Blog

Nach Tags filtern: informationssicherheitdatenschutzverfahrensdokumentation

E-Mail Sicherheit durch die 3-Sekunden Regel

Auf E-Mails zu verzichten ist in unserer schnelllebigen Zeit einfach undenkbar. Doch E-Mails bringen viele Risiken mit sich und zwar durch Spam-Mails. Um sich vor diesen zu schützen, schlägt das Bundesamt für Sicherheit in der Informationstechnik die 3-Sekundenregel vor. Durch die 3-Sekundenregel können bereits viele Risiken minimiert, jedoch nicht ausgeschlossen werden.

Weiterlesen…

Messenger: Alternativen zu WhatsApp

Heute stellen wir Ihnen analog zu unserem Beitrag vom 13. Januar datenschutzkonforme Messenger als Alternative zu WhatsApp vor. Diese sind mittlerweile recht häufig zu finden und kosten trotz hoher Usability nicht viel Geld. Mehrwert erhalten Sie teilweise bei der Verwendung von Mobile Device Management (MDM).

Weiterlesen…

Tags: datenschutz

Auftragsverarbeitung

Wann handelt es sich um eine Auftragsverarbeitung? Diese Frage gilt es heute zu klären.

Weiterlesen…

Tags: datenschutz

WhatsApp im Unternehmen und Verein

Die Nutzung von WhatsApp im geschäftlichen Einsatz und im Verein ist aus rechtlicher Sicht kritisch zu sehen. Hieran hat die Datenschutzgrundverordnung (DSGVO) im Mai 2018 nichts geändert, die Problematik bestand auch schon mit dem alten Bundesdatenschutzgesetz (BDSG).

Weiterlesen…

Tags: datenschutz

GoBD-Verfahrensdokumentation - wieso, weshalb, warum?

Zunehmend werden Anforderungen kommuniziert, dass jedes Unternehmen zur Erfüllung steuerrechtlicher Anforderungen eine Verfahrensdokumentation erstellen muss. Hintergrund ist ein im November 2014 veröffentlichtes Schreiben des Bundesministeriums der Finanzen (BMF). Bei diesem Schreiben handelt es sich um die sogenannten GoBD, die im Folgenden noch weiter erläutert werden.

Weiterlesen…

21.12.2018 07:55

GoBD-Verfahrensdokumentation - wieso, weshalb, warum?

Zunehmend werden Anforderungen kommuniziert, dass jedes Unternehmen zur Erfüllung steuerrechtlicher Anforderungen eine Verfahrensdokumentation erstellen muss. Hintergrund ist ein im November 2014 veröffentlichtes Schreiben des Bundesministeriums der Finanzen (BMF). Bei diesem Schreiben handelt es sich um die sogenannten GoBD, die im Folgenden noch weiter erläutert werden.

[In der Blog-Übersicht wird hier ein Weiterlesen-Link angezeigt]

Das Schreiben beinhaltet die Anforderungen der Finanzverwaltung an IT-gestützte Buchführungssysteme, also die Führung und Aufbewahrung steuerrelevanter Unterlagen in elektronischer Form.

Die zunehmende Integration der IT-Systeme in Unternehmen, aber auch die Digitalisierung führen in jüngeren Betriebsprüfungen dazu, dass die Bedeutung steuerrelevanter IT-Systeme auch in Betriebsprüfungen zunimmt. Es gibt kaum ein Unternehmen, welches sich nicht bereits in Digitalisierungsprozessen befindet, z.B. durch den Empfang und Versand von Rechnungen per E-Mail.

Obwohl die Anforderung an die Erstellung einer Verfahrensdokumentation bereits seit 1995 besteht, ist vor dem Hintergrund der zunehmenden Digitalisierung erkennbar, dass in aktuellen Betriebsprüfungen vermehrt nach der Dokumentation gefragt wird.

Was sind die GoBD?

