Blog

Nach Tags gefiltert: informationssicherheitdatenschutzinformationssicherheitverfahrensdokumentation Alle Artikel anzeigen

Nie war Verfahrensdokumentation einfacher!

einfach/mittelständisch/pragmatisch zur GoBD-Verfahrensdokumentation!

In unserem neuen Coaching-Programm für Steuerberater können Sie sich als Steuerberater das Wissen aneignen, um Ihren Mandanten die Erstellung einer Verfahrensdokumentation anzubieten. Die notwendigen Vorlagen erhalten Sie einschl. Video-Erläuterung im Rahmen unseres Coachings.

Hier erfahren Sie mehr: www.verfahrensdokumentation.jetzt

#verfahrensdokumentation #gobd #Digitalisierung #einfachmittelständischpragmatisch

Webcast-Aufzeichnung: GoBD-Verfahrensdokumentation

einfach/mittelständisch/pragmatisch zur GoBD-Verfahrensdokumentation. In unserem Webcast am 14. Mai 2019 hat unser Mitarbeiter Markus Olbring dargestellt, wie einfach die Umsetzung der Anforderungen an eine Verfahrensdokumentation zur Erfüllung der Anforderungen der GoBD sein kann.

Die Aufzeichnung kann bei YouTube angeschaut werden.

Weiterlesen…

Wer ist von den GoBD betroffen?

Von den GoBD (Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff) sind alle Steuerpflichtigen mit Gewinneinkünften betroffen, die ihre unternehmerischen Abläufe mit Hilfe von IT-Systemen abbilden und die den GoB (Grundsätze ordnungsmäßiger Buchführung) in elektronischer Form nachkommen. Die GoBD gelten also für alle Buchführungs- und Aufzeichnungspflichtigen Unternehmen.

Weiterlesen…

GoBD-Verfahrensdokumentation - wieso, weshalb, warum?

Zunehmend werden Anforderungen kommuniziert, dass jedes Unternehmen zur Erfüllung steuerrechtlicher Anforderungen eine Verfahrensdokumentation erstellen muss. Hintergrund ist ein im November 2014 veröffentlichtes Schreiben des Bundesministeriums der Finanzen (BMF). Bei diesem Schreiben handelt es sich um die sogenannten GoBD, die im Folgenden noch weiter erläutert werden.

Weiterlesen…

22.06.2019 10:31

Nie war Verfahrensdokumentation einfacher!

einfach/mittelständisch/pragmatisch zur GoBD-Verfahrensdokumentation!

In unserem neuen Coaching-Programm für Steuerberater können Sie sich als Steuerberater das Wissen aneignen, um Ihren Mandanten die Erstellung einer Verfahrensdokumentation anzubieten. Die notwendigen Vorlagen erhalten Sie einschl. Video-Erläuterung im Rahmen unseres Coachings.

Hier erfahren Sie mehr: www.verfahrensdokumentation.jetzt

#verfahrensdokumentation #gobd #Digitalisierung #einfachmittelständischpragmatisch

Podcast zum Datenschutz

Die comdatis-Mitarbeiter Faraz Afscharian und Sven Schüldink unterhalten sich in diesem Podcast über das erste Jahr der Datenschutzgrundverordnung (DSGVO).

Unter anderem wird über die Themen Aufsichtsbehörden, Bußgelder, Abmahnrisiken und dem Wahnsinn der Einwilligungen gesprochen.

Hier können Sie Folge 01 unseres Podcasts abrufen.

21.06.2019 22:41

Einsatz von Cookies und Analysetools

In der von der Datenschutzkonferenz veröffentlichen Orientierungshilfe für Anbieter von Telemedien (Vgl. https://www.datenschutzkonferenz-online.de/media/oh/20190405_oh_tmg.pdf) werden Tipps und Hinweise zum datenschutzkonformen Einsatz von Cookies und Analyse-Tools auf Webseiten gegeben. Anhand dieser Orientierungshilfe haben wir uns näher mit der Thematik „Einsatz von (Drittanbieter-)Cookies und Analyse Tools“ auseinandergesetzt und folgende Handlungsempfehlungen für den datenschutzkonformen Einsatz von Cookies erarbeitet.

[In der Blog-Übersicht wird hier ein Weiterlesen-Link angezeigt]

Drittanbieter-Cookies (wie Google Analytics oder Facebook Plugins) sind nur mit ausdrücklicher Einwilligung einsetzbar. Um dies zu gewährleisten sind die folgenden Punkte zu erfüllen:

  • Beim erstmaligen Besuch der Webseite ist ein Cookie-Banner einzusetzen.
  • Der Cookie-Banner muss eine Übersicht über die einwilligungsbedürftigen Verarbeitungsvorgänge (Cookies) unter Nennung der beteiligten Akteure und deren Funktion enthalten.
  • Der Cookie-Banner darf die Verlinkung zur Datenschutzerklärung und zum Impressum nicht verdecken.
  • Die Einwilligung des Besuchers ist durch „Opt-in“ für jeden Drittanbieter-Cookie einzuholen (dabei darf „aktiviert“ nicht voreingestellt sein, d.h. es ist eine aktive Handlung des Besuchers nötig [z.B. Haken setzen oder Klick auf Schaltfläche, etc.]).
  • Es muss eine Möglichkeit zum Widerruf / zur nachträglichen Deaktivierung gegeben werden.
    Bevor eine freiwillige Einwilligung abgegeben wurde müssen die Cookies gesperrt / blockiert sein. Erst mit der Einwilligung des Besuchers ist die Aktivierung der Cookies rechtskonform.
  • Das Ergebnis der Auswahl / Einwilligung / Widerspruchs ist ohne Verwendung einer User-ID o.ä. vom Verantwortlichen auf dem Endgerät des Benutzers zu speichern.
  • Die Webseite sollte ohne Einwilligung oder lediglich teilweise Einwilligung in Drittanbieter-Cookies vollumfänglich besuchbar / abrufbar sein.
  • Zu beachten / prüfen ist die angegebene Rechtsgrundlage zur Verarbeitung in der Datenschutzerklärung. Die Rechtsgrundlage lautet in diesem Fall „Art. 6 Abs. 1 lit. a DSGVO“.

Lokal betriebene Cookies, die keine Daten an Dritte übermitteln, können weiterhin ohne Einwilligung eingesetzt werden. Diese können mit der Rechtsgrundlage Art. 6 Abs. 1 lit. f DSGVO berechtigtes Interesse begründet werden. Dies gilt beispielsweise dann, wenn eine lokale Installation eines Webanalysedienstes verwendet wird (z.B. Matomo).

Ähnlich wie bei Drittanbieter-Cookies ist die Verwendung von Drittanbieter-Schriftarten (z.B. Google Fonts) durch Herunterladen vom Drittanbieter-Server datenschutzrechtlich fragwürdig. Hier empfehlen wir dringend, dass die Schriftarten lokal auf dem eigenen Server eingebunden werden sollten.

Bei diesen Punkten handelt es sich um Handlungsempfehlung auf Grundlage der aktuellen Bekanntmachungen und Gesetzesauslegungen. Mögliche Rechtsprechungen und klare Stellungnahmen der Aufsichtsbehörden zur Thematik werden von uns weiter verfolgt und bei Bedarf eine Anpassung solcher Handlungsempfehlungen vorgenommen.

Über die Autorin:

Carolin Huy ist IT-Beraterin bei der comdatis it-consulting in Ahaus-Alstätte. Sie beschäftigt sich als DEKRA-Zertifizierte "Fachkraft für Datenschutz" mit Themen zu Datenschutz und DSGVO.

05.06.2019 11:26

Löschkonzept

In Zeiten in denen Speicherplatz immer günstiger wird, verwundert es nicht, dass Unternehmen personenbezogene Daten ungerne löschen oder adäquat anonymisieren möchten. Die 2016 geschaffene EU-Datenschutzgrundverordnung gibt allerdings an vielen prominenten Stellen ein ganz klares Gebot zur Löschung vor.

[In der Blog-Übersicht wird hier ein Weiterlesen-Link angezeigt]

Die Flut an und die Dezentralisierung von Dateien und Dokumenten - ob elektronisch oder papierbasiert - ist in der Regel so umfassend, dass ein Unternehmen nicht um ein Löschkonzept herumkommt. Der Umstand das Unternehmen ein gelebtes Löschkonzept benötigen, wird auch seitens der herrschenden Meinung immer wieder betont, aber in der Praxis selten implementiert.

Ein aktuelles Bußgeldverfahren der Datenschutzaufsichtsbehörde "Datatilsynet" in Dänemark zeigt nun wieder einmal, wie wichtig ein Konzept für das Löschen in Unternehmen ist. Ein dänisches Unternehmen hatte personenbezogene Daten nicht nur viel zu lange und viel zu umfangreich aufbewahrt, sondern konnte auch kein adäquates Löschkonzept vorlegen. Dieser Tatsache war es dann wohl auch geschuldet, dass die Höhe des Bußgeldes (bzw. die Empfehlung eines Bußgeldes an das Gericht) auf 160.000 € angehoben wurde.

Auch in Deutschland wird das Thema des Löschens in naher Zukunft mehr in den Fokus rücken. Die bayrische Datenschutzaufsichtsbehörde teilte online mit, dass sie anstehend Unternehmen auf Löschroutinen in ERP-Systemen kontrollieren wird; Ergebnisse dazu gibt es noch nicht.

Nun könnte ein Unternehmen sich die DSGVO zu Nutze machen und die personenbezogenen Daten in einer Weise anonymisieren, dass die betroffene Person nicht oder nicht mehr identifiziert werden kann. Somit würden diese Daten dann nicht mehr in den Schutzbereich der Datenschutzgesetze fallen. Allerdings ist eine rechtskonforme und allumfassende Anonymisierung sehr schwierig und auch praxisfern.

