GRÜN NTX und die DSGVO

Datenschutz durch Technikgestaltung hat europarechtlich eine Historie. Bereits die Datenschutzrichtlinie RL 95/46/EG sah eine entsprechende Verpflichtung vor (Erwägungsgrund 46). Insofern war es konsequent, dass der Europäische Verordnungs­geber in Artikel 25 DSGVO das Prinzip neuerlich aufgriff.

Mit § 3a wurde im Zuge der Novellierung 2001 des BDSG das präventive Gestaltungs­prinzip verankert.

Deshalb sind die Prinzipien datenschutzfreundlicher Technikgestaltung und datenschutz­freundliche Voreinstellungen für das NTX-Team nicht neu, sondern seit jeher ein Gestaltungs­prinzip der Verlagssoftware NTX.

 

Datenschutzfreundliche Technikgestaltung in NTX

Datenvermeidung und -minimierung (Artikel 25 Abs. 2 DSGVO)
Das Datenbankmodell von NTX sowie die Darstellungssicht für den jeweiligen Anwender lassen zu, dass verlagsindividuell das Prinzip der Datenvermeidung und -minimierung umgesetzt werden kann. Sowohl auf Ebene der Datenbank wie daraus folgend in den für den Anwender sichtbaren Eingabe- und Darstellungsmasken können entsprechend der Aufgabenerforderlichkeit Datenfelder hinzukonfiguriert oder entfernt werden.

Dieser Prozess beschränkt sich nicht auf eine erstmalige Systemkonfiguration, sondern kann bei veränderten Gegebenheiten (u.a. Gesetzeslage, neue Aufgabenfelder) jederzeit auch während des laufenden Betriebs bzw. mit sehr kurzer Unterbrechung vorgenommen werden.

Damit kann NTX bei jedem Verlag so eingerichtet werden, dass nur explizit gewünschte Felder des NTX-Datenmodells in der Datenbank des Verlages vorhanden und sichtbar sind – nicht aufgabenerforderliche Daten können so erst gar nicht erfasst werden.

Hierzu empfiehlt es sich anwenderseits, von Zeit zu Zeit die vorgehaltenen Datenfelder zu prüfen, ob sie für den Workflow noch notwendig sind. Wenn zum Beispiel die Branche eines Kunden inzwischen nicht mehr im Adressdatensatz sondern in einem Werbemerkmaldatensatz gespeichert ist, kann das Datenfeld „Branche“ aus dem Adressdatensatz aufwandsarm entfernt werden.

Somit kann der Verlag jederzeit selbst bestimmen, dass Datenfelder komplett aus der Datenbank entfernt werden und so den in Artikel 5 Abs. 1 DSGVO normierten Grundsätzen entsprechen.

Plausibilitäten (Artikel 25 Abs. 2 DSGVO)
Durch entsprechende Konfiguration kann vom Verlag für jedes Eingabefeld in NTX hinterlegt werden, welche Eingabemöglichkeiten es geben soll, bzw. ob eine Eingabe überhaupt erforderlich ist.

Für jedes Eingabefeld in NTX können Vorschlagswerte vom Verlag definiert werden – auch, dass das Feld leer ist. Zur Eingabe bestimmter Daten fordert NTX nur dann auf, wenn sie zur Abwicklung benötigt werden. So wird z. B. eine Bankverbindung von NTX nur bei der Zahlungsart „Lastschrift“ angefordert. Auch dies kann der Verlag je Feld festlegen.

Die umfänglichen Plausibilitätsmöglichkeiten unterstützen den für die Verarbeitung personenbezogener Daten Verantwortlichen bzw. den Verlag in der Wahrung des in Art. 5 Abs. 1 lit d) DSGVO geforderten Grundsatzes der Richtigkeit der zu verarbeitenden Daten.

Rollen- und Rechte-Konzept
In NTX kann für jede Usergruppe festgelegt werden, welche

• Menüpunkte sie sehen,
• Programme sie ausführen,
• Geräte sie zur Ausgabe ansteuern darf.

Auch die im NTX-CRM angebotenen Sichten sind gruppenabhängig steuerbar. Damit kann programmautomatisch festgelegt werden, welche Daten ein Gruppenmitglied erfassen, ändern oder auch nur sehen kann.

Die personenbezogenen Daten werden in NTX aufgabenspezifisch in unterschiedlichen Datenbanktabellen gehalten.