Die „Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff“ (GoBD) wurden im November 2014 veröffentlicht. Das Schreiben des Bundesministeriums der Finanzen (BMF) ist für Veranlagungszeiträume ab Januar 2015 gültig und hat die bisherigen Schreiben GoBS aus 1995 und GDPdU aus 2001 abgelöst.

Warum muss eine Verfahrensdokumentation erstellt werden?

Die Anforderung an die Erstellung der Dokumentation ergibt sich konkret aus Tz. 151 der GoBD. Dort heißt es, dass für jedes DV-System eine übersichtlich gegliederte Verfahrensdokumentation vorhanden sein muss, aus der folgende Inhalte vollständig und schlüssig ersichtlich sind:

·        Inhalt des Verfahrens

·        Aufbau des Verfahrens

·        Ergebnis des Verfahrens

Primäre Zielgruppe der Verfahrensdokumentation ist ein sachverständiger Dritter, z.B. ein Betriebsprüfer der Finanzbehörde. Diesem muss die Dokumentation die Möglichkeit geben, das Verfahren in angemessener Zeit nachvollziehen zu können.

Was sind die typischen Inhalte einer Verfahrensdokumentation?

Als typische Inhalte der Verfahrensdokumentation werden in Tz 152 der GoBD genannt:

·        Allgemeine Beschreibung

·        Anwenderdokumentation

·        Systemdokumentation

·        Betriebsdokumentation

Erwähnenswert ist auch die Anforderung, dass die Verfahrensdokumentation der gesetzlichen Aufbewahrungspflicht (10 Jahre) unterliegt. Änderungen an den Verfahren und Systemen müssen historisch belegbar sein. Hier bietet es sich an, für die Dokumentation ein Dokumentenmanagementsystem (DMS) einzusetzen.

Hilfreich zur Konkretisierung der notwendigen Dokumentationsinhalte ist die Tatsache, wenn wir anstelle von Verfahren besser von Geschäftsprozessen sprechen. Die Verfahrensdokumentation ist also nichts anderes als eine Dokumentation der steuerrelevanten Geschäftsprozesse.

Typische Geschäftsprozesse mit Steuerrelevanz sind:

·        Einkauf

·        Verkauf

·        Personalbuchhaltung

·        Kassenführung

·        Digitale Belegablage und E-Mail-Archivierung

Für die konkrete inhaltliche Ausgestaltung hilft Tz. 152 der GoBD: „Die Verfahrensdokumentation beschreibt den organisatorisch und technisch gewollten Prozess, z.B. bei elektronischen Dokumenten von der Entstehung der Informationen über die Indizierung, Verarbeitung und Speicherung, dem eindeutigen Wiederfinden und der maschinellen Auswertbarkeit, der Absicherung gegen Verlust und Verfälschung und der Reproduktion.“

Gibt es Erleichterungen für kleine und mittlere Unternehmen?

Es gibt keine konkreten und klar definierten Erleichterungen für kleine und mittlere Unternehmen. Aus der folgenden Formulierung ergeben sich jedoch Anhaltspunkte für mögliche Erleichterungen:

„Die konkrete Ausgestaltung der Verfahrensdokumentation ist abhängig von der Komplexität und Diversifikation der Geschäftstätigkeit und der Organisationsstruktur des eingesetzten DV-Systems.“ (Tz. 151 GoBD)

Auch Tz. 155 der GoBD deutet mögliche Erleichterungen an:

„Soweit eine fehlende oder ungenügende Verfahrensdokumentation die Nachvollziehbarkeit und Nachprüfbarkeit nicht beeinträchtigt, liegt kein formeller Mangel mit sachlichem Gewicht vor, der zum Verwerfen der Buchführung führen kann.“

Keines der Zitate führt dazu, dass ein Unternehmen keine Verfahrensdokumentation benötigt. Der Umfang der Dokumentation hängt aber von der Komplexität der Geschäftsprozesse und der verwendeten IT-Systeme ab.

Während in größeren Unternehmen integrierte Softwarelösungen (z.B. ERP-System) eingesetzt werden, die vor dem Einsatz durch ein Customizing betriebsbereit gemacht werden, verwenden kleine Unternehmen Softwarelösungen, die kaum Einstellungsmöglichkeiten bieten.