Müssen nun alle Daten sofort gelöscht werden? Nein! Für viele personenbezogene Daten im Unternehmen bestehen gesetzliche Aufbewahrungspflichten oder starke berechtigte Interessen des Unternehmens, diese personenbezogene Daten bis zum Entfall dieser Zwecke vorzuhalten. Diese gesetzlichen Aufbewahrungspflichten überwiegen zum Beispiel auch ein Löschbegehren eines Betroffenen. Daher sollten Sie nie personenbezogene Daten im Zuge eines Löschbegehrens einfach unüberlegt löschen.
Welche personenbezogene Daten aufbewahrungspflichtig sind und/oder einer geschäftsprozessbedingten Vorhaltefrist bedürfen, die noch mit der DSGVO in Einklang steht, ist mitunter nicht leicht zu bestimmen und immer differenziert zu betrachten. Im Laufe einer (ehem.) Geschäftsbeziehung können sich diese Aufbewahrungsfristen auch verändern - z. B. wenn es zu einem Rechtsstreit kommt.

Daher ist es für ein Unternehmen wichtig, sehr sorgfältig über alle Verfahren in denen personenbezogene Daten verarbeitet werden buchzuhalten - dies geschieht im Verzeichnis der Verarbeitungstätigkeiten. In diesem werden dann auch die Rechtsgrundlagen bestimmt, von denen wiederrum Aufbewahrungsfristen abgeleitet werden. Das Verzeichnis der Verarbeitungstätigkeiten ist somit auch der Ausgangspunkt des Löschkonzeptes. Zudem ist ein wichtiger aber oft vergessener Aspekt eines Löschkonzeptes der Startzeitpunkt, an dem die Aufbewahrungsfrist beginnt. Vereinfacht gesagt werden dann aus diesen beiden Werten sog. Löschklassen gebildet, denen wiederrum eine Löschfrist zugeordnet und in einer Löschmatrix abgebildet werden.


In der Regel fehlt es aber Unternehmen an Praxiserfahrung und Zeit eine Implementierung eines rechtskonformen Löschkonzeptes inkl. der Rechenschaftspflichten allein umzusetzen. Daher sollten sich Unternehmen bei der Schaffung eines Löschkonzeptes immer beraten lassen.

Über den Autoren:
Sven Schüldink ist als IT-Berater bei der comdatis it-consulting in Ahaus-Alstätte beschäftigt. Als ausgebildeter Datenschutzbeauftragter beschäftigt er sich mit Themen rund um den Datenschutz.

04.06.2019 22:20

Webcast-Aufzeichnung: GoBD-Verfahrensdokumentation

einfach/mittelständisch/pragmatisch zur GoBD-Verfahrensdokumentation. In unserem Webcast am 14. Mai 2019 hat unser Mitarbeiter Markus Olbring dargestellt, wie einfach die Umsetzung der Anforderungen an eine Verfahrensdokumentation zur Erfüllung der Anforderungen der GoBD sein kann.

Die Aufzeichnung kann bei YouTube angeschaut werden.

[In der Blog-Übersicht wird hier ein Weiterlesen-Link angezeigt]

 

Fehler in der Darstellung? Das Video kannst du auch über diesen Link aufrufen.

 

16.05.2019 17:06

EMM - eine Möglichkeit zum datenschutzkonformen Einsatz von WhatsApp?

Wir berichteten bereits häufiger über den datenschutzkonformen Einsatz von WhatsApp in Unternehmen. Und über die Problematiken, die entstehen, wenn WhatsApp auf Firmen Smartphones eingesetzt werden soll und den fehlenden Lösungsansatz zum datenschutzkonformen Einsatz.

[In der Blog-Übersicht wird hier ein Weiterlesen-Link angezeigt]

Ein Problem bei WhatsApp ist die benötigte Freigabe der Kontaktliste. Dabei werden personenbezogene Daten an WhatsApp übermittelt. Diese Übermittlung ist für Firmenkontakte lediglich möglich, wenn eine Einwilligung vorliegt. Dabei ist zu beachten, dass für jeden einzelnen Kontakt der Kontaktliste eine gültige Einwilligung für die WhatsApp-Nutzung vorliegt. Sobald ein Kontakt nicht zustimmt, ist eine datenschutzkonforme Nutzung nicht ohne weiteres möglich.

Für Unternehmen und Mitarbeiter, die das Smartphone lediglich im beruflichen Umfeld nutzen gibt es zur Kommunikation einige Alternativen zu WhatsApp. Diese haben wir bereits im Blogbeitrag vom 26.02.19 näher beschrieben. Die Kommunikation mit Kunden / Geschäftspartnern sollte immer unter Beachtung der Datenschutzkonformität ablaufen. 

Im privaten Umfeld ist die Nutzung von WhatsApp an der Tagesordnung. Somit tritt bei erlaubter Privatnutzung des Firmen Smartphones eher der Wunsch auf, WhatsApp nutzen zu können. Da WhatsApp lediglich die Freigabe der gesamten Kontaktliste (private wie betriebliche Kontakte) erlaubt, entsteht hier ein Konflikt. Ebenso entsteht bei BYOD (Bring your own Device) ein Konflikt zwischen Unternehmens- und Privatdaten.

