Die DSGVO steht vor der Tür – und damit viel Panikmache und Fehlinformation. Viele Unternehmen tun sich immer noch schwer, Compliance-Verpflichtungen zu verstehen und wissen nicht, wie sie diese bei ihren Aktivitäten umsetzen sollen. Mit dem näher rückenden Inkrafttreten am 25. Mai nehmen die Sorgen nur zu. Und richtig, das Inkrafttreten an diesem Tag ist eine Tatsache und die DSGVO zu ignorieren oder sie falsch auszulegen könnte kostspielig werden. Dennoch ist es wichtig zu erkennen, dass DSGVO-Compliance nicht zu einem bestimmten Zeitpunkt vollzogen ist, sondern dass es sich dabei vielmehr um einen kontinuierlichen Prozess handelt. Mit der neuen Verordnung sind Datenexperten auf dem Weg, den Schutz der Privatsphäre zu einem Teil ihres normalen Geschäftsbetriebs zu machen. Das bedeutet, dass Sicherheit direkt von Anfang an in die Prozesse eingearbeitet wird – und nicht erst im Nachhinein. Was die DSGVO und das FM betrifft, ist dies ebenfalls entscheidend.

Le RGPD pour les responsables de la gestion des services généraux

DSGVO Mythos 1: Die DSGVO betrifft nur große Unternehmen wie Google oder Facebook. Nein, die DSGVO betrifft sowohl kleine als auch große Unternehmen, die persönlich identifizierbare Daten verarbeiten. Die Größe oder die Aktivitäten Ihrer Organisation sind irrelevant.

Was ist die DSGVO? Und welche Auswirkung hat sie für das FM?

Die Datenschutzgrundverordnung wurde in dem Bestreben entwickelt, die bestehende Datenschutzrichtlinie auf den neuesten Stand zu bringen. Diese Gesetzgebung stammt aus dem Jahr 1995, einer Zeit, in der vieles anders war als heutzutage. Zu jener Zeit gab es Google noch nicht (1998 gegründet). Auch soziale Netzwerke wie Facebook (2004) oder Instagram (2010) existierten noch nicht. Amazon hatte gerade erst als eine Online-Buchhandlung angefangen. Auch die durch das Internet und die Cloud-Technologie neu geschaffenen Möglichkeiten der Datenverwertung gab es noch nicht. Durch die Verschärfung der Datenschutzvorschriften und die Einführung strengerer Durchsetzungsmaßnahmen will die EU den Betroffenen mehr Kontrolle über die Verwendung ihrer personenbezogenen Daten geben und das Vertrauen in die digitale Wirtschaft stärken.

DSGVO Mythos 2: Die Verordnung gilt nicht für Business-to-Business-Unternehmen. Nach der DSGVO gibt es keine Unterscheidung im Hinblick darauf, ob die personenbezogenen Informationen öffentlich, privat oder Arbeitsplatzdaten sind. Zum Beispiel in einem B2B-Umfeld, in dem sowohl der Kunde als auch der Lieferant Organisationen sind, berücksichtigt die Gesetzgebung die am Prozess beteiligten Personen.

Neue EU-Datenschutzbestimmungen treten im Anschluss an eine 2-jährige Übergangsphase am 25. Mai 2018 in Kraft. Anders als eine Richtlinie verlangt die DSGVO keine Ermächtigungsgesetzgebung durch die Regierungen, d. h. sie wird im Mai 2018 vollständig durchsetzbar sein. Unternehmen, die die Anforderungen der Verordnung bis dahin nicht erfüllen, können mit einer Geldstrafe von bis zu 4 % des weltweiten Umsatzes des Unternehmens rechnen oder mit 20 Millionen €, je nachdem, welcher Betrag höher ist. Zusätzlich zu den hohen Bußgeldern und Schadenersatzforderungen könnte sich eine Stop-Order sogar als potenziell noch schädlicher erweisen.

DSGVO Mythos 3: Die DSGVO betrifft nur europäische Unternehmen. Die DSGVO gilt nicht nur für Organisationen, die sich innerhalb der EU befinden, sondern auch für solche außerhalb der EU, die

– personenbezogene Daten in Bezug auf eine Aktivität oder Transaktion innerhalb des Gebiets der EU verarbeiten.

– das Verhalten von Datensubjekten in der EU beobachten.

Diese Erweiterung des territorialen Geltungsbereichs ist eine der größten Veränderungen durch die DSGVO.

Wenn Sie personenbezogene Daten für Aktivitäten und Transaktionen innerhalb der EU (einschließlich Großbritannien trotz Brexit) verarbeiten, muss Ihre Organisation mit der DSGVO konform sein. Dies wirkt sich natürlich auch auf FM-Organisationen aus, die nicht nur Betriebs- und Anlagendaten, sondern auch Daten von Mitarbeitern und Gebäudenutzern verarbeiten. FM-Dienstleister sind mit einer Verpflichtung gegenüber dem eigenen Personal zusätzlich zu den von ihnen zur Betreuung ihrer Kunden implementierten Systemen doppelt betroffen.