Die Komplexität der Softwarelösungen und der Verfahren geben daher ein Indiz auf die notwendige Verfahrensdokumentation, z.B.:

·        Bei Einsatz von Standardsoftware ohne umfangreiche Einstellungsmöglichkeiten kann eine Verfahrensdokumentation möglicherweise als einfache Exceltabelle der Ablaufschritte dargestellt werden mit einigen Zusatzinformationen (z.B. Internes Kontrollsystem, verwendete Software)

·        Bei Einsatz von Softwareprodukten, die vor dem Einsatz eingerichtet werden muss, ist eine Verfahrensdokumentation voraussichtlich umfangreicher.

·        Für komplexe Dokumentenmanagementlösungen (DMS) wird in der Praxis häufig eine separate Verfahrensdokumentation zu digitalen Belegablage erstellt.

Ist ein Testat des Softwareherstellers nicht ausreichend?

Buchhalterische Softwareprodukte werden von den Softwareherstellern häufig mit einem Testat herausgegeben, welches die Ordnungsmäßigkeit der Software bescheinigt. Der am weitesten verbreitete Standard ist der Prüfungsstandard 880 „Erteilung von Softwarebescheinigungen“ vom Institut der Wirtschaftsprüfer (IDW).

Für Unternehmen hat das Zertifikat im ersten Moment keine unmittelbare Aussagekraft. Das Zertifikat alleine sagt nichts über das eingerichtete System, also die spezifische Implementierung und Anpassung aus. Auch gibt das Zertifikat einem Prüfer keine Hinweise über die steuerrelevanten Prozesse und das interne Kontrollsystem (IKS). Der Mehrwert einer vorhandenen Softwarebescheinigung liegt in der Gewissheit, dass die Software die notwendigen Grundlagen für den ordnungsgemäßen Einsatz im Unternehmen „von Haus aus“ (also vom Softwarehersteller ausgehend) mitbringt. Das ausgelieferte Zertifikat ist daher ein ideales Fundament für die Verfahrensdokumentation zur Erfüllung der Anforderungen aus den GoBD.

Was müssen Unternehmen jetzt machen?

Unternehmen müssen sich darüber im Klaren sein, dass mit zunehmender Digitalisierung die Bedeutung einer Verfahrensdokumentation noch zunehmen wird. Es gibt kaum Unternehmen, die noch keine Rechnungen als Mail empfangen. Alleine an diesem Beispiel ist die Notwendigkeit einer Verfahrensdokumentation einfach erklärt, da der Ausdruck des PDF in der Mail alleine nicht ausreicht, um die Aufbewahrungspflichten zu erfüllen.

Jedes Unternehmen ist daher gut beraten, eine Verfahrensdokumentation zur Erfüllung der Anforderungen der GoBD zu erstellen. Der Umfang der Dokumentation sollte dabei von der Komplexität der Systeme und Prozesse abhängen.

Abschließend muss erwähnt werden, dass das Abwarten der nächsten Betriebsprüfung keine sinnvolle Strategie sein kann. Bereits morgen könnte im Rahmen einer Kassennachschau nach einer Verfahrensdokumentation gefragt werden.

Über den Autoren:

Markus Olbring ist Inhaber der comdatis it-consulting in Ahaus-Alstätte. Als IT-Berater und IT-Sachverständiger beschäftigt er sich mit der Erstellung und Prüfung von Verfahrensdokumentationen. Darüber hinaus ist er als IT-Prüfer für Wirtschaftsprüfungsgesellschaften tätig. Weitere Tätigkeitsfelder sind der Datenschutz und die Informationssicherheit, in beiden Bereichen sowohl als Berater als auch als zertifizierter Auditor.

