einfach/mittelständisch/pragmatisch

digital compliance experts

Blog

Nach Autor gefiltert: Faraz Afscharian     Alle Artikel anzeigen

GoBD - neue Fassung im Juli 2019

Am 11. Juli kam die neue Fassung der GoBD heraus. Die Abkürzung steht für:
"Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff". Wir haben uns mit den Änderungen beschäftigt und haben die grundlegenden Änderungen nachfolgend zusammengefasst. Vorab muss man sagen, dass sich die Anzahl der Randziffern (184) und die Anordnung der Randziffern unverändert geblieben ist.

Weiterlesen…

Wer ist von den GoBD betroffen?

Von den GoBD (Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff) sind alle Steuerpflichtigen mit Gewinneinkünften betroffen, die ihre unternehmerischen Abläufe mit Hilfe von IT-Systemen abbilden und die den GoB (Grundsätze ordnungsmäßiger Buchführung) in elektronischer Form nachkommen. Die GoBD gelten also für alle Buchführungs- und Aufzeichnungspflichtigen Unternehmen.

Weiterlesen…

Daten sicher austauschen

Wie stellen Sie einer Person Daten und Dateien zur Verfügung? Zugegeben, es ist ein Leichtes eine E-Mail mit einer Rechnung, Versandbestätigung o.ä. zu schreiben und somit einer anderen Person zur Verfügung stellen. Doch wie ist es mit sensiblen, möglicherweise personenbezogenen Daten oder großen Dateien, die man nicht ohne weiteres per Mail versenden kann?

Weiterlesen…

E-Mail Sicherheit durch die 3-Sekunden Regel

Auf E-Mails zu verzichten ist in unserer schnelllebigen Zeit einfach undenkbar. Doch E-Mails bringen viele Risiken mit sich und zwar durch Spam-Mails. Um sich vor diesen zu schützen, schlägt das Bundesamt für Sicherheit in der Informationstechnik die 3-Sekundenregel vor. Durch die 3-Sekundenregel können bereits viele Risiken minimiert, jedoch nicht ausgeschlossen werden.

Weiterlesen…

03.06.2020 07:26

Neue Podcastfolge: Transportsicherheit beim Austausch von Daten

In der dreizehnten Folge unseres Podcasts sprechen wir über die Transportsicherheiten beim Austausch von Informationen.

Dabei spielt das Thema der Verschlüsselung die zentrale Rolle – allerdings ist Verschlüsselung nicht gleich Verschlüsselung. Wir sprechen über die Unterschiede bei den einzelnen Formen: was eigentlich die Begriffe der Transportverschlüsselung und Inhaltsverschlüsselung voneinander abgrenzen, was es mit PGP auf sich hat und ob es wirklich so kompliziert ist. Auch welche Methoden bestehen, Dateien sicher und speicheroptimiert transportieren zu können, haben wir besprochen. Wie gewohnt haben wir dabei auch gleich einen Tipp mitgebracht, die die Sicherheit und den Datenschutz in kostenlosen Clouds verbessert.  

Hier können Sie unsere Podcastfolgen abrufen.

26.05.2020 09:02

DSGVO und die Bußgelder

Gemäß des Artikels 83 der Datenschutzgrundverordnung (DSGVO) können Geldbußen durch die Datenschutz-Aufsichtsbehörden unter Berücksichtigung der Art, Schwere und Dauer des Verstoßes verhängt werden. Dabei sollen die Aufsichtsbehörden nach Vorgabe des europäischen Gesetzgebers sicherstellen, dass die verhängten Geldbußen verhältnismäßig und abschreckend sind.

Rechtlicher Rahmen

Für Verstöße gegen einige Normen der DSGVO können bis zu 10 000 000 EUR oder bis zu 2 % seines gesamten weltweit erzielten Jahresumsatzes (des vorangegangenen Geschäftsjahrs), für schwerwiegendere Verstöße gegen Artikel der DSGVO und Paragraphen des Bundesdatenschutzgesetzes (BDSG) gar bis zu 20 000 000 EUR oder bis zu 4 % seines gesamten weltweiten Jahresumsatzes, verhängt werden. Bei der prozentualen Bemessung der Geldbuße am Jahresumsatz, richtet sich die Definition des „Unternehmens“ nach Art. 101 und 102 Vertrag über die Arbeitsweise der Europäischen Union (AEUV), Unternehmen meint demnach einen Konzern. So lassen die Datenschutz-Aufsichtsbehörden auch komplette Konzernumsätze in die Berechnung einfließen.

Der gesetzliche Höchstrahmen der Datenschutzgrundverordnung gliedert sich groß in zwei Kategorien:

Geldbuße maximal

Oder prozentual

Bei Verstoß gegen

Art. 83 Abs. 4

bis zu 10 000 000 EUR oder

bis zu 2 % seines gesamten weltweit erzielten Jahresumsatzes

Art. 8

Bedingungen für die Einwilligung eines Kindes in Bezug auf Dienste der Informationsgesellschaft

Art. 83 Abs. 4

bis zu 10 000 000 EUR oder

bis zu 2 % seines gesamten weltweit erzielten Jahresumsatzes

Art. 11

Verarbeitung, für die eine Identifizierung der betroffenen Person nicht erforderlich ist

Art. 83 Abs. 4

bis zu 10 000 000 EUR oder

bis zu 2 % seines gesamten weltweit erzielten Jahresumsatzes

Art. 25 bis 39

Art. 83 Abs. 4

bis zu 10 000 000 EUR oder

bis zu 2 % seines gesamten weltweit erzielten Jahresumsatzes

Art. 42

Zertifizierung

Art. 83 Abs. 4

bis zu 10 000 000 EUR oder

bis zu 2 % seines gesamten weltweit erzielten Jahresumsatzes

Art. 43

Zertifizierungsstellen

Art. 83 Abs. 5

bis zu 20 000 000 EUR oder

bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes

Art. 5

Grundsätze für die Verarbeitung personenbezogener Daten

Art. 83 Abs. 5

bis zu 20 000 000 EUR oder

bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes

Art. 6

Rechtmäßigkeit der Verarbeitung

Art. 83 Abs. 5

bis zu 20 000 000 EUR oder

bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes

Art. 7

Bedingungen für die Einwilligung

Art. 83 Abs. 5

bis zu 20 000 000 EUR oder

bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes

Art. 9

Verarbeitung besonderer Kategorien personenbezogener Daten

Art. 83 Abs. 5

bis zu 20 000 000 EUR oder

bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes

Artt. 12 bis 22

Rechte der betroffenen Person

Art. 83 Abs. 5

bis zu 20 000 000 EUR oder

bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes

Artt. 44 bis 49

Übermittlung personenbezogener Daten an einen Empfänger in einem Drittland

Art. 83 Abs. 5

bis zu 20 000 000 EUR oder

bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes

Kapitel IX

alle Pflichten gemäß den Rechtsvorschriften der Mitgliedstaaten (Verstöße gegen das BDSG)

Art. 83 Abs. 5

bis zu 20 000 000 EUR oder

bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes

Artikel 58 Absatz 1

Nichtgewährung des Zugangs unter Verstoß gegen Artikel 58 Absatz 1

Art. 83 Abs. 5

bis zu 20 000 000 EUR oder

bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes

Artikel 58 Absatz 2

Nichtbefolgung einer Anweisung oder einer vorübergehenden oder endgültigen Beschränkung oder Aussetzung der Datenübermittlung durch die Aufsichtsbehörde

Spielraum der Aufsichtsbehörden

Die tatsächliche Höhe der Bußgelder richtet sich gem. Art. 83 Abs. 2 nach verschiedenen Gesichtspunkten. So spielt die Art, Schwere und Dauer des Verstoßes eine Rolle zur Bemessung der Höhe, aber auch die Vorsätzlichkeit oder Fahrlässigkeit des Verstoßes oder z. B. der Umfang der Zusammenarbeit mit den Aufsichtsbehörden.

Bei der Entscheidung der Höhe der verhängten Geldbußen ist jede Aufsichtsbehörde in ihrer Entscheidung frei und da in der Bundesrepublik Deutschland 17 Datenschutz-Aufsichtsbehörden für juristische Personen bestehen, hat die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) einen Bußgeldkonzept zur Harmonisierung der Bußgeldhöhe beschlossen, bis der Europäische Datenschutzausschuss (EDSA) ein eigenes europäisches Konzept veröffentlicht hat.   

Dabei werden fünf Schritte bei der Bemessung angelegt:

Bestimmung der Größenklasse des Unternehmens → Unternehmensgröße nach mittlerem Jahresumsatz → Ermittlung des wirtschaftlichen Grundwerts × Faktor der Schwere der Tatumstände → Anpassung des Wert anhand täterbezogene und sonstige Umstände

Die Bestimmung der Größenklasse des Unternehmens erfolgt zunächst auf Grundlage des weltweit erzielten Vorjahresumsatz in den zwei Hauptgruppen „Kleinstunternehmen sowie kleine und mittlere Unternehmen (KMU)“ und „Großunternehmen“, die Hauptgruppe KMU ist wiederrum in die Untergruppen „Kleinstunternehmen“, „Kleine Unternehmen“ und „Mittlere Unternehmen“ kategorisiert.

Danach erfolgt die Bestimmung des mittleren Jahresumsatzes der jeweiligen Untergruppe durch den mittleren Jahresumsatz in diversen Untergruppen.

Für die Ermittlung des wirtschaftlichen Grundwertes wird der mittlere Jahresumsatz der Untergruppe, in die das Unternehmen eingeordnet wurde, durch 360 (Tage) geteilt und so ein durchschnittlicher, auf die Vorkommastelle aufgerundeter Tagessatz errechnet. 

Weiter folgt anhand der konkreten tatbezogenen Umstände anhand des Schweregrads des Einzelfalls eine Einordnung des Schweregrads in die Gruppen „Leicht“, „Mittel“, „Schwer“ oder „Sehr schwer“.

Schließlich wird der Grundwert auf Grundlage der Umstände angepasst, soweit diese noch nicht berechnet wurden. Diese Umstände können zum Beispiel eine lange Verfahrensdauer oder eine drohende Zahlungsunfähigkeit des Unternehmens sein.

Beispiele

Vorab möchten wir darauf hinweisen, dass die hier von uns auf Grundlage des DSK-Bußgeldkonzeptes berechneten Beispiele keinerlei Anspruch auf Richtigkeit oder tatsächlicher verhängter Höhe eines Bußgeldes einer Datenschutz-Aufsichtsbehörde haben und sind als Richtfaden zu sehen.

Beispiele

Rechtl. Höchstrahmen

Kleines Unternehmen mit 6,25 Mio. € Umsatz, leichter Schweregrad (1) und keiner Anpassung des Grundwertes

Großunternehmen mit 150 Mio. € Umsatz, sehr schwerem Schweregrad (6) und keiner Anpassung des Grundwertes

Unterlassen der Ernennung eines DSB (Art. 83 Abs. 4 DSGVO)

bis zu 10 000 000 EUR oder bis zu 2 % seines gesamten weltweit erzielten Jahresumsatzes

17.361 €

2.500.002 €

Beispiele

Rechtl. Höchstrahmen

Kleinstunternehmen mit 1,7 Mio. € Umsatz, leichter Schweregrad (1) und keiner Anpassung des Grundwertes

Mittleres Unternehmen mit 17,5 Mio. € Umsatz, mittlerer Schwere (4) und keiner Anpassung des Grundwertes

Fehlen von Vereinbarungen zur Auftragsverarbeitung

bis zu 10 000 000 EUR oder bis zu 2 % seines gesamten weltweit erzielten Jahresumsatzes

4.722 €

194.444 €

Beispiele

Rechtl. Höchstrahmen

Kleinstunternehmen mit 350 T€ Umsatz, leichter Schweregrad (1) und keiner Anpassung des Grundwertes

Kleines Unternehmen mit 6,25 Mio. € Umsatz, leichter Schweregrad (1) und keiner Anpassung des Grundwertes

Keine Dokumentation des VVT

bis zu 10 000 000 EUR oder bis zu 2 % seines gesamten weltweit erzielten Jahresumsatzes

972 €

17.361 €

16.05.2020 12:47

Neue Podcastfolge: Rund um Bewerberdaten und Bewerbungen

In dieser Folge sprechen wir über den Umgang mit Bewerber- und Personaldaten.

Dabei sind einige Punkte aus Sicht des Datenschutzes zu beachten. So kann es z. B. bei einem Vorhalten bzw. einer Archivierung durch die oder den Unternehmer/in zu Problemen mit einer Löschung kommen.

In diesem Zusammenhang unterhalten wir uns auch über eine Aufbewahrung zum Zwecke der Beweisführung bei Klagen nach dem Allgemeines Gleichbehandlungsgesetz. Wenn aber dieser Zweck entfallen ist, wie ist dann eine Bewerbung eigentlich zu vernichten und wie sieht es mit Bewerbungsportalen und Zugriffsrechten von Kolleginnen und Kollegen aus?

Aber auch für Bewerber/innen haben wir etwas vorbereitet: können Bewerber/innen ihre Betroffenenrechte in Anspruch nehmen? Und müssen Bewerber/innen eigentlich über die Verarbeitung ihrer personenbezogener Daten informiert werden?

All das hören Sie in der zwölften Folge des Compliance-Podcasts.

15.05.2020 17:16

Ist SharePoint revisionssicher?

Für den Blog der d.velop AG hat Markus Olbring einen Gastbeitrag zum Thema Revisionssicherheit SharePoint erstellt und geht der Frage nach, ob SharePoint Archivierung revisionssicher sein kann.

Weiterhin gibt er seine Einschätzung dazu ab, ob SharePoint Online revisionssichere Archivierung erlaubt.

Der Beitrag kann hier aufgerufen werden. (Externer Link zum Blog der d.velop AG)

24.04.2020 07:39

iOS-App "Mail" mit kritischer Sicherheitslücke

Für die aktuelle und auch für ältere Version (bis iOS 6) der App "Mail" wurde eine kritische Sicherheitslücke festgestellt, die es Angreifern erlaubt anhand einer Mail das Gerät zu kompromittieren. Hierdurch wird das Lesen, Verändern und auch von Löschen von Mails durch den Angreifer möglich.

Das Bundesamt für Sicherheit in der Informationstechnik empfiehlt hierzu:

- Löschen der App "Mail" oder mindestens Deaktivieren der Synchronisation

- Installation des Updates, sobald Apple dies zur Verfügung gestellt hat

Beitrag des BSI mit weiteren Informationen:

https://www.bsi.bund.de/DE/Presse/Pressemitteilungen/Presse2020/Warnung_iOS-Mail_230420.html

 

22.04.2020 21:16

Digitale Personalakte

Einige Unternehmen in Deutschland führen ihre Personalakten noch stets in analoger papierbasierter Form. Dabei liegen allerdings die Mehrwerte einer digitalen Personalakte auf der Hand, wenn Maßnahmen zum Datenschutz, zur Informationssicherheit und zum „ersetzenden Scannen“ umgesetzt werden.

[In der Blog-Übersicht wird hier ein Weiterlesen-Link angezeigt]

Datenschutz und IT-Sicherheit

Der Beschäftigtendatenschutz wird in Deutschland im Bundesdatenschutzgesetz (BDSG) geregelt. Der § 26 Abs. 8 beschreibt wer im Sinne des BDSG als Beschäftigte/r gilt – darunter zählen namentlich u. A. neben Arbeitnehmer/innen, Auszubildende, Heimarbeit-Beschäftigte auch Bewerber/innen und sogar Personen deren Beschäftigungsverhältnis beendet ist. So kann gesagt werden, dass alle Personengruppen über die in der Regel in Unternehmen Personalakten geführt werden vom § 26 BDSG umfasst sind.

Die personenbezogenen Daten der obengenannten Beschäftigten dürfen laut § 26 Abs. 1 BDSG verarbeitet werden, wenn dies für die Entscheidung (also der Bewerbungsprozess), Durchführung oder Beendigung eines Beschäftigungsverhältnisses erforderlich ist. Dabei orientiert sich der Maßstab der Erforderlichkeit in erster Linie an der unternehmerischen Entscheidungsfreiheit die Zwecke des Beschäftigungsverhältnisses zu bestimmen. Dabei muss alles was zur Ausübung von Weisungsrechten eines Arbeitgebers notwendig ist und nach den Grundsätzen des Arbeitsrechts erlaubt ist, aus datenschutzrechtlicher Sicht als erforderlich eingestuft werden. (Link: https://www.baden-wuerttemberg.datenschutz.de/wp-content/uploads/2018/03/Ratgeber-ANDS-2.-Auflage.pdf)

Es spricht also per se nichts gegen die Einführung einer digitalen Personalakte, wenn sich der/die Unternehmer/in innerhalb der Bestimmungen des Arbeitsrechts, der Datenschutzgesetze (Datenschutzgrundverordnung (DSGVO), Bundesdatenschutz (BDSG)) aufhält.

Bereits vor der Entscheidungsfindung und bei der Umsetzung einer Anwendung zur Digitalisierung von Personalakten, sind aus unserer Sicht, unter Anderem folgenden Grundsätze und Artikel der DSGVO zu beachten:

·        Speicherbegrenzung gemäß Artikel 5 Abs. 1 lit. e DSGVO

·        Integrität und Vertraulichkeit gemäß Artikel 5 Abs. 1 lit. f DSGVO

·        Datenschutz durch Technikgestaltung gemäß Artikel 25 DSGVO

·        Datenschutz durch datenschutzfreundliche Voreinstellungen gemäß Artikel 25 DSGVO

Das heißt, dass ein/e Unternehmer/in bereits vor der Auswahl eines Produktes prüfen sollte, ob diese Grundsätze und Rechtsnormen mit der Software gewahrt werden können. Z. B. ob die Software gewährleisten kann, dass die personenbezogenen Daten nur so lange gespeichert werden, wie es für die Zwecke erforderlich ist; können z. B. Teile der Personalakte wie eine Abmahnung nach 36 Monaten gelöscht werden? Kann die/der Unternehmer/in mit der Software die Integrität und Vertraulichkeit gewährleisten, in dem er z. B. die personenbezogenen Daten vor unbefugter Verarbeitung oder Verlust schützt? Kann z. B. bei Installation der Software der Datenschutz durch Voreinstellung gewahrt werden, sodass nicht die personenbezogenen Daten einer unbestimmten Zahl von Personen zugänglich gemacht werden. Vor Einführung einer neuen Anwendung sollte die/der Verantwortliche ebenfalls die IT-Sicherheit mitdenken. Hierbei gilt u. A., dass mindestens eine Verschlüsselung (z. B. Transportverschlüsselung) und auch eine Mehr-Faktor-Authentifizierung vorhanden sein sollten.

Vor der Einführung muss auf jeden Fall der/die Datenschutzbeauftragte und, sofern vorhanden, der Betriebsrat einbezogen werden.

Betroffenenrechte

Die im Kapitel III der Datenschutzgrundverordnung normierten Betroffenenrechte, zum Beispiel das Recht auf Berichtigung, das Recht auf Löschung, das Recht auf Vergessenwerden, müssen im Zuge der Produktauswahl ebenfalls vom Verantwortlichen berücksichtigt und sodann bei einem Einsatz des Produktes umgesetzt werden. So hat der Betroffene der Datenverarbeitung das Recht auf Berichtigung von unrichtigen Daten, hier muss daher unseres Erachtens ein Produkt gewählt werden, dass die Änderung von Datensätzen möglich macht. Für das Recht auf Löschung sieht es ähnlich aus: hier kann der Betroffene eine unverzügliche Löschung verlangen, wenn ihre/seine personenbezogenen Daten z. B. nicht mehr für die Zwecke, für die sie erhoben oder verarbeitet wurden, notwendig sind. Hier sollte also eine digitale Personalakte etabliert werden, die auch eine Löschung möglich macht. Das Recht auf Vergessenwerden geht noch ein Stück weiter: der Verantwortliche muss von sich aus personenbezogene Daten löschen, wenn sie zum Beispiel nicht mehr für die Zwecke, für die sie erhoben oder verarbeitet wurden, notwendig sind und kann sich somit nicht darauf berufen, dass ein Betroffener kein Löschbegehren gestellt hat. Die Berichtigungen und Löschung von personenbezogenen Daten bzw. Datensätzen in digitalen Personalakten darf selbstredend aber immer nur unter bestimmten Voraussetzungen, mit Blick auf den Grundsatz der Integrität und Vertraulichkeit gemäß Artikel 5 Abs. 1 lit. f DSGVO, möglich sein, so dass kein unbeabsichtigter Verlust oder unbeabsichtigte Schädigung entsteht.

Buchhalterische Aufbewahrungspflichten

Aufbewahrungspflichten typischer Dokumente einer Personalakte sind unter anderem folgende.

Dokument

Aufbewahrungspflicht

Rechtsgrundlage f. d. Aufb.

Ersetzendes Scannen denkbar

Abmahnung

36 Monate nach Erhebung

st. Rspr.

siehe unten

Bewerbung (außer bei Einstellung und ohne Einwilligun)

6 Monate nach Erhebung

§ 15 Abs. 4 AGG

ja

Gehaltsabrechnung

6 Jahre nach Ende Kalenderjahr d. Beschäftigungsendes

§ 257 Abs. 1 Nr. 1 und 4 HGB (Lohnsteuer)

ja

Arbeitsvertrag

3 Jahre nach Ende Kalenderjahr d. Beschäftigungsendes

§ 195 BGB

siehe unten

Lohnjournal

6 Jahre nach Ende Kalenderjahr d. Beschäftigungsendes

§ 257 Abs. 1 Nr. 1 und 4 HGB (Lohnsteuer)

ja

Arbeitsunfähigkeitsbescheinigung

4 Jahre n. Ablauf der AU

§ 6 AAG

ja

Die GoBD fordern, wie schon die alten BMF-Schreiben GPDdU und GoBS, die Erstellung einer Verfahrensdokumentation.

Ersetzend Scannen

In vielen Fällen ist ein datenschutzkonformes Vernichten nach dem Scannen möglich. Es sollte bedacht werden, dass gemäß §§ 415 ff Zivilprozessordnung der sogenannte Urkundsbeweis bei einer gerichtlichen Auseinandersetzung eventuell nur durch Vorlage des Originals in Papierform geführt werden kann. Gescannte Dokumente ermöglichen lediglich den Augenscheinsbeweis.

Falls ein/e Unternehmer/in ein Verfahren vor einem Gericht mit einem Vorsitzenden befürchtet, der im Rahmen der freien Beweiswürdigung die Beweise für nicht wahr erachtet, wäre ein Verbleib der Papierdokumente die sichere Wahl.

