mensch – also Sie selbst, Ihre Kollegen und Kunden privat – im Mittelpunkt. Es handelt sich nicht um eine leidige Angelegenheit, die Ihnen den Arbeitsalltag verkompliziert, sondern um etwas, das in Ihrem eigenen Interesse sein sollte. Die oberste Prämisse ist deshalb: Daten, die uns persönlich identifizierbar machen, sind schützenswert – ob Name, Nationalität, Einkommen oder Gesundheitsdaten. Und sie dürfen nur für einen bestimmten, von vornherein festgelegten und rechtmäßigen Zweck erhoben werden. Die Datenschutz-Grundverordnung ist jedoch nicht nur mit Pflichten verbunden, sondern sie sichert uns unter anderem folgende Rechte zu:
- Recht auf Information und Auskunft (Art. 13, 14 DSGVO und Art. 15 DSGVO)
- Recht auf Berichtigung (Art. 16 DSGVO)
- Recht auf Löschung (Art. 17 DSGVO) und Einschränkung der Verarbeitung (Art. 18 DSGVO)
- Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
- Grundsatz der Integrität und Vertraulichkeit (Art. 5 Abs. 1 lit. f DSGVO)
- Grundsatz der Speicherbegrenzung (Art. 5 Abs. 1 lit. e DSGVO)
- Grundsatz der Datenminimierung (Art. 5 Abs. 1 lit. c DSGVO)
Die ausführlichen Artikel der Datenschutz-Verordnung finden Sie hier.
Um diesen Rechten entsprechen zu können, sollten Sie folgende Informationen zu gespeicherten personenbezogenen Daten hinterlegen:
- Welche personenbezogenen Daten werden im Unternehmen verarbeitet und gespeichert?
- Zu welchem Zweck wurden diese Daten erhoben und werden sie noch verarbeitet?
- Woher stammen die Daten?
- Wer hat Zugriff?
- An welche Stellen wurden die Daten übermittelt? Handelt es sich um Stellen im EU-Ausland?
Personalakte digitalisieren
Vor allem die Beschäftigung von Mitarbeitern bringt es zwangsläufig mit sich, dass Sie unter Wahrung der Datensicherheit in Ihrem Unternehmen Dokumente und Informationen mit personenbezogenen Daten verarbeiten müssen. Das können Bewerbungsunterlagen wie Lebensläufe und Zeugnisse, aber auch der Sozialversicherungsausweis oder die Gehaltsbescheinigung sein. Um diese Unterlagen datenschutzkonform und komfortabel zu bearbeiten, bietet sich eine digitale Bewerber- bzw. Personalakte an. Damit sorgen Sie nicht nur dafür, dass gesetzliche Vorgaben aufwandslos eingehalten werden, sondern schaffen für Ihre internen Abläufe auch einen Mehrwert. Neben der dynamischen Einbindung in Suchanfragen und Workflowprozesse erreichen Sie mit einer Berechtigungsstruktur und Versionierung DSGVO-konforme Abläufe.
IT Compliance mit Qualität – ISO 9001
Kundenzufriedenheit ist die Grundlage für ein erfolgreiches Unternehmen. Ihre Sicherstellung gehört zu den Maßnahmen der Digital Compliance dazu. Wichtigstes Kriterium für ein gutes Verhältnis zu Ihrer Kundschaft ist die Qualität Ihres Produkts oder Ihrer Dienstleistung. Die ISO 9001 legt die Mindestanforderungen an Ihr Qualitätsmanagement fest. Bei Einhaltung aller Richtlinien soll die Norm sowohl die Kundenzufriedenheit als auch Ihre Wettbewerbsfähigkeit steigern. Gutes Qualitätsmanagement lebt von ständiger Verbesserung. Die Abläufe, die heute optimal funktionieren, können in einem halben Jahr überholt sein. Deshalb sieht die ISO 9001 vor, gesetzte Standards und Prozessvorgaben regelmäßig zu kontrollieren. Das gilt für folgende Prozesse:
- Handling von Dokumenten
- Lenkung von Aufzeichnungen
- internes Audit
- Handling fehlerhafter Produkte und Reklamationen
- Korrekturmaßnahmen
- Vorbeugungsmaßnahmen
Revisionssicheres Archiv mit GoBD
Die Revisionssicherheit Ihres Archivs ist ebenfalls gesetzlich verankert. Vereinfacht ausgedrückt sind Dokumente „revisionssicher“, wenn sie vor nachträglichen Änderungen geschützt sind. Welche Anforderungen Ihr papierloses Archiv in Deutschland konkret erfüllen muss, regeln die „Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff“, kurz GoBD. Diese Richtlinien sollen dem Gesetzgeber eine lückenlose Kontrolle der Buchhaltung ermöglichen. Eine besondere Rolle spielt die Ablage Ihrer steuerrelevanten Belege. Im Wesentlichen basieren die GoBD auf fünf Grundsätzen: Zunächst müssen Sie Ihre Dokumente vollständig ablegen. Achten Sie darauf, dass Sie die Daten für eine eventuelle Steuerprüfung jederzeit zugriffsbereit abspeichern. Vorgeschrieben ist, dass die Informationen für den Prüfenden nachvollziehbar sind. Für diesen Prozess haben Sie nicht unbegrenzt Zeit: Der Gesetzgeber sieht vor, dass betroffene Nachweise innerhalb einer gewissen Frist archiviert werden müssen.