15.03.2019 16:23

E-Mail Sicherheit durch die 3-Sekunden Regel

Auf E-Mails zu verzichten ist in unserer schnelllebigen Zeit einfach undenkbar. Doch E-Mails bringen viele Risiken mit sich und zwar durch Spam-Mails. Um sich vor diesen zu schützen, schlägt das Bundesamt für Sicherheit in der Informationstechnik die 3-Sekundenregel vor. Durch die 3-Sekundenregel können bereits viele Risiken minimiert, jedoch nicht ausgeschlossen werden.

[In der Blog-Übersicht wird hier ein Weiterlesen-Link angezeigt]

 

Kenne ich den Absender?

Ist der Absender unbekannt ist Vorsicht geboten.

Erwarte ich einen Anhang?

Auch bei bekannten Absendern, ist es immer wieder sinnvoll sich zu fragen, ob der Absender eine E-Mail mit einer Anlage senden muss oder eine E-Mail erwartet wird

Ist der Betreff sinnvoll?

Anhand des Betreffs lässt sich bereits erahnen, ob die E-Mail seriös erscheint.

Aber auch die 3-Sekundenregel schützt nicht komplett vor einem möglichen Infekt. Die Regeln dienen lediglich als erste Abwehrmaßnahme.

Auch wenn Sie den Absender auf den ersten Blick kennen, gilt es trotzdem vorsichtig zu sein. Die im E-Mail-Client angezeigte Absender Mail-Adresse lässt sich mit wenig Aufwand fälschen. Hinter den angezeigten Namen kann sich eine vollkommen andere Adresse verbergen. Je nach E-Mail Client können Sie dies prüfen, indem Sie mit der Maus über die Adresse fahren. Die wirkliche E-Mail-Adresse wird dann auf dem Bildschirm angezeigt. Bei dem kleinsten Hinweis, dass es sich um eine gefälschte E-Mail-Adresse handelt, ist die E-Mail sofort zu löschen. Falls Sie sich nicht zu 100% sicher sind, ob es eine korrekte E-Mail ist, sollten Sie die E-Mail löschen. Kennen Sie den Absender, kann dieser bei Zweifel angerufen werden, damit die Korrektheit der E-Mail verifiziert werden kann. Ganz besondere Vorsicht ist bei unerwarteten E-Mails von Internet-Diensten wie Amazon, PayPal oder Online-Shops geboten. Folgen Sie niemals irgendwelchen Links in den E-Mails, besonders wenn von einer unerwarteten Kontoaktivität berichtet wird. Geben Sie niemals Ihre Benutzerkennung (Benutzernamen & Passwort) ein, wenn Sie doch einen der Links in der E-Mail verfolgen / angeklickt haben. In den meisten Fällen fordern Sie die Internet-Dienstleister niemals zur Eingabe dieser Daten über einen Link in einer E-Mail auf. Auch bei einer über eine E-Mail geforderten Authentifizierung sollten Sie Vorsicht walten lassen. Die Zielwebseiten aus solchen Links werden sehr professionell kopiert und sehen dem Original sehr ähnlich. Diese Webseiten sind darauf ausgelegt Ihre Benutzerkennung zu sammeln. Dies lässt sich unter einem Phishing-Versuch einordnen, wo es darum geht Ihre Benutzerkennung zu „angeln“.

Wenn Sie eine Anlage zu einer E-Mail erhalten ist es sinnvoll, die Anlage nicht unmittelbar zu öffnen. Erwarten Sie überhaupt von dem Absender eine E-Mail mit Anlage? Trifft dies zu, gilt es sich trotzdem die Dateiendung anzuschauen. Generell gilt es keine „.exe“ Dateien zu öffnen. Das ist weitestgehend bekannt, aber Schadsoftware kann sich auch in Office-Dateien, in sogenannten Makroviren verstecken. Die Dateien beinhalten ein „M“ am Ende des Suffixes. So heißt die Excel Datei nicht „.XLSX“, sondern „XLSM“.