Allerdings stellt der Bundesverband Informationswirtschaft, Telekommunikation und neue Medien (Bitkom) klar, dass „kein Fall bekannt ist, bei dem sich die Vorlage eines archivierten Dokumentes statt eines Papieroriginals nachteilig für den Prozessbeteiligten ausgewirkt hätte.“ (Link: https://www.bitkom.org/sites/default/files/file/import/Stellungnahme-Beweiswert-Erhaltendes-Scannen.pdf, Seite 4, Abs. 2)

Abgesehen von der Tatsache dürfen auf gar keinen Fall Dokumente vernichtet werden, die zwingend der Schriftform unterliegen. Diese Originaldokumente mit Unterschrift sind in der Regel:

·        Arbeitsverträge (laut  § 2 NachweisG)

·        Nachvertragliche Wettbewerbsverbote

·        Aufhebungsverträge

·        Kündigungsschreiben (laut § 623 BGB)

Eine weitere Empfehlung kann sein, dass die „Technische Richtlinie 03138 Ersetzendes Scannen“ (TR RESISCAN) einzuhalten ist. Hier werden technische Anforderungen an einen rechtssicheren Scanprozess beschrieben, die dem § 371b ZPO entsprechen sollen, im Zuge einer verbesserten Argumentation eines/r Unternehmers/in vor einem Gericht über die Beweiskraft der Dokumente, kann es auch für Unternehmer/innen zu mindestens förderlich sein die TR RESISCAN einzuhalten.

Unser Blogangebot stellt lediglich einen unverbindlichen Informationszweck und keine Rechtsberatung dar. Sie spiegelt stets nur die Meinung des Autors wider. Insofern verstehen sich alle angebotenen Informationen ohne Gewähr auf Richtigkeit und Vollständigkeit. Für eine Umsetzung ist stets im Einzelfall eine Bewertung notwendig.

17.04.2020 17:14

Neue Podcastfolge: E-Mail-Archivierung & Mandantentrennung

Wir haben eine neue Folge unseres Podcasts veröffentlicht.

Die neue Folge und alle weiteren Folgen können hier abgerufen werden.

 

02.04.2020 16:25

Neue Podcastfolge: Datenschutz und IT-Sicherheit im Home Office

Wir haben eine neue Folge unseres Podcasts veröffentlicht.

Der Podcast kann hier abgerufen werden.

 

08.04.2020 10:00

Frohe Osterfeiertage!

20.03.2020 21:04

Home Office - Welche Regeln? Welche Cloud-Werkzeuge?

Das Home Office ist in Zeiten des Corona-Virus in aller Munde. Die praktikable Umsetzung des häuslichen Arbeitsplatzes geht auch mit der Digitalisierung einher, dabei ist die IT-Sicherheit und der Datenschutz nicht außer Acht zu lassen.

[In der Blog-Übersicht wird hier ein Weiterlesen-Link angezeigt]

Welche Regeln sollten bei der Arbeit im Home Office beachtet werden?

Neben den bekannten Regeln und Vorgaben zur IT-Nutzung im Unternehmen gelten für die Arbeit im Home Office weitere Regeln. Hierzu zählen insbesondere:

  • Es gilt das Prinzip der Datensparsamkeit. Halten Sie den häuslichen Arbeitsplatz sauber („Clean-Desk“) und nehmen Sie, sofern zugelassen, nur die Unterlagen mit, die absolut notwendig sind.
  • Achten Sie beim Transport von Akten, Datenträgern und anderen Unterlagen auf deren Vertraulichkeit. Die Unterlagen dürfen beim Transport und am Heimarbeitsplatz nicht von jedermann offen einsehbar sein.
  • Falls die Mitnahme von Akten in Papierform zwingend notwendig ist und vom Unternehmen zugelassen wurde, berücksichtigen Sie bitte, dass im Unternehmen niemand mehr auf die Akten zugreifen kann. Möglicherweise ist eine Digitalisierung der Daten sinnvoller.
  • Die Entsorgung von Unterlagen in Papierform muss den Anforderungen des Datenschutzes genügen. In vielen Fällen ist eine Entsorgung über häuslichen Papiermüll nicht zulässig. Weiterhin müssen Dokumente, die personenbezogene Daten beinhalten oder dem üblichen Betriebs- und Geschäftsgeheimnis unterliegen, vor der Entsorgung geschreddert werden. Die Norm DIN66399 gibt hierfür Vorgaben, ein Schredder mit reinem Streifenschnitt ist nicht ausreichend.
  • Beachten Sie auch im Home Office die vertrauten Regeln und Vorgaben zur IT-Nutzung.
  • Die Arbeitsumgebung sollte den Vertraulichkeitsanforderungen der jeweiligen Tätigkeit genügen. Achten Sie also darauf, wer den Bildschirm einsehen kann. Auch das mögliche Abhören von Telefonaten (z.B. auf dem Balkon, auf der Terrasse) zählen hierzu.
  • Bewerten Sie, sofern zulässig, stets die Notwendigkeit etwaiger Ausdrucke. Weniger Drucken führt zu mehr Datenschutz und schont die Umwelt.
  • Speichern Sie Daten nicht lokal auf dem Notebook bzw. PC, sondern stets auf die Netzlaufwerke bzw. in den Anwendungen, die das Unternehmen betreibt. Nur auf diese Weise werden die Daten gesichert.
  • Vermeiden Sie das Speichern betrieblicher Daten auf privater Hardware (z.B. USB-Stick)
  • Achten Sie darauf, dass sich betriebliche und private Daten / Dokumente nicht vermischen
  • Leiten Sie keine geschäftlichen E-Mails auf private Postfächer weiter
  • Verwenden Sie ausschließlich IT-Werkzeuge / -Tools (z.B. Videokonferenzen, Chat), deren Verwendung im beruflichen Kontext zulässig und vom Unternehmen bzw. der IT-Abteilung im Unternehmen freigegeben ist

Zögern Sie nicht, sich zur Klärung von Fragen an die IT-Abteilung, den Datenschutzbeauftragten oder den Informationssicherheitsbeauftragten oder Ihren Vorgesetzten zu wenden.

Welche Werkzeuge können eingesetzt werden?

Bei der Umsetzung eines reibungslosen Dokumenten- und Datentransfers, wird die Frage aufkommen, welches Mittel eingesetzt werden soll und darf. Hierbei kann zum Beispiel mittels VPN-Tunnel auf die Infrastruktur des Unternehmens zugegriffen werden.

Allerdings kann auch ein Einsatz von Cloud-Anbietern als praktikabel angesehen werden, da die Anbieter des Öfteren auch gleich Anwendungen z. B. für Online-Meetings bereitstellen. Dabei stellt sich momentan oft die Frage eines datenschutzrechtlichen Einsatzes von Microsoft Office 365. Nach Kritik im Sommer 2019 – zum Beispiel des Hessischen Beauftragten für Datenschutz und Informationsfreiheit – hat Microsoft mittlerweile massiv in Puncto Datenschutz nachgebessert und hat sein Vertragswerk, die Online Services Terms (OST), in Kooperation mit dem niederländischen Ministerium für Justiz und Sicherheit angepasst und erweitert.

Eine Zusatzvereinbarung für Berufsgeheimnisträger i. S. d. des § 203 StGB bietet Microsoft für seine Onlinedienste ebenfalls an, sodass ein Einsatz im Bereich der Berufsgeheimnisträger dem nicht entgegensteht. Demnach ist der Dienst Office 365 auch für den Einsatz durch Steuerberater, Wirtschaftsprüfer, Rechtsanwälte und andere Berufsgruppen nutzbar.

Stets Status der Projekte in Kollaboration mit den Vorgesetzten und Kollegen im Blick zu halten, macht auch den Einsatz von Projektmanagementwerkzeugen wichtig. Dabei ist bei Anbietern, wie zum Beispiel Teamwork oder Stackfield, darauf zu achten, dass entweder eine Auftragsverarbeitungsvereinbarung, ein sogenannter Angemessenheitsbeschluss oder geeignete Garantien zur Übermittlung von personenbezogenen Daten geboten werden. Bei einigen Anbieter – wie auch bei Teamwork – können Übermittlungen bei einem Vertragsabschluss auf Servern innerhalb der EU begrenzt werden; dies ist selbstredend immer vorzuziehen. Die Lösung Stackfield wird in Deutschland gehostet.

Wir selber nutzen folgende Cloud-Dienste:

Dienst

Bewertung / Kurzinformation

Microsoft Office 365

Die Lösung kann aus Datenschutzsicht verwendet werden. Neuerdings ist auch ein Hosting in Deutschland möglich, bislang erfolgte das Hosting für europäische Kunden in Irland und den Niederlanden. Die Lösung enthält auch SharePoint Online zur Ablage von Dokumenten und die Anwendung Teams, über die einfach Onlinemeetings abgehalten werden können. Auch die Lösung „Skype for Business“ ist enthalten. Die kostenlose Variante von Skype ist bei betrieblicher Nutzung nicht datenschutzkonform einsetzbar.

Der Abschluss einer Vereinbarung zu speziellen berufsrechtlichen Schweigepflichten ist möglich.

Placetel

Placetel setzen wir bei der comdatis als Telefonanlage ein. Die Lösung ist beim Anbieter gehostet und bietet uns die Möglichkeit, unabhängig vom Ort stets über die Festnetznummer erreichbar zu sein. Ein Softphone auf dem Notebook oder eine App auf dem Smartphone sowie eine Internetverbindung genügen.

ambiFOX

Eine Lösung der ambiFOX GmbH aus Ahaus nutzen wir für unseren E-Mail-Server. Die ambiFOX betreibt für uns seit mittlerweile 6 Jahren einen Microsoft Exchange Server.

In den letzten Wochen haben wir weiterhin viele Dienste bewertet bzw. haben Erfahrungswerte mit weiteren Diensten sammeln können. Hier eine kurze Übersicht weiterer Dienste:

Dienst

Bewertung

xworks.365

xworks.365 ist ein Dienst der mediaBEAM GmbH aus Ahaus. Die Lösung bietet z.B. die Organisation von Projekten in Teamräumen, ein Onlineoffice zur gemeinsamen Bearbeitung von Dokumenten einschl. Speicherplatz und weiteren Funktionen. Dokumente können für Externe per Link freigegeben werden. Die Lösung wird in einem nach der ISO/IEC 27001 zertifizierten Rechenzentrum in Ahaus betrieben.

zoom

Zoom ist ein Anbieter einer Onlinemeeting-Lösung in den USA. Der Anbieter bietet ein „Data Processing Agreement“ (DPA) nach EU-Standardvertragsklauseln. Der Abschluss einer berufsrechtlichen Verschwiegenheitsverpflichtung (relevant z.B. für Steuerberater und Rechtsanwälte) wird leider nicht angeboten.

dox2go

Ein cloudbasiertes Dokumenten-Management-System (DMS) steht mit dox2go zur Verfügung. Anbieter der Lösung ist die Paperless Solutions GmbH aus Köln.

foxdox

Ein cloudbasiertes Dokumenten-Management-System (DMS) steht mit foxdox zur Verfügung. Anbieter der Lösung ist die d.velop AG aus Gescher. Auch die Lösung d.3 der d.velop AG wird als Cloudlösung angeboten.

Stackfield

Stackfield ist eine in Deutschland entwickelte und gehostete Lösung zur Zusammenarbeit und Kollaboration. Neben einem Speicher für Daten, einer Chatfunktion steht eine umfangreiche Aufgabenverwaltung zur Verfügung.

AMAGNO

AMAGNO aus Oldenburg bietet seine Dokumenten-Management-Lösung (DMS) auch als gehostete Lösung an.

Was müssen Auftragsverarbeiter zusätzlich beachten?

Vorab sollte sorgsam geprüft werden, ob personenbezogene Daten im Auftrag eines Kunden im neugeschaffenem Home Office verarbeitet werden sollen. Dabei ist wichtig, dass das Unternehmen die vereinbarten Auftragsverarbeitungsverträge (Art. 28 Abs. 3 DSGVO) auf eventuelle Pflichten zum Einsatz eines Home Offices prüft. Gegebenenfalls ist auch eine Freigabe des Auftraggebers einzuholen.

IT-Sicherheit

In vielen Unternehmen gibt es Richtlinien oder Betriebsvereinbarungen zum Umgang mit der IT sowie Telekommunikationstechnik. Die darin definierten Regeln gelten auch am häuslichen Arbeitsplatz.

18.03.2020 08:24

Wir sind wie gewohnt erreichbar

Trotz der aktuell schwierigen Lage sind wir normal erreichbar. Unsere Mitarbeiter erreichen Sie, wie gewohnt, mobil und über Festnetz mit den Ihnen bekannten Kontaktdaten. Auch ein E-Mail-Kontakt ist selbstverständlich weiterhin möglich. Die Themen Home-Office und wechselnde Arbeitsplätze praktizieren wir bereits seit der Gründung der comdatis. Dadurch können wir gewährleisten, dass eine normale Erreichbarkeit über die bekannten Kommunikationskanäle möglich ist.

Die bereits geplanten Termine vor Ort bei unseren Kunden stimmen wir mit den Kunden ab und führen diese als Onlinemeeting durch. Alle Termine können deswegen wie geplant stattfinden. Zur Einwahl in ein Onlinemeeting haben wir eine kurze Anleitung erstellt, die hier abrufbar ist.

Auf der Startseite unserer Homepage www.comdatis.de haben wir ein einfaches Kontaktformular eingefügt und auch eine Anrufmöglichkeit bereitgestellt.

Bleiben Sie gesund!

 

16.03.2020 10:43

Datenschutz & Corona

Zum Umgang mit corona und der Zulässigkeit von besonderen Verarbeitungstätigkeiten in diesen speziellen Zeiten hat die Datenschutzkonferenz sich in der vergangenen Woche geäußert:

https://www.bfdi.bund.de/DE/Datenschutz/Themen/Gesundheit_Soziales/GesundheitSozialesArtikel/Datenschutz-in-Corona-Pandemie.html?nn=5217154

20.02.2020 08:31

Beispiele für Datenschutzverletzungen

Beispiele von Datenschutzverletzungen

Bei der Bewertung von Datenschutzverletzungen gibt es einige Punkte, die zu beachten und zu bewerten sind. Dies ist in der Praxis nicht immer leicht, daher finden Sie hier eine Anleitung zur Bewertung sowie einige Beispiele der Datenschutz-Aufsichtsbehörden.

[In der Blog-Übersicht wird hier ein Weiterlesen-Link angezeigt]

Was gilt als Datenschutzverletzung?

Eine Datenschutzverletzung liegt vor, wenn eine Verarbeitung – also z. B. eine Übermittlung oder eine Speicherung - von personenbezogenen Daten unbeabsichtigt oder unrechtmäßig

·        zur Vernichtung oder

·        zum Verlust oder

·        zur Veränderung oder

·        zur unbefugten Offenlegung bzw.

·        zum unbefugten Zugang

von personenbezogenen Daten natürlicher Personen führt.

Für eine Bewertung der vorliegenden Datenschutzverletzung ist es wichtig die Auswirkungen auf die Risiken der

·        Diskriminierung

·        Identitätsdiebstahl oder -betrug

·        Finanzieller Verlust

·        Rufschädigung

·        Verlust der Vertraulichkeit von einem Berufsgeheimnis unterliegenden personenbezogenen Daten

·        Unbefugte Aufhebung der Pseudonymisierung

·        Erhebliche wirtschaftliche oder gesellschaftliche Nachteile

·        Verhinderung der Betroffenenrechte

·        Verhinderung der Kontrolle über eigene personenbezogene Daten

·        Verarbeitung personenbezogener Daten besonderer Kategorien (Art. 9)

·        Bewertung oder Prognostizierung persönlicher Aspekte (z.B. Arbeitsleitung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben oder Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel)

·        Verarbeitung personenbezogener Daten schutzbedürftiger natürlicher Personen (z.B. Kinder)

·        Vernichtung, Verlust, Veränderung oder unbefugte Offenlegung von personenbezogenen Daten

·        Unbefugter Zugang zu personenbezogenen Daten

für die betroffenen Personen zu bewerten. Dabei sind auch die gemäß Datenschutzgrundordnung besonders schützenswerte Datenarten der

·        Rassische und ethnische Herkunft

·        Politische Meinungen

·        Religiöse und weltanschauliche Überzeugungen

·        Gewerkschaftszugehörigkeit

·        Genetische Daten

·        biometrische Daten zur Identifizierung einer Person

·        Gesundheitsdaten

·        Sexualleben oder sexuelle Orientierung

·        Daten zu Straftaten oder Ordnungswidrigkeiten

und sensible Datenarten, wie z. B.

·        Bank- oder Kreditkartendaten,

·        Benutzerkennungen, Passwörter oder andere Bestands- und Nutzungsdaten bei Telemedien

in die Bewertung zu integrieren.

Muss jede Datenschutzverletzung gemeldet werden?

Kann nach der Bewertung der obengenannten Punkte ausgeschlossen werden, dass die Datenschutzverletzung voraussichtlich zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt, kann auf eine Meldung an die Datenschutz-Aufsichtsbehörde verzichtet werden. Wenn ferner die Datenschutzverletzung voraussichtlich nicht zu einem hohen Risiko für die Rechte und Freiheiten natürlicher Personen führt, so kann auch auf eine Meldung an die betroffenen Personen verzichtet werden. Die Schwelle für eine Meldung an die betroffene Person liegt somit höher als die Meldung an die Datenschutz-Aufsichtsbehörden.

Eine Meldung an die Datenschutz-Aufsichtsbehörden muss gemäß Art. 33 DSGVO unverzüglich und möglichst binnen 72 Stunden nach Bekanntwerden der Verletzung erfolgen. Sollte der Verantwortliche die Frist von 72 Stunden nicht einhalten, muss später eine Begründung dafür eingereicht werden. Wird durch den Verantwortlichen bewertet, dass auch eine Meldung an die betroffene Person erfolgen muss, so muss dies unverzüglich geschehen. Eine falsch bewertete Meldepflicht kann den Verantwortlichen ein Ordnungswidrigkeitsverfahren kosten.

Auch wenn ein Vorgang als nicht meldepflichtige Verletzungen des Schutzes personenbezogener Daten bewertet wurde, sollte der Verantwortliche stets diese Datenschutzverletzung dokumentieren und Maßnahmen für die Zukunft definieren.

Beispiele für Datenschutzverletzungen und Meldepflichten

Fallbeispiel (gekürzt)

Meldung

an Behörde

Meldung

an Betroffene

Anmerkungen (gekürzt)

Link

Gestohlener USB-Stick mit wirksam verschlüsselten Daten

Nein

Nein

Kein Art.-33-Fall aufgrund der Ver-schlüsselung. Meldepflicht besteht jedoch, wenn die Daten nicht anderweitig gesichert sind.

Datenzugriff durch Cyber-Attacke

Ja

Nein

Mehrminütiger Stromausfall, dadurch zwischenzeitlich kein Zugriff möglich

Nein

Nein

Aber interne Dokumentation nach Art. 33 Abs. 5

Ransomware-Attacke, die Kundendaten verschlüsselt(Erpressungstrojaner)

Ja, in der Regel

Ja, in der Regel

Außer es gibt ein Backup, sodass die Daten zügig wiederhergestellt werden können.

Kontoauszug an falschen Kunden verschickt

Ja

Im Einzelfall i.d.R. nicht, bei Häufung schon

Hacker erbeuten Nutzernamen, Passwörter und Kauf-historie der Kunden eines Onlineshops

Ja

Ja

Kunden können aufgrund eines Programmierfehlers im Kundenportal fremde Kundendaten einsehen

Ja, wenn Daten abgerufen wurden

Kommt darauf an

Cyber-Attacke auf Krankenhaus, dadurch für 30 Minuten kein Zugriff auf Patientendaten

Ja

Ja

Versehentliche Versendung von Schülerdaten an eine Mailingliste

Ja

Ja, in der Regel

Werbe-E-Mail mit offenem Mailverteiler (cc statt bcc)

Ja (bei großer Empfängerzahl oder sensiblem Inhalt, z.B. Pass-wörter)

Ja (außer nur wenige Betroffene und kein sensibler Inhalt)

Unbefugte haben Zugang zu personenbezogenen Daten erhalten oder sich verschafft, die aber verschlüsselt sind.

Aber: wenn die Daten etwa gestohlen wurden und daher nun für den Verantwortlichen verloren sind, kann auch bei verschlüsselten Daten ein zu meldender Datenschutzverstoß vorliegen. Hier kommt es dann auf die Art der verlorenen Daten an.

Nein

Nein

Verlust eines verschlüsselten USB-Sticks oder Smartphones: Siehe bereits vorheriges Beispiel. Bei einfachem Zugriffschutz, der in der Vergangenheit bereits überwunden wurde, liegt eher ein mittleres Risiko vor.

Nein

Nein

Fehlversandter Brief kam ungeöffnet zurück: Wenn verschlossene Briefe –ungeöffnet zurückkommen, besteht in der Regel ein nur geringes Risiko

Nein

Nein

Brief mit falscher Anlage: Wenn aus der Anlage lediglich Namen und Daten zu hervorgehen, ist das Risiko eher gering. Anders bei vollständigen Anschriften oder gar Bankverbindungen – dann ist nicht von einem nur geringen Risiko auszugehen: Meldepflicht.

Nein

Nein

Gelangen Bankverbindungen an unbefugte Dritte, kann ein hohes Risiko vorliegen, sodass auch die Betroffenen zu benachrichtigen wären. Das hohe Risiko entfällt, wenn die Unterlagen nach glaubhafter Angabe aller Empfänger vernichtet wurden bzw. dem Absender unbeschädigt und ohne, dass eine Kopie angefertigt wurde zurückgegeben wurden. Sofern alle diese Feststellungen binnen der Meldefrist getroffen werden konnten, muss Sie also lediglich eine Meldung an die Aufsichtsbehörde abgegeben werden.

Ja

Ja

Der Verantwortliche konnte sofort denjenigen, der sich unrechtmäßig Zugang zu personenbezogenen Daten verschafft hat, identifizieren und davon abhalten, die Daten irgendwie weiterzuverwenden. Sollte es sich jedoch um sehr sensible Daten gehandelt haben, von wenigen Individuen, sodass sie der Täter sich gemerkt haben könnte ist dennoch von der Benachrichtigungspflicht auszugehen.

Ja

Ja

Beim Verlust eines USB-Sticks, auf dem personenbezogene Daten unverschlüsselt gespeichert sind.

Ja

Ein Dritter teilt einem Verantwortlichen mit, dass er versehentlich die personenbezogenen Daten eines Kunden des Verantwortlichen erhalten hat.

Ja

Ein Verantwortlicher bemerkt, dass möglicherweise in sein Netzwerk eingedrungen wurde.

Ja

Ein Cyberkrimineller hackt das System eines Verantwortlichen und kontaktiert ihn anschließend mit einer Lösegeldforderung.

Ja

Ein Verantwortlicher hat die Sicherungskopie eines Archivs mit personenbezogenen Daten in verschlüsselter Form auf einem USB-Stick gespeichert. Bei einem Einbruch wird der USB-Stick entwendet.

Nein

Nein

Solange die Daten durch einen dem Stand der Technik entsprechenden Algorithmus verschlüsselt sind, Datensicherungen existieren, der eindeutige Schlüssel nicht beeinträchtigt wurde und sich die Daten zeitnah wiederherstellen lassen.

Ein Verantwortlicher betreibt einen Onlinedienst. Der Dienst wird Opfer eines Cyberangriffs und dabei werden personenbezogene Daten abgeschöpft. Der Verantwortliche hat nur in einem Mitgliedstaat Kunden.

