Inhaltsverzeichnis
Wie haben Sie den 25. Mai verbracht? Wenn Sie selber Unternehmer:in sind oder in einem Unternehmen für den Datenschutz zuständig sind, gibt es eigentlich nur ein paar mögliche Geisteszustände: erschöpft, verwirrt und genervt.
Seit dem 25. Mai ist die neue europäische Datenschutzgrundverordnung (DSGVO) gültig. In Kraft trat sie bereits 2016. Erst in den letzten Wochen waren deutliche Erschütterungen im Internet und in so manchen Büros zu spüren. Auch bei uns gab und gibt es ein paar graue Haare mehr oder insgesamt ein paar Haare weniger, denn das Thema ist schon ein wenig zum Haareraufen. Doch was ändert sich jetzt mit der neuen DSGVO und wieso ist die neue Verordnung auch für die Technische Dokumentation ein Thema?
Was ist neu bei der DSGVO?
Schon das Bundesdatenschutzgesetz in Deutschland enthielt sehr strenge Regeln, sodass die Umstellung uns im Vergleich zu anderen Ländern nicht so hart trifft. Neu hinzugekommen und vielfach Thema in den Medien sind die hohen Strafen und Bußgelder, die bei Verstößen gegen die DSGVO erhoben werden können. Hier sollten Mittelständler allerdings ruhig bleiben: Die Bußgelder in Millionenhöhe sind vor allem ein Mittel, um global agierende Konzerne wie Facebook & Co. zum Handeln zu bringen. Mit solch hohen Beträgen muss ein kleineres Unternehmen nicht rechnen. Trotzdem sollte das Thema Datenschutz auf die Agenda und ernst genommen werden.
Viele Grundsätze aus dem alten Datenschutzgesetz gelten nach wie vor, wie das Verbot mit Erlaubnisvorbehalt oder die Gebote zur Datensparsamkeit, Zweckbindung und Datenrichtigkeit. Neu hinzugekommen ist der Punkt der Datensicherheit. Unternehmen müssen also sicherstellen, dass die Daten bei ihnen nach Stand der Technik sicher sind. Damit einhergehen Dokumentationspflichten und Folgeabschätzungen sowie eine Meldepflicht bei Datenpannen.
Weiterhin gibt es neue Vorgaben für Einwilligungserklärungen und auch Datenschutzerklärung auf Webseiten müssen angepasst werden. Nutzer haben jetzt das Recht auf Vergessenwerden und einen Anspruch, dass Daten von einem Anbieter zum nächsten portiert werden können. Auch für Datenschutzbeauftragte gibt es neue Regelungen.
Für Unternehmer:innen, die persönliche Daten nicht nur gelegentlich verarbeiten, kommt noch eine weitere Pflicht hinzu: Sie müssen ein Verarbeitungsverzeichnis führen, in dem alle Stellen, an denen persönliche Daten verarbeitet werden, gemeinsam mit dem Zweck der Datenerhebung und anderen Informationen wie z. B. Fristen für die Löschung dokumentiert werden müssen.
Vielleicht denken Sie als Technischer Redakteur bzw. Redakteurin sich nun: „Und was geht mich das an? Ich arbeite doch ausschließlich mit Produktdaten. Personenbezogene Daten gibt es bei uns doch gar nicht.“ Dann sollten Sie sich diese drei Beispiele aus unserer Alltagswelt einmal genauer ansehen.
Personenbezogene Daten in der Technischen Dokumentation
Beispiel 1: CMS im Einsatz
So ein CMS ist eine klasse Sache. Alle Informationen für die Dokumentation sauber verwaltet, an einer Stelle inklusive Sprachvarianten, Medienvarianten und hundertprozentiger Versionierung, sodass man jederzeit auf alte Stände zurückgreifen kann. Genau da liegt aber auch das Problem: Informationen in einem CMS sind mit einer Fülle an personenbezogenen Daten hinterlegt: Wann wurde ein Baustein zuletzt bearbeitet? Von wem? In welcher Abteilung? Wie lange wurde ein Baustein bearbeitet? Und, und, und… Aus den Metadaten eines CMS lässt sich eine Menge erfahren über die Personalstruktur des Unternehmens, über die Arbeitsweise von Mitarbeiter:innen, über ihre fachlichen Schwerpunkte oder Zugriffsrechte.
Beispiel 2: Individuelle Service-Informationen
Umgekehrt sind auch viele Benutzerinformationen individualisiert. Da bekommen Servicetechniker:innen in ihren Doku-Apps ganz individuell dann nur noch die Wartungsanleitungen der Produktlinien zu sehen, die er oder sie auch wirklich betreut. Und natürlich erfasst die Doku-App bei jedem Anmeldevorgang eine Fülle personenbezogener Daten bzw. hinterlegt diese im Nutzerprofil. Wann wurde welche Information aufgerufen? Welche Sprachpräferenz sind hinterlegt? Wie lange wurde eine Informationseinheit gelesen? An welchem Standort befand sich der Benutzer oder die Benutzerin? Diese Informationen sind sicher nützlich und können die Arbeit deutlich effizienter gestalten. Sie können aber auch missbraucht werden. Zum Beispiel könnte ein Unternehmen abfragen, welche Benutzer:innen welche Standardschriftgröße eingestellt haben, um Mitarbeiter:innen mit Sehschwäche zu identifizieren.
Beispiel 3: Nutzerfeedback in der Online-Doku
Auch Daten von Personen außerhalb des Unternehmens fallen in der Technischen Dokumentation an. Offensichtlichstes Beipiel ist die beliebte „War diese Information hilfreich?“-Funktion, die man oft in Onlinehilfen findet. Spätestens wenn neben der Antwort auch die IP-Adresse mitgegeben wird, handelt es sich um personenenbezogene Daten. Und auch hier gilt wieder: Das ist DSGVO-relevant und muss im Verarbeitungsverzeichnis erfasst werden.
Fazit
Wenn man genauer darüber nachdenkt, fällt auf: Personenbezogene Daten entstehen in der Technischen Redaktion an vielen, teils auch unerwarteten Stellen. Es lohnt sich deshalb, die eigenen Prozesse und Informationprodukte einmal daraufhin durchzuforsten. Die so identifizierten personenbezogenen Daten sollten Sie dokumentieren und an den Datschutzbeauftragten des Unternehmens melden.