Auch der Betreff kann bereits ein Anzeichen für eine Spam-Mail sein. Hier kommen meist Schlagwörter zum Einsatz, auf die die meisten Menschen anspringen würden, wie bspw. „Konto“ oder „Gewinn“. Aber auch harmlose Betreffzeilen, die den Empfänger auffordern ganz dringend und innerhalb einer kurzen Zeit zu handeln, können Spam enthalten. Achten Sie auch auf den Inhalt der E-Mail. Erscheint Ihnen der Text als schlüssig und sinnvoll? Wie werden Sie in der E-Mail angesprochen und wie werden Sie normalerweise vom E-Mail Versender angesprochen?

Dies sind alles Anhaltspunkte, damit Sie in der Lage sind, Spam-Mails zu identifizieren. Abschließend bleibt zu sagen, dass Sie besonders bei E-Mails mit Anhang genau prüfen sollten, ob dies eine Spam-Mail sein könnte.

Quellen:

https://www.bsi-fuer-buerger.de/BSIFB/DE/Empfehlungen/Menschenverstand/E-Mail/E-Mail_node.html

https://www.bsi-fuer-buerger.de/BSIFB/DE/Risiken/Sicherheitsirrtuemer/Sicherheitsirrtuemer.html?cms_pos=4

26.02.2019 12:57

Messenger: Alternativen zu WhatsApp

Heute stellen wir Ihnen analog zu unserem Beitrag vom 13. Januar datenschutzkonforme Messenger als Alternative zu WhatsApp vor. Diese sind mittlerweile recht häufig zu finden und kosten trotz hoher Usability nicht viel Geld. Mehrwert erhalten Sie teilweise bei der Verwendung von Mobile Device Management (MDM).

[In der Blog-Übersicht wird hier ein Weiterlesen-Link angezeigt]

Unser Favorit unter den DSGVO-konformen Messengern ist „Threema“. In der „Work-Edition“ starten die Preise ab 1,23 EUR pro Gerät, pro Monat. In der Enterprise-Version können Sie zusätzlich App-Konfigurationen direkt aus dem Management-Cockpit steuern. 
Wem Threema Work zu kostspielig sein sollte, könnte nun auf die Privatanwender-Version dieses Unternehmens zurückgreifen wollen. Dabei sollten Sie allerdings stets prüfen, ob in diesem Fall auch eine Auftragsverarbeitungsvereinbarung (AVV) geschlossen werden kann. [1] [2]

Als weitere Alternative aus Deutschland – mit ausschließlichen Serverstandorten in Deutschland – wäre Hoccer zu nennen. Auch hier wird ein Augenmerk auf Datensparsamkeit gelegt: so ist es nicht notwendig Ihre Telefonnummer oder E-Mail-Adresse anzugeben.

Wie lässt sich nun aus der recht großen Auswahl einen Messenger ausfindig machen, der wirklich Datenschutz compliant ist? Sie sollten dabei eine Recherche unternehmen und bei der Bewertung der datenschutzrechtlichen Angemessenheit, folgende Punkte beachten:

  1. Geschieht ein automatisierter Upload des Adressbuches?
  2. In welchem Staat befinden sich die Server des Anbieters? 
    a. Als sichere Drittländer gelten z. B. die EWR-Staaten 
    b. (Momentan) sicher ist die Übertragung an Unternehmen im Privacy Shield
  3. Ist das Rechenzentrum / Serverstandort zertifiziert? 
    a. zum Beispiel ISO/IEC 27001
  4. Als juristische Person muss eine AVV mit dem Anbieter geschlossen werden. Ist dies möglich?
  5. Ist die Übertragung mittels einer Ende-zu-Ende-Verschlüsselung vorhanden?
  6. Besteht eine anderweitige Verschlüsselung (z. B. Speicherung der Nachrichten auf den Servern nur als „Hashwert“)?
  7. Ist eine Datenschutzfreundliche Voreinstellung vorhanden? 
    a. Wenn z. B. werkseitig GPS-Ortungen, Upload des Adressbuches, etc. nicht aktiviert ist
  8. Können Sie datenschutzrelevante Einstellung zentral (z. B. durch ein MDM) steuern, sodass Ihre Mitarbeiter nicht eigenhändig Einstellungen vornehmen bzw. umgehen können? 
    a. Auch Ihre Richtlinien sollten konkret angepasst werden, damit der Umgang mit dem Messenger organisatorisch bestimmt wird.
  9. Geschieht eine automatische Ortung mittels GPS?
  10. Legt der Anbieter Wert auf Datensparsamkeit? 
    a. Sind bei der Registrierung viele personenbezogene Daten Pflichtangaben (z. B. Rufnummer, E-Mail-Adresse, Name)?
  11. Unterscheiden Sie stets zwischen der Privat-Anwender-Variante und der für Unternehmen. Hier können unter Umständen Unterschiede herrschen