Ja

Ja

Im Callcenter eines Verantwortlichen kommt es zu einem kurzen, mehrere Minuten andauernden Stromausfall , sodass nicht auf ihre Unterlagen zugreifen können.

Nein

Nein

Allerdings dokumentationspflichtig.

in Verantwortlicher wird Opfer eines Ransomware-Angriffs, bei dem sämtliche Daten verschlüsselt werden. Es sind keine Sicherungskopien vorhanden und die Daten können nicht wiederhergestellt werden. Die Ransomware diente ausschließlich der Datenverschlüsselung

Ja

Ja

Wenn eine Datensicherung vorhanden gewesen wäre und sich die Daten zeitnah hätten wiederherstellen lassen, wären die Meldung an die Aufsichtsbehörde und die Benachrichtigung der betroffenen Personen nicht erforderlich gewesen.

Eine Person ruft im Callcenter einer Bank an, um eine Datenschutzverletzung zu melden. Die Person hat einen für jemand anderer bestimmter monatlicher Kontoauszug erhalten.

Ja

Nur die betroffenen Personen werden benachrichtigt, wenn ein hohes Risiko besteht und klar ist, dass keine anderen Personen betroffen sind

Ein Verantwortlicher betreibt einen Online-Marktplatz mit Kunden in mehreren Mitgliedstaaten. Nach einem Cyberangriff auf den Marktplatz veröffentlicht der Angreifer Benutzernamen, Passwörter und Kaufhistorie im Internet

Ja, Vorfälle mit grenzüberschreitender Verarbeitung müssen an die federführende Aufsichtsbehörde gemeldet werden.

Ja, denn der Vorfall könnte zu einem hohen Risiko führen.

Ein als Auftragsverarbeiter fungierendes Webhosting-Unternehmen stellt fest, dass der Code zur Steuerung der Benutzerautorisierung einen Fehler enthält. Aufgrund des Fehlers kann jeder Benutzer die Kontodaten aller anderen Benutzer einsehen.

Als Auftragsverarbeiter muss seine betroffenen die Verantwortlichen unverzüglich benachrichtigen

Wenn voraussichtlich kein hohes Risiko für die betroffenen Personen besteht, müssen diese nicht benachrichtigt werden.

Aufgrund eines Cyberangriffs sind in einem Krankenhaus medizinische Unterlagen 30 Stunden lang unzugänglich

Ja

Ja

Die personenbezogenen Daten einer großen Zahl von Studenten wurden versehentlich an eine falsche Mailingliste mit gut 1000 Empfängern geschickt.

Ja

Ja

Eine E-Mail für Direktwerbezwecke wird an Empfänger in den Feldern „An...“ oder „Cc...“ geschickt, sodass die E-Mail-Adressen der Empfänger für alle Empfänger sichtbar sind.

Ja, wenn sehr viele Personen betroffen sind, sensible Daten offengelegt werden oder z.B. wenn die E-Mail die ursprünglichen Passwörter enthält

Ja

Die Benachrichtigung ist unter Umständen nicht erforderlich, wenn keine sensiblen Daten offengelegt werden und nur eine kleine Anzahl von E-Mail-Adressen sichtbar ist

Ein Laptop mit medizinischen Befunden wird einem Arzt entwendet. Die Daten auf der Festplatte des Laptops sind mit einem kryptographischen Verfahren nach dem Stand der Technik sicher verschlüsselt und alle gespeicherten Daten sind in einem Backup vorhanden.

Nein

Nein

Quelle:

https://datenschutz-hamburg.de/assets/pdf/2018.11.15_Data%20Breach_Vermerk_extern.pdf

15.02.2020 14:32

Newsletter zum Datenschutz

Über den nachfolgenden Link können Sie unseren aktuellen Infobrief zum Datenschutz abrufen:

Infobrief zum Datenschutz

#einfachmittelständischpragmatisch - immer bestens informiert!

29.01.2020 07:42

Besuchermanagement im Unternehmen

Um die Sicherheit der Verarbeitung gemäß Art. 32 der Datenschutzgrundverordnung (DSGVO) – den sogenannten „TOMs“ – zu gewährleisten, muss das Unternehmen auch Maßnahmen zur Zutrittskontrolle für Mitarbeiter, aber auch für Besucher implementieren. Diese Maßnahmen muss ein Verantwortlicher unter Berücksichtigung des Stands der Technik, der Kosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos treffen. Zu diesen Maßnahmen gehört auch ein Management für Besucher, allerdings sollten dabei immer auch die Rechte der betroffenen Besucher gewahrt bleiben.

[In der Blog-Übersicht wird hier ein Weiterlesen-Link angezeigt]

Zunehmend werden zum Beispiel Begrüßungsbildschirme bei Unternehmen eingesetzt, die den jeweiligen Gast oder Besucher namentlich für alle einsehbar im Empfangsbereich begrüßen. Diese Nennung der Namen sind Verarbeitungen von personenbezogenen Daten und somit auch vom Datenschutz geschützt. Dabei ist es datenschutzrechtlich nicht unbedenklich, eine solche Verarbeitung ohne Einwilligung des Betroffenen – z. B. auf Grundlage des berechtigten Interesses des Verantwortlichen – durchzuführen.

Wie das bayerische Landesamt für Datenschutzaufsicht erklärte, wird man „im Regelfall jedoch davon ausgehen müssen, dass das Vorgehen eher nicht (mehr) auf Art. 6 Abs. 1 f) DS-GVO [Anm. berechtigtes Interesse des Verantwortlichen] gestützt werden kann, sondern allenfalls mit Einwilligung der betroffenen Person.“ Für Branchen und Bereiche (etwa in Bäckereien oder Metzgereien), in denen es sozialüblich ist, Kunden mit Nachnamen anzusprechen, mag es denkbar sein, weniger aber hingegen gegenüber Mitarbeitern von Unternehmen (Lieferanten, Abnehmer), so das Landesamt für Datenschutzaufsicht.

Dies bedeutet, dass eine solche Verarbeitung der personenbezogenen Daten ohne Einwilligung z. B. bei einem Industrieunternehmen, nach Auffassung der Behörde, nicht rechtskonform einsetzbar ist.

Die auch gerne in Unternehmen verwendete Besucherlisten, in denen sich Besucher namentlich und ggf. noch mit Kontaktdaten oder KFZ-Kennzeichen eintragen sollen, sind ferner so zu gestalten, dass unbefugte Dritte diese Daten nicht einsehen können. Dies kann z. B. durch ein nur einseitiges Formular umgesetzt werden. Nach einer solchen Umsetzung spricht nichts gegen die Verarbeitung durch Besucherlisten, wenn ein Zweck (z. B. Anwesenheitscheck bei Bränden) gegeben ist.

In den größeren Unternehmen kommen des Öfteren auch Besucherausweise mit Namen der Besucher zur Anwendung. Hier kann die Stellungnahme der bremischen Datenschutzaufsichtsbehörde zur ausreichenden Rechtsgrundlage des berechtigten Interesses des Verantwortlichen bei Namensschildern für Arbeitnehmer mit Nennung nur des Nachnamens auch auf Besucher übertragen werden. Allerdings für die Verarbeitungen von Fotos auf Besucherausweise hingegen, sollte sich der Verantwortliche wiederrum eine Einwilligung einholen.

Bei einem Einsatz von Software zum Besuchermanagement, in denen sogar der Aufenthaltsort und Aufenthaltsdauer eines Besuchers im Gebäude oder auf dem Firmengelände nachvollziehbar sind, ist stets ganz genau zu prüfen, ob dies nicht den Grundsätzen gem. Art. 5 DSGVO zu widerläuft und eine Rechtsgrundlage abseits der Einwilligung rechtskonform ist.
16.12.2019 17:08

Muss ein Datenschutzbeauftragter ernannt werden?

Der Gesetzgeber hat am 20.11.2019 das Bundesdatenschutzgesetz durch das sogenannte Zweites Gesetz zur Anpassung des Datenschutzrechts (2. DSAnpUG-EU) ausgearbeitet. Am 25.11.2019 wurde es im Bundesgesetzblatt verkündet und ist somit in Kraft getreten.

Neben einer Menge begrifflicher Anpassungen, die in erster Linie der Harmonisierung im Datenschutz geschuldet sind, wurde auch eine Richtschnur für die Benennungspflicht eines Datenschutzbeauftragten für nichtöffentliche Stellen angepasst.

[In der Blog-Übersicht wird hier ein Weiterlesen-Link angezeigt]

Unter nichtöffentliche Stellen sind „natürliche und juristische Personen, Gesellschaften und andere Personenvereinigungen des privaten Rechts“ zu verstehen.

Diese eine Richtschnur zur Benennung eines Datenschutzbeauftragten kennen wahrscheinlich einige unserer Leser: sie lag damals bei zehn Personen (Köpfe), die ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Nach in Krafttreten der Änderung liegt sie nun bei 20 Personen, die ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind.

Was viele dabei vielleicht nicht wissen, ist, dass nicht nur die Kopfanzahl der Mitarbeiter/innen für eine Benennungspflicht entscheiden ist, sondern auch noch viele andere Rechtsnormen beachten werden müssen. Daher sollte jede öffentliche und nichtöffentliche Stelle diese „vermeintliche Grenze“ mit Vorsicht betrachten und genau prüfen, ob nicht andere Bestimmungen eine Ernennungspflicht nach sich ziehen.

Wir haben die recht zahlreichen Bestimmungen aus dem Bundesdatenschutzgesetz und der Datenschutzgrundverordnung mit Erklärungen und Quellenangaben zusammengefasst und möchten Ihnen diese anhand eines übersichtlichen Ablaufdiagramms zur Verfügung stellen.  

Abschließend kann natürlich jede nichtöffentliche Stelle auch freiwillig eine/n Datenschutzbeauftragte/n benennen und läuft somit nicht in die Gefahr fehlenden Compliance im Datenschutzrecht mit eventuellen Bußgeldern zahlen zu müssen.

Fußnoten und Quellen:

1.    Notare sind öffentliche Stellen der Länder [https://www.bmi.bund.de/SharedDocs/gesetzgebungsverfahren/DE/Downloads/stellungnahmen/datenschutz-anpassungs-und-umsetzungsgesetz-eu-dsanpug-eu/bundesnotarkammer_bnotk_stn.pdf?__blob=publicationFile&v=2], als solche müssen sie gem. § 5 Abs. 1 BDSG n. F. [https://dejure.org/gesetze/BDSG/5.html], sowie Art. 37 Abs. 1 lit. a DSGVO [https://dejure.org/gesetze/DSGVO/37.html] auf jeden Fall einen Datenschutzbeauftragten benennen. 

2.    Gemäß den Änderungen des Bundesdatenschutzes vom 20.11.2019, bekanntgemacht durch das BGBl. I S. 1626 (Nr. 41) [https://www.bgbl.de/xaver/bgbl/start.xav#__bgbl__%2F%2F*%5B%40attr_id%3D%27bgbl117s2097.pdf%27%5D__1575560296845] haben nun Verantwortliche nichtöffentlicher Stellen gem. § 38 Abs. 1 S. 1 BDSG n. F. [https://dejure.org/gesetze/BDSG/38.html] – also juristische Personen – eine Pflicht zur Ernennung eines/einer Datenschutzbeauftragten, soweit sie in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen.

„Automatisierte Verarbeitung von Daten“ liegt dann vor, wenn jemand an einem Computer, Smartphone etc. mit Daten von natürlichen Personen umgeht. Ob dies ein Ehrenamtlicher, Praktikant oder Angestellter macht, ist unerheblich.

„20 Personen“ bedeutet gemäß der Datenschutzgesetze, nicht die Anzahl der (Plan-)Stellen, sondern die Anzahl der Köpfe.

3.    Gemäß Artikel 9 Abs. 1 Datenschutzgrundverordnung (DSGVO) [https://dejure.org/gesetze/DSGVO/9.html], sind die Verarbeitung personenbezogener Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person besondere Kategorien personenbezogener Daten.

"Gesundheitsdaten" sind gem. Art. 4 Abs. 1 Nr. 15 DSGVO [https://dejure.org/gesetze/DSGVO/4.html] personenbezogene Daten, die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person, einschließlich der Erbringung von Gesundheitsdienstleistungen, beziehen und aus denen Informationen über deren Gesundheitszustand hervorgehen

4.    a) Gemäß des Art. 37 Abs. 1 lit. c DSGVO [https://dejure.org/gesetze/DSGVO/37.html], hat die Verantwortliche Stelle auf jeden Fall einen Datenschutzbeauftragten, wenn die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 besteht.

Unter „Kerntätigkeit“ ist jede Tätigkeit zu verstehen, die essentiell für die Erreichung der Ziele des Unternehmens sind. Als Beispiel sei hier die Verarbeitung von Gesundheitsdaten in einem Krankenhaus genannt, [https://ec.europa.eu/information_society/newsroom/image/document/2016-51/wp243_annex_en_40856.pdf], [https://ec.europa.eu/information_society/newsroom/image/document/2016-51/wp243_en_40855.pdf] Beispiel: Zur Kerntätigkeit gehört es, wenn ein Hörgeräteakustiker Daten über die Hörfähigkeit (Gesundheitsdaten) verarbeitet, auch wenn dieser nur zwei Angestellte beschäftigt.

b) In den meisten Fällen werden durch die Personalbuchhaltung regelmäßig Gesundheitsdaten – z. B. in Form des BEM – oder Religionsdaten –  z. B. für die Abrechnung der Kirchensteuer – verarbeitet. 

5.      „Regelmäßige und systematische Überwachung“ ist  in  der  DSGVO  zwar  nicht  definiert, beinhaltet  jedoch  jegliche  Formen  der  Verfolgung  und  Profilerstellung  im  Internet,  darunter  auch  zu Zwecken  der  verhaltensbasierten  Werbung.  Allerdings  ist  der Begriff „Überwachung“  nicht  auf  die Online-Umgebung beschränkt, z. B. Fallen hierunter auch Auskunfteien, Inkassobüros, [https://www.datenschutz.rlp.de/fileadmin/lfdi/Dokumente/wp243rev01_annex_de.pdf]

6.    Eine freiwillige Ernennung eines Datenschutzbeauftragten steht jeder verantwortlichen Stelle offen.

16.12.2019 17:05

Dürfen Meldebehörden Daten ihrer Bürger an Dritte übermitteln?

Aus gegebenem privatem Anlass entstand dieser Blogbeitrag. Ich erhielt einen mit meinen personenbezogenen Daten versehenden mir zugesandten Werbebrief mit dem Betreff „Möglichkeit zur Vermögensanlage: Repowering Projekt Windpark für die Einwohner“. Nach Inanspruchnahme des Auskunftsrechts gemäß Artikel 15 der DSGVO wurde bestätigt, dass die Meldebehörde – also meine Kommunalvertretung – meine personenbezogenen Daten an den Verantwortlichen übermittelt hat. Darf sie das?

[In der Blog-Übersicht wird hier ein Weiterlesen-Link angezeigt]

Auskunftserteilungen bzw. Auskunftsersuchen über Bürger regelt das am 1.11.2015 in Kraft getretene und am 26.11.2019 angepasste Bundesmeldegesetz. In diesem sind Übermittlungen an Dritte ohne Einwilligung der Betroffenen vorgesehen, erst wenn die/der Betroffene aktiv tätig wird, können Übermittlungen an Dritte unter Umständen unterbunden werden – hier besteht sozusagen das eigentlich nicht rechtskonforme Opt-Out-Verfahren. Grob zusammengefasst gibt es folgende Auskunftsarten:

1.     Melderegisterauskunft

2.     Gruppenauskunft

3.     Melderegisterauskünfte in besonderen Fällen

4.     Datenübermittlungen an öffentlich-rechtliche Religionsgesellschaften

5.     Datenübermittlungen zwischen den Meldebehörden und anderen Behörden

Grundsätzlich kann daher jeder eine einfache Melderegisterauskunft über Familiennamen, Vornamen, Doktorgrad, derzeitige Anschrift und ob die Person verstorben ist, von den Meldebehörden verlangen und erhalten. Einen Grund warum diese Auskunft verlangt wird, muss der Anfragende nicht angeben, außer sie oder er möchte diese Daten für eine gewerblichen Zweck nutzen. Hier muss allerdings der Anfragen die Person(en) namentlich bezeichnen können, um die Daten zu erhalten.

Wird über eine Vielzahl von Personen – z. B. alle Einwohner mit einem bestimmten Geburtsdatum – Daten erfragt, muss gegenüber der Meldebehörde ein öffentliches Interesse bekundet werden – im obengenannten Werbeangebot war dies nach Auffassung des Windparkbetreibers der Fall. Gegen diese Einzel- und Gruppenauskünfte kann eine Sperre bei der Kommune beantragt werden, diese hat allerdings eine hohe Hürde: ein Betroffener muss glaubhaft machen, dass eine Gefahr für Leben, Gesundheit, die Freiheit oder ähnliche schutzwürdige Interessen besteht.

Bei den Meldeauskünften in besonderen Fällen handelt es sich z. B. um Übermittlungen an Parteien (zwecks Wahlwerbung), an die Presse oder auch Adressbuchverlage. Es können z. B. Altersjubiläen in Verbindung mit Namen, Vornamen, Anschriften durch Presse oder Rundfunk übermittelt werden. Adressbuchverlage dürfen zu allen volljährigen Einwohnern Auskünfte auch hier zu Namen, Vornamen, Anschriften verlangen. Gegen diese Übermittlungen können einfache Widersprüche ohne Begründung eingelegt werden.

An öffentlich-rechtlichen Religionsgesellschaften werden eine Menge Daten ihrer Mitglieder gesendet, z. B. auch Zahl der minderjährigen Kinder, Familienstand, Ein- und Auszugsdatum. Auch hier ist ein Widerspruch gegen die Übermittlung in einfacher Form möglich.

Freilich können natürlich auch Behörden und Melderegister untereinander Daten austauschen. Gegen diese Übermittlungen / Austausch können keine Widersprüche eingelegt werden.

Wie beschrieben, muss mittels Anträge gegen die Weitergabe von Daten durch Ihre Meldebehörden Widerspruch eingelegt werden.
28.11.2019 21:31

GoBD 2.0 - Veröffentlichung vom 28.11.2019

Die neuen GoBD stehen seit heute (28.11.19) wieder auf der Homepage des Bundesministerium der Finanzen zum Download bereit.

[In der Blog-Übersicht wird hier ein Weiterlesen-Link angezeigt]

Eine neue Version der GoBD vom 14.11.14 gab es in diesem Jahr bereits, die Downloadmöglichkeit wurde jedoch kurz nach der Veröffentlichung wieder gelöscht.

Jetzt stehen die GoBD über den folgenden Link zur Verfügung:

https://www.bundesfinanzministerium.de/Content/DE/Downloads/BMF_Schreiben/Weitere_Steuerthemen/Abgabenordnung/2019-11-28-GoBD.html

Welche Änderungen sich an den GoBD ergeben haben, werden wir noch veröffentlichen.

#GOBD #GDPDU #GOBS #Verfahrensdokumentation #einfachmittelständischpragmatisch #taxcompliance

26.11.2019 07:34

Neues BDSG im Bundesgesetzblatt veröffentlicht

Das neue Bundesdatenschutzgesetz (BDSG) ist gestern im Bundesgesetzblatt veröffentlicht worden.

[In der Blog-Übersicht wird hier ein Weiterlesen-Link angezeigt]

Im neuen Gesetz wurde unter anderem die Grenze für die Ernennungspflicht eines Datenschutzbeauftragten von 10 auf 20 Mitarbeitern angehoben. Mit der gestrigen Veröffentlichung im Bundesgesetzblatt gilt das geänderte BDSG ab heute.

Auch in unserem Blog hatten wir hierüber bereits berichtet.

29.10.2019 07:33

Google Analytics und die Aufsichtsbehörden

Wir haben bereits mehrfach über die Notwendigkeit der Einholung einer Einwilligung mittels Cookie-Banner auf Websites berichtet, wenn dort beispielsweise Analysedienste (z.B. Google Analytics) eingebunden ist.

Zurückzuführen ist diese Anforderung auf eine Orientierungshilfe der Datenschutzkonferenz (DSK) sowie verschiedene Rechtsprechungen, zuletzt vom EuGH Anfang Oktober 2019.

Aktuell mehren sich die Gerüchte, dass aktuell bei den Datenschutzaufsichtsbehörden bundesweit über 200.000 Fälle eingegangen sind, bei denen sich eine oder mehrere Personen über den Einsatz von Google Analytics ohne Einwilligung beschwert haben.

[In der Blog-Übersicht wird hier ein Weiterlesen-Link angezeigt]

Ob dies tatsächlich wahrheitsgemäß ist, können wir derzeit noch nicht bestätigen. Allerdings wird hierdurch deutlich, dass ein Handlungsbedarf da ist. Sollte diese Massenbeschwerde der Wahrheit entsprechen, werden sich die Aufsichtsbehörden in irgendeiner Art und Weise damit auseinandersetzen müssen.

Wir haben eine Checkliste erstellt für die Bewertung der Website, die hier abgerufen werden kann.

Bitte beachten Sie, dass es sich um eine allgemein gehaltene Checkliste handelt. Möglicherweise ist in der Praxis für konkrete Umsetzungen stets eine Einzelfallbetrachtung notwendig.

 

11.11.2019 10:24

Office 365 und SharePoint Online als revisionssicheres DMS?

Ist es möglich, Office 365 und SharePoint Online im Unternehmen als Lösung zum Dokumentenmanagementsystem (DMS) einzusetzen, um insbesondere buchhalterische Dokumente digital zu archivieren?

[In der Blog-Übersicht wird hier ein Weiterlesen-Link angezeigt]

Diese Frage wird uns in der Praxis immer häufiger gestellt. Wir haben uns im Detail mit den Konfigurationsmöglichkeiten und den Anforderungen (GoBD, AO, UStG) beschäftigt und sogar bei einem Finanzamt um Klärung geben.

Die Ergebnisse haben wir in zwei Whitepapern veröffentlicht:

Zulässigkeit Office 365 und SharePoint Online als revisionssicheres DMS

Archivierung mit SharePoint Online - GoBD konform

 

Mehr über unsere Beratungslösungen zu SharePoint und Office 365 erfahren Sie über den folgenden Link: comdatis-Lösungen zu Digitalisierung und Verfahrensdokumentation

23.10.2019 21:11

Neue Podcastfolge: GoBD 2.0 zurückgezogen! Datenschutz erleichtert?

Wir haben eine neue Folge unseres Podcasts veröffentlicht. Der Podcast kann hier abgerufen werden.

 

12.09.2019 21:03

Ad-Blocking mittels DNS-Sinkhole

Alle im Internet erreichbaren Geräte verfügen über eine IP-Adresse, diese kann entweder in der Version 4 (IPv4) oder in der Version 6 (IPv6) vorliegen. 81.169.145.93 wäre ein Beispiel für eine IPv4-Adresse. Wird nun am Gerät ein Content (z. B. HTML-Seiten mit Text, Fotos, Videos) öffentlich zugänglich freigegeben, können mittels Aufrufen der IP-Adresse andere Internetfähige Geräte diesen Content abrufen. Dabei handelt es sich um einen Webserver.

