Hallo Dirk,
die beiden Fragen haben inhaltlich nichts miteinander zu tun: durch die aktuelle Gesetzesänderung (Teil 1 Ihrer Frage - BDSG / DSGVO) ändert sich inhaltlich in Bezug auf den Schutz von (personenbezogenen) Daten (Teil 2 Ihrer Frage) eigentlich nichts. Es gibt schon seit Jahren (Jahrzehnten?) das Gebot, die Daten nur demjenigen zugänglich zu machen, der sie sehen / bearbeiten darf und soll.
Um trotzdem die beiden Fragen zu beantworten:
-
HiOrg-Server ist im Bezug auf die Themen Datenschutz und Datensicherheit schon seit Jahren sehr korrekt aufgestellt. Beispielsweise bieten wir unseren Nutzern bereits seit dies 2009 erstmalig gesetzlich gefordert wurde, eine sehr detaillierte und gut konkretisierte Vorlage eines ADV-Vertrages an. Viele Details und Hintergrundinfos zu diesen Themen finden Sie hier: http://dsds.hiorg-server.de
Durch die in Kürze anstehende Gesetzesänderung (DSGVO) ergibt sich für unsere bisherigen Kunden/Nutzer die bereits den o.g. ADV-Vertrag mit uns abgeschlossen haben, erfreulicherweise (soweit wir das überblicken und beurteilen können) kein akuter Handlungsbedarf.Das neue Gesetz unterscheidet sich vom aktuell (noch) gültigen nicht wesentlich im Inhalt, sondern nur in einigen Formulierungen (z.B. “Verantwortlicher” statt “Auftraggeber”), sowie durch einige Ergänzungen (wie “Joint Control” oder Datenspeicherung außerhalb Deutschlands), die aber in den meisten Fällen nicht zutreffend sind.
Update: Am 03.05.2018 hat das saarländische Zentrum für Datenschutz im Rahmen einer von uns beauftragten Prüfung empfohlen, neue AV-Verträge mit allen Kunden abzuschließen. Begründung: je nach Auslegung der neuen Richtlinien könnte eine regional zuständige Behörde auch aufgrund der unwesentlichen neuen Anforderungen den bestehenden Vertrag als unzureichend einschätzen. Um diesem Risiko zu entgehen, stellen wir allen Kunden einen aktualisierten und geprüften AV-Vertrag zur Verfügung. -
Welche Daten für welchen Benutzer im HiOrg-Server sichtbar sein sollen, kann nicht starr von uns vorgegeben werden, sondern muss unter Berücksichtigung der Arbeitsabläufe und Gegebenheiten in der einzelnen Organisation, von jedem Admin individuell zunächst ermittelt werden, und dann anhand der Einstellungen und Benutzer-Rechte im HiOrg-Server umgesetzt werden.
In manchen Gliederungen bzw. Personalkonstellationen ist es z.B. sinnvoll und notwendig, dass Ausbilder Einblick in alle Kursdetails haben - andernorts darf dies nicht so sein.
Das genannte Beispiel können Sie individuell in Ihrem HiOrg-Server einstellen, u.a. durch die beiden Optionen im Bereich “System - Einstellungen - Ausbildung allgemein - Rechte”:
- “Ausbilder dürfen TN-Liste fremder Kurse einsehen”
- “Ausbilder dürfen Kunden-Daten nicht öffentlicher Kurse bereits vor der festen Zuweisung sehen”
Christoph