Wenn Sie die obengenannten Punkte vor Einführung eines Messengers prüfen, sind Sie sicher aufgestellt, was den Umgang mit Messengern angeht. Aber auch wenn ein Messenger-Anbieter viel Wert auf Datenschutz und IT-Sicherheit legt, entbindet dies nicht davon, dass niemals Kontakte freigegeben werden dürfen und vor der ersten Verarbeitung Verantwortliche eine AVV mit dem Anbieter schliessen müssen. [3]

Über den Autoren:
Sven Schüldink ist als IT-Berater bei der comdatis it-consulting in Ahaus-Alstätte beschäftigt. Als ausgebildeter Datenschutzbeauftragter beschäftigt er sich mit Themen rund um den Datenschutz.

#comdatis #einfachmittelstaendischpragmatisch #ahaus #datenschutz #dsgvo[1] https://threema.ch/de/faq
[2] https://work.threema.ch/docs/_threema_avv.pdf
[3] http://blog.comdatis.de/whatsapp-im-unternehmen-und-verein/

KATEGORIENDATENSCHUTZ & INFORMATIONSSICHERHEITBeitrags-NavigationSuche nach:SucheNEUE BEITRÄGE

KATEGORIEN
22.02.2019 12:55

Auftragsverarbeitung

Wann handelt es sich um eine Auftragsverarbeitung? Diese Frage gilt es heute zu klären.

[In der Blog-Übersicht wird hier ein Weiterlesen-Link angezeigt]

Allgemein sind Auftragsverarbeiter im Sinne der DS-GVO nur Unternehmen / Dienstleister, die im Schwerpunkt mit der Verarbeitung personenbezogener Daten beauftragt werden. Insbesondere verarbeiten die Dienstleister gemäß Art. 4 Abs. 8 und Art. 28 Abs. 3 a) DS-GVO die personenbezogenen Daten nur auf dokumentierte Weisung des Verantwortlichen. Das bedeutet, es handelt sich um einen Auftragsverarbeiter, wenn der Auftragnehmer..

  • keine Entscheidungsbefugnis über die Daten hat
  • keinen eigenen Geschäftszweck bezüglich der personenbezogenen Daten verfolgt
  • einem Nutzungsverbot der zu verarbeitenden Daten untersteht
  • in keiner vertraglichen Beziehung zu den Betroffenen steht, von denen er personenbezogene Daten verarbeitet
  • einen Zugriff auf personenbezogene Daten haben könnte
  • nicht für die Verarbeitung verantwortlich ist.

Konkret sind Unternehmen als Auftragsverarbeiter zu identifizieren, die z.B.