[In der Blog-Übersicht wird hier ein Weiterlesen-Link angezeigt]

Nun geben Sie aber, wenn Sie eine Internetseite sehen möchten nicht 81.169.145.93 ein, sondern www.comdatis.de. Mit diesen Buchstaben könnte Ihr PC oder Smartphone alleine aber gar nichts anfangen, für eine Übersetzung der Buchstaben in die IP-Adressen benötigt er einen sogenannten DNS-Server. Dieser DNS-Server kennt – wie ein Telefonbuch – alle Zuordnungen von Domain zu IP-Adressen. Wenn Sie nun also in Ihrem Browser eine WWW-Adresse eintippen ruft Ihr PC eine Verbindung zu dem im Router hinterlegten DNS-Server auf und fragt nach der Übersetzung der Domain in einer IP-Adresse der Seite.

Nun haben allerdings einige Anbieter von Internetseiten viele Marketing-Tools im Einsatz (z. B. Tracking durch Google Analytics, Facebook-Pixel etc.), auch Werbeeinblendungen werden – wie Sie wissen – gerne und häufig angezeigt. Dabei ist interessant, dass dieser Werbe- und Tracking-Content in der Regel von einem abweichenden Webserver bereitgestellt wird. Dies kann ein komplett fremder Server sein (z. B. www.google-analytics.com) oder auch ein sogenannte Subdomains des Anbieters (z. B. piwik.bayern.de). Scrollen und klicken Sie sich also durch eine Internetseite wird nicht nur der Server von nach Content befragt, sondern auch fremde Server die das Tracking oder die Werbung bereitstellen.

Da in der Regel eben diese auch eine buchstabenorientierte (also z. B. www.google-analytics.com) und nicht eine IP-Adresse aufweisen, muss es wieder zu einer Übersetzung durch den DNS-Server kommen.

An diesen Ansatz setzen Werbe-Blocker mit sogenannter DNS-Sinkholes an. Ein Senkloch für DNS-Übersetzungsanfragen. Diese Werbeblocker werden als kleine Umleitung zwischen Ihrem Router und dem eigentlichen DNS-Server geschaltet und fungieren als eine Art Grenzstation. Dabei kontrollieren sie DNS-Anfragen im Einzelnen, wird eine Anfrage als in Ordnung befunden, wird sie an den eigentlichen DNS-Server weitergeleitet. Wenn allerdings eine Anfrage als Werbung oder Tracking identifiziert wird, landet sie in dem Senkloch. An Ihrem Gerät wird dann eine IP-Adresse ausgegeben, die technisch nicht funktionsfähig ist. Sie bekommen dann auf Ihrem Gerät keinen Werbebanner angezeigt, Trackingübermittlungen bspw. zu Google Analytics landen im Nirvana und nicht auf Google-Servern, so findet keine Übermittlung von personenbezogenen Daten statt.

Bei der Kontrolle setzt der Werbeblocker Blocklisten ein, diese enthalten die meisten Werbe- und Tracking-Adressen und werden stetig aktualisiert. Momentan sind 113.000 Domains eingetragen. Individuelle Adressen können ebenfalls vom Nutzer geblockt werden. Dabei sind auch Wildcards möglich, so kann das Wort „Piwik“ in jeder Adresse auf die Blocklist gesetzt werden. Zusätzliche Whitelisten ermöglichen eine Freigabe, falls etwas falsch erkannt wurde.

Der Vorteil dieser Art des Werbeblockens besteht darin, dass es erst gar nicht zu Anfragen an Werbe- oder Trackingservern kommt. Viele der Ad-Blocker-Plugins für Internetbrowser unterbinden die Verbindung nicht, sondern sie blendet schlicht einfach nur die Werbebanner auf WWW-Seiten aus. Ein weiterer Vorteil ist, dass dies in Ihrem kompletten Netzwerk funktioniert, so auch für Ihre Smartphones, Smart-TV, Home-Sprach-Assistenten, Streaming-Media-Adapter auf denen Sie in der Regel keinen Adblocker installieren können. Sogenannte In-App-Werbung, wie Sie sie vielleicht von einigen kostenfreien Smartphone-Apps kennen, werden dabei zu einem guten Prozentsatz ebenfalls geblockt. Eine Sperrung von Internetseiten durch Anbieter, wenn diese Ad-Blocker-Plugins identifiziert haben, besteht beim Einsatz von DNS-Sinkhole-Blockern nicht.

 

Nachteile bestehen dabei nicht, einzelne Werbeanzeigen könnten Sie trotz alldem angezeigt bekommen, wenn die Werbeanzeigen z. B. statt über eine Internetdomain über eine feste IP-Adresse die Verbindung aufbauen und keinen DNS benötigen. Ferner werden manche Werbeanzeigen über dieselbe Webserver-Adresse wie der Originalcontent ausgespielt, diese Unterscheidung kann dieser Werbeblocker dann nicht vornehmen.

In dem Beispielbild (Screenshot) sehen Sie einen Ausschnitt eines Protokolls eines Pi-Hole‘s. Dort zu sehen ist der Aufruf einer Startseite einer großen deutschen Tageszeitung. Dabei wurden Internetdomains – also zusätzliche Abrufen – als „OK“ eingestuft (grün) und zum eigentlichen DNS-Server weitergeleitet (forwarded). Einige Adressen wurden allerdings als Werbung oder Tracking identifiziert und geblockt (rot), also in das DNS-Senkloch verbannt. Dabei sagen die Adressen einiges über den Zweck aus. Hier handelt es sich z. B. um Tracking durch Google Analytics und den Tag Manager, Werbung durch Google Ad Service oder eine Facebook-Connect-Schnittstelle:

 

In diesem Screenshot sehen Sie einen Teil der Startseite der obengenannten Tageszeitung mit einer weißen Lücke, in der Werbeanzeigen eingeblendet wäre (der rote Rahmen ist nachträglich hinzugefügt) und zum Vergleich dieselbe Stelle mit deaktiviertem Pi-Hole:

Am deutlichsten wird der Einsatz eines Pi-Holes beim Surfen auf mobilen Webseiten über ein Smartphone. Hier auf dem linken Screenshot (mit Werbeanzeige für Tierfutter, roter Rahmen) mit deaktiviertem Blocking und auf dem rechten nach einer Aktivierung:

Gewerbliche Anbieter dieser Art des Werbe- und Tracking-Blockens bestehen auf dem Markt, sind aber auch oft mit monatlichen Kosten verbunden. Allerdings gibt es auch eine kostenfreie Open-Source-Variante namens Pi-Hole. Der Name setzt sich aus dem Medium des Einplatinencomputers Raspberry Pi und Sinkhole zusammen. Bei einem Raspberry Pi handelt es sich um eine kleine Platine die mittels SD-Karten-Slot mit einem Betriebssystem (z. B. Linux Raspbian) ausgestattet wird. Auf diesem Betriebssystem wird dann die eigentliche kostenfreie Software Pi-Hole installiert und im Anschluss für die individuellen Einstellungen eingerichtet. Kostenpunkt für einen Raspberry Pi sind ca. 44,- €, ein Zeitaufwand für eine Installation und die Konfiguration kann ca. 30 bis 60 Minuten in Anspruch nehmen.

Bei der Konfiguration der Software Pi-Hole können Sie zwischen drei Varianten wählen: entweder Sie konfigurieren diese als DHCP, das bedeutet dass nun die Software die Verteilung der Netzwerk-IP-Adressen an die einzelnen Geräte im Netzwerk und nicht mehr der Router übernimmt, somit werden alle Geräte im Netzwerk gezwungen über den Pi Hole auf einen DNS-Server zu laufen. Sie können aber auch in den Einstellungen Ihres Gerätes den DNS-Server auf die Netzwerk-IP-Adresse des Pi-Holes einstellen und das Gerät so hinzufügen. Zuletzt können Sie auch die in Ihrem Router hinterlegte DNS-Server-Adresse auf die des Pi-Holes einstellen und den Router zu einer Umleitung zwingen.

02.09.2019 08:07

Apps und der Datenschutz

Eine App zur Erhöhung des mobilen Komforts oder des Spiel-Spaßes ist schnell installiert. Kurz noch alle Berechtigungsanfragen mit OK bestätigen und los geht’s.

Halt, Stop! Warum brauchen die Apps die Berechtigungen und warum sind wir so sorglos im Umgang mit Apps?

[In der Blog-Übersicht wird hier ein Weiterlesen-Link angezeigt]

Grundsätzlich gilt, dass eine kostenlose App in den meisten Fällen nicht umsonst ist. Es wird halt mit Daten bezahlt, um z.B. gezielt Werbeanzeigen zu schalten. Das könnte auch der Grund dafür sein, dass die hierfür notwendigen Berechtigungen und noch mehr von der App abgefragt werden.

Folgende Fragen helfen bei der Bewertung der Vertrauenswürdigkeit von Apps:

  • Benötigt die App tatsächlich die angefragten Berechtigungen?
  • Stammt die App aus einem der offiziellen App-Stores, also aus einer vertrauenswürdige Quelle?
  • Verwendet die App sichere Verbindungen für einen etwaigen Datentransfer?
  • Synchronisiert die App Daten mit einem Cloud-Speicher?
  • Erfolgt durch die App-Nutzung ein Transfer personenbezogener Daten in ein Land außerhalb der EU? Im Unternehmenseinsatz bedarf es hierfür einer Rechtsgrundlage.
  • Welche Informationen können aus der Datenschutzerklärung der App gewonnen werden?

 

Über den Autoren:

Markus Olbring ist Inhaber der comdatis it-consulting GmbH & Co. KG in Ahaus-Alstätte. Er ist als IT-Berater und IT-Sachverständiger und berät Unternehmen in den Bereichen Digitalisierung, Verfahrensdokumentation, Datenschutz, externer Datenschutzbeauftragter sowie Informationssicherheit.

#datenschutz #dsgvo #bdsg #comdatis #einfachmittelständischpragmatisch

27.08.2019 07:46

Kurz informiert: Aktuelles zum Datenschutz

Heute gibt es einmal einen Blog-Betrag mit mehreren Themen, über die wir kurz informieren möchten, da diese an anderen Stellen umfangreich erläutert sind.

Die folgenden Themen werden wir aufgreifen:
- EuGH: Einwilligung für Social Plugins und Tracking erforderlich
- OLG Frankfurt a.M.: Urteil zur Kopplung von Einwilligung mit Teilnahme an Gewinnspiel
- LfD Niedersachsen: Querschnittsprüfung in der Wirtschaft - Kriterienkatalog

[In der Blog-Übersicht wird hier ein Weiterlesen-Link angezeigt]


EuGH: Einwilligung für Social Plugins und Tracking erforderlich
Die gerichtlichen Vorgaben, die sich aus der Entscheidung des EuGHs ergeben, gelten für Websites und Apps sowie für fast alle Social Plugins und Trackingtools. Bereits am 21.06.19 haben eine allgemeine Handlungsempfehlung zum Einsatz von Cookies und Analysetools im Blog veröffentlicht. Neben der dort erläuterten Einholung der erforderlichen Einwilligung zum Einsatz von Plugins / Tools (durch Cookie-Banner oder möglicherweise alternativ einer 2-Klick-Lösung) ergibt sich durch das Urteil ggf. weiterer Handlungsbedarf. So kann es notwendig sein, dass mit dem Anbieter des Plugins / Tools eine Vereinbarung über die gemeinsame Verantwortlichkeit gem. Art. 26 DSGVO abgeschlossen werden muss und der Nutzer über die gemeinsame Verantwortlichkeit zu informieren ist. Dies sollten Sie beim Einsatz von Plugins / Tools beachten, da eine fehlende Vereinbarung aus datenschutzrechtlicher Sicht einen Verstoß darstellt.


OLG Frankfurt a.M.: Urteil zur Kopplung von Einwilligung mit Teilnahme an Gewinnspiel
Ein weiteres Urteil, welches wir kurz erläutern möchten wurde vom OLG Frankfurt a. M. getroffen. Dabei ging es unter anderem um die Kopplung der Teilnahme an einem Gewinnspiel mit der Einholung einer Werbeeinwilligung. Der Leitsatz der Entscheidung lautet:
„1. Wird die Teilnahme an einem Gewinnspiel von der Einwilligung in zukünftige E-Mail-Werbung abhängig gemacht, handelt es sich um eine DSGVO-konforme Einwilligungserklärung.
2. Die Einwilligungserklärung ist auch dann noch ausreichend transparent, wenn sich acht Co-Sponsoren auf der Sponsoren-Liste im Rahmen der Einwilligungsliste finden.
3. Für die hinreichende Bestimmtheit der Einwilligungserklärung reicht es aus, wenn die sachliche Reichweite mit "Strom & Gas“ angegeben wird. Die Angabe "Marketing und Werbung" dürfte eher unwirksam sein, da sie nicht ausreichend bestimmt ist.“
Das bedeutet kurz gesagt, dass es datenschutzrechtlich konform ist, wenn mit der Teilnahme an einem Gewinnspiel in bestimmte Werbemaßnahmen eingewilligt wird und daraufhin bis zu acht Sponsoren / Unternehmen Werbung in dem bestimmten Bereich betreiben. Der Teilnehmer hat selbst (frei) zu entscheiden, ob ihm die Teilnahme an dem Gewinnspiel die Bekanntgabe / Weitergabe seiner Daten an bis zu acht Werbende wert ist.


LfD Niedersachsen: Querschnittsprüfung in der Wirtschaft – Kriterienkatalog
Die LfD Niedersachsen hat im letzten Jahr eine Querschnittsprüfung zur Umsetzung der DSGVO durchgeführt. Geprüft wurden 50 große und mittelgroße Unternehmen anhand eines Kriterienkatalogs mit 10 Themenbereichen mit circa 200 Einzelkriterien. Die Fragen umfassen u.a. die allgemeine Herangehensweise an die Umsetzung der DSGVO aber auch spezifische Bereiche wie das Verzeichnis von Verarbeitungstätigkeiten. Im Vordergrund der Überprüfung stand die Erlangung eines allgemeinen Umsetzungsstandes und nicht das Auffinden von Fehlern, jedoch wurden und werden aufgedeckte Mängel weiterverfolgt und möglicherweise auch Bußgelder verhängt.
Zukünftige Überprüfungen, die nicht auf Grund von Beschwerden oder konkreten Vorfällen durchgeführt werden, könnten einen ähnlichen Umfang besitzen. Durch die jetzige Veröffentlichung des Fragenkatalogs inklusiv der Einzelkriterien wird den Unternehmen eine Möglichkeit geboten, den eigenen Umsetzungsstand bewerten zu können und mögliche offene Aufgaben zu identifizieren. (https://lfd.niedersachsen.de/startseite/datenschutzreform/ds_gvo/kriterien-querschnittspruefung-179455.html)

24.08.2019 11:44

Gesundheits-Apps

Ohne Frage ist die im Gesundheitssektor stattfindende Digitalisierung eine Zeit- und auch Arbeitsersparnis für viele Ärzte und auch Krankenversicherte. Aber ist sie auch immer so sicher, wie sie von einigen Anbietern beschrieben wird?

[In der Blog-Übersicht wird hier ein Weiterlesen-Link angezeigt]

Durch Gesundheits-Apps und Webportale kann der Krankenversicherte nun seine Gesundheitsdaten selbst in der Hand halten und muss nicht mühselig bei verschiedensten Ärzten eine Einsichtnahme (§ 630g BGB) verlangen. Ärzte haben durch diesen Einsatz unter Anderem weniger Bürokratieaufwand. Allerdings kann dies auch – gerade, wenn die Datensicherheit nicht vollumfänglich gewährleistet wird – Schwachstellen haben.

Seit Herbst 2018 gibt es bereits eine private Anbieterin für eine digitale Gesundheitsakte unter Anderem in Form einer Smartphone-App und eines Webportals mit Login. Diese soll laut Anbieterangaben an Impfauffrischungen erinnern, bei Medikamenteneinnahme unterstützen und über Wechselwirkungen aufklären. Ferner soll sie bei der Arztsuche helfen und alle Notfalldaten enthalten. Durch Funktionen eines „Gesundheits-Checks“ und individuelle Tipps soll sie dem Smartphone-Besitzer helfen, die Gesundheit aktiv mitzugestalten. Eine Partnerschaft besteht zu vierzehn gesetzlichen und zwei privaten Krankenkassen. Eine Übermittlung von ärztlichen Dokumenten kann mittels Schnittstelle von den Behandelnden vom Arzt angefordert werden.

Personenbezogene Gesundheitsdaten sind je nach Umfang und Art die wohl mit sensibelsten Daten und zu Recht durch den Artikel 9 der Datenschutzgrundverordnung (DSGVO) vom EU-Gesetzgeber besonders geschützt worden. Sie vor einer Datenschutzverletzung zu schützen sollte stets oberstes Ziel von Verantwortlichen und Betroffenen sein.

Keine Frage, dass sich der Verantwortung dieser sogenannten besonderen Kategorie personenbezogener Daten, die Anbieter bewusst sind. Allerdings wurden im September 2018 bei einer privaten Anbieterin bereits vierzehn Sicherheitslücken bekannt, die teilweise auch mit einem hohen Risiko klassifiziert wurden.
Ein unabhängiges Sicherheitsunternehmen hat Schwachstellen identifiziert, sodass personenbezogene Daten teils mit relativ geringem, mittlerem oder auch hohem Aufwand unbefugt verfügbar gemacht werden konnte. Zum Beispiel waren Informationen wer wann mit welchem Arzt Gesundheitsdaten geteilt hat ungeschützt und für jeden einseh- und lesbar im Internet, sog. Session-ID waren nur fünfstellig und bestanden nur aus Kleinbuchstaben, sodass diese innerhalb von 24 Stunden leicht zu „knacken“ sind und sich Zugang zu einer Schnittstelle Patient-Arzt verschafft werden könnte, Metadaten konnten durch unbefugte Dritte eingesehen werden, Angreifer konnten sich als authentischem Nutzer ausgeben und so Dokumente vom Arzt anfordern und einsehen, eine Pseudonymisierung der Anwender konnte umgehen werden, sodass der Anbieter eine Zuordnung von Nutzer zu Pseudonym vornehmen kann, im Systemlog für Fehlermeldungen des Smartphones wurden teilweise Daten geloggt, aus denen Krankheitsbilder hervorgehen.
Auch eine gesetzliche Krankenkasse hat bereits eine Gesundheits-App auf den Markt gebracht, diese soll es ermöglichen die Gesundheits- und Krankheitsdaten strukturiert und übersichtlich an einem Ort zu speichern und selbst zu managen. Dort können Informationen wie beispielsweise die verordneten Medikamente, Impfungen, Diagnosen oder Röntgenbilder eingesehen werden.

Eine andere privater Anbieterin von digitaler synchronisierter Healthcare plante unterdes bereits in ihrem Finanzreport laut Medienberichten eine fünfprozentige Wahrscheinlichkeit von Schäden durch Datenverarbeitungsrisiken ein.

Dies Beispiel zeigt, dass neben allen Vorteilen, die eine Digitalisierung im Gesundheitswesen haben kann, auch immer ein Risiko einhergehen kann und eine IT-Sicherheit stets laufend unabhängig überprüft werden muss. Ferner sollte jeder Betroffene genau abzuwägen, welche Risiken eine eventuelle Datenschutzverletzung für die eigenen persönlichen Rechte und Freiheiten bedeuten kann.

07.08.2019 07:50

Podcast: Neue GoBD

In unserem 3. Podcast haben wir für Sie die wichtigsten Neuerungen der GoBD zusammengefasst. Außerdem gehen wir zum Thema Datenschutz auf Google Analytics ein.

Hier können Sie den Podcast abrufen.

29.07.2019 20:25

Notfallkonzept? Brauche ich nicht! Oder doch?

Beim Thema Notfallkonzept denkt jeder schnell an die EDV im Unternehmen, von der man irgendwie abhängig ist. Seit Mai 2018 wird das Thema Notfallkonzept auch gerne im Zusammenhang mit der Datenschutzgrundverordnung (DSGVO) genannt.

Aber ist das wirklich das, was ein Notfallkonzept ist? Ich sage: Jeder Unternehmer und Unternehmerin braucht ein Notfallkonzept!

[In der Blog-Übersicht wird hier ein Weiterlesen-Link angezeigt]

Dabei geht es keineswegs nur um das Unternehmern oder deren IT. Es gilt: Der Blick über den Tellerrand und die Einbeziehung von Vertrauenspersonen ist wesentlicher Bestandteil eines übergreifenden Notfallkonzeptes.

Folgende Frage ist die Grundlage für das Notfallkonzept: Was müssen meine Mitarbeiter und Kollegen sowie mein persönliches Umfeld bei einem Ausfall meiner Person wissen, damit es im beruflichen und privaten Umfeld weiterlaufen kann?

Zugegebenermaßen hatte ich große Probleme damit, mich zu überwinden, ein Notfallkonzept zu erstellen. Irgendwie musste ich mich mit einem Thema auseinandersetzen, welches so weit entfernt zu sein scheint. Trotzdem ist es sinnvoll und wohl auch notwendig, sich mit dem schlimmsten aller Fälle auseinanderzusetzen.

Ich habe nun also ein Notfallkonzept erstellt, dabei habe ich unterschieden zwischen dem beruflichen und privaten Umfeld.

Zunächst möchte ich das betriebliche Umfeld betrachten, hier der Einfachheit halber als Checkliste zusammengefasst:

  • Wer kann mich als Geschäftsführer im Unternehmen vertreten? (z.B. Gibt es einen weiteren Geschäftsführer oder ist jemand als Prokurist bestellt, der die Geschäftsführung übernehmen könnte)
  • Wer kann mich als Gesellschafter im Unternehmen vertreten?
  • Ist so etwas wie ein Krisenstab notwendig? (in Kleinstunternehmern vielleicht etwas übertrieben, aber immer doch sinnvoll: Mitglieder aus dem familiären Umfeld und wichtige Mitarbeiter im Unternehmen sollten den Krisenstab bilden)
  • Wer kann die wesentlichen Prozesse im Unternehmen abwickeln (z.B. Zahlungsverkehr, Dienstleistungserbringung an Kunden, Personalthemen usw.)?
  • Wer entscheidet über eine Benachrichtigung von Geschäftspartnern über einen Krisenfall und wer übernimmt die Benachrichtigung?
  • Wo sind wichtige Kontaktdaten hinterlegt?
  • Gibt es externe Vertrauenspersonen, die einzubeziehen sind? (z.B. Steuerberater, Rechtsanwalt, Versicherungsmakler, Bank/Sparkasse, IT-Dienstleister)
  • Worst Case: Wie sieht es mit einer Nachfolge- / Erbregelung aus?
  • Gibt es eine Übersicht betrieblicher Bankkonten und gibt es eine Vollmacht für Vertretungsregelungen?
  • Gibt es ein Bankschließfach mit wichtigen Informationen und ist sichergestellt, dass auch eine Vertretung darauf Zugriff hat?
  • Welche wesentlichen Schuldverhältnisse gibt es evt. im Unternehmen? (z.B. Darlehen, Leasingverträge)
  • Was sind die wesentlichen Zahlungsverpflichtungen des Unternehmens?
  • Gibt es Unternehmensbeteiligungen?
  • Gibt es eine Übersicht der betrieblichen Versicherungen? Hierzu bietet sich eine Tabelle an: Art der Versicherung, Versicherer, Ansprechpartner, Kontaktdaten, Versicherungsnummer, Beitrag, Zahlungsweise des Beitrags, Fälligkeit, Zahlungsart, Aufbewahrungsort der Police.
  • Der Unternehmer selber ist häufig nicht über die Berufsgenossenschaft unfallversichert: Es muss also bekannt sein, wo der Unternehmer selber unfallversichert ist.
  • Gibt es ein zentrales Vertragsmanagement im Unternehmen? Dies kann softwaregestützt erfolgen, papierbasiert oder auf andere Weise. Vertragliche Verpflichtungen sollten auf jeden Fall festgehalten werden
  • Wo befinden sich Handelsregisterauszüge?
  • Wo befinden sich Grundbuchauszüge?
  • Gibt es ein Verzeichnis von Patenten, Markenrechten?
  • Wo werden die KFZ-Briefe des Firmenfuhrparks aufbewahrt?
  • Gibt es wichtige und im Notfallkonzept erwähnenswerte Rechtsstreitigkeiten?
  • Sind wichtige Kennwörter irgendwo sicher hinterlegt?