Für diese Problematik existiert ein Lösungsansatz, den wir folgend kurz vorstellen wollen. Der Einsatz eines EMM (Enterprise-Mobility-Management-Systems) kann dabei helfen, die Zugriffe der geschäftlichen Apps auf die Kontakte und Daten auf den Mitarbeiter-Smartphones zentral zu verwalten.

Bei iOS (ab Version 11.3) läuft dieser kontrollierte Zugriff wie folgt ab:

-      Es wird zwischen gemanagten Apps und nicht-gemanagten Apps unterschieden.

-      Zudem können gemanagte Accounts angelegt werden.

-      Die Definition von Regeln erfolgt zentral im EMM-System.

-      Der geschäftliche Account sollte als gemanagt definiert werden.

-      Vornehmen der Einstellung, dass ein Austausch von Daten zwischen den gemanagten und nicht-gemanagten Apps und Accounts nicht stattfinden soll.

-      Nicht-gemanagte (private) Apps haben somit lediglich Zugriff auf den nicht-gemanagten Account mit den privaten Kontakten.

-      Gemanagte Apps haben sowohl Zugriff auf gemanagte (geschäftliche) als auch auf nicht-gemanagte (private) Accounts mit sämtlichen Kontakten.

Android Enterprise / for Work verfolgt eine etwas andere Vorgehensweise. Es wird ab Android 5.0 ermöglicht eine Container-Technologie einzusetzen, wodurch das Betriebssystem persönliche und geschäftliche Daten trennt. Kurz gesagt wird ein zweites Betriebssystem mit eigenen Apps und Kontaktlisten verwendet. Dieses kann durch ein EMM über das Unternehmen verwaltet werden, es können spezielle Richtlinien und Regeln erstellt werden und somit können die geschäftlichen Zugriffe kontrolliert werden. Dadurch entsteht ein Schutz sowohl der geschäftlichen als auch der privaten Daten, da eine Übertragung zwischen den „Betriebssystemen“ nicht zulässig ist.

Wie Sie sehen, gibt es verschiedene Möglichkeiten, die EMM-Technologie umzusetzen. Eine konkrete Empfehlung zum Einsatz sprechen wir an dieser Stelle nicht aus. Schlussendlich müsste die Einsatzfähigkeit für Ihr Unternehmen ausgiebig durch die IT Verantwortlichen geprüft werden und die Umsetzung auf den Mitarbeiter-Smartphones überwacht und geregelt werden. Zudem sind die Anforderungen der DS-GVO gesondert zu beachten und ein, dem Stand der Technik entsprechendes, Sicherheitsniveau eingehalten werden. Hierfür ist eine Absprache mit Ihrem Datenschutzbeauftragten zu empfehlen.

Quellen:

https://www.computerwoche.de/a/apple-loest-facebook-datenschutzproblem-fuer-unternehmen,3544716

https://blog.cortado.com/de/android-for-work-fragmentierung/

https://www.bechtle-blog.com/it-loesungen/mobile-solutions/apple-is-native-apps-und-whatsapp-im-unternehmen-dank-managed-contacts

https://www.it-administrator.de/themen/sicherheit/fachartikel/256660.html

Über die Autorin:

Carolin Huy ist IT-Beraterin bei der comdatis it-consulting in Ahaus-Alstätte. Sie beschäftigt sich als DEKRA-Zertifizierte "Fachkraft für Datenschutz" mit Themen zu Datenschutz und DSGVO.

14.05.2019 16:27

Wer ist von den GoBD betroffen?

Von den GoBD (Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff) sind alle Steuerpflichtigen mit Gewinneinkünften betroffen, die ihre unternehmerischen Abläufe mit Hilfe von IT-Systemen abbilden und die den GoB (Grundsätze ordnungsmäßiger Buchführung) in elektronischer Form nachkommen. Die GoBD gelten also für alle Buchführungs- und Aufzeichnungspflichtigen Unternehmen.

[In der Blog-Übersicht wird hier ein Weiterlesen-Link angezeigt]

Die GoBD gelten seit dem 1. Januar 2015 und haben die GDPdU (Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen) sowie die GoBS (Grundsätze ordnungsmäßiger DV-gestützter Buchführungssysteme) abgelöst bzw. vereinheitlicht. Mit der Einführung gab es keine Gesetzänderung o.ä., die Anforderungen wurden lediglich an moderne Buchführungssysteme angepasst. Soweit die Vorgaben aus dem 38-seitigen BMF Schreiben nicht eingehalten werden, drohen bei Betriebsprüfungen Steuerschätzungen. In den GoBD Tz. 155 ist beschrieben, dass soweit keine oder eine ungenügende Verfahrensdokumentation die Nachvollziehbarkeit nicht beeinträchtigen, liegt kein formeller Mangel vor, der zum Verwerfen der Buchführung führen kann. Andersherum kann eine fehlende oder ungenügende Verfahrensdokumentation die Nachvollziehbarkeit beeinträchtigen und somit würde ein formeller Mangel mit sachlichem Gewicht vorliegen, der zum Verwerfen der Buchführung führen kann.