Datenschutz im Unternehmen
Grundsätzlich müssen Belege in der Form archiviert werden, in der sie im Unternehmen eintreffen. Einzige Ausnahme bilden analoge Belege. Scannen und archivieren Sie Papierdokumente vorschriftsgerecht und dokumentieren Sie den Prozess GoBD-konform, können Sie die Archivierung digital vornehmen. Hier informieren wir Sie über die aktuellen Aufbewahrungsfristen. Im Rahmen der GoBD sind jedoch nicht nur Belege relevant. Auch geschäftliche E-Mails können unter die Archivierungspflicht fallen, wenn sie steuerlich relevante Informationen enthalten. Das ist dann der Fall, wenn sie die Funktion eines Handelsbriefs erfüllen. In diese Kategorie fallen beispielsweise Lieferscheine, Rechnungen und Angebote sowie Reklamationsschreiben. Aber wie sortieren Sie die E-Mails aus, die tatsächlich revisionssicher archiviert werden müssen? Da der Aufwand für manuelles Sortieren zu groß und günstig für den Speicherplatz ist, bietet es sich an, alle Firmen-E-Mails zu archivieren. So stellen Sie sicher, dass garantiert keine wichtige E-Mail durchrutscht. Vorsicht: Sind private E-Mails im Unternehmen erlaubt, können Sie bei diesem Vorgehen mit der Datenschutz-Grundverordnung in Konflikt geraten. Am wenigsten Probleme bereitet es, wenn Sie privaten E-Mail-Verkehr im Unternehmen untersagen.
Compliance mit Software umsetzen
Egal ob DSGVO, GoBD oder ISO 9001: Unsere Softwarelösung agorum core unterstützt Sie und die Mitarbeiter Ihres Unternehmens vollumfänglich, Ihre Prozesse datenschutzkonform und rechtssicher aufzusetzen. Die unveränderliche und unlöschbare Ablage Ihrer Dokumente erleichtert agorum core mit Modulen. Das agorum core basic archive dsgvo ist eines davon. Damit markieren Sie personenbezogene Daten auf Knopfdruck und vergeben Metadaten, die Ihnen die spätere Zuordnung erleichtern. Zusätzlich können Sie Ablaufdaten setzen, damit Ihr System Daten nach Ablauf der Frist automatisch löscht. Dem Recht auf Änderung können Sie mit der automatisch angelegten Historie entsprechen – damit lassen sich Änderungen nachverfolgen und dokumentieren. Sollte ein Betreffender sein Recht auf Auskunft wahrnehmen, finden Sie alle relevanten Daten – auf Knopfdruck – in einer Tabelle zusammengestellt. Die schicken Sie dem Antragsteller zu und erfüllen damit Ihre gesetzliche Pflicht.
Sicherer E-Mail-Server und Qualitätsmanagement
Ein E-Mail-Server kann die unveränderbare Ablage von E-Mails nicht übernehmen. Schließlich wird nirgendwo ersichtlich, ob die Inhalte nicht geändert wurden. Abhilfe schaffen Sie mit dem agorum core mail archive. E-Mails werden automatisch archiviert und revisionssicher abgelegt ohne zusätzlichen Eingriff eines Mitarbeiters. Dank Volltextsuche sind die wichtigen Informationen auch nach der Archivierung schnell auffindbar.