  • die Lohn- und Gehaltsabrechnung oder die Finanzbuchhaltung durch Rechenzentren für den Auftraggeber übernehmen,
  • dem Auftraggeber Speicherplatz im Rahmen von Cloud-Computing zur Verfügung stellen, ohne dass ein inhaltlicher Datenzugriff des Cloud-Betreibers erforderlich,
  • in einem Lettershop Werbeadressen verarbeiten
  • Kundendaten in einem Callcenter verarbeiten, ohne wesentliche eigene Entscheidungsspielräume zu besitzen,
  • die E-Mail-Verwaltung oder sonstige Datendienste zu Webseiten (z.B. Betreuung von Kontaktformularen oder Nutzeranfragen) übernehmen,
  • die Datenerfassung, Datenkonvertierung oder das Einscannen von Dokumenten übernehmen,
  • die Archivierungen und Backup-Sicherheitsspeicherung übernehmen,
  • für den Auftraggeber Datenträger entsorgen oder die Vernichtung von Akten mit personenbezogenen Daten übernehmen,
  • automatisierte Verfahren oder Datenverarbeitungsanlagen prüfen oder warten (z.B. durch Fernwartung oder externen Support), wenn bei diesen Tätigkeiten ein Zugriff auf personenbezogene Daten nicht ausgeschlossen werden kann,
  • bestimmte „Shared Services-Dienstleistungen“ innerhalb eines Konzerns zentral übernehmen, wie Dienstreisen-Planungen oder Reisekostenabrechnungen (jedenfalls sofern kein Fall gemeinsamer Verantwortlichkeit nach Art. 26 DS-GVO vorliegt),
  • Rechenzentren für Apotheken nach § 300 SGB V betreiben,
  • als ärztliche/zahnärztliche Verrechnungsstellen ohne Forderungsverkauf agieren,
  • als Sicherheitsdienst an der Pforte Besucher- und Anliefererdaten erheben,
  • im Auftrag Messwerte in Mietwohnungen (Heizung, Strom, Wasser etc.) ablesen und/oder erfassen bzw. verarbeiten oder
  • als Dienstleistung die Visabeschaffung übernehmen und hierfür vom Arbeitgeber die Beschäftigtendaten erhalten.

Fachliche Dienstleister, bei denen nicht die Datenverarbeitung im Vordergrund steht bzw. diese nicht zumindest einen wichtigen (Kern-)Bestandteil ausmacht, zählen nicht zu den Auftragsverarbeitern.

Dabei können zwei Arten von Dienstleistungen unterschieden werden:

  • Die Inanspruchnahme von fremden Fachleistungen, bei denen der Dienstleister ein eigenständiger Verantwortlicher ist.
  • Die Inanspruchnahme von fremden Fachleistungen, bei denen im Kern keine beauftragte Verarbeitung personenbezogener Daten vorliegt, sondern eine andere Tätigkeit ausgeübt wird.

Eigenständig Verantwortliche sind dabei beispielsweise:

  • Berufsgeheimnisträger (Steuerberater, Rechtsanwälte, externe Betriebsärzte, Wirtschaftsprüfen),
  • Inkassobüros mit Forderungsübertragung,
  • Bankinstitute für den Geldtransfer,
  • Postdienste für den Brief- oder Pakettransport,
  • Tätigkeit als WEG-Verwalter oder aber auch Sondereigentumsverwalter,
  • Beauftragte Warenzusendungen (Hersteller und Großhändler, die per Direktlieferung an den Endkunden liefern, die Adressen jedoch von Einzelhändlern bekommen; Blumen- oder Weinversender, die Adressdaten zur Versendung von Blumen- oder Weingeschenken erhalten),
  • Insolvenzverwalter,
  • Versicherungs-/Finanzmakler, -vermittler im Rahmen des Kundenvertrags,
  • Handelsvertreter im Rahmen ihrer Beratungstätigkeit und Vertragsvermittlungen oder
  • Hersteller individueller medizinischer Produkte, Hilfsmittel, Prothesen etc. für Patienten/Kunden im Auftrag von Ärzten, Zahnärzten, Apotheken, Sanitätshäusern usw.

Keine Verarbeitung von personenbezogenen Daten an sich liegt z.B. bei folgenden Tätigkeiten vor:

  • Reparaturen von Handwerkern, die vom Vermieter die nötigen Mieterdaten erhalten haben,
  • Die Beförderung von Personen oder Krankentransporte
  • Der Einsatz von Bewachungsdienstleistern,
  • Der Einsatz von Reinigungsdienstleistern und Handwerkern im Unternehmen
  • Das Drucken von Prospekten oder Unternehmenskatalogen, in denen Bilder von Beschäftigten oder Fotomodellen vorhanden sind,
  • Der Transport von ausreichend geschreddertem Papiermaterial oder
  • Der Transport von Waren und Unterlagen durch Kurierdienste, Speditionen oder Zeitungsausträger.