Laut GoBD sind die Grundsätze der Nachvollziehbarkeit, Nachprüfbarkeit sowie die Grundsätze der Wahrheit, Klarheit und fortlaufenden Aufzeichnung bei der Vollständigkeit, Richtigkeit, zeitgerechten Buchung und Aufzeichnungen, Ordnung und der Unveränderbarkeit einzuhalten und diese müssen aus der Verfahrensdokumentation hervorgehen.


Die GoBD bezieht sich jedoch nicht ausschließlich auf die Finanzbuchführung, sondern auch auf die vorgelagerten sowie nachgelagerten Systeme. Dabei reicht es auch nicht aus, wenn man ausschließlich GoBD konforme Software verwendet. Auch hier benötigt man eine Verfahrensdokumentation, die neben den innerbetrieblichen Prozessen auch das interne Kontrollsystem beschreibt. Darüber hinaus sollte man wissen, dass Testate keine Wirkung für die Kontrollinstanz (hier Finanzbehörde) haben.

Hier nochmal eine kurze Zusammenfassung:

  • Die GoBD gelten für Buchführungs- und Aufbewahrungspflichtigen
  • Eine Verfahrensdokumentation ist zu erstellen - die Grundsätze aus der GoBD sind dort abzubilden. Darüber hinaus sind die Prozesse sowie das interne Kontrollsystem dort abzubilden
  • Die GoBD / Verfahrensdokumentation bezieht sich nicht ausschließlich auf die Finanzbuchhaltung, sondern auch auf Vor- und Nebensysteme
  • Softwaretestate haben keine besondere Wirkung für die Finanzbehörden
  • Eine fehlende Verfahrensdokumentation kann zum Verwerfen der Buchführung führen

Über den Autoren:
Faraz Afscharian ist Berater und Prüfer bei der comdatis it-consulting GmbH & Co.KG mit Spezialisierung GoBD und Verfahrensdokumentation. Darüber hinaus beschäftigt er sich in Projekten mit dem Thema Informationssicherheit und führt IT-Prüfungen für Wirtschaftsprüfungsgesellschaften durch.

#comdatis #einfachmittelständischpragmatisch #GOBD #Verfahrensdokumentation #Digitalisierung

10.05.2019 20:58

Gesetz zum Schutz von Geschäftsgeheimnissen

Am 21.03.2019 hat der Bundestag beschlossen die EU-Richtlinie "EU 2016/943" mit dem "Gesetz zum Schutz von Geschäftsgeheimnissen" (GeschGehG) umzusetzen, welches am 26.04.2019 in Kraft getreten ist.

[In der Blog-Übersicht wird hier ein Weiterlesen-Link angezeigt]

Der Zweck dieses neuen Gesetzes ist es, dass Unternehmen Ihre Geschäftsgeheimnisse - also deren Know-How und Informationen - rechtlich schützen können und straf-, sowie zivilrechtlich besser gegen rechtswidrige Erlangungen, Nutzungen und Offenlegungen vorgehen können. Ein Datengeheimnis im Sinne des alten § 5 Bundesdatenschutzgesetz bestand mit Einführung der Datenschutzgrundverordnung nicht mehr. Somit waren nur noch die §§ 17-19 des Gesetzes gegen den unlauteren Wettbewerb (UWG) seit dem 25. Mai 2018 anwendbar.


Geschäftsgeheimnisse spiegeln sich naturgemäß im Datenschutz und der Datensicherheit in Unternehmen wider.

Im Gesetzesentwurf des Bundestages wird ein gewisser Handlungsbedarf für kleine Unternehmen beschrieben, da mit Einführung des GeschGehG erstmals Informationen die nicht geschützt sind, nicht mehr als Geschäftsgeheimnisse gelten und somit nicht in den Wirkungsbereich des neugeschaffenen Gesetzes fallen.


Unternehmer sollten daher nun Voraussetzungen in Form von Geheimhaltungsmaßnahmen schaffen. Welche konkreten Maßnahmen dies sind, lässt der Gesetzgeber allerdings offen. Klar scheint aber zu sein, das diese in etwa analog zu den technischen und organisatorischen Maßnahmen im Sinne des Artikels 32 der Datenschutzgrundverordnung stehen. Wer also heute schon die Sicherheit seiner Verarbeitung unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen durch geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten angepasst hat, kann diese als Grundlage für Geheimhaltungsmaßnahmen verwenden. Eine weiterer Handlungsbedarf ergibt sich aus dem Artikel 5 des neugeschaffenen Gesetzes: dieser bestimmt, dass die o.g. Paragraphen des UWG aufgehoben werden - somit ist eine textliche Anpassung der Mitarbeiterverschwiegenheitsverpflichtungen unausweichlich.

Eine Klassifizierung der Daten nach Geheimhaltungsbedürftigkeit und dazugehöriger Anpassung der Maßnahmen inkl. eines Schutzkonzeptes sollte jedes Unternehmen ferner durchführen.