DSGVO Mythos 4: Die DSGVO betrifft nur EU-Bürger bzw. in der EU ansässige Personen. Die DSGVO hat nichts mit der Staatsbürgerschaft einer Person zu tun. Die Verordnung gilt, wenn der für die Datenverarbeitung Verantwortliche (eine Organisation, die Daten im Auftrag eines für die Verarbeitung Verantwortlichen verarbeitet, z. B. ein Anbieter von Cloud-Diensten) seinen Sitz in der EU hat oder die personenbezogenen Daten der betroffenen Person für Aktivitäten und Transaktionen innerhalb der EU verarbeitet werden.

10 Leitlinien der DSGVO

  1. DATENMINIMIERUNG – Die von Ihnen gesammelten Daten sollten nicht länger als es für den ursprünglich angegebenen Zweck erforderlich ist verwendet oder aufbewahrt werden.
  2. ZWECKBEGRENZUNG – Erhebung personenbezogener Daten nur für die angegebenen, expliziten und legitimen Zwecke; die Daten dürfen nicht in einer Weise weiterverarbeitet werden, die mit diesen Zwecken unvereinbar ist (kompatible Nutzung)
  3. SPEICHERUNGSBEGRENZUNG – Persönlich identifizierbare Daten können nicht länger aufbewahrt werden als es für den Zweck, zu dem die Daten verarbeitet werden, erforderlich ist.
  4. GESETZLICHE GRUNDLAGEN – Die Verarbeitung personenbezogener Daten bedarf immer einer gesetzlichen Grundlage, z. B. einer gültigen Einwilligung, eines Vertragsverhältnisses, einer rechtlichen Verpflichtung, eines berechtigten oder wesentlichen Interesses.
  5. TRANSPARENZ – Die betroffenen Personen müssen deutlich darüber informiert werden, dass Daten erfasst werden; welche Daten, warum und von wem; und die Rechte der betroffenen Personen müssen deutlich erklärt sein.
  6. GENAUIGKEIT – Es muss sichergestellt werden, dass die personenbezogenen Daten korrekt und aktuell sind; es sind alle zumutbaren Anstrengungen zu unternehmen, um unrichtige Daten unverzüglich zu löschen oder zu berichtigen.
  7. INTEGRITÄT – Die DSGVO verlangt einen angemessenen Schutz gegen die unbefugte und unrechtmäßige Verarbeitung von Daten, gegen Datenverlust sowie unrechtmäßigen Zugriff und Offenlegung; Sie müssen die von Ihnen verursachten Risiken für andere (Schaden oder Beschädigung) verstehen und mindern; dazu gehören Audits und Überwachung, die Berücksichtigung der Verschlüsselung der Pseudonymisierung und der Einsatz fortschrittlicher Datenschutztechnologien im Hinblick auf die möglichen Auswirkungen von Verstößen.
  8. MELDUNG VON VERSTÖSSEN – Die DSGVO definiert Meldepflichten sowohl für die Aufsichtsbehörde als auch für die betroffenen Personen im Falle eines Verstoßes gegen die Datenschutzbestimmungen.
  9. RECHENSCHAFTSPFLICHT – Der für die Datenverarbeitung Verantwortliche ist für die Einhaltung der Vorschriften der DSGVO verantwortlich und muss diese belegen können (Aufzeichnung aller Verarbeitungen).
  10. DATENPORTABILITÄT – das Recht, personenbezogene Daten von einem Dienstanbieter zu einem anderen zu übertragen.
DSGVO Mythos 5: Personenbezogene Daten sind stets Daten über eine Person. Bei personenbezogenen Daten handelt es sich um Informationen, die sich auf eine natürliche Person (das sogenannte „Datensubjekt“) beziehen, die zur direkten oder indirekten Identifizierung der Person verwendet werden können. Dabei kann es sich um einen Namen, ein Foto, eine E-Mail-Adresse, eine Computer-IP-Adresse oder ein Cookie handeln. Aber auch GPS-Koordinaten, eine Bankkontonummer oder ein Kfz-Kennzeichen. Oder ein Inspektionsbericht oder ein Ticket, das für eine Facility-Management-Aktivität gebucht wurde. Oder noch sensiblere Daten wie eine Gehaltsabrechnung oder Gesundheitsinformationen. Häufig übersehen werden CCTV-Aufnahmen oder Daten, die von einem Zutrittskontrollsystem erfasst werden.

