DSGVO-first, in klarer Sprache

Fast jede Software nennt sich DSGVO-konform. Der Begriff ist vom vielen Gebrauch glatt geschliffen und sagt einem Betriebsrat oder einem Security-Team selten etwas, das sie prüfen können. Wir zeigen lieber, wie wir arbeiten. Genau das bedeutet DSGVO-first bei Office by Elevera, geschrieben so, dass ein Mensch ohne Technikhintergrund jedem Schritt folgen kann und ein skeptischer Entwickler trotzdem zustimmend nickt.

Die Kurzfassung: Compliance ist kein Siegel, das du kaufst, sondern eine Reihe von Entscheidungen, die in der Architektur stecken. Ein Zertifikat an der Wand sagt dir, dass ein Anbieter an einem Tag ein Audit bestanden hat. Wie Daten gespeichert, getrennt und protokolliert werden, sagt dir, was an jedem Tag danach tatsächlich passiert. Wir haben für das Zweite gebaut.

Die Trennung, die alles erklärt: Verantwortlicher und Auftragsverarbeiter

Die DSGVO zieht eine Linie zwischen zwei Rollen, und fast jede Frage nach Verantwortung klärt sich, sobald du weißt, auf welcher Seite du stehst. Der Verantwortliche entscheidet, warum und wie personenbezogene Daten verarbeitet werden. Der Auftragsverarbeiter verarbeitet diese Daten nach Weisung des Verantwortlichen und sonst nichts.

Wenn du Office nutzt, bist du der Verantwortliche für die Daten deiner Mitarbeitenden. Es sind deine Leute, deine Zwecke, deine Aufbewahrungsregeln. Office ist der Auftragsverarbeiter: Wir speichern und bewegen diese Daten, damit das Produkt funktioniert, streng nach deiner Anweisung, und wir nutzen sie nicht für andere Zwecke. Diese Unterscheidung ist keine Fußnote. Sie entscheidet, wer einen Betroffenenantrag beantwortet, wer den Auftragsverarbeitungsvertrag unterschreibt und wer haftet, wenn etwas schiefgeht. Wir stellen das nach vorn, damit es nie einen Zweifel gibt.

Compliance ist kein Siegel, das du kaufst. Sie ist eine Reihe von Entscheidungen, die in der Architektur stecken, und Architektur ist der Teil, den ein Prüfer tatsächlich nachvollziehen kann.

Wo die Daten liegen und wo nicht

Personenbezogene Daten in Office bleiben in der EU. EU-Datenresidenz ist für uns keine Marketingzeile, sondern eine harte Vorgabe, wo Datensätze gespeichert und verarbeitet werden. Für einen deutschen oder kroatischen Arbeitgeber zählt das aus mehr als Prinzip: Es hält die Rechtsgrundlage der Verarbeitung einfach und hält dir Regeln zur Drittlandübermittlung vom Hals, für die Daten, die im Kernprodukt leben.

Die Personen, die an die Infrastruktur dürfen, sind begrenzt und namentlich bekannt, und ihre Arbeit wird protokolliert. Wir halten die Liste der Unternehmen, die in unserem Auftrag Daten verarbeiten, also die Subauftragsverarbeiter, aktuell und öffentlich, damit du genau siehst, wer in der Kette steht, bevor du irgendetwas unterschreibst. Die laufende Liste findest du auf unserer Seite Subprozessoren und das Gesamtbild unter Sicherheit.

Trennung erzwungen in der Datenbank, nicht nur in der App

Das ist der Teil, der uns am wichtigsten ist, weil ihn die meisten Produkte falsch machen. In einem typischen mandantenfähigen System liegen die Daten jeder Organisation in geteilten Tabellen, und man vertraut darauf, dass der Anwendungscode bei jeder Abfrage den richtigen Filter setzt. Eine vergessene Bedingung, ein cleverer Bug, und ein Kunde sieht die Datensätze eines anderen. Die Mauer existiert nur im Code, und im Code wohnen die Fehler.

Office erzwingt Mandantentrennung pro Organisation in der Datenbank selbst. Jede Zeile personenbezogener Daten trägt die Organisation, zu der sie gehört, und die Datenbank weigert sich, Zeilen einer anderen Organisation zurückzugeben, egal was die Anwendung verlangt. Die Trennung ist eine Eigenschaft der Daten, keine Gewohnheit der Entwickler. Wenn eine Abfrage ihren Filter vergisst, gibt sie nichts zurück statt fremder Gehaltsabrechnungen.

Warum das ein Siegel schlägt: Ein Zertifikat sagt, dass ein Prozess befolgt wurde. Trennung in der Datenbank sagt, dass die falsche Antwort strukturell unmöglich zurückzugeben ist. Das eine ist ein Versprechen, das andere eine Garantie, auf die du einen Prüfer zeigen kannst.