Auf eine Verschlüsselung von E-Mails und Anhängen mit personenbezogenen Daten bzw. Geschäftsgeheimnissen sei in diesem Kontext ausdrücklich hinzuweisen. Eine unverschlüsselte E-Mail ist mit einer Postkarte vergleichbar und könnte somit nun als eine nicht getroffene Geheimhaltungsmaßnahme gelten. Damit könnte eine richterliche Entscheidung, ob eine unverschlüsselte E-Mail als nicht getroffene Maßnahme gilt, negativ ausfallen und weitere rechtliche Schritte eines Unternehmers erschweren.

Sogenannte berufsrechtliche Schweigepflichten nach § 203 StGB bleiben von dem Gesetz zum Schutz von Geschäftsgeheimnissen unberührt.

Über den Autoren:

Sven Schüldink ist als IT-Berater bei der comdatis it-consulting in Ahaus-Alstätte beschäftigt. Als ausgebildeter Datenschutzbeauftragter beschäftigt er sich mit Themen rund um den Datenschutz.

17.04.2019 09:32

Datenschutz im Verein - Welche Pflichten haben Vereine?

Seit dem 25. Mai 2018 ist die europäische Datenschutzgrundverordnung (DS-GVO) wirksam.

In vielen Unternehmen und Vereinen wurde bereits während der zweijährigen Übergangsfrist alles Nötige veranlasst, um die Anforderungen des neuen Datenschutzrechts fristgesetzt umzusetzen. Jedoch ist in vielen kleineren Vereinen - insbesondere in Sportvereinen - nicht ausreichend bekannt geworden, dass sie ebenfalls betroffen sind und gewisse Anforderungen erfüllt werden müssen.

[In der Blog-Übersicht wird hier ein Weiterlesen-Link angezeigt]

Laut DS-GVO wird kein Unterschied zwischen großen und kleinen Unternehmen oder wirtschaftlich arbeitenden Unternehmen und ideellen Vereinen gemacht. Zudem sind sowohl gemeinnützige Vereine als auch Vereine, die in das Vereinsregister eingetragen sind (e.V.) in Bezug auf Art. 4 Abs. 7 DS-GVO als Verantwortlicher anzusehen und somit den entsprechenden Pflichten unterlegen.

Was bedeutet dies nun im Genauen für kleine Vereine, die lediglich durch ehrenamtliche Mitglieder geführt werden?

Welchen Pflichten unterliegen sie?

Zunächst ist zu prüfen, ob ein Datenschutzbeauftragter benannt werden muss.

Dazu ist - sowohl im Unternehmen als auch im Verein - zu schauen, wie viele Personen regelmäßigen Umgang mit personenbezogenen Daten haben. Sind dies weniger als 10 Personen, so ist kein Datenschutzbeauftragter zu bestellen. In den meisten kleineren Vereinen wird sich diese Zahl auf einige wenige Mitglieder bzw. Vorstandsmitglieder beschränken, sodass kein Datenschutzbeauftragter bestellt werden muss.

In jedem Falle muss ein Verzeichnis von Verarbeitungstätigkeiten geführt werden und den Informations- und Auskunftspflichten nachgekommen werden. Des Weiteren ist die Löschung von Daten durchzuführen und alle nötigen Vereinbarungen zur Auftragsverarbeitung müssen abgeschlossen werden. Bei Vorfällen in Form von Datenschutzverletzungen sind diese meldepflichtig.

Das Verzeichnis von Verarbeitungstätigkeiten ist in einem kleinen (Sport-)Verein relativ überschaubar. Typische Tätigkeiten, die hier aufgeführt werden müssen sind:

  • Mitgliederverwaltung
  • Ggf. Betrieb einer Webseite
  • Öffentlichkeitsarbeit
  • Beitragsverwaltung

Selbstverständlich ist in jedem Verein individuell zu schauen, ob noch weitere Tätigkeiten mit aufgenommen werden müssen. Wird beispielsweise ein Newsletter versendet, ist dies als Tätigkeit im Verzeichnis von Verarbeitungstätigkeiten mit aufzuführen und eine entsprechende Einwilligung der Empfänger einzuholen.

Bei den Informations- und Auskunftspflichten ist es nötig, die Mitglieder über die Datenverarbeitung zu informieren. Die entsprechenden Informationen können beispielsweise dem Beitrittsantrag angefügt werden. Bei Veranstaltungen und Festen ist durch entsprechende Hinweise über mögliche Bildaufnahmen zu informieren.

Zudem ist bei Betrieb einer Webseite und/oder dem Auftritt in einem sozialen Netzwerk wie Facebook eine Datenschutzerklärung zu erstellen und einzubinden. Ebenso ist zu beachten, dass ein eingetragener Verein, sowie Vereine, die "geschäftsmäßig handeln", ebenfalls der Impressumspflicht unterliegen.

Eine weitere Pflicht ergibt sich aus Art. 32 DSGVO: Die Umsetzung geeigneter technischer und organisatorischer Maßnahmen zum Schutz der personenbezogenen Daten im Verein.