Hier eine Checkliste für das private Umfeld:

  • Wer sind die Vertrauenspersonen im privaten Umfeld, die zu benachrichtigen sind? (z.B. Ehe-/Lebenspartner, Kinder)
  • Gibt es eine Übersicht privater Bankkonten (einschl. Wertpapierdepots) und ist über eine Vollmacht eine Vertretungsregelung sichergestellt?
  • Welche wesentlichen privaten Vermögenswerte gibt es? (z.B. Immobilien, Sparverträge)
  • Gibt es ein Bankschließfach (oder anderen Ablageort z.B. Tresor) mit wichtigen Informationen und ist sichergestellt, dass auch eine Vertretung darauf Zugriff hat?
  • Welche wesentlichen privaten Zahlungsverpflichtungen gibt es?
  • Welche wesentlichen Schuldverhältnisse bestehen? (z.B. Darlehen)
  • Gibt es eine Übersicht der privaten Versicherungen? Eine Tabellenform, wie oben beschrieben, ist empfehlenswert. Besonders bedeutsam ist hier meines Erachtens: Krankenversicherung (gesetzliche, privat, privat zusatzversichert), Unfallversicherung, Risikoleben, Berufsunfähigkeit
  • Gibt es externe Vertrauenspersonen, die einzubeziehen sind? (z.B. Steuerberater, Rechtsanwalt/Notat, …)
  • Wo sind Verträge, Urkunden und Vollmachten abgelegt (z.B. Testament, Ehevertrag, Heiratsurkunde, eigene Geburtsurkunde, Vorsorgevollmacht, Patientenverfügung usw.)
  • Wo befinden sich Grundbuchauszüge von z.B. privatem Wohneigentum?
  • Sind wichtige Kennwörter irgendwo sicher hinterlegt?

Es macht keinen Spaß, sich mit diesem Thema auseinanderzusetzen. Vermutlich ist aber für jeden Unternehmer nachvollziehbar, dass ein Notfallkonzept Pflicht ist! Ich habe ein Notfallkonzept erstellt, hoffe aber, dass es nie gebraucht wird. Außerdem habe ich mir vorgenommen, das Notfallkonzept jährlich zu überprüfen.

Sehr hilfreich war für mich übrigens eine Vorlage der IHK Nord-Westfalen: https://www.ihk-nordwestfalen.de/blob/msihk24/IHK-Service/Nachfolge/downloads/3569858/098154c4eb087276cd4aa89cb800a4bd/IHK-NW_Notfallhandbuch-data.pdf

26.07.2019 10:50

GoBD - neue Fassung im Juli 2019

Am 11. Juli kam die neue Fassung der GoBD heraus. Die Abkürzung steht für:
"Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff". Wir haben uns mit den Änderungen beschäftigt und haben die grundlegenden Änderungen nachfolgend zusammengefasst. Vorab muss man sagen, dass sich die Anzahl der Randziffern (184) und die Anordnung der Randziffern unverändert geblieben ist.

[In der Blog-Übersicht wird hier ein Weiterlesen-Link angezeigt]

Wann kommt die neue Fassung der GoBD zum Einsatz?
Es ist auf Besteuerungszeiträume anzuwenden, die nach dem 31. Dezember 2019 beginnen. Es wird selbstverständlich nicht beanstandet, wenn Änderungen nun bereits zeitnah umgesetzt werden.

Doch was hat sich den geändert? Müssen konforme Unternehmen sich nun erneut damit befassen?

Ein klares Jaein. Selbstverständlich muss die neue GoBD herangezogen werden, um zu analysieren, ob die Änderungen die internen Prozesse betreffen. Ganz interessant ist die Änderung in der Randziffer 154. Hier nun ein Ausschnitt aus der alten Version: Die Verfahrensdokumentation ist bei Änderungen zu versionieren und eine nachvollziehbare Änderungshistorie vorzuhalten.

In der neuen Fassung wird diese Anforderung nun konkretisiert. Nachfolgend ein Ausschnitt aus der neuen Fassung: Änderungen einer Verfahrensdokumentation müssen historisch nachvollziehbar sein. Dem wird genügt, wenn die Änderungen versionisiert sind und eine nachvollziehbare Änderungshistorie vorgehalten wird.

Leider hat sich das BMF selbst nicht dran gehalten. So ist es eine sehr müheselige Aufgabe die Änderungen heraus zu filtern.

Eine weitere Sache fällt dem Leser direkt auf. Es wird nicht mehr von Scannung, sondern von der "bildlichen Erfassung" gesprochen. Gemäß der Randziffer 130 ist die bildliche Erfassung gleichzusetzen mit einer Scannung und/ oder das Fotografieren eines Beleges mit dem Smartphone. Und damit kommen wir nun zu der Änderung in der Randziffer 130.

Werden Handels- oder Geschäftsbriefe und Buchungsbelege in Papierform empfangen und danach elektronisch bildlich erfasst (z. B.gescannt oder fotografiert), ist das hierdurch entstandene elektronische Dokument so aufzubewahren, dass die Wiedergabe mit dem Original bildlich übereinstimmt, wenn es lesbar gemacht wird (§147 Absatz 2 AO). Eine Erfassung kann hierbei mit den verschiedensten Arten von Geräten (z.B. Smartphones, Multifunktionsgeräten oder Scan-Straßen) erfolgen, wenn die Anforderungen dieses Schreibens erfüllt sind. Werden bildlich erfasste Dokumente per Optical-Character-Recognition-Verfahren (OCR-Verfahren) um Volltextinformationen angereichert (zum Beispiel volltextrecherchierbare PDFs), so ist dieser Volltext nach Verifikation und Korrektur über die Dauer der Aufbewahrungsfrist aufzubewahren und auch für Prüfzwecke verfügbar zu machen. §146 Absatz 2 AO steht einer bildlichen Erfassung durch mobile Geräte (z. B. Smartphones) im Ausland nicht entgegen, wenn die Belege im Ausland entstanden sind bzw. empfangen wurden und dort direkt erfasst werden (z.B. bei Belegen über eine Dienstreise im Ausland).

Die OCR Anforderung gab es bereits in der ersten Fassung. Nun wird jedoch explizit erlaubt, mobile Endgeräte für die Digitalisierung der Belege zu verwenden. Neben der Randziffer 130 wird unter der Randziffer 136 die Scannung bzw. die bildliche Erfassung von Belegen im Ausland als zulässig erklärt. Dies betrifft im Ausland entstandene Belege, die direkt verarbeitet werden, aber auch die Scannung von Belegen durch einen Outsourcing Partner im Ausland. Dazu benötigt es jedoch die explizite Genehmigung (siehe §146 Abs. 2a Abgabenordnung).

Zu einer der größten Änderungen / Erleichterungen gehört die Erlaubnis zur Nutzung von Cloud-Systemen. Dies wird unter der Randziffer 20 der GoBD beschrieben. Und zwar wird unter der Randziffer 20 erläutert was unter einem DV-System verstanden wird. Es werden hier einige Beispiele genannt, die wir explizit nun auch aufführen möchten:

  • Finanzbuchführungssystem
  • Anlagenbuchhaltung
  • Lohnbuchhaltungssystem
  • Kassensystem
  • Warenwirtschaftssystem
  • Zahlungsverkehrssystem
  • Taxameter
  • Geldspielgeräte
  • Elektronische Waagen
  • Materialwirtschaft
  • Fakturierung
  • Zeiterfassung
  • Archivsystem
  • Dokumenten-Management-System
  • Cloud-Systeme (ergänzt in der neuen Fassung)

Die explizite Erlaubnis zur Nutzung von Cloud-Systemen gehört sicherlich zu den größten Neuerungen bzw. Erleichterungen. Dies betrifft vor allen kleineren Unternehmen, die nun nicht mehr alle Server und Anwendungen intern betreiben müssen. Neben dem erhöhten Cash-Flow werden Administrationsarbeiten massiv minimiert. Leider haben wir keine konkreten Anforderungen dazu gefunden, wie die Dienste einzusetzen sind, wie bspw. in welchem Land das System betrieben wird und welche Standards einzuhalten sind.

Eine weitere Erleichterung findet sich unter Randziffer 135 wieder. Dies betrifft die Konvertierung, also die Umwandlung der Aufbewahrungspflichtigen Unterlagen. Bisher mussten, soweit Umwandlungen stattfanden sowohl die Originaldatei, als auch die konvertierte Version unter derselben Index aufbewahrt werden. In der neuen Fassung wird jedoch beschrieben, dass die Aufbewahrung beider Versionen nicht erforderlich ist. Demnach muss lediglich die konvertierte Version aufbewahrt werden, wenn:

  • Keine bildlichen oder inhaltlichen Veränderungen vorgenommen worden sind.
  • Durch die Konvertierung keine Aufbewahrungspflichtigen Informationen verloren gehen.
  • Die ordnungsgemäße und verlustfreie Konvertierung in der Verfahrensdokumentation beschrieben wird
  • Die Maschinelle Auswertbarkeit und der Datenzugriff durch die Finanzbehörde nicht eingeschränkt wird.

Darüber hinaus wurden einige Aussagen konkretisiert so Beispielsweise unter der Randziffer 48. In der ersten Fassung lautete die Formulierung "Kasseneinnahmen und Kassenausgaben sollen nach § 146 Absatz 1 Satz 2 AO täglich festgehalten werden.". In der neuen Fassung wurde diese Aussage wie folgt konkretisiert: "Kasseneinnahmen und Kassenausgaben sind nach § 146 Absatz 1 Satz 2 AO täglich festzuhalten.". Die überarbeitete Version lässt weniger Spielraum für Interpretationen zu.

Als Fazit kann gesagt werden, dass die Änderungen den steuerpflichtigen Unternehmen einen kleinen Schritt entgegenkommen, um Bürokratieabbau zu schaffen.

26.07.2019 10:18

Datenschutz in sozialen Netzwerken

Ähnlich wie bei der Impressumspflicht ist es erforderlich, in den unterschiedlichen sozialen Netzwerken die Nutzer über die Datenverarbeitung zu unterrichten. Dazu ist die Datenschutzerklärung /-information zugänglich zu machen. Dies stellt Unternehmen, die soziale Netzwerke einsetzen, vor neuerliche Herausforderungen. Für jedes eingesetzte Netzwerk ist eine eigene Erklärung oder mindestens ein eigener Abschnitt in der Datenschutzerklärung zu erstellen. Ist diese Hürde gemeistert und die entsprechenden Informationen liegen vor, stellt sich die Frage, wie diese in den einzelnen Netzwerken zugänglich gemacht werden können. Antworten auf diese Frage haben wir bereits häufiger gesucht und folgende Umsetzungshilfe soll Ihnen bei der datenschutzkonformen Umsetzung helfen. Wir haben die gängigen sozialen Netzwerke näher betrachtet und für jedes eine Möglichkeit der Umsetzung erläutert.

[In der Blog-Übersicht wird hier ein Weiterlesen-Link angezeigt]

Zunächst ist es notwendig, dass Sie eine Datenschutzerklärung für alle eingesetzten soziale Netzwerke erstellen und diese (beispielsweise als PDF-Datei oder in HTML) auf Ihren Webserver hochladen. Die Datenschutzerklärung für die sozialen Netzwerke muss nicht im Menü der Webseite bereitgestellt werden, sondern lediglich per (sprechenden) Link aufzurufen sein. Bei einem „sprechenden Link“ enthält der Link das Wort „Datenschutzerklärung“ oder „Datenschutz“. Des Weiteren ist es ebenfalls möglich, dass Sie die Informationen der Datenschutzerklärung der Webseite hinzufügen. Den entsprechenden Link fügen Sie beispielsweise wie folgt bei den einzelnen Netzwerken ein:

Facebook:
Nach dem Einloggen gehen Sie in den „Info-Bereich“. Im unteren rechten Bereich der Seite befindet sich der Punkt „Bearbeiten Datenrichtlinie“. Es öffnet sich ein kleines Fenster, in welchem der Link zu der Datenschutzerklärung eingefügt werden kann.

LinkedIn
Bei LinkedIn klicken Sie, nach dem Einloggen, auf die Schaltfläche „Sie“. Dort navigieren Sie zu dem Punkt „Kontaktdaten“. Unter dem Punkt „URL der Website“ fügen Sie den Link zu der Datenschutzerklärung ein und geben bei der „Art“ an, dass es eine Datenschutzerklärung ist. In der Zusammenfassung („Über Uns“) geben Sie den Text „Die Datenschutzerklärung finden Sie unter „Kontaktdaten“.“ ein. Dadurch können Sie an dieser Stelle jedoch nicht mehr auf die eigentliche Unternehmenswebseite verweisen. Sie können auch in der Zusammenfassung („Über uns“) auf die Datenschutzerklärung mit Einbindung des Links verweisen.

Xing
Zunächst loggen Sie sich bei Xing in das Unternehmensprofil ein. Im unteren rechten Bereich finden Sie die Kontaktbox und den Bereich „Kontaktdaten hinzufügen“. In der Rubrik „Unternehmenswebseite“ kann der Link zur Datenschutzerklärung eingefügt werden. Dadurch können Sie an dieser Stelle jedoch nicht mehr auf die eigentliche Unternehmenswebseite verweisen. Der Verweis auf die Datenschutzerklärung kann ebenso im Bereich „Über uns“ erfolgen. Dort beispielsweise mit dem Hinweis „Die Datenschutzerklärung finden Sie unter folgendem Link: “ und an dieser Stelle fügen Sie den entsprechenden Link ein.

Twitter
Öffnen Sie den Bearbeitungsmodus und klicken Sie unterhalb des Profilbildes auf „Website-URL“ und fügen dort den Link zur Datenschutzerklärung ein. Sollten Sie an dieser Stelle die Unternehmenswebseite verlinkt haben, können Sie den Link zur Datenschutzerklärung ebenso in der Profilbeschreibung unterbringen. Dort ist dieser Link z.B. mit dem Beisatz „Unsere Datenschutzerklärung finden Sie unter:“ einzubinden.

Instagram
Bei Instagram klicken Sie auf die Schaltfläche „Profil bearbeiten“ und fügen im unteren Bereich unter „Website“ den Link zur Datenschutzerklärung ein. Ist an dieser Stelle ebenfalls die Unternehmenswebseite verlinkt, sollte der Link zur Datenschutzerklärung in der Beschreibung eingefügt werden.

Google+
Die Möglichkeit den Link einzufügen finden Sie bei Google+ nach dem Sie die Schaltfläche „Profil bearbeiten“ ausgewählt haben und dort in dem Bereich „Kurzinfo“.
YouTube
Nach dem Anmelden bei YouTube wählen Sie das „Profil-Menü“ und anschließend „Mein Kanal“ aus. Dort müssen Sie auf „Kanal anpassen“ klicken und bei den „Kanaleinstellungen“ das „Kanallayout anpassen“ auswählen. Speichern Sie dies. Danach wählen sie im Titelbild oben rechts das Stiftsymbol „Links bearbeiten“. Im unteren Bereich wählen Sie „+ Links“ aus und fügen den Link und die Bezeichnung ein. Anschließend beenden Sie die Bearbeitung durch Auswahl von „Fertig“.

Beachten Sie, dass durch diese Möglichkeit zwar die Datenschutzerklärung rechtskonform eingebunden ist, Sie jedoch möglicherweise nicht der Impressumspflicht nachkommen. Eventuell ist in den einzelnen Netzwerken eine separate Möglichkeit zur Einbindung des Impressums gegeben (z.B. bei Facebook). Sollte dies nicht möglich sein, ist zu überlegen, die Datenschutzerklärung und das Impressum zu kombinieren und somit mit einem sprechenden Link auf Beides hinzuweisen. Dabei ist darauf zu achten, dass klar ersichtlich ist, dass der Link neben der Datenschutzerklärung auch auf das Impressum verweist.

Bitte bedenken Sie, dass dies lediglich einige Möglichkeiten aufzeigt, wie Sie (neben der Impressumspflicht) auch der Pflicht zur Einbindung einer Datenschutzerklärung nachkommen könnten. In welcher Weise Sie der Impressums- und Informationspflicht nachkommen, ist individuell von Ihnen zu überlegen. Ein wichtiger Hinweis ist zudem, dass sowohl Impressum als auch Datenschutzerklärung mit lediglich 2-Klicks von der Webseite oder dem Profil des sozialen Netzwerkes aus erreichbar sein müssen und der Besucher die entsprechenden Informationen erhält.

22.06.2019 10:31

Nie war Verfahrensdokumentation einfacher!

einfach/mittelständisch/pragmatisch zur GoBD-Verfahrensdokumentation!

In unserem neuen Coaching-Programm für Steuerberater können Sie sich als Steuerberater das Wissen aneignen, um Ihren Mandanten die Erstellung einer Verfahrensdokumentation anzubieten. Die notwendigen Vorlagen erhalten Sie einschl. Video-Erläuterung im Rahmen unseres Coachings.

Hier erfahren Sie mehr: www.verfahrensdokumentation.jetzt

#verfahrensdokumentation #gobd #Digitalisierung #einfachmittelständischpragmatisch

Podcast zum Datenschutz

Die comdatis-Mitarbeiter Faraz Afscharian und Sven Schüldink unterhalten sich in diesem Podcast über das erste Jahr der Datenschutzgrundverordnung (DSGVO).

Unter anderem wird über die Themen Aufsichtsbehörden, Bußgelder, Abmahnrisiken und dem Wahnsinn der Einwilligungen gesprochen.

Hier können Sie Folge 01 unseres Podcasts abrufen.

09.07.2019 21:53

Grundsätze der Datenverarbeitung nach DSGVO

Zwar bedarf es für jede Verarbeitung von personenbezogenen Daten aufgrund des Verbots mit Erlaubnisvorbehalt einer Rechtsgrundlage nach Datenschutzgrundverordnung (DSGVO) wie zum Beispiel der Erfüllung eines Vertrags oder einer rechtlichen Verpflichtung, allerdings müssen auch gemäß Artikel 5 DSGVO die Grundsätze für die Verarbeitung personenbezogener Daten stets gewahrt werden.

[In der Blog-Übersicht wird hier ein Weiterlesen-Link angezeigt]

Diese grundlegenden Prinzipien muss jeder Verantwortliche (Unternehmen, Vereine etc) einhalten und Rechenschaft über die Einhaltung ablegen können. Konkrete Beispiele wie einer Rechenschaft- und Nachweispflicht nachgekommen werden kann, beschreibt die DSGVO nicht konkret. Allerdings lohnt sich hier ein Blick in die Erwägungsgründe: in der Nr. 82 wird zum Nachweis der Einhaltung der DSGVO das Führen eines Verzeichnisses der Verarbeitungstätigkeiten geboten. Die in Art. 30 DSGVO beschriebenen vorausgesetzten Angaben in einem Verzeichnissen der Verarbeitungstätigkeiten könnten somit praxisnah mit Nachweisen der Einhaltung der Grundsätze erweitert werden.

Die mitunter ungegenständlich beschriebenen Grundsätze sind unter Umständen nicht für jeden Verantwortlichen einfach zu interpretieren. Aus diesem Grund möchten wir Ihnen in diesem Blogbeitrag die obengenannten Grundsätze vorstellen und kurz erläutern.

Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz

Die hiergenannte Rechtmäßigkeit bezieht sich auf die in Artikel 6 DSGVO beschriebenen Rechtsgrundlagen. Der Begriff des Treu und Glauben ist nicht neu und besteht auch im deutschen BGB und in der EU-Grundrechte-Charta. Er beschreibt abstrakt die Fairness, die eingehalten werden muss. Die letzte Anforderung der Transparenz ist vielen Verantwortlichen auch durch die Datenschutzinformationen gem. Art. 12 ff. DSGVO bekannt.

Zweckbindung

Bereits die Erhebung des personenbezogenen Datums muss für ein oder auch mehrere festgelegte, eindeutige und legitime Zwecke durch den Verantwortlichen geschehen. Die starre Bindung an einen oder mehrere Zweck(e) wird allerdings wiederrum durch den Art. 6 Abs. 4 DSGVO und den Erwägungsgrund Nr. 50 abgeschwächt. Zweckänderungen müssen daher immer vereinbar mit dem ursprünglichen Zweck sein.

Datenminimierung

Die Datenminimierung bezeichnet, dass die Verarbeitung (als kompletter Lebenszyklus der personenbezogenen Daten) und auch Weiterverarbeitungen auf ein verhältnismäßiges Minimum reduziert sein muss. Dies schließt die Erhebung, aber auch das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung ein. Ein besonderes Augenmerk hat die DSGVO bei der Minimierung der Speicherfrist gelegt, diese ist explizit im Erwägungsgrund Nr. 39 Satz 8 nochmals erwähnt

Richtigkeit

Es sind vom Verantwortlichen alle vertretbaren Schritte zu unternehmen, unrichtige oder unzutreffende personenbezogenen Daten zu korrigieren oder zu löschen. Es sollte daher stets vom Verantwortlichen geprüft und bewertet werden, inwieweit er vertretbar eine Berichtigung oder Löschung umsetzen kann.

Speicherbegrenzung

Der Verantwortliche hat auf Grund dieses Abschnittes die personenbezogenen Daten in einer Form zu speichern und identifizierbar zu halten, wie es für die Zweckerfüllung erforderlich ist. Mit Hintergrund auf die mögliche Zweckänderung, kann durch diese auch eine längere Speicherdauer unter Umständen erwirkt werden.

Integrität und Vertraulichkeit

Dieser Absatz verpflichtet den Verantwortlichen auf die Einhaltung von Informationssicherheit durch technische und organisatorische Maßnahmen – sogenannte TOMs. Unbeabsichtigter Verlust lässt sich in der Regel nur mit Sicherungskopien von Datenbeständen erreichen, die wiederum scheinbar gegen die Grundsätze der Speicherdauer und der Zweckbindung verstoßen. Nach herrschender Meinung ist allerdings eine durch Buchstabe f) geforderte Datensicherheit wiederum ein legitimer Zweck.