Quelle: https://www.lda.bayern.de/media/FAQ_Abgrenzung_Auftragsverarbeitung.pdf

Über die Autorin:

Carolin Huy ist IT-Beraterin bei der comdatis it-consulting in Ahaus-Alstätte. Sie beschäftigt sich als DEKRA-Zertifizierte „Fachkraft für Datenschutz“ mit Themen zu Datenschutz und DSGVO.

#comdatis #einfachmittelstaendischpragmatisch #ahaus #datenschutz #dsgvo #auftragsverarbeitung

13.01.2019 12:53

WhatsApp im Unternehmen und Verein

Die Nutzung von WhatsApp im geschäftlichen Einsatz und im Verein ist aus rechtlicher Sicht kritisch zu sehen. Hieran hat die Datenschutzgrundverordnung (DSGVO) im Mai 2018 nichts geändert, die Problematik bestand auch schon mit dem alten Bundesdatenschutzgesetz (BDSG).

[In der Blog-Übersicht wird hier ein Weiterlesen-Link angezeigt]

Was ist konkret das Problem an WhatsApp?

Nach meiner Auffassung sind es weniger die Inhalte der Kommunikation, die rechtlich bedenklich sind. Vielmehr ist es die notwendige Freigabe der Kontakte, um die App überhaupt sinnvoll nutzen zu können. Im Zusammenhang der Freigabe der Kontakte und deren Übertragung an WhatsApp spricht ein Datenschützer von einer „Datenübermittlung in ein Drittland“. Hierfür bedarf es einer Einwilligung, da keine andere Rechtsgrundlage überhaupt in Frage kommt. Jeder Kontakt muss also aktiv und nachweisbar gefragt werden, ob die Übertragung an WhatsApp in Ordnung ist und zwar vor Freigabe der Kontakte. Dies ist in der Praxis kaum umsetzbar.

Ein zweites Problem ist die geschäftliche Nutzung im Unternehmen oder auch im Verein. Hierfür bedarf es gem. Art. 28 DSGVO einer Vereinbarung zur Auftragsverarbeitung bzw. EU-Standardvertragsklauseln. Dies lässt sich mit WhatsApp nicht umsetzen.

Was ist die Folge der rechtlichen Probleme?

Die logische Folge ist, dass Datenschutzbeauftragte empfehlen müssen, WhatsApp nicht im Unternehmen und Verein einzusetzen.

Gibt es Lösungsansätze, das Problem zu beheben?

Unternehmen tun sich schwer, WhatsApp von den Smartphones zu verbannen. Auch für Vereine ist die Organisation über WhatsApp-Gruppen ein enormer Vorteil. Folgende Lösungsansätze bestehen:

  • Einsatz von Datencontainern auf Smartphones, z.B. „Sicherer Ordner“ bzw. „Knox“ auf Samsung-Geräten. Unabhängig von den Geschäftskontakten kann der Container ausschließlich für private Zwecke verwendet werden einschl. Kontakten und Anwendungen wir WhatsApp (Hilfestellung hierzu: https://www.samsung.com/at/discover/sicherer-ordner-auf-dem-galaxy-s8/).
  • Keine Freigabe der Kontakte: Das Verweigern des Zugriffs auf die Kontakte ist ein weiterer Weg zur Nutzung, der jedoch mit Komforteinbußen verbunden ist.

Über den Autoren:

Markus Olbring ist Inhaber der comdatis it-consulting GmbH & Co. KG in Ahaus-Alstätte. Er ist als IT-Berater und IT-Sachverständiger tätig und berät Unternehmen in den Bereichen Digitalisierung, Verfahrensdokumentation, Datenschutz, externer Datenschutzbeauftragter sowie Informationssicherheit.