Dies sind doch einige Punkte, die von Ihnen als Vereinsvorstand beachtet werden müssen. Jedoch sind sie nicht verpflichtet, sich diese Dinge komplett selbst zu erarbeiten. Von verschiedenen Stellen sind im Internet gute und brauchbare Vorlagen für Vereine zu finden. Bei offenen Fragen zur Vorgehensweise und Erstellung der entsprechenden Dokumente empfehlen wir z.B. die Seite: "https://www.lda.bayern.de/de/faq.html"

Dort sind die 10 häufigsten Fragen, die an die Aufsichtsbehörde bzgl. des Datenschutzes im Verein gestellt wurden, beantwortet und es liegen beispielhafte Vorlagen zu den zu erstellenden Dokumenten bereit.

Über die Autorin:

Carolin Huy ist IT-Beraterin bei der comdatis it-consulting in Ahaus-Alstätte. Sie beschäftigt sich als DEKRA-Zertifizierte "Fachkraft für Datenschutz" mit Themen zu Datenschutz und DSGVO.

12.04.2019 07:58

Daten sicher austauschen

Wie stellen Sie einer Person Daten und Dateien zur Verfügung? Zugegeben, es ist ein Leichtes eine E-Mail mit einer Rechnung, Versandbestätigung o.ä. zu schreiben und somit einer anderen Person zur Verfügung stellen. Doch wie ist es mit sensiblen, möglicherweise personenbezogenen Daten oder großen Dateien, die man nicht ohne weiteres per Mail versenden kann?

[In der Blog-Übersicht wird hier ein Weiterlesen-Link angezeigt]

Sicherlich können Sie eine PDF-Datei mit einem Passwort versehen und die Datei dann per Mail Ihrem Gegenüber zukommen lassen, doch Sie müssen demjenigen auch das Passwort mitteilen. Das wiederum heißt, dass Sie, um datenschutzkonform zu handeln, denjenigen entweder anrufen müssen oder das Passwort abschreiben und es per SMS versenden müssen. Eine weitere Möglichkeit wäre, das Passwort über eine separate E-Mail bereitzustellen.

Dann gibt es ja noch die Dropbox-Alternative. Hier stellt sich im betrieblichen Umfeld immer die Frage, ob die Bereitstellung per Dropbox datenschutzkonform ist. Um diese Frage kurz und knapp zu beantworten: Nein, die einfache Bereitstellung von betrieblichen Daten über Dropbox ist nicht datenschutzkonform.

Größere Dateien können Sie z.B. auch in einem, mit Kennwort geschützten, .zip-Container oder in mehreren .zip-Containern per Mail bereitstellen. Hier stellt sich aber auch die Frage, ob Ihr Gegenüber so eine große Datei per Mail empfangen kann.

Auch wir als Datenschutzbeauftragte sahen uns mit dieser Problematik konfrontiert. In unserem Fall haben wir eine einfache, bequeme und datenschutzkonforme Lösung gefunden. Wir verwenden für die Dateiübertragung eine private Cloud-Lösung. Die Anwendung wird auf einem in Deutschland gehosteten Server betrieben. Dateien, die zu übertragen sind, stellen wir auf dem Server bereit. Ein synchrones Verzeichnis bietet sogar die Möglichkeit, die gewohnte Arbeitsumgebung nicht zu verlassen. Der erzeugte Link zu den Dateien, den wir dem Kunden oder Partner zustellen, ist mit einem Passwort versehen. Es besteht über den Link neben dem Download auch die Möglichkeit, dass der Kunde / Partner Dateien wiederum für uns bereitstellen kann. Die Dateien stellen wir generell nur für eine begrenzte Zeit als Download bereit. Dafür versehen wir den Link mit einem Sterbedatum. Ist das Datum erreicht, wird der Link automatisch inaktiv gesetzt.

So haben wir die Möglichkeit, Dateien jeglicher Größe für Dritte bereitzustellen und die Kontrolle über die Daten zu behalten. Durch entsprechende Zertifikate ist die Verbindung gesichert. Ein einfacher und datenschutzkonformer Datenaustausch ist so ebenfalls sichergestellt.

Über den Autoren: Faraz Afscharian ist Berater und Prüfer bei der comdatis it-consulting GmbH & Co.KG mit Spezialisierung GoBD und Verfahrensdokumentation. Darüber hinaus beschäftigt er sich in Projekten mit dem Thema Informationssicherheit und führt IT-Prüfungen für Wirtschaftsprüfungsgesellschaften durch.

08.04.2019 17:44

Kennwortänderung? Wer macht denn so etwas!?

Ändere NICHT dein Passwort. Ein Kennwort wird nicht sicherer, wenn man es regelmäßig ändert. Dies haben Studien in der jüngeren Vergangenheit ergeben. Zahlreiche Unternehmen setzen jedoch weiterhin auf den Zwang der regelmäßigen Kennwortänderungen. Das muss nicht sein.

[In der Blog-Übersicht wird hier ein Weiterlesen-Link angezeigt]

Die Datenschutzaufsicht Baden-Württemberg hat jüngst Hinweise zum Umgang mit Kennwörtern veröffentlicht. Darin wird empfohlen, Kennwörter nicht regelmäßig zu ändern.