29.06.2019 12:19

Wieder neuer Datenschutz: Endlich Bürokratieabbau oder Fake-News?

Am 28. Juni 2019 hat der Bundestag eine erneute Anpassung des Bundesdatenschutzgesetzes (BDSG) beschlossen. Eine Zustimmung des Bundesrates könnte bereits am 5. Juli 2019 erfolgen, so dass die Änderungen zeitnah im Bundesgesetzblatt veröffentlicht werden könnten.

[In der Blog-Übersicht wird hier ein Weiterlesen-Link angezeigt]

Ein Ziel der Änderung waren notwendig geglaubte Erleichterungen insbesondere für kleine und mittlere Unternehmen. Dem wurde jedoch lediglich dadurch Rechnung getragen, dass die Notwendigkeit zur Ernennung eines Datenschutzbeauftragten nicht schon ab 10, sondern erst ab 20 Mitarbeitern erfolgen muss.

Ok, und das war’s dann auch schon mit den Erleichterungen.

Nehmen wir mal an, in Ihrem Unternehmen muss durch die Änderung kein Datenschutzbeauftragter bestellt werden. Mindestens die folgenden Pflichten aus der Datenschutzgrundverordnung bleiben weiterhin bestehen:

  • Verzeichnis der Verarbeitungstätigkeiten
  • Sicherheit der Verarbeitung
  • Informationspflichten
  • Vereinbarungen zur Auftragsverarbeitung
  • Mitarbeitersensibilisierung

Es stellt sich nun die Frage, wer den vielfältigen Pflichten aus der DSGVO im Unternehmen nachkommt. Diese bestehen ja weiterhin, aber es muss kein Datenschutzbeauftragter ernannt sein. Es kommt das Risiko auf, dass den Pflichten nur unzureichend nachgegangen wird mit der Folge eines Qualitätsverlustes für den Datenschutz.

Bei dieser Gesetzesänderung kann leider nicht von Erleichterungen gesprochen werden. Wenn dies getan würde, wären es wohl fake news.

Eine echte Erleichterung bezogen auf die Dokumentationspflichten wäre, insbesondere für KMU, sicherlich wünschenswert. Leider wurde dem aber nicht nachgegangen.

Über den Autoren:

Markus Olbring ist Inhaber der comdatis it-consulting GmbH & Co. KG in Ahaus-Alstätte. Er ist als IT-Berater und IT-Sachverständiger und berät Unternehmen in den Bereichen Digitalisierung, Verfahrensdokumentation, Datenschutz, externer Datenschutzbeauftragter sowie Informationssicherheit.

#datenschutz #dsgvo #bdsg #comdatis #einfachmittelständischpragmatisch #bürokratieabbau

21.06.2019 22:41

Einsatz von Cookies und Analysetools

In der von der Datenschutzkonferenz veröffentlichen Orientierungshilfe für Anbieter von Telemedien (Vgl. https://www.datenschutzkonferenz-online.de/media/oh/20190405_oh_tmg.pdf) werden Tipps und Hinweise zum datenschutzkonformen Einsatz von Cookies und Analyse-Tools auf Webseiten gegeben. Anhand dieser Orientierungshilfe haben wir uns näher mit der Thematik „Einsatz von (Drittanbieter-)Cookies und Analyse Tools“ auseinandergesetzt und folgende Handlungsempfehlungen für den datenschutzkonformen Einsatz von Cookies erarbeitet.

[In der Blog-Übersicht wird hier ein Weiterlesen-Link angezeigt]

Drittanbieter-Cookies (wie Google Analytics oder Facebook Plugins) sind nur mit ausdrücklicher Einwilligung einsetzbar. Um dies zu gewährleisten sind die folgenden Punkte zu erfüllen:

  • Beim erstmaligen Besuch der Webseite ist ein Cookie-Banner einzusetzen.
  • Der Cookie-Banner muss eine Übersicht über die einwilligungsbedürftigen Verarbeitungsvorgänge (Cookies) unter Nennung der beteiligten Akteure und deren Funktion enthalten.
  • Der Cookie-Banner darf die Verlinkung zur Datenschutzerklärung und zum Impressum nicht verdecken.
  • Die Einwilligung des Besuchers ist durch „Opt-in“ für jeden Drittanbieter-Cookie einzuholen (dabei darf „aktiviert“ nicht voreingestellt sein, d.h. es ist eine aktive Handlung des Besuchers nötig [z.B. Haken setzen oder Klick auf Schaltfläche, etc.]).
  • Es muss eine Möglichkeit zum Widerruf / zur nachträglichen Deaktivierung gegeben werden.
    Bevor eine freiwillige Einwilligung abgegeben wurde müssen die Cookies gesperrt / blockiert sein. Erst mit der Einwilligung des Besuchers ist die Aktivierung der Cookies rechtskonform.
  • Das Ergebnis der Auswahl / Einwilligung / Widerspruchs ist ohne Verwendung einer User-ID o.ä. vom Verantwortlichen auf dem Endgerät des Benutzers zu speichern.
  • Die Webseite sollte ohne Einwilligung oder lediglich teilweise Einwilligung in Drittanbieter-Cookies vollumfänglich besuchbar / abrufbar sein.
  • Zu beachten / prüfen ist die angegebene Rechtsgrundlage zur Verarbeitung in der Datenschutzerklärung. Die Rechtsgrundlage lautet in diesem Fall „Art. 6 Abs. 1 lit. a DSGVO“.

Lokal betriebene Cookies, die keine Daten an Dritte übermitteln, können weiterhin ohne Einwilligung eingesetzt werden. Diese können mit der Rechtsgrundlage Art. 6 Abs. 1 lit. f DSGVO berechtigtes Interesse begründet werden. Dies gilt beispielsweise dann, wenn eine lokale Installation eines Webanalysedienstes verwendet wird (z.B. Matomo).

Ähnlich wie bei Drittanbieter-Cookies ist die Verwendung von Drittanbieter-Schriftarten (z.B. Google Fonts) durch Herunterladen vom Drittanbieter-Server datenschutzrechtlich fragwürdig. Hier empfehlen wir dringend, dass die Schriftarten lokal auf dem eigenen Server eingebunden werden sollten.

Bei diesen Punkten handelt es sich um Handlungsempfehlung auf Grundlage der aktuellen Bekanntmachungen und Gesetzesauslegungen. Mögliche Rechtsprechungen und klare Stellungnahmen der Aufsichtsbehörden zur Thematik werden von uns weiter verfolgt und bei Bedarf eine Anpassung solcher Handlungsempfehlungen vorgenommen.

 

05.06.2019 11:26

Löschkonzept

In Zeiten in denen Speicherplatz immer günstiger wird, verwundert es nicht, dass Unternehmen personenbezogene Daten ungerne löschen oder adäquat anonymisieren möchten. Die 2016 geschaffene EU-Datenschutzgrundverordnung gibt allerdings an vielen prominenten Stellen ein ganz klares Gebot zur Löschung vor.

[In der Blog-Übersicht wird hier ein Weiterlesen-Link angezeigt]

Die Flut an und die Dezentralisierung von Dateien und Dokumenten - ob elektronisch oder papierbasiert - ist in der Regel so umfassend, dass ein Unternehmen nicht um ein Löschkonzept herumkommt. Der Umstand das Unternehmen ein gelebtes Löschkonzept benötigen, wird auch seitens der herrschenden Meinung immer wieder betont, aber in der Praxis selten implementiert.

Ein aktuelles Bußgeldverfahren der Datenschutzaufsichtsbehörde "Datatilsynet" in Dänemark zeigt nun wieder einmal, wie wichtig ein Konzept für das Löschen in Unternehmen ist. Ein dänisches Unternehmen hatte personenbezogene Daten nicht nur viel zu lange und viel zu umfangreich aufbewahrt, sondern konnte auch kein adäquates Löschkonzept vorlegen. Dieser Tatsache war es dann wohl auch geschuldet, dass die Höhe des Bußgeldes (bzw. die Empfehlung eines Bußgeldes an das Gericht) auf 160.000 € angehoben wurde.

Auch in Deutschland wird das Thema des Löschens in naher Zukunft mehr in den Fokus rücken. Die bayrische Datenschutzaufsichtsbehörde teilte online mit, dass sie anstehend Unternehmen auf Löschroutinen in ERP-Systemen kontrollieren wird; Ergebnisse dazu gibt es noch nicht.

Nun könnte ein Unternehmen sich die DSGVO zu Nutze machen und die personenbezogenen Daten in einer Weise anonymisieren, dass die betroffene Person nicht oder nicht mehr identifiziert werden kann. Somit würden diese Daten dann nicht mehr in den Schutzbereich der Datenschutzgesetze fallen. Allerdings ist eine rechtskonforme und allumfassende Anonymisierung sehr schwierig und auch praxisfern.

Müssen nun alle Daten sofort gelöscht werden? Nein! Für viele personenbezogene Daten im Unternehmen bestehen gesetzliche Aufbewahrungspflichten oder starke berechtigte Interessen des Unternehmens, diese personenbezogene Daten bis zum Entfall dieser Zwecke vorzuhalten. Diese gesetzlichen Aufbewahrungspflichten überwiegen zum Beispiel auch ein Löschbegehren eines Betroffenen. Daher sollten Sie nie personenbezogene Daten im Zuge eines Löschbegehrens einfach unüberlegt löschen.
Welche personenbezogene Daten aufbewahrungspflichtig sind und/oder einer geschäftsprozessbedingten Vorhaltefrist bedürfen, die noch mit der DSGVO in Einklang steht, ist mitunter nicht leicht zu bestimmen und immer differenziert zu betrachten. Im Laufe einer (ehem.) Geschäftsbeziehung können sich diese Aufbewahrungsfristen auch verändern - z. B. wenn es zu einem Rechtsstreit kommt.

Daher ist es für ein Unternehmen wichtig, sehr sorgfältig über alle Verfahren in denen personenbezogene Daten verarbeitet werden buchzuhalten - dies geschieht im Verzeichnis der Verarbeitungstätigkeiten. In diesem werden dann auch die Rechtsgrundlagen bestimmt, von denen wiederrum Aufbewahrungsfristen abgeleitet werden. Das Verzeichnis der Verarbeitungstätigkeiten ist somit auch der Ausgangspunkt des Löschkonzeptes. Zudem ist ein wichtiger aber oft vergessener Aspekt eines Löschkonzeptes der Startzeitpunkt, an dem die Aufbewahrungsfrist beginnt. Vereinfacht gesagt werden dann aus diesen beiden Werten sog. Löschklassen gebildet, denen wiederrum eine Löschfrist zugeordnet und in einer Löschmatrix abgebildet werden.


In der Regel fehlt es aber Unternehmen an Praxiserfahrung und Zeit eine Implementierung eines rechtskonformen Löschkonzeptes inkl. der Rechenschaftspflichten allein umzusetzen. Daher sollten sich Unternehmen bei der Schaffung eines Löschkonzeptes immer beraten lassen.

Über den Autoren:
Sven Schüldink ist als IT-Berater bei der comdatis it-consulting in Ahaus-Alstätte beschäftigt. Als ausgebildeter Datenschutzbeauftragter beschäftigt er sich mit Themen rund um den Datenschutz.

04.06.2019 22:20

Webcast-Aufzeichnung: GoBD-Verfahrensdokumentation

einfach/mittelständisch/pragmatisch zur GoBD-Verfahrensdokumentation. In unserem Webcast am 14. Mai 2019 hat unser Mitarbeiter Markus Olbring dargestellt, wie einfach die Umsetzung der Anforderungen an eine Verfahrensdokumentation zur Erfüllung der Anforderungen der GoBD sein kann.

Die Aufzeichnung kann bei YouTube angeschaut werden.

[In der Blog-Übersicht wird hier ein Weiterlesen-Link angezeigt]

 

Fehler in der Darstellung? Das Video kannst du auch über diesen Link aufrufen.

 

16.05.2019 17:06

EMM - eine Möglichkeit zum datenschutzkonformen Einsatz von WhatsApp?

Wir berichteten bereits häufiger über den datenschutzkonformen Einsatz von WhatsApp in Unternehmen. Und über die Problematiken, die entstehen, wenn WhatsApp auf Firmen Smartphones eingesetzt werden soll und den fehlenden Lösungsansatz zum datenschutzkonformen Einsatz.

[In der Blog-Übersicht wird hier ein Weiterlesen-Link angezeigt]

Ein Problem bei WhatsApp ist die benötigte Freigabe der Kontaktliste. Dabei werden personenbezogene Daten an WhatsApp übermittelt. Diese Übermittlung ist für Firmenkontakte lediglich möglich, wenn eine Einwilligung vorliegt. Dabei ist zu beachten, dass für jeden einzelnen Kontakt der Kontaktliste eine gültige Einwilligung für die WhatsApp-Nutzung vorliegt. Sobald ein Kontakt nicht zustimmt, ist eine datenschutzkonforme Nutzung nicht ohne weiteres möglich.

Für Unternehmen und Mitarbeiter, die das Smartphone lediglich im beruflichen Umfeld nutzen gibt es zur Kommunikation einige Alternativen zu WhatsApp. Diese haben wir bereits im Blogbeitrag vom 26.02.19 näher beschrieben. Die Kommunikation mit Kunden / Geschäftspartnern sollte immer unter Beachtung der Datenschutzkonformität ablaufen. 

Im privaten Umfeld ist die Nutzung von WhatsApp an der Tagesordnung. Somit tritt bei erlaubter Privatnutzung des Firmen Smartphones eher der Wunsch auf, WhatsApp nutzen zu können. Da WhatsApp lediglich die Freigabe der gesamten Kontaktliste (private wie betriebliche Kontakte) erlaubt, entsteht hier ein Konflikt. Ebenso entsteht bei BYOD (Bring your own Device) ein Konflikt zwischen Unternehmens- und Privatdaten.

Für diese Problematik existiert ein Lösungsansatz, den wir folgend kurz vorstellen wollen. Der Einsatz eines EMM (Enterprise-Mobility-Management-Systems) kann dabei helfen, die Zugriffe der geschäftlichen Apps auf die Kontakte und Daten auf den Mitarbeiter-Smartphones zentral zu verwalten.

Bei iOS (ab Version 11.3) läuft dieser kontrollierte Zugriff wie folgt ab:

-      Es wird zwischen gemanagten Apps und nicht-gemanagten Apps unterschieden.

-      Zudem können gemanagte Accounts angelegt werden.

-      Die Definition von Regeln erfolgt zentral im EMM-System.

-      Der geschäftliche Account sollte als gemanagt definiert werden.

-      Vornehmen der Einstellung, dass ein Austausch von Daten zwischen den gemanagten und nicht-gemanagten Apps und Accounts nicht stattfinden soll.

-      Nicht-gemanagte (private) Apps haben somit lediglich Zugriff auf den nicht-gemanagten Account mit den privaten Kontakten.

-      Gemanagte Apps haben sowohl Zugriff auf gemanagte (geschäftliche) als auch auf nicht-gemanagte (private) Accounts mit sämtlichen Kontakten.

Android Enterprise / for Work verfolgt eine etwas andere Vorgehensweise. Es wird ab Android 5.0 ermöglicht eine Container-Technologie einzusetzen, wodurch das Betriebssystem persönliche und geschäftliche Daten trennt. Kurz gesagt wird ein zweites Betriebssystem mit eigenen Apps und Kontaktlisten verwendet. Dieses kann durch ein EMM über das Unternehmen verwaltet werden, es können spezielle Richtlinien und Regeln erstellt werden und somit können die geschäftlichen Zugriffe kontrolliert werden. Dadurch entsteht ein Schutz sowohl der geschäftlichen als auch der privaten Daten, da eine Übertragung zwischen den „Betriebssystemen“ nicht zulässig ist.

Wie Sie sehen, gibt es verschiedene Möglichkeiten, die EMM-Technologie umzusetzen. Eine konkrete Empfehlung zum Einsatz sprechen wir an dieser Stelle nicht aus. Schlussendlich müsste die Einsatzfähigkeit für Ihr Unternehmen ausgiebig durch die IT Verantwortlichen geprüft werden und die Umsetzung auf den Mitarbeiter-Smartphones überwacht und geregelt werden. Zudem sind die Anforderungen der DS-GVO gesondert zu beachten und ein, dem Stand der Technik entsprechendes, Sicherheitsniveau eingehalten werden. Hierfür ist eine Absprache mit Ihrem Datenschutzbeauftragten zu empfehlen.

Quellen:

https://www.computerwoche.de/a/apple-loest-facebook-datenschutzproblem-fuer-unternehmen,3544716

https://blog.cortado.com/de/android-for-work-fragmentierung/

https://www.bechtle-blog.com/it-loesungen/mobile-solutions/apple-is-native-apps-und-whatsapp-im-unternehmen-dank-managed-contacts

https://www.it-administrator.de/themen/sicherheit/fachartikel/256660.html

 

14.05.2019 16:27

Wer ist von den GoBD betroffen?

Von den GoBD (Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff) sind alle Steuerpflichtigen mit Gewinneinkünften betroffen, die ihre unternehmerischen Abläufe mit Hilfe von IT-Systemen abbilden und die den GoB (Grundsätze ordnungsmäßiger Buchführung) in elektronischer Form nachkommen. Die GoBD gelten also für alle Buchführungs- und Aufzeichnungspflichtigen Unternehmen.

[In der Blog-Übersicht wird hier ein Weiterlesen-Link angezeigt]

Die GoBD gelten seit dem 1. Januar 2015 und haben die GDPdU (Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen) sowie die GoBS (Grundsätze ordnungsmäßiger DV-gestützter Buchführungssysteme) abgelöst bzw. vereinheitlicht. Mit der Einführung gab es keine Gesetzänderung o.ä., die Anforderungen wurden lediglich an moderne Buchführungssysteme angepasst. Soweit die Vorgaben aus dem 38-seitigen BMF Schreiben nicht eingehalten werden, drohen bei Betriebsprüfungen Steuerschätzungen. In den GoBD Tz. 155 ist beschrieben, dass soweit keine oder eine ungenügende Verfahrensdokumentation die Nachvollziehbarkeit nicht beeinträchtigen, liegt kein formeller Mangel vor, der zum Verwerfen der Buchführung führen kann. Andersherum kann eine fehlende oder ungenügende Verfahrensdokumentation die Nachvollziehbarkeit beeinträchtigen und somit würde ein formeller Mangel mit sachlichem Gewicht vorliegen, der zum Verwerfen der Buchführung führen kann.


Laut GoBD sind die Grundsätze der Nachvollziehbarkeit, Nachprüfbarkeit sowie die Grundsätze der Wahrheit, Klarheit und fortlaufenden Aufzeichnung bei der Vollständigkeit, Richtigkeit, zeitgerechten Buchung und Aufzeichnungen, Ordnung und der Unveränderbarkeit einzuhalten und diese müssen aus der Verfahrensdokumentation hervorgehen.


Die GoBD bezieht sich jedoch nicht ausschließlich auf die Finanzbuchführung, sondern auch auf die vorgelagerten sowie nachgelagerten Systeme. Dabei reicht es auch nicht aus, wenn man ausschließlich GoBD konforme Software verwendet. Auch hier benötigt man eine Verfahrensdokumentation, die neben den innerbetrieblichen Prozessen auch das interne Kontrollsystem beschreibt. Darüber hinaus sollte man wissen, dass Testate keine Wirkung für die Kontrollinstanz (hier Finanzbehörde) haben.

Hier nochmal eine kurze Zusammenfassung:

  • Die GoBD gelten für Buchführungs- und Aufbewahrungspflichtigen
  • Eine Verfahrensdokumentation ist zu erstellen - die Grundsätze aus der GoBD sind dort abzubilden. Darüber hinaus sind die Prozesse sowie das interne Kontrollsystem dort abzubilden
  • Die GoBD / Verfahrensdokumentation bezieht sich nicht ausschließlich auf die Finanzbuchhaltung, sondern auch auf Vor- und Nebensysteme
  • Softwaretestate haben keine besondere Wirkung für die Finanzbehörden
  • Eine fehlende Verfahrensdokumentation kann zum Verwerfen der Buchführung führen

Über den Autoren:
Faraz Afscharian ist Berater und Prüfer bei der comdatis it-consulting GmbH & Co.KG mit Spezialisierung GoBD und Verfahrensdokumentation. Darüber hinaus beschäftigt er sich in Projekten mit dem Thema Informationssicherheit und führt IT-Prüfungen für Wirtschaftsprüfungsgesellschaften durch.

#comdatis #einfachmittelständischpragmatisch #GOBD #Verfahrensdokumentation #Digitalisierung

10.05.2019 20:58

Gesetz zum Schutz von Geschäftsgeheimnissen

Am 21.03.2019 hat der Bundestag beschlossen die EU-Richtlinie "EU 2016/943" mit dem "Gesetz zum Schutz von Geschäftsgeheimnissen" (GeschGehG) umzusetzen, welches am 26.04.2019 in Kraft getreten ist.

[In der Blog-Übersicht wird hier ein Weiterlesen-Link angezeigt]

Der Zweck dieses neuen Gesetzes ist es, dass Unternehmen Ihre Geschäftsgeheimnisse - also deren Know-How und Informationen - rechtlich schützen können und straf-, sowie zivilrechtlich besser gegen rechtswidrige Erlangungen, Nutzungen und Offenlegungen vorgehen können. Ein Datengeheimnis im Sinne des alten § 5 Bundesdatenschutzgesetz bestand mit Einführung der Datenschutzgrundverordnung nicht mehr. Somit waren nur noch die §§ 17-19 des Gesetzes gegen den unlauteren Wettbewerb (UWG) seit dem 25. Mai 2018 anwendbar.


Geschäftsgeheimnisse spiegeln sich naturgemäß im Datenschutz und der Datensicherheit in Unternehmen wider.

Im Gesetzesentwurf des Bundestages wird ein gewisser Handlungsbedarf für kleine Unternehmen beschrieben, da mit Einführung des GeschGehG erstmals Informationen die nicht geschützt sind, nicht mehr als Geschäftsgeheimnisse gelten und somit nicht in den Wirkungsbereich des neugeschaffenen Gesetzes fallen.


Unternehmer sollten daher nun Voraussetzungen in Form von Geheimhaltungsmaßnahmen schaffen. Welche konkreten Maßnahmen dies sind, lässt der Gesetzgeber allerdings offen. Klar scheint aber zu sein, das diese in etwa analog zu den technischen und organisatorischen Maßnahmen im Sinne des Artikels 32 der Datenschutzgrundverordnung stehen. Wer also heute schon die Sicherheit seiner Verarbeitung unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen durch geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten angepasst hat, kann diese als Grundlage für Geheimhaltungsmaßnahmen verwenden. Eine weiterer Handlungsbedarf ergibt sich aus dem Artikel 5 des neugeschaffenen Gesetzes: dieser bestimmt, dass die o.g. Paragraphen des UWG aufgehoben werden - somit ist eine textliche Anpassung der Mitarbeiterverschwiegenheitsverpflichtungen unausweichlich.

Eine Klassifizierung der Daten nach Geheimhaltungsbedürftigkeit und dazugehöriger Anpassung der Maßnahmen inkl. eines Schutzkonzeptes sollte jedes Unternehmen ferner durchführen.