Die DSGVO im Facility Management

Facility-Management-Organisationen (und ihre ausgelagerten Dienstleister) sammeln während des Betriebs personenbezogene Daten, sowohl von ihren eigenen (Außen-) Teams als auch von den Gebäudenutzern. Es ist unerlässlich, ein Datenaudit durchzuführen, um einen detaillierten Überblick darüber zu erhalten, wie personenbezogene Daten derzeit erfasst und verwaltet werden. Von FM-Organisationen wird in der Tat erwartet, dass sie wissen, welche Daten sie über jede Person haben und wo diese genau gespeichert sind. Das wird nicht allzu schwierig, wenn die Daten zentral gespeichert werden. Komplizierter wird es allerdings, wenn man papierbasierte Workflows einsetzt. Oder wenn Facility-Daten in mehreren Tools und Tabellenkalkulationen über das gesamte Unternehmen verstreut sind.

DSGVO Mythos 6: Die DSGVO gilt nur für digitale Datensätze. Papieraufzeichnungen personenbezogener Daten beispielsweise fallen ebenfalls unter die DSGVO. In der Tat spielt es keine Rolle, welche Trägerart verwendet wird.

Die integrierte FM-Software (auch bekannt als CAFM), die auf einer einzigen Datenbank läuft, hält alle Daten in einem zentralen Archiv. Dies erleichtert die Kontrolle, Aktualisierung und Sicherung von Informationen sowie die Vermeidung von doppelten Datensätzen und Inkonsistenzen (Prinzip der Datengenauigkeit).

Die FM-Abteilung innerhalb einer Organisation ist natürlich keine Insel. Lassen Sie sich als FM-Leiter von Ihrem Datenschutzbeauftragten beraten (falls diese Position eingerichtet wurde). Oder stimmen Sie sich mit dem Datenschutzbeauftragten in Ihrem Unternehmen ab, um die Einhaltung der DSGVO zu gewährleisten.

Es ist zwingend erforderlich, dass Facility Manager auch ihre Geschäftspartner und Dienstleister daraufhin prüfen, wie sie die ihnen anvertrauten personenbezogenen Daten schützen. Der Facility Manager bleibt für die Daten verantwortlich. Er hat daher die Pflicht, dafür zu sorgen, dass auch die Partner und Dienstleister ihren Teil dazu beitragen, die Anforderungen der DSGVO zu erfüllen.

DSGVO Mythos 7: Die DSGVO bezieht sich nur auf Daten, die von Nutzern zur Verfügung gestellt wurden. Nein, das Gesetz gilt für alle personenbezogenen Daten, unabhängig davon, ob die Daten direkt von der betroffenen Person bereitgestellt oder indirekt erfasst wurden.

Was ist mit der FM-Software-Compliance?

Um es deutlich zu sagen: Software ist nur ein Werkzeug, es macht Ihre Abläufe und Datenverarbeitung nicht automatisch DSGVO-konform. Aber sie kann dazu beitragen, Data Governance und DSGVO-Compliance einfacher zu machen. Einen klaren Vorteil bietet eine FM-Software, die alle Daten zentralisiert. Dies gilt ebenso für die Möglichkeit, entsprechende Zugriffsrechte zu vergeben. Dadurch wird wirksam verhindert, dass Personen auf personenbezogene Daten zugreifen können, die sie nicht betreffen. Durch den verstärkten Fokus der DSGVO auf Datensicherheit ist die Fähigkeit, (sensible) personenbezogene Daten an der Quelle zu schützen, von entscheidender Bedeutung. Dies kann durch Daten-Verschlüsselung erreicht werden, ein weiterer wichtiger Vorteil, den Software bieten kann. Erwarten Sie von Ihrem FM-Software-Anbieter, dass er versteht, worum es geht und er seine Software für die Einhaltung der DSGVO-Richtlinien weiterentwickelt.

Bei MCS Solutions haben wir zum Beispiel im nächsten Release (März 2018) unserer Software-Plattform neue Funktionen implementiert. Diese Änderungen berücksichtigen wichtige DSGVO-Grundsätze wie:

– „DATENMINIMIERUNG“ (UDI-Felder ersetzen die üblichen Felder mit personenbezogenen Daten)
– „DAS RECHT DARAUF, VERGESSEN ZU WERDEN“ (Anonymisierung der Daten)
– „RÜCKVERFOLGBARKEIT“ (vollständige Protokollierung des Datenverlaufs)
– „DATENGENAUIGKEIT“ (Erleichterung der Aktualisierung oder Korrektur der eigenen Daten durch den Betroffenen)
– „DATENSICHERHEIT“ (Verschlüsselung inaktiver Daten)

Flexibel und modular wächst MCS CAFM mit Ihrem Unternehmen und hilft Ihnen, die Herausforderungen von heute zu meistern. Und das schließt die DSGVO mit ein. Nehmen Sie mit unserem Team Kontakt auf, wenn Sie Fragen zur Einhaltung der DSGVO haben.

Weitere Lektüre

Hier finden Sie einige nützliche Quellen für eine vertiefte Lektüre:

– Infografik: ie DSGVO in einer Minute

DSGVO Orientierungshilfe durch ICO (Das Büro des Informationsbeauftragten in Großbritannien)

EU DSGVO: die offizielle Website der Europäischen Union über die Verordnung

– Die komplette Verordnung (99 Artikel)