EU-DSGVO
Ab dem 25. Mai 2018 tritt die Datenschutz-Grundverordnung (DSGVO) in Kraft, welche zum Schutz von natürlichen Personen die Verarbeitung von personenbezogenen Daten regelt. Verstöße gegen die DSGVO werden mit empfindlichen Sanktionsmaßnahmen geahndet. Aus diesem Grund sollten Unternehmen diese Gesetzesvorgaben gewissenhaft und zeitnah umsetzen. Gerade die Travel Management Abteilungen erfassen und verarbeiten zahlreiche personenbezogenen Daten. Daher möchten wir im Folgenden zwei wichtige Themengebiete der EU-DSGVO kurz vorstellen. Das Auskunftsrecht und die beiden Grundprinzipien Privacy by Default und Privacy by Design.
Auskunfsrecht
Nach Art. 15 DSGVO haben natürliche Personen ein Auskunftsrecht darüber, ob von ihnen personenbezogene Daten verarbeitet werden. Ist dies der Fall, so hat die Person ein umfangreiches Auskunftsrecht über diese personenbezogenen Daten. U.a. können Verarbeitungszwecke, Kategorien der personenbezogenen Daten und Empfänger oder Kategorien von Empfängern durch den Betroffenen sowie die Dauer der Datenspeicherung angefordert werden. Des Weiteren hat die betroffene Person ein Recht auf Berichtigung oder Löschung der Daten.Insbesondere im Travel Management werden zahlreiche personenbezogenen Daten gespeichert, verarbeitet und an Cloud-Anwendungen wie Online Booking Engines, Cloud Abrechnungsservices sowie Reisebüros übermittelt. Um dem Auskunftsrecht von betroffenen Personen gerecht zu werden sollten Unternehmen die personenbezogenen Daten aus Schnittstellen, SAP-Tabellen, SAP Infotypen und non SAP Systemen (z.B. Microsoft Excel) sorgfältig analysieren. Im Auskunftsfall sollten Unternehmen nach Möglichkeit automatisiert diese Daten durch SAP-Reports abfragen können. Hierdurch können diese Informationen bei Bedarf leicht zur Verfügung gestellt werden und müssen nicht manuell ermittelt werden.
Grundprinzipien Privacy by Default und Privacy by Design
In Artikel 5 DSGVO sind 9 Grundsätze des neuen Datenschutzrechts postuliert. Diese werden in den Grundprinzipien Privacy by Default und Privacy by Design (Art. 25) quasi zusammengefasst. Hierunter versteht man, dass Apps und Software in ihren Standardeinstellungen ein möglichst hohes Datenschutzniveau aufweisen müssen. So dürfen durch Voreinstellung nur die personenbezogenen Daten erhoben und verarbeitet werden, die für den jeweiligen Verarbeitungszweck erforderlich sind. Dasselbe gilt für das Design und die Programmierung von Software.Handlungsempfehlungen
Zusammenfassend lassen sich für Verantwortliche des Geschäftsreisemanagements und der IT die folgenden Handlungsempfehlungen ableiten. Zum einen sollten die vorhandenen personenbezogenen Daten im Rahmen des Geschäftsreiseprozesses identifiziert werden. Es sollte überprüft werden ob deren Vorhaltung nach DSGVO Rechtmäßig ist und zweckgebunden erfolgt. Weiterhin sollte ein Konzept erstellt werden, welches erlaubt im Bedarfsfall zeitgerecht nach Art. 15 DSGVO beauskunften zu können. Zuletzt sollten vorhandene Softwarelösungen und ggfs. existierende IT-Projekte des Geschäftsreisemanagements dahingehend überprüft werden, ob sie die beiden Grundprinzipien privacy by default und privacy by design berücksichtigen und konsequent umsetzen.