Dies sind zum Beispiel:

• Zusatzdaten Abonnent
• Zusatzdaten Kunden (Vertrieb)
• Zusatzdaten Kunden mandantenabhängig
• Zusatzdaten Kunden (Anzeigen)
• Zusatzdaten Rezensenten
• Zusatzdaten Autoren
• Zusatzdaten Vertreter (Anzeigen)
• Zusatzdaten Agenturen (Anzeigen)
• Zusatzdaten Vertreter (Vertrieb)
• Kunden Warengruppen (Vertrieb)
• Zusatzdaten Kleinanzeigenkunden
• Zusatzdaten E-Commerce
• Zusatzdaten Mitglieder
• Zusatzdaten Lieferanten
• Zusatzdaten Einwohnermeldeamt<

 

Aufgrund dieses granularen Zugriffskonzeptes kann NTX so konfiguriert werden, dass z. B. ein Sachbearbeiter im Abonnementbereich die für Anzeigenkunden spezifischen Daten nicht sieht. Die Verantwortlichkeit dieser Ausgestaltungsmöglichkeit liegt beim Verlag und wird konfigurativ umgesetzt – sofern der Verlag dies vorgibt.<

 

In der Definition der Gruppen und der Gruppenzugehörigkeit von Usern ist der Verlag völlig frei.

Insofern kann der Verlag mit den funktionalen Möglichkeiten und Mitteln der Rollen- und Rechtedefinition sehr granular den aufgabenerforderlichen Zugriff auf in NTX gespeicherte personenbezogene Daten – und damit, neben der Wahrung der Vertraulichkeit, auch eine zweckkonforme Verwendung – steuern.

Dadurch ist es in NTX möglich, den für die Verarbeitung Verantwortlichen entsprechend dem in Art. 5 Abs. 1 lit. f) DSGVO geforderten Grundsatz und gemäß den in Art. 32 DSGVO spezifizierten Anforderungen an die Sicherheit der Verarbeitung durch technische Maßnahmen („Integrität und Vertraulichkeit“) zu unterstützen.

Wiederherstellung
Die Sicherheit der Verarbeitung i.S. von Art. 32 DSGVO fordert Maßnahmen, die die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherstellen lässt.

Über die in der Verantwortung des Verlages liegende Datensicherung
hinaus kann NTX bei jeder Datenänderung den alten und den neuen
Feldinhalt festhalten, sowie den Zeitpunkt und den User der Änderung.

Damit erfüllt NTX auf Anwendungsebene die Voraussetzungen bei Ausfall von Hard- und Softwarekomponenten die Wiederherstellung des bei Abbruch aktuellen Programm­zustandes zu ermöglichen.

Authentifizierung
Die Benutzerauthentifizierung in NTX kann im Produktivbetrieb mittels zwei Modi (A und B) realisiert werden.

A) NTX verwendet die Authentifizierungsmethode des Applikationsservers, sofern dieser seinerseits nicht einen zentralen LDAP-Dienst verwendet.
Hier greifen die Sicherheitsbestimmungen des Betreibers des Applikationsservers.

B) NTX verwendet einen gegebenen LDAP-Dienst.
Hier greifen die Sicherheitsbestimmungen des Betreibers des LDAP-Dienstes.

Die unterschiedlichen Möglichkeiten der Authentifizierung unterstützen den Verantwortlichen darin, durch technische und organisatorische Maßnahmen im Sinne von Art. 32 DSGVO die Vertraulichkeit und Integrität der mit NTX zu verarbeitenden personenbezogenen Daten sicherzustellen.

 

Auskunft über in NTX gespeicherte personenbezogene Daten

 

Vorbemerkung
Art. 15 DSGVO normiert das Recht auf Auskunft über die gespeicherten personenbezogenen Daten.

Auskunft über in NTX gespeicherte personenbezogene Daten
NTX bietet die Funktion „Anzeige Adressinformation“. Abhängig vom verlagseigenen Gruppen- und Berechtigungskonzept ist diese im Menübaum unter „Adressen“ sichtbar.

Das Programm kennt verschiedene Detaillierungsstufen:

• „j“ für „jüngste Verwendung“: der jeweils letzte Vorgang zu der Adresse wird angezeigt
• „a“ für „Datenauszug“: Vordefinierte, anpassbare Einstellung für einen Auszug der relevanten Daten, die einem Kunden übermittelt werden sollen.
• „d“ für „detailliert“: alle mit der Adresse verknüpften Vorgänge werden angezeigt.

Nach Angabe der Adressnummer werden alle relevanten Vorkommen dieser Adresse in NTX entsprechend der Detaillierungstiefe angezeigt. Auch Adressänderung, beendete Abonnements, vergangene Anzeigenschaltungen etc. Nicht ausgegeben werden redundante Daten wie z. B. die Positionen eines Auftrages, hier ist die Anzeige des Auftragskopfes ausreichend.

– Die angezeigte Auskunft kann als PDF-Datei abgelegt werden.
– Die Auswertung kann bei Bedarf individuell an Verlagsanforderungen angepasst werden.

Näheres im Bedienblatt des Programmes.

 

Löschen von in NTX gespeicherten personenbezogenen Daten

 

Vorbemerkung
Art. 17 DSGVO normiert das Recht, dass Daten u.a. dann unverzüglich vom Verantwortlichen zu löschen sind, wenn diese für die Zwecke, für die sie erhoben und gespeichert wurden, nicht mehr notwendig sind.