Least-Privilege-Rollen: Jeder sieht nur, was die Aufgabe braucht

Trennung hält Organisationen auseinander. Rollen halten Menschen innerhalb einer Organisation ehrlich. Office nutzt Least-Privilege-Rollen, eine schlichte Idee mit präziser Bedeutung: Niemand bekommt Zugriff standardmäßig, Zugriff wird aus einem Grund gewährt, und der Grund hängt an einer Aufgabe.

• Eine HR-Administration verwaltet Personalakten und Dokumente, weil das die Rolle ist.
• Eine Führungskraft sieht Abwesenheiten und Reviews des eigenen Teams, nicht die Gehälter des ganzen Unternehmens.
• Mitarbeitende sehen über Self-Service ihr eigenes Profil, ihre Gehaltsabrechnungen und Anträge, und nichts, was Kolleginnen oder Kollegen gehört.
• Ein externer Steuerberater erhält ein token-begrenztes, nur lesendes Fenster auf genau die Lohndaten, die er braucht, und keinen Login in dein HR-System.

Bei dem letzten Punkt lohnt sich das Verweilen. Lohndaten mit einem Steuerberater zu teilen heißt sonst, eine Tabelle zu mailen oder ein Passwort herauszugeben, beides verrät mehr als gewollt. Eine token-begrenzte, nur lesende Freigabe gibt ihm genau den Ausschnitt, den er braucht, keinen Schreibzugriff, und sie lässt sich in dem Moment widerrufen, in dem das Mandat endet.

Der Audit-Trail: append-only, unveränderlich und mit Absicht langweilig

Jede folgenreiche Handlung in Office wird in einen unveränderlichen, append-only Audit-Trail geschrieben. Append-only heißt, Einträge werden hinzugefügt und nie bearbeitet. Unveränderlich heißt, sie können nicht still im Nachhinein umgeschrieben werden, weder von einer Nutzerin noch von einer Administratorin. Das Protokoll hält fest, wer was an welchem Datensatz wann getan hat.

Das ist das unglamouröse Rückgrat der Nachvollziehbarkeit. Wenn der Betriebsrat fragt, wer ein sensibles Dokument eingesehen hat, steht die Antwort im Protokoll. Wenn ein Prüfer Belege will, dass Aufbewahrung und Löschung wie zugesagt geschehen sind, steht es im Protokoll. Wenn du selbst eine Änderung verstehen willst, rekonstruierst du sie nicht aus dem Gedächtnis, du liest sie. Ein Trail, der sich bearbeiten lässt, beweist nichts. Einer, der das nicht kann, ist der Unterschied zwischen Vertrauen und einer Erzählung.

Betroffenenrechte, behandelt wie Routinearbeit

Die DSGVO gibt den Menschen, deren Daten du hältst, eine Reihe von Rechten: zu erfahren, was du über sie speicherst, eine Kopie zu bekommen, es zu berichtigen, es löschen zu lassen, wenn es keinen rechtmäßigen Grund mehr für die Aufbewahrung gibt, und die Nutzung einschränken zu lassen. Als Verantwortlicher kommen diese Anträge zu dir. Die Aufgabe von Office als Auftragsverarbeiter ist es, ihre Beantwortung zur Routine statt zum Feueralarm zu machen.

Weil die Daten ein Zuhause und einen klaren Eigentümer haben, ist ein Auskunftsantrag ein Nachschlagen, kein archäologisches Projekt. Self-Service gibt Mitarbeitenden bereits ihr eigenes Profil, ihre Gehaltsabrechnungen und Dokumente, was einen guten Teil der Auskunftsanträge still erledigt, bevor sie überhaupt gestellt werden. Berichtigung ist eine Bearbeitung. Löschung respektiert die Aufbewahrungsregeln, die du gesetzt hast, sodass du löschst, was du darfst, und behältst, was das Gesetz dich zu behalten verpflichtet, beides festgehalten im Trail.

Warum Architektur ein Siegel schlägt

Eine Zertifizierung ist eine Momentaufnahme. Sie sagt, dass am Tag der Prüfung die Kontrollen richtig aussahen. Sie folgt deinen Daten nicht nach Hause und wacht nicht über sie an einem Dienstag im März, wenn jemand eine ungewöhnliche Abfrage startet. Architektur tut das. Trennung in der Datenbank, Least-Privilege-Rollen und ein unveränderlicher Trail sind nichts, das wir zu tun versprechen, sie sind Eigenschaften davon, wie das System gebaut ist, und arbeiten gleich, ob jemand zuschaut oder nicht.

Das ist die ganze Philosophie: eine einzige Quelle der Wahrheit, geringster Zugriff und ein Protokoll, das sich nicht still ändern lässt. Es ist derselbe ruhige, aufgeräumte Ansatz, den wir im Rest des Produkts verfolgen, angewandt auf den Teil mit dem höchsten Einsatz. Willst du das technische Detail, geht die Seite Sicherheit tiefer, und die Integration mit Fleet by Elevera trägt dieselben Garantien durch den geschlossenen Kreislauf. Fragst du lieber direkt, sind wir leicht zu erreichen.