Auf eine Verschlüsselung von E-Mails und Anhängen mit personenbezogenen Daten bzw. Geschäftsgeheimnissen sei in diesem Kontext ausdrücklich hinzuweisen. Eine unverschlüsselte E-Mail ist mit einer Postkarte vergleichbar und könnte somit nun als eine nicht getroffene Geheimhaltungsmaßnahme gelten. Damit könnte eine richterliche Entscheidung, ob eine unverschlüsselte E-Mail als nicht getroffene Maßnahme gilt, negativ ausfallen und weitere rechtliche Schritte eines Unternehmers erschweren.

Sogenannte berufsrechtliche Schweigepflichten nach § 203 StGB bleiben von dem Gesetz zum Schutz von Geschäftsgeheimnissen unberührt.

Über den Autoren:

Sven Schüldink ist als IT-Berater bei der comdatis it-consulting in Ahaus-Alstätte beschäftigt. Als ausgebildeter Datenschutzbeauftragter beschäftigt er sich mit Themen rund um den Datenschutz.

17.04.2019 09:32

Datenschutz im Verein - Welche Pflichten haben Vereine?

Seit dem 25. Mai 2018 ist die europäische Datenschutzgrundverordnung (DS-GVO) wirksam.

In vielen Unternehmen und Vereinen wurde bereits während der zweijährigen Übergangsfrist alles Nötige veranlasst, um die Anforderungen des neuen Datenschutzrechts fristgesetzt umzusetzen. Jedoch ist in vielen kleineren Vereinen - insbesondere in Sportvereinen - nicht ausreichend bekannt geworden, dass sie ebenfalls betroffen sind und gewisse Anforderungen erfüllt werden müssen.

[In der Blog-Übersicht wird hier ein Weiterlesen-Link angezeigt]

Laut DS-GVO wird kein Unterschied zwischen großen und kleinen Unternehmen oder wirtschaftlich arbeitenden Unternehmen und ideellen Vereinen gemacht. Zudem sind sowohl gemeinnützige Vereine als auch Vereine, die in das Vereinsregister eingetragen sind (e.V.) in Bezug auf Art. 4 Abs. 7 DS-GVO als Verantwortlicher anzusehen und somit den entsprechenden Pflichten unterlegen.

Was bedeutet dies nun im Genauen für kleine Vereine, die lediglich durch ehrenamtliche Mitglieder geführt werden?

Welchen Pflichten unterliegen sie?

Zunächst ist zu prüfen, ob ein Datenschutzbeauftragter benannt werden muss.

Dazu ist - sowohl im Unternehmen als auch im Verein - zu schauen, wie viele Personen regelmäßigen Umgang mit personenbezogenen Daten haben. Sind dies weniger als 10 Personen, so ist kein Datenschutzbeauftragter zu bestellen. In den meisten kleineren Vereinen wird sich diese Zahl auf einige wenige Mitglieder bzw. Vorstandsmitglieder beschränken, sodass kein Datenschutzbeauftragter bestellt werden muss.

In jedem Falle muss ein Verzeichnis von Verarbeitungstätigkeiten geführt werden und den Informations- und Auskunftspflichten nachgekommen werden. Des Weiteren ist die Löschung von Daten durchzuführen und alle nötigen Vereinbarungen zur Auftragsverarbeitung müssen abgeschlossen werden. Bei Vorfällen in Form von Datenschutzverletzungen sind diese meldepflichtig.

Das Verzeichnis von Verarbeitungstätigkeiten ist in einem kleinen (Sport-)Verein relativ überschaubar. Typische Tätigkeiten, die hier aufgeführt werden müssen sind:

  • Mitgliederverwaltung
  • Ggf. Betrieb einer Webseite
  • Öffentlichkeitsarbeit
  • Beitragsverwaltung

Selbstverständlich ist in jedem Verein individuell zu schauen, ob noch weitere Tätigkeiten mit aufgenommen werden müssen. Wird beispielsweise ein Newsletter versendet, ist dies als Tätigkeit im Verzeichnis von Verarbeitungstätigkeiten mit aufzuführen und eine entsprechende Einwilligung der Empfänger einzuholen.

Bei den Informations- und Auskunftspflichten ist es nötig, die Mitglieder über die Datenverarbeitung zu informieren. Die entsprechenden Informationen können beispielsweise dem Beitrittsantrag angefügt werden. Bei Veranstaltungen und Festen ist durch entsprechende Hinweise über mögliche Bildaufnahmen zu informieren.

Zudem ist bei Betrieb einer Webseite und/oder dem Auftritt in einem sozialen Netzwerk wie Facebook eine Datenschutzerklärung zu erstellen und einzubinden. Ebenso ist zu beachten, dass ein eingetragener Verein, sowie Vereine, die "geschäftsmäßig handeln", ebenfalls der Impressumspflicht unterliegen.

Eine weitere Pflicht ergibt sich aus Art. 32 DSGVO: Die Umsetzung geeigneter technischer und organisatorischer Maßnahmen zum Schutz der personenbezogenen Daten im Verein.

Dies sind doch einige Punkte, die von Ihnen als Vereinsvorstand beachtet werden müssen. Jedoch sind sie nicht verpflichtet, sich diese Dinge komplett selbst zu erarbeiten. Von verschiedenen Stellen sind im Internet gute und brauchbare Vorlagen für Vereine zu finden. Bei offenen Fragen zur Vorgehensweise und Erstellung der entsprechenden Dokumente empfehlen wir z.B. die Seite: "https://www.lda.bayern.de/de/faq.html"

Dort sind die 10 häufigsten Fragen, die an die Aufsichtsbehörde bzgl. des Datenschutzes im Verein gestellt wurden, beantwortet und es liegen beispielhafte Vorlagen zu den zu erstellenden Dokumenten bereit.

 

12.04.2019 07:58

Daten sicher austauschen

Wie stellen Sie einer Person Daten und Dateien zur Verfügung? Zugegeben, es ist ein Leichtes eine E-Mail mit einer Rechnung, Versandbestätigung o.ä. zu schreiben und somit einer anderen Person zur Verfügung stellen. Doch wie ist es mit sensiblen, möglicherweise personenbezogenen Daten oder großen Dateien, die man nicht ohne weiteres per Mail versenden kann?

[In der Blog-Übersicht wird hier ein Weiterlesen-Link angezeigt]

Sicherlich können Sie eine PDF-Datei mit einem Passwort versehen und die Datei dann per Mail Ihrem Gegenüber zukommen lassen, doch Sie müssen demjenigen auch das Passwort mitteilen. Das wiederum heißt, dass Sie, um datenschutzkonform zu handeln, denjenigen entweder anrufen müssen oder das Passwort abschreiben und es per SMS versenden müssen. Eine weitere Möglichkeit wäre, das Passwort über eine separate E-Mail bereitzustellen.

Dann gibt es ja noch die Dropbox-Alternative. Hier stellt sich im betrieblichen Umfeld immer die Frage, ob die Bereitstellung per Dropbox datenschutzkonform ist. Um diese Frage kurz und knapp zu beantworten: Nein, die einfache Bereitstellung von betrieblichen Daten über Dropbox ist nicht datenschutzkonform.

Größere Dateien können Sie z.B. auch in einem, mit Kennwort geschützten, .zip-Container oder in mehreren .zip-Containern per Mail bereitstellen. Hier stellt sich aber auch die Frage, ob Ihr Gegenüber so eine große Datei per Mail empfangen kann.

Auch wir als Datenschutzbeauftragte sahen uns mit dieser Problematik konfrontiert. In unserem Fall haben wir eine einfache, bequeme und datenschutzkonforme Lösung gefunden. Wir verwenden für die Dateiübertragung eine private Cloud-Lösung. Die Anwendung wird auf einem in Deutschland gehosteten Server betrieben. Dateien, die zu übertragen sind, stellen wir auf dem Server bereit. Ein synchrones Verzeichnis bietet sogar die Möglichkeit, die gewohnte Arbeitsumgebung nicht zu verlassen. Der erzeugte Link zu den Dateien, den wir dem Kunden oder Partner zustellen, ist mit einem Passwort versehen. Es besteht über den Link neben dem Download auch die Möglichkeit, dass der Kunde / Partner Dateien wiederum für uns bereitstellen kann. Die Dateien stellen wir generell nur für eine begrenzte Zeit als Download bereit. Dafür versehen wir den Link mit einem Sterbedatum. Ist das Datum erreicht, wird der Link automatisch inaktiv gesetzt.

So haben wir die Möglichkeit, Dateien jeglicher Größe für Dritte bereitzustellen und die Kontrolle über die Daten zu behalten. Durch entsprechende Zertifikate ist die Verbindung gesichert. Ein einfacher und datenschutzkonformer Datenaustausch ist so ebenfalls sichergestellt.

Über den Autoren: Faraz Afscharian ist Berater und Prüfer bei der comdatis it-consulting GmbH & Co.KG mit Spezialisierung GoBD und Verfahrensdokumentation. Darüber hinaus beschäftigt er sich in Projekten mit dem Thema Informationssicherheit und führt IT-Prüfungen für Wirtschaftsprüfungsgesellschaften durch.

08.04.2019 17:44

Kennwortänderung? Wer macht denn so etwas!?

Ändere NICHT dein Passwort. Ein Kennwort wird nicht sicherer, wenn man es regelmäßig ändert. Dies haben Studien in der jüngeren Vergangenheit ergeben. Zahlreiche Unternehmen setzen jedoch weiterhin auf den Zwang der regelmäßigen Kennwortänderungen. Das muss nicht sein.

[In der Blog-Übersicht wird hier ein Weiterlesen-Link angezeigt]

Die Datenschutzaufsicht Baden-Württemberg hat jüngst Hinweise zum Umgang mit Kennwörtern veröffentlicht. Darin wird empfohlen, Kennwörter nicht regelmäßig zu ändern.

Dem können wir nur zustimmen! Besser ist es, starke Passwörter zu wählen. Aber was ist ein starkes Passwort? Hier einige Tipps:

- mindestens 8, besser 10 Zeichen Länge

- Zahlen, Buchstaben (groß und klein) sowie Sonderzeichen müssen enthalten sein

- kein Wort aus dem Wörterbuch, oder Namen, …

- Generalschlüssel vermeiden, d.h. unterschiedliche Kennwörter für unterschiedliche Dienste (ich habe ja auch nicht im Büro und zu Hause dieselbe Schließanlage eingebaut)

- falls möglich: 2-Faktor-Authentifizierung aktivieren. Neben dem Benutzernamen und Kennwort ist dann noch ein sog. Einmalkennwort notwendig zum Login. Dieses erhält man per App oder SMS vom Anbieter. Nutzbar ist diese Funktionen z.B. in den sozialen Netzwerken, in vielen Onlineshops usw.

Weitere Hinweise können Sie über den folgenden Link abrufen:

Hinweise zum Umgang mit Kennwörtern - Landesbeauftragter für Datenschutz und Informationsfreiheit Baden-Württemberg

#comdatis #kennwort #passwort #einfachmittelstaentischpragmatisch#datenschutz #informationssicherheit

 

28.03.2019 16:44

DSGVO Datenschutz für KMU und Vereine

Fast ein Jahr nach Wirksamwerden der Datenschutzgrundverordnung (DSGVO) beschäftigen sich noch immer zahlreiche Unternehmen und Vereine mit der Umsetzung der neuen Vorschriften. Neben größeren Unternehmen sind auch kleine Unternehmen und Vereine von den Vorschriften betroffen.

Mit der Umsetzung der DSGVO in kleinen Unternehmen beschäftigt sich dieser Blogbeitrag. Dabei geht es speziell um solche Unternehmen, die nicht verpflichtet sind, einen Datenschutzbeauftragten zu ernennen. Das ist der Fall, wenn nicht mindestens 10 Mitarbeiter automatisiert personenbezogene Daten verarbeiten.

[In der Blog-Übersicht wird hier ein Weiterlesen-Link angezeigt]

Die gesetzliche Verpflichtung zur Umsetzung der Regeln besteht stets, wenn im Unternehmen personenbezogene Daten regelmäßig verarbeitet werden. Dies ist bereits dann der Fall, wenn ein Unternehmen eine Kundendatenbank in der Software zur Rechnungsschreibung führt oder ein Verein seine Mitgliederdaten in einer IT-gestützten Vereinssoftware verwaltet. Lediglich die Notwendigkeit des Datenschutzbeauftragten ist im Regelfall an der Anzahl der Mitarbeiter zu bewerten.

Was bedeutet das nun konkret, d.h. welche Dinge müssen im Unternehmen stets umgesetzt werden? Nachfolgend ein kurzer Fahrplan mit unserer Umsetzungsempfehlung:

Thema

Inhalt

Verzeichnis der Verarbeitungstätigkeiten (VVT)

Das VVT ist eine Dokumentation der Geschäftsprozesse, mit denen personenbezogene Daten verarbeitet werden. Hierzu zählen beispielsweise: Lohnbuchhaltung, Führen der Personalakte, Finanzbuchhaltung, Kundenstammdatenverwaltung, Website usw. Die Dokumentation ist verpflichtend, wenn die Verarbeitungstätigkeiten regelmäßig stattfinden. Die Inhalte des VVT ergeben sich aus den gesetzlichen Regelungen.

Mitarbeitersensibilisierung

Mitarbeiter, die mit personenbezogenen Daten umgehen, müssen geschult werden. Im einfachsten Fall erstellen kleine und mittlere Unternehmen eine Verschwiegenheitsverpflichtung sowie ein Merkblatt zum Datenschutz mit enthaltenen Regelungen zum Umgang mit Betroffenenrechten und den Umgang mit Datenpannen.

Informationspflichten

Um personenbezogene Daten überhaupt verarbeiten zu dürfen, bedarf es stets einer Rechtsgrundlage. Dies kann z.B. ein bestehendes Auftragsverhältnis sein. Neben der Rechtsgrundlage sind Informationspflichten zu beachten. Beim Eingang einer Bewerbung werden personenbezogene Daten verarbeitet. Die Rechtsgrundlage ist mit einer Vertragsanbahnung zum Beschäftigungsverhältnis gegeben. Darüber hinaus muss der Bewerber zeitnah über die Datenverarbeitung informiert werden.

Auch bei weiteren Datenverarbeitungen sind Informationspflichten zu beachten. Dies gilt beispielsweise für:

·        Geschäftspartner (Kunden, Interessenten, Lieferanten)

·        Mitarbeiter

·        Bewerber

·        Internetseite

·        Präsenzen in sozialen Netzwerken (z.B. Facebook)

Sicherheit der Verarbeitung

Mit dem erstellen Verzeichnis der Verarbeitungstätigkeiten herrscht Klarheit darüber, welche personenbezogenen Daten verarbeitet werden. Dadurch herrscht ein Bewusstsein darüber, wie brisant die Daten sind. Genau hieraus ergibt sich die Notwendigkeit an den Schutz der Daten. Der Datenschützer nennt dies die "Sicherheit der Verarbeitung" oder auch "Technische und organisatorische Maßnahmen" (sog. TOM's). Hierunter sind die Maßnahmen der IT-Sicherheit zu verstehen, die dem Schutz der Daten dienen. Hierzu zählen beispielsweise:

·        Verwendung sicherer Kennwörter

·        Verfahren zur Datensicherung

·        Aktualisierung von Software und Betriebssystemen

·        Virenschutz

·        Firewall

·        Usw.

IT-Richtlinie

Mit zunehmender Komplexität der IT-Umgebung in Unternehmen, evt. mehrerer vernetzter IT-Arbeitsplätze stellt sich die Frage der Notwendigkeit einer Richtlinie zum Umgang mit der Unternehmens-IT. Die Notwendigkeit einer IT-Richtlinie hängt ab von der Unternehmensgröße, möglicherweise lassen sich einfache Regeln bereits als einfaches Merkblatt definieren. Enthalten sein sind z.B. Regeln zur Privatnutzung im Unternehmen.

Auftragsverarbeitung

Ohne externe Dienstleister kommt kaum ein Unternehmen aus. Sei es der Softwarehersteller für Fernwartungen, das IT-Systemhaus oder der Hoster der Unternehmens-Website. Sobald nicht ausgeschlossen werden kann, dass auf personenbezogene Daten zugegriffen werden kann, bedarf es einer schriftlichen Vereinbarung zum Datenschutz. Es ist denkbar, die Vereinbarungen auf Basis einer der zahlreich vorhandenen Vorlagen selber zu erstellen. Möglicherweise ist es aber auch einfacher, bei den Dienstleistern anzufragen. Diese sollten die Thematik kennen.

Das klingt zunächst nach einem erheblichen Aufwand, dass ist es aber nicht. Wenn die Dokumente einmal fertiggestellt sind, bleibt lediglich die Aufgabe der regelmäßigen Kontrolle. Wir empfehlen unseren Kunden, die nicht einen Datenschutzbeauftragten haben, einmal jährlich alle Dokumente kritisch zu prüfen. Außerdem können Mitarbeiter befragt werden, ob die Regeln eingehalten werden oder ob Nachbesserungsbedarf besteht.

Wir werden in Kürze ein Onlineangebot starten, bei dem Sie anhand von kurzen Videos eine Anleitung zur Umsetzung der Anforderungen erhalten. Im Onlinecoaching-Paket sind selbstverständlich alle notwendigen Dokumente und/oder Hilfestellungen enthalten, die Sie bei der Fertigstellung der Dokumentation unterstützen.

Über den Autoren:

Markus Olbring ist Inhaber der comdatis it-consulting GmbH & Co. KG in Ahaus-Alstätte. Er ist als IT-Berater und IT-Sachverständiger und berät Unternehmen in den Bereichen Digitalisierung, Verfahrensdokumentation, Datenschutz, externer Datenschutzbeauftragter sowie Informationssicherheit.

#dsgvo #comdatis #bdsg #datenschutzbeauftragter #einfachmittelstaendischpragmatisch #kmu #ahaus #alstaette #alstätte #digitalisierung #handwerk #cyber #informationssicherheit

21.12.2018 07:55

GoBD-Verfahrensdokumentation - wieso, weshalb, warum?

Zunehmend werden Anforderungen kommuniziert, dass jedes Unternehmen zur Erfüllung steuerrechtlicher Anforderungen eine Verfahrensdokumentation erstellen muss. Hintergrund ist ein im November 2014 veröffentlichtes Schreiben des Bundesministeriums der Finanzen (BMF). Bei diesem Schreiben handelt es sich um die sogenannten GoBD, die im Folgenden noch weiter erläutert werden.

[In der Blog-Übersicht wird hier ein Weiterlesen-Link angezeigt]

Das Schreiben beinhaltet die Anforderungen der Finanzverwaltung an IT-gestützte Buchführungssysteme, also die Führung und Aufbewahrung steuerrelevanter Unterlagen in elektronischer Form.

Die zunehmende Integration der IT-Systeme in Unternehmen, aber auch die Digitalisierung führen in jüngeren Betriebsprüfungen dazu, dass die Bedeutung steuerrelevanter IT-Systeme auch in Betriebsprüfungen zunimmt. Es gibt kaum ein Unternehmen, welches sich nicht bereits in Digitalisierungsprozessen befindet, z.B. durch den Empfang und Versand von Rechnungen per E-Mail.

Obwohl die Anforderung an die Erstellung einer Verfahrensdokumentation bereits seit 1995 besteht, ist vor dem Hintergrund der zunehmenden Digitalisierung erkennbar, dass in aktuellen Betriebsprüfungen vermehrt nach der Dokumentation gefragt wird.

Was sind die GoBD?

Die „Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff“ (GoBD) wurden im November 2014 veröffentlicht. Das Schreiben des Bundesministeriums der Finanzen (BMF) ist für Veranlagungszeiträume ab Januar 2015 gültig und hat die bisherigen Schreiben GoBS aus 1995 und GDPdU aus 2001 abgelöst.

Warum muss eine Verfahrensdokumentation erstellt werden?

Die Anforderung an die Erstellung der Dokumentation ergibt sich konkret aus Tz. 151 der GoBD. Dort heißt es, dass für jedes DV-System eine übersichtlich gegliederte Verfahrensdokumentation vorhanden sein muss, aus der folgende Inhalte vollständig und schlüssig ersichtlich sind:

·        Inhalt des Verfahrens

·        Aufbau des Verfahrens

·        Ergebnis des Verfahrens

Primäre Zielgruppe der Verfahrensdokumentation ist ein sachverständiger Dritter, z.B. ein Betriebsprüfer der Finanzbehörde. Diesem muss die Dokumentation die Möglichkeit geben, das Verfahren in angemessener Zeit nachvollziehen zu können.

Was sind die typischen Inhalte einer Verfahrensdokumentation?

Als typische Inhalte der Verfahrensdokumentation werden in Tz 152 der GoBD genannt:

·        Allgemeine Beschreibung

·        Anwenderdokumentation

·        Systemdokumentation

·        Betriebsdokumentation

Erwähnenswert ist auch die Anforderung, dass die Verfahrensdokumentation der gesetzlichen Aufbewahrungspflicht (10 Jahre) unterliegt. Änderungen an den Verfahren und Systemen müssen historisch belegbar sein. Hier bietet es sich an, für die Dokumentation ein Dokumentenmanagementsystem (DMS) einzusetzen.

Hilfreich zur Konkretisierung der notwendigen Dokumentationsinhalte ist die Tatsache, wenn wir anstelle von Verfahren besser von Geschäftsprozessen sprechen. Die Verfahrensdokumentation ist also nichts anderes als eine Dokumentation der steuerrelevanten Geschäftsprozesse.

Typische Geschäftsprozesse mit Steuerrelevanz sind:

·        Einkauf

·        Verkauf

·        Personalbuchhaltung

·        Kassenführung

·        Digitale Belegablage und E-Mail-Archivierung

Für die konkrete inhaltliche Ausgestaltung hilft Tz. 152 der GoBD: „Die Verfahrensdokumentation beschreibt den organisatorisch und technisch gewollten Prozess, z.B. bei elektronischen Dokumenten von der Entstehung der Informationen über die Indizierung, Verarbeitung und Speicherung, dem eindeutigen Wiederfinden und der maschinellen Auswertbarkeit, der Absicherung gegen Verlust und Verfälschung und der Reproduktion.“

Gibt es Erleichterungen für kleine und mittlere Unternehmen?

Es gibt keine konkreten und klar definierten Erleichterungen für kleine und mittlere Unternehmen. Aus der folgenden Formulierung ergeben sich jedoch Anhaltspunkte für mögliche Erleichterungen:

„Die konkrete Ausgestaltung der Verfahrensdokumentation ist abhängig von der Komplexität und Diversifikation der Geschäftstätigkeit und der Organisationsstruktur des eingesetzten DV-Systems.“ (Tz. 151 GoBD)

Auch Tz. 155 der GoBD deutet mögliche Erleichterungen an:

„Soweit eine fehlende oder ungenügende Verfahrensdokumentation die Nachvollziehbarkeit und Nachprüfbarkeit nicht beeinträchtigt, liegt kein formeller Mangel mit sachlichem Gewicht vor, der zum Verwerfen der Buchführung führen kann.“

Keines der Zitate führt dazu, dass ein Unternehmen keine Verfahrensdokumentation benötigt. Der Umfang der Dokumentation hängt aber von der Komplexität der Geschäftsprozesse und der verwendeten IT-Systeme ab.