Die laufende Überwachung Ihres Qualitätsmanagements nach ISO 9001 ermöglichen Sie mit den dynamischen Workflows. In agorum core haben wir Funktionen integriert, die Ihnen bei der Erfüllung der Vorgaben helfen. So sind Dokumente zur Qualitätssicherung schnell kategorisier- und auffindbar. Mit der automatischen Historie sehen Sie jederzeit, wer welche Version wann geändert hat. Der Stand eines Projekts ist damit jederzeit für die Bearbeiter ersichtlich. Das sorgt für hohe Transparenz und Nachvollziehbarkeit Ihrer internen Standards.
Wird eine Aufgabe nicht fristgerecht erledigt, übergibt sie das System automatisch an eine Vertretung. Zusätzlich bekommen Sie mit agorum core smart organisation ein Tool an die Hand, mit dem Sie Ihre Arbeit hochflexibel und agil strukturieren können.
Achtung: Auch wenn Sie agorum core oder eine andere Softwarelösung einsetzen, sollten Sie Ihre Prozesse von Ihrem Datenschutzbeauftragten genau prüfen lassen. Der Einsatz von geeigneter Software garantiert keine Datenschutzkonformität.
IT Compliance in der Cloud: volle Kontrolle über Ihre Daten
Zur Erfüllung der IT Compliance Anforderungen gehört nicht nur, sensible Daten regelkonform zu verwalten, sondern auch, diese vor ungewolltem Zugriff zu schützen. Dabei unterstützt Sie unsere Cloud-Lösung: Die agorum cloud bietet eine komplett providerunabhängige Infrastruktur für den Betrieb von agorum core. Auf Knopfdruck können wir Ihre komplette Umgebung mit sämtlichen Funktionen unkompliziert zu einem anderen Provider, aber auch zurück auf den eigenen Server migrieren. Das garantiert Ihnen maximale Flexibilität und Sicherheit. Ein Feature, das insbesondere dazu beiträgt, ist die Cloud in der Cloud. Was bedeutet das? Ihre Informationen – also Dokumente, Datenbank, Softwarekonfiguration und Backup – werden innerhalb der agorum cloud streng von den Daten anderer Unternehmen getrennt. So können Sie wechseln, ohne diese aufwändig umziehen zu müssen. Neben einem täglichen Back-up enthält die agorum cloud einen Angriffsschutz, eine SSL-Verschlüsselung und eine Monitoring-Funktion. Auf Wunsch erhalten Sie eine direkte VPN-Verbindung, die für noch mehr Sicherheit beim Zugriff sorgt. Das Ergebnis: agorum core wird in der agorum cloud so betrieben, als würde sich das System bei Ihnen im Haus befinden.
Fazit: IT Compliance leicht gemacht
Selbst wenn Sie die Themen DSGVO, GoBD und Qualitätsmanagement für sich erschlossen haben, handelt es sich immer nur um einen aktuellen Stand. Für Änderungen bei der Einhaltung von Vorschriften und sonstigen Regelungen gilt: Die gesetzlichen Vorgaben im Bereich Digital Compliance können sich in Deutschland ständig ändern. Flexibel bleiben Sie mit einer passenden Softwarelösung, die sich an rechtliche Neuerungen und an die Bedürfnisse sowie Anwendungen Ihres Unternehmens anpasst. So erledigt sich IT Compliance nahezu wie von selbst, und Ihre Mitarbeiter kommen trotz aller Richtlinien zur wichtigen Arbeit.
Erfahren Sie in Ihrer persönlichen und kostenlosen Online-Demo, wie Sie IT Compliance in Ihrem Unternehmen mit agorum core vom leidigen Thema zum Vorzeigeprojekt machen – individuell auf Ihre Anforderungen und Bedürfnisse zugeschnitten.
Hinweis: Dieser Text ist keine Rechtsberatung. Trotz sorgfältiger Prüfung unserer Inhalte übernehmen wir keine Haftung für Richtigkeit, Vollständigkeit und Aktualität der Informationen. Bei konkreten Rechtsfällen konsultieren Sie bitte einen zugelassenen Fachanwalt. (Stand: Juli 2021)