Löschen ist eine Phase der Verarbeitung personenbezogener Daten (Art. 4 Nr. 2 DSGVO).

Das Recht bzw. die Verpflichtung zur Löschung ist Ausdruck des normierten Grundsatzes der Datenminimierung in Art. 5 Abs. 1 lit. c DSGVO und somit nach Art. 25 DSGVO durch Technikgestaltung umzusetzen.

Das BDSG a.F. definierte das Löschen ausdrücklich in § 3 Abs. 4 Nr. 5 als „Unkenntlichmachen gespeicherter personenbezogener Daten“. In der DSGVO findet sich keine entsprechende Begriffsdefinition, aber es handelt es sich um denselben Begriff.

Das Löschen kann auf unterschiedliche Weise erfolgen; maßgeblich ist das Ergebnis der Löschhandlung, nämlich die (faktische) Unmöglichkeit, die zuvor in den zu löschenden Daten verkörperte Information wahrzunehmen.

Technisch kann dies durch Überschreiben mit neuen Daten (oder mit einem Überschreibmuster speziell zum Zweck des Löschens) erfolgen.

Löschen von in NTX gespeicherten Daten
NTX bietet die Funktion „Entfernen von Adressinformationen aus der Datenbank“. Abhängig vom verlagseigenen Gruppen- und Berechtigungskonzept ist diese im Menübaum im Bereich „Administration“ unter „Adressen_DSGVO“ sichtbar.

Bei Ausführung der Löschroutine leert NTX die Felder in den Adressdaten, die in irgendeiner Weise eine Rekonstruktion der Adresse möglich machen würden, durch Überschreiben mit Defaultwerten, u. a. natürlich die Namensfelder, Straße, PLZ, Ort, Telefonnummer, E-Mail etc.

Zusätzlich löscht die NTX-Löschroutine alle Datensätze folgender Bereiche aus der Datenbank, die mit der Adresse in Verbindung stehen:

• Termine und Kontakte
• (Werbe-) Merkmale
• Bankverbindungen
• Suchkriterien für die Adressensuche
• Verwendung der Adresse
• Alle Datenänderungshistorien

Es werden dabei jeweils keine neuen Änderungshistorien geschrieben.

Nach dem Ausführen der Löschroutine ist in den von NTX gehaltenen Daten keine Rekonstruktion, kein Bezug zu einer Person mehr möglich, der Vorgang ist unwiderruflich.

Eine Ausführung der NTX-Löschroutine ist sicherheitshalber nur möglich, wenn die zugrundeliegende Auswertung der Verwendung der Adresse aktuell ist, d. h. am gleichen Tage zuvor ausgeführt wurde.

Dadurch, dass technisch der seitherige Adressdatensatz (ohne personenbezogene Daten) erhalten bleibt, funktionieren noch die Verknüpfungen in den Statistiken.

Allerdings muss beachtet werden, dass die GoBD fordern: So lange die Aufbewahrungs­frist für einen elektronisch durchgeführten Vorgang währt, müssen elektronisch nachvollziehbar sämtliche Informationen in dem Zustand vorgehalten werden (bzw. auf diesen reproduzierbar sein), den sie zum Zeitpunkt des Vorganges hatten. Dazu gehört auch die Anschrift.

Näheres im Bedienblatt des Programmes.

Sperren von in NTX gespeicherten Daten
Neben dem Löschen durch Überschreiben können Datensätze in NTX auch durch ein inaktiv Setzen gesperrt und damit der Zugriff auf diese Daten aktiv gesteuert werden.

Sperren bedeutet, dass Datensätze, die logisch mit „gesperrt“ gekennzeichnet sind, noch auswertbar sind. Ansonsten bleiben diese Daten dem Zugriff einer speziellen Rolle in NTX vorbehalten.

Der Zugriff auf Datensätze, die zwar noch einer Aufbewahrungspflicht unterliegen (wie z. B. steuerlich relevante Daten nach den GoBD), aber nicht mehr im produktiven Tagesgeschäft benötigt werden, kann so aufgabenerforderlich gesteuert werden.

Trennungskontrolle
Die Trennungskontrolle ist eine Maßnahme zur Wahrung der Vertraulichkeit nach Art. 32 Abs. 1 lit b DSGVO1, die gewährleisten soll, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können.
Merkmale wie z. B. die Kontakthistorie, die Vertrags-, die Vorgangsdaten und die Datenänderungshistorien zu einem Kunden sind in NTX je Sachgebiet in eigenen Datenbanktabellen gehalten (s. a. oben „Zusatzdaten“). Dadurch ist es möglich zweckgesteuert Stammdaten (oder andere) von allen anderen Daten getrennt zu verarbeiten, ohne von den jeweiligen anderen Daten Kenntnis erhalten zu können. Dies stellt eine Form der Trennungskontrolle dar.

Im Mai 2018