Während in größeren Unternehmen integrierte Softwarelösungen (z.B. ERP-System) eingesetzt werden, die vor dem Einsatz durch ein Customizing betriebsbereit gemacht werden, verwenden kleine Unternehmen Softwarelösungen, die kaum Einstellungsmöglichkeiten bieten.

Die Komplexität der Softwarelösungen und der Verfahren geben daher ein Indiz auf die notwendige Verfahrensdokumentation, z.B.:

·        Bei Einsatz von Standardsoftware ohne umfangreiche Einstellungsmöglichkeiten kann eine Verfahrensdokumentation möglicherweise als einfache Exceltabelle der Ablaufschritte dargestellt werden mit einigen Zusatzinformationen (z.B. Internes Kontrollsystem, verwendete Software)

·        Bei Einsatz von Softwareprodukten, die vor dem Einsatz eingerichtet werden muss, ist eine Verfahrensdokumentation voraussichtlich umfangreicher.

·        Für komplexe Dokumentenmanagementlösungen (DMS) wird in der Praxis häufig eine separate Verfahrensdokumentation zu digitalen Belegablage erstellt.

Ist ein Testat des Softwareherstellers nicht ausreichend?

Buchhalterische Softwareprodukte werden von den Softwareherstellern häufig mit einem Testat herausgegeben, welches die Ordnungsmäßigkeit der Software bescheinigt. Der am weitesten verbreitete Standard ist der Prüfungsstandard 880 „Erteilung von Softwarebescheinigungen“ vom Institut der Wirtschaftsprüfer (IDW).

Für Unternehmen hat das Zertifikat im ersten Moment keine unmittelbare Aussagekraft. Das Zertifikat alleine sagt nichts über das eingerichtete System, also die spezifische Implementierung und Anpassung aus. Auch gibt das Zertifikat einem Prüfer keine Hinweise über die steuerrelevanten Prozesse und das interne Kontrollsystem (IKS). Der Mehrwert einer vorhandenen Softwarebescheinigung liegt in der Gewissheit, dass die Software die notwendigen Grundlagen für den ordnungsgemäßen Einsatz im Unternehmen „von Haus aus“ (also vom Softwarehersteller ausgehend) mitbringt. Das ausgelieferte Zertifikat ist daher ein ideales Fundament für die Verfahrensdokumentation zur Erfüllung der Anforderungen aus den GoBD.

Was müssen Unternehmen jetzt machen?

Unternehmen müssen sich darüber im Klaren sein, dass mit zunehmender Digitalisierung die Bedeutung einer Verfahrensdokumentation noch zunehmen wird. Es gibt kaum Unternehmen, die noch keine Rechnungen als Mail empfangen. Alleine an diesem Beispiel ist die Notwendigkeit einer Verfahrensdokumentation einfach erklärt, da der Ausdruck des PDF in der Mail alleine nicht ausreicht, um die Aufbewahrungspflichten zu erfüllen.

Jedes Unternehmen ist daher gut beraten, eine Verfahrensdokumentation zur Erfüllung der Anforderungen der GoBD zu erstellen. Der Umfang der Dokumentation sollte dabei von der Komplexität der Systeme und Prozesse abhängen.

Abschließend muss erwähnt werden, dass das Abwarten der nächsten Betriebsprüfung keine sinnvolle Strategie sein kann. Bereits morgen könnte im Rahmen einer Kassennachschau nach einer Verfahrensdokumentation gefragt werden.

Über den Autoren:

Markus Olbring ist Inhaber der comdatis it-consulting in Ahaus-Alstätte. Als IT-Berater und IT-Sachverständiger beschäftigt er sich mit der Erstellung und Prüfung von Verfahrensdokumentationen. Darüber hinaus ist er als IT-Prüfer für Wirtschaftsprüfungsgesellschaften tätig. Weitere Tätigkeitsfelder sind der Datenschutz und die Informationssicherheit, in beiden Bereichen sowohl als Berater als auch als zertifizierter Auditor.

15.03.2019 16:23

E-Mail Sicherheit durch die 3-Sekunden Regel

Auf E-Mails zu verzichten ist in unserer schnelllebigen Zeit einfach undenkbar. Doch E-Mails bringen viele Risiken mit sich und zwar durch Spam-Mails. Um sich vor diesen zu schützen, schlägt das Bundesamt für Sicherheit in der Informationstechnik die 3-Sekundenregel vor. Durch die 3-Sekundenregel können bereits viele Risiken minimiert, jedoch nicht ausgeschlossen werden.

[In der Blog-Übersicht wird hier ein Weiterlesen-Link angezeigt]

 

Kenne ich den Absender?

Ist der Absender unbekannt ist Vorsicht geboten.

Erwarte ich einen Anhang?

Auch bei bekannten Absendern, ist es immer wieder sinnvoll sich zu fragen, ob der Absender eine E-Mail mit einer Anlage senden muss oder eine E-Mail erwartet wird

Ist der Betreff sinnvoll?

Anhand des Betreffs lässt sich bereits erahnen, ob die E-Mail seriös erscheint.

Aber auch die 3-Sekundenregel schützt nicht komplett vor einem möglichen Infekt. Die Regeln dienen lediglich als erste Abwehrmaßnahme.

Auch wenn Sie den Absender auf den ersten Blick kennen, gilt es trotzdem vorsichtig zu sein. Die im E-Mail-Client angezeigte Absender Mail-Adresse lässt sich mit wenig Aufwand fälschen. Hinter den angezeigten Namen kann sich eine vollkommen andere Adresse verbergen. Je nach E-Mail Client können Sie dies prüfen, indem Sie mit der Maus über die Adresse fahren. Die wirkliche E-Mail-Adresse wird dann auf dem Bildschirm angezeigt. Bei dem kleinsten Hinweis, dass es sich um eine gefälschte E-Mail-Adresse handelt, ist die E-Mail sofort zu löschen. Falls Sie sich nicht zu 100% sicher sind, ob es eine korrekte E-Mail ist, sollten Sie die E-Mail löschen. Kennen Sie den Absender, kann dieser bei Zweifel angerufen werden, damit die Korrektheit der E-Mail verifiziert werden kann. Ganz besondere Vorsicht ist bei unerwarteten E-Mails von Internet-Diensten wie Amazon, PayPal oder Online-Shops geboten. Folgen Sie niemals irgendwelchen Links in den E-Mails, besonders wenn von einer unerwarteten Kontoaktivität berichtet wird. Geben Sie niemals Ihre Benutzerkennung (Benutzernamen & Passwort) ein, wenn Sie doch einen der Links in der E-Mail verfolgen / angeklickt haben. In den meisten Fällen fordern Sie die Internet-Dienstleister niemals zur Eingabe dieser Daten über einen Link in einer E-Mail auf. Auch bei einer über eine E-Mail geforderten Authentifizierung sollten Sie Vorsicht walten lassen. Die Zielwebseiten aus solchen Links werden sehr professionell kopiert und sehen dem Original sehr ähnlich. Diese Webseiten sind darauf ausgelegt Ihre Benutzerkennung zu sammeln. Dies lässt sich unter einem Phishing-Versuch einordnen, wo es darum geht Ihre Benutzerkennung zu „angeln“.

Wenn Sie eine Anlage zu einer E-Mail erhalten ist es sinnvoll, die Anlage nicht unmittelbar zu öffnen. Erwarten Sie überhaupt von dem Absender eine E-Mail mit Anlage? Trifft dies zu, gilt es sich trotzdem die Dateiendung anzuschauen. Generell gilt es keine „.exe“ Dateien zu öffnen. Das ist weitestgehend bekannt, aber Schadsoftware kann sich auch in Office-Dateien, in sogenannten Makroviren verstecken. Die Dateien beinhalten ein „M“ am Ende des Suffixes. So heißt die Excel Datei nicht „.XLSX“, sondern „XLSM“.

Auch der Betreff kann bereits ein Anzeichen für eine Spam-Mail sein. Hier kommen meist Schlagwörter zum Einsatz, auf die die meisten Menschen anspringen würden, wie bspw. „Konto“ oder „Gewinn“. Aber auch harmlose Betreffzeilen, die den Empfänger auffordern ganz dringend und innerhalb einer kurzen Zeit zu handeln, können Spam enthalten. Achten Sie auch auf den Inhalt der E-Mail. Erscheint Ihnen der Text als schlüssig und sinnvoll? Wie werden Sie in der E-Mail angesprochen und wie werden Sie normalerweise vom E-Mail Versender angesprochen?

Dies sind alles Anhaltspunkte, damit Sie in der Lage sind, Spam-Mails zu identifizieren. Abschließend bleibt zu sagen, dass Sie besonders bei E-Mails mit Anhang genau prüfen sollten, ob dies eine Spam-Mail sein könnte.

Quellen:

https://www.bsi-fuer-buerger.de/BSIFB/DE/Empfehlungen/Menschenverstand/E-Mail/E-Mail_node.html

https://www.bsi-fuer-buerger.de/BSIFB/DE/Risiken/Sicherheitsirrtuemer/Sicherheitsirrtuemer.html?cms_pos=4

26.02.2019 12:57

Messenger: Alternativen zu WhatsApp

Heute stellen wir Ihnen analog zu unserem Beitrag vom 13. Januar datenschutzkonforme Messenger als Alternative zu WhatsApp vor. Diese sind mittlerweile recht häufig zu finden und kosten trotz hoher Usability nicht viel Geld. Mehrwert erhalten Sie teilweise bei der Verwendung von Mobile Device Management (MDM).

[In der Blog-Übersicht wird hier ein Weiterlesen-Link angezeigt]

Unser Favorit unter den DSGVO-konformen Messengern ist „Threema“. In der „Work-Edition“ starten die Preise ab 1,23 EUR pro Gerät, pro Monat. In der Enterprise-Version können Sie zusätzlich App-Konfigurationen direkt aus dem Management-Cockpit steuern. 
Wem Threema Work zu kostspielig sein sollte, könnte nun auf die Privatanwender-Version dieses Unternehmens zurückgreifen wollen. Dabei sollten Sie allerdings stets prüfen, ob in diesem Fall auch eine Auftragsverarbeitungsvereinbarung (AVV) geschlossen werden kann. [1] [2]

Als weitere Alternative aus Deutschland – mit ausschließlichen Serverstandorten in Deutschland – wäre Hoccer zu nennen. Auch hier wird ein Augenmerk auf Datensparsamkeit gelegt: so ist es nicht notwendig Ihre Telefonnummer oder E-Mail-Adresse anzugeben.

Wie lässt sich nun aus der recht großen Auswahl einen Messenger ausfindig machen, der wirklich Datenschutz compliant ist? Sie sollten dabei eine Recherche unternehmen und bei der Bewertung der datenschutzrechtlichen Angemessenheit, folgende Punkte beachten:

  1. Geschieht ein automatisierter Upload des Adressbuches?
  2. In welchem Staat befinden sich die Server des Anbieters? 
    a. Als sichere Drittländer gelten z. B. die EWR-Staaten 
    b. (Momentan) sicher ist die Übertragung an Unternehmen im Privacy Shield
  3. Ist das Rechenzentrum / Serverstandort zertifiziert? 
    a. zum Beispiel ISO/IEC 27001
  4. Als juristische Person muss eine AVV mit dem Anbieter geschlossen werden. Ist dies möglich?
  5. Ist die Übertragung mittels einer Ende-zu-Ende-Verschlüsselung vorhanden?
  6. Besteht eine anderweitige Verschlüsselung (z. B. Speicherung der Nachrichten auf den Servern nur als „Hashwert“)?
  7. Ist eine Datenschutzfreundliche Voreinstellung vorhanden? 
    a. Wenn z. B. werkseitig GPS-Ortungen, Upload des Adressbuches, etc. nicht aktiviert ist
  8. Können Sie datenschutzrelevante Einstellung zentral (z. B. durch ein MDM) steuern, sodass Ihre Mitarbeiter nicht eigenhändig Einstellungen vornehmen bzw. umgehen können? 
    a. Auch Ihre Richtlinien sollten konkret angepasst werden, damit der Umgang mit dem Messenger organisatorisch bestimmt wird.
  9. Geschieht eine automatische Ortung mittels GPS?
  10. Legt der Anbieter Wert auf Datensparsamkeit? 
    a. Sind bei der Registrierung viele personenbezogene Daten Pflichtangaben (z. B. Rufnummer, E-Mail-Adresse, Name)?
  11. Unterscheiden Sie stets zwischen der Privat-Anwender-Variante und der für Unternehmen. Hier können unter Umständen Unterschiede herrschen

Wenn Sie die obengenannten Punkte vor Einführung eines Messengers prüfen, sind Sie sicher aufgestellt, was den Umgang mit Messengern angeht. Aber auch wenn ein Messenger-Anbieter viel Wert auf Datenschutz und IT-Sicherheit legt, entbindet dies nicht davon, dass niemals Kontakte freigegeben werden dürfen und vor der ersten Verarbeitung Verantwortliche eine AVV mit dem Anbieter schliessen müssen. [3]

Über den Autoren:
Sven Schüldink ist als IT-Berater bei der comdatis it-consulting in Ahaus-Alstätte beschäftigt. Als ausgebildeter Datenschutzbeauftragter beschäftigt er sich mit Themen rund um den Datenschutz.

#comdatis #einfachmittelstaendischpragmatisch #ahaus #datenschutz #dsgvo[1] https://threema.ch/de/faq
[2] https://work.threema.ch/docs/_threema_avv.pdf
[3] http://blog.comdatis.de/whatsapp-im-unternehmen-und-verein/

KATEGORIENDATENSCHUTZ & INFORMATIONSSICHERHEITBeitrags-NavigationSuche nach:SucheNEUE BEITRÄGE

KATEGORIEN
22.02.2019 12:55

Auftragsverarbeitung

Wann handelt es sich um eine Auftragsverarbeitung? Diese Frage gilt es heute zu klären.

[In der Blog-Übersicht wird hier ein Weiterlesen-Link angezeigt]

Allgemein sind Auftragsverarbeiter im Sinne der DS-GVO nur Unternehmen / Dienstleister, die im Schwerpunkt mit der Verarbeitung personenbezogener Daten beauftragt werden. Insbesondere verarbeiten die Dienstleister gemäß Art. 4 Abs. 8 und Art. 28 Abs. 3 a) DS-GVO die personenbezogenen Daten nur auf dokumentierte Weisung des Verantwortlichen. Das bedeutet, es handelt sich um einen Auftragsverarbeiter, wenn der Auftragnehmer..

  • keine Entscheidungsbefugnis über die Daten hat
  • keinen eigenen Geschäftszweck bezüglich der personenbezogenen Daten verfolgt
  • einem Nutzungsverbot der zu verarbeitenden Daten untersteht
  • in keiner vertraglichen Beziehung zu den Betroffenen steht, von denen er personenbezogene Daten verarbeitet
  • einen Zugriff auf personenbezogene Daten haben könnte
  • nicht für die Verarbeitung verantwortlich ist.

Konkret sind Unternehmen als Auftragsverarbeiter zu identifizieren, die z.B.

  • die Lohn- und Gehaltsabrechnung oder die Finanzbuchhaltung durch Rechenzentren für den Auftraggeber übernehmen,
  • dem Auftraggeber Speicherplatz im Rahmen von Cloud-Computing zur Verfügung stellen, ohne dass ein inhaltlicher Datenzugriff des Cloud-Betreibers erforderlich,
  • in einem Lettershop Werbeadressen verarbeiten
  • Kundendaten in einem Callcenter verarbeiten, ohne wesentliche eigene Entscheidungsspielräume zu besitzen,
  • die E-Mail-Verwaltung oder sonstige Datendienste zu Webseiten (z.B. Betreuung von Kontaktformularen oder Nutzeranfragen) übernehmen,
  • die Datenerfassung, Datenkonvertierung oder das Einscannen von Dokumenten übernehmen,
  • die Archivierungen und Backup-Sicherheitsspeicherung übernehmen,
  • für den Auftraggeber Datenträger entsorgen oder die Vernichtung von Akten mit personenbezogenen Daten übernehmen,
  • automatisierte Verfahren oder Datenverarbeitungsanlagen prüfen oder warten (z.B. durch Fernwartung oder externen Support), wenn bei diesen Tätigkeiten ein Zugriff auf personenbezogene Daten nicht ausgeschlossen werden kann,
  • bestimmte „Shared Services-Dienstleistungen“ innerhalb eines Konzerns zentral übernehmen, wie Dienstreisen-Planungen oder Reisekostenabrechnungen (jedenfalls sofern kein Fall gemeinsamer Verantwortlichkeit nach Art. 26 DS-GVO vorliegt),
  • Rechenzentren für Apotheken nach § 300 SGB V betreiben,
  • als ärztliche/zahnärztliche Verrechnungsstellen ohne Forderungsverkauf agieren,
  • als Sicherheitsdienst an der Pforte Besucher- und Anliefererdaten erheben,
  • im Auftrag Messwerte in Mietwohnungen (Heizung, Strom, Wasser etc.) ablesen und/oder erfassen bzw. verarbeiten oder
  • als Dienstleistung die Visabeschaffung übernehmen und hierfür vom Arbeitgeber die Beschäftigtendaten erhalten.

Fachliche Dienstleister, bei denen nicht die Datenverarbeitung im Vordergrund steht bzw. diese nicht zumindest einen wichtigen (Kern-)Bestandteil ausmacht, zählen nicht zu den Auftragsverarbeitern.

Dabei können zwei Arten von Dienstleistungen unterschieden werden:

  • Die Inanspruchnahme von fremden Fachleistungen, bei denen der Dienstleister ein eigenständiger Verantwortlicher ist.
  • Die Inanspruchnahme von fremden Fachleistungen, bei denen im Kern keine beauftragte Verarbeitung personenbezogener Daten vorliegt, sondern eine andere Tätigkeit ausgeübt wird.

Eigenständig Verantwortliche sind dabei beispielsweise:

  • Berufsgeheimnisträger (Steuerberater, Rechtsanwälte, externe Betriebsärzte, Wirtschaftsprüfen),
  • Inkassobüros mit Forderungsübertragung,
  • Bankinstitute für den Geldtransfer,
  • Postdienste für den Brief- oder Pakettransport,
  • Tätigkeit als WEG-Verwalter oder aber auch Sondereigentumsverwalter,
  • Beauftragte Warenzusendungen (Hersteller und Großhändler, die per Direktlieferung an den Endkunden liefern, die Adressen jedoch von Einzelhändlern bekommen; Blumen- oder Weinversender, die Adressdaten zur Versendung von Blumen- oder Weingeschenken erhalten),
  • Insolvenzverwalter,
  • Versicherungs-/Finanzmakler, -vermittler im Rahmen des Kundenvertrags,
  • Handelsvertreter im Rahmen ihrer Beratungstätigkeit und Vertragsvermittlungen oder
  • Hersteller individueller medizinischer Produkte, Hilfsmittel, Prothesen etc. für Patienten/Kunden im Auftrag von Ärzten, Zahnärzten, Apotheken, Sanitätshäusern usw.

Keine Verarbeitung von personenbezogenen Daten an sich liegt z.B. bei folgenden Tätigkeiten vor:

  • Reparaturen von Handwerkern, die vom Vermieter die nötigen Mieterdaten erhalten haben,
  • Die Beförderung von Personen oder Krankentransporte
  • Der Einsatz von Bewachungsdienstleistern,
  • Der Einsatz von Reinigungsdienstleistern und Handwerkern im Unternehmen
  • Das Drucken von Prospekten oder Unternehmenskatalogen, in denen Bilder von Beschäftigten oder Fotomodellen vorhanden sind,
  • Der Transport von ausreichend geschreddertem Papiermaterial oder
  • Der Transport von Waren und Unterlagen durch Kurierdienste, Speditionen oder Zeitungsausträger.

Quelle: https://www.lda.bayern.de/media/FAQ_Abgrenzung_Auftragsverarbeitung.pdf

#comdatis #einfachmittelstaendischpragmatisch #ahaus #datenschutz #dsgvo #auftragsverarbeitung

13.01.2019 12:53

WhatsApp im Unternehmen und Verein

Die Nutzung von WhatsApp im geschäftlichen Einsatz und im Verein ist aus rechtlicher Sicht kritisch zu sehen. Hieran hat die Datenschutzgrundverordnung (DSGVO) im Mai 2018 nichts geändert, die Problematik bestand auch schon mit dem alten Bundesdatenschutzgesetz (BDSG).

[In der Blog-Übersicht wird hier ein Weiterlesen-Link angezeigt]

Was ist konkret das Problem an WhatsApp?

Nach meiner Auffassung sind es weniger die Inhalte der Kommunikation, die rechtlich bedenklich sind. Vielmehr ist es die notwendige Freigabe der Kontakte, um die App überhaupt sinnvoll nutzen zu können. Im Zusammenhang der Freigabe der Kontakte und deren Übertragung an WhatsApp spricht ein Datenschützer von einer „Datenübermittlung in ein Drittland“. Hierfür bedarf es einer Einwilligung, da keine andere Rechtsgrundlage überhaupt in Frage kommt. Jeder Kontakt muss also aktiv und nachweisbar gefragt werden, ob die Übertragung an WhatsApp in Ordnung ist und zwar vor Freigabe der Kontakte. Dies ist in der Praxis kaum umsetzbar.

Ein zweites Problem ist die geschäftliche Nutzung im Unternehmen oder auch im Verein. Hierfür bedarf es gem. Art. 28 DSGVO einer Vereinbarung zur Auftragsverarbeitung bzw. EU-Standardvertragsklauseln. Dies lässt sich mit WhatsApp nicht umsetzen.

Was ist die Folge der rechtlichen Probleme?

Die logische Folge ist, dass Datenschutzbeauftragte empfehlen müssen, WhatsApp nicht im Unternehmen und Verein einzusetzen.

Gibt es Lösungsansätze, das Problem zu beheben?

Unternehmen tun sich schwer, WhatsApp von den Smartphones zu verbannen. Auch für Vereine ist die Organisation über WhatsApp-Gruppen ein enormer Vorteil. Folgende Lösungsansätze bestehen:

  • Einsatz von Datencontainern auf Smartphones, z.B. „Sicherer Ordner“ bzw. „Knox“ auf Samsung-Geräten. Unabhängig von den Geschäftskontakten kann der Container ausschließlich für private Zwecke verwendet werden einschl. Kontakten und Anwendungen wir WhatsApp (Hilfestellung hierzu: https://www.samsung.com/at/discover/sicherer-ordner-auf-dem-galaxy-s8/).
  • Keine Freigabe der Kontakte: Das Verweigern des Zugriffs auf die Kontakte ist ein weiterer Weg zur Nutzung, der jedoch mit Komforteinbußen verbunden ist.

Über den Autoren:

Markus Olbring ist Inhaber der comdatis it-consulting GmbH & Co. KG in Ahaus-Alstätte. Er ist als IT-Berater und IT-Sachverständiger tätig und berät Unternehmen in den Bereichen Digitalisierung, Verfahrensdokumentation, Datenschutz, externer Datenschutzbeauftragter sowie Informationssicherheit.