Dem können wir nur zustimmen! Besser ist es, starke Passwörter zu wählen. Aber was ist ein starkes Passwort? Hier einige Tipps:

- mindestens 8, besser 10 Zeichen Länge

- Zahlen, Buchstaben (groß und klein) sowie Sonderzeichen müssen enthalten sein

- kein Wort aus dem Wörterbuch, oder Namen, …

- Generalschlüssel vermeiden, d.h. unterschiedliche Kennwörter für unterschiedliche Dienste (ich habe ja auch nicht im Büro und zu Hause dieselbe Schließanlage eingebaut)

- falls möglich: 2-Faktor-Authentifizierung aktivieren. Neben dem Benutzernamen und Kennwort ist dann noch ein sog. Einmalkennwort notwendig zum Login. Dieses erhält man per App oder SMS vom Anbieter. Nutzbar ist diese Funktionen z.B. in den sozialen Netzwerken, in vielen Onlineshops usw.

Weitere Hinweise können Sie über den folgenden Link abrufen:

Hinweise zum Umgang mit Kennwörtern - Landesbeauftragter für Datenschutz und Informationsfreiheit Baden-Württemberg

#comdatis #kennwort #passwort #einfachmittelstaentischpragmatisch#datenschutz #informationssicherheit

 

28.03.2019 16:44

DSGVO Datenschutz für KMU und Vereine

Fast ein Jahr nach Wirksamwerden der Datenschutzgrundverordnung (DSGVO) beschäftigen sich noch immer zahlreiche Unternehmen und Vereine mit der Umsetzung der neuen Vorschriften. Neben größeren Unternehmen sind auch kleine Unternehmen und Vereine von den Vorschriften betroffen.

Mit der Umsetzung der DSGVO in kleinen Unternehmen beschäftigt sich dieser Blogbeitrag. Dabei geht es speziell um solche Unternehmen, die nicht verpflichtet sind, einen Datenschutzbeauftragten zu ernennen. Das ist der Fall, wenn nicht mindestens 10 Mitarbeiter automatisiert personenbezogene Daten verarbeiten.

[In der Blog-Übersicht wird hier ein Weiterlesen-Link angezeigt]

Die gesetzliche Verpflichtung zur Umsetzung der Regeln besteht stets, wenn im Unternehmen personenbezogene Daten regelmäßig verarbeitet werden. Dies ist bereits dann der Fall, wenn ein Unternehmen eine Kundendatenbank in der Software zur Rechnungsschreibung führt oder ein Verein seine Mitgliederdaten in einer IT-gestützten Vereinssoftware verwaltet. Lediglich die Notwendigkeit des Datenschutzbeauftragten ist im Regelfall an der Anzahl der Mitarbeiter zu bewerten.

Was bedeutet das nun konkret, d.h. welche Dinge müssen im Unternehmen stets umgesetzt werden? Nachfolgend ein kurzer Fahrplan mit unserer Umsetzungsempfehlung:

Thema

Inhalt

Verzeichnis der Verarbeitungstätigkeiten (VVT)

Das VVT ist eine Dokumentation der Geschäftsprozesse, mit denen personenbezogene Daten verarbeitet werden. Hierzu zählen beispielsweise: Lohnbuchhaltung, Führen der Personalakte, Finanzbuchhaltung, Kundenstammdatenverwaltung, Website usw. Die Dokumentation ist verpflichtend, wenn die Verarbeitungstätigkeiten regelmäßig stattfinden. Die Inhalte des VVT ergeben sich aus den gesetzlichen Regelungen.

Mitarbeitersensibilisierung

Mitarbeiter, die mit personenbezogenen Daten umgehen, müssen geschult werden. Im einfachsten Fall erstellen kleine und mittlere Unternehmen eine Verschwiegenheitsverpflichtung sowie ein Merkblatt zum Datenschutz mit enthaltenen Regelungen zum Umgang mit Betroffenenrechten und den Umgang mit Datenpannen.

Informationspflichten

Um personenbezogene Daten überhaupt verarbeiten zu dürfen, bedarf es stets einer Rechtsgrundlage. Dies kann z.B. ein bestehendes Auftragsverhältnis sein. Neben der Rechtsgrundlage sind Informationspflichten zu beachten. Beim Eingang einer Bewerbung werden personenbezogene Daten verarbeitet. Die Rechtsgrundlage ist mit einer Vertragsanbahnung zum Beschäftigungsverhältnis gegeben. Darüber hinaus muss der Bewerber zeitnah über die Datenverarbeitung informiert werden.

Auch bei weiteren Datenverarbeitungen sind Informationspflichten zu beachten. Dies gilt beispielsweise für:

·        Geschäftspartner (Kunden, Interessenten, Lieferanten)

·        Mitarbeiter

·        Bewerber

·        Internetseite

·        Präsenzen in sozialen Netzwerken (z.B. Facebook)

Sicherheit der Verarbeitung

Mit dem erstellen Verzeichnis der Verarbeitungstätigkeiten herrscht Klarheit darüber, welche personenbezogenen Daten verarbeitet werden. Dadurch herrscht ein Bewusstsein darüber, wie brisant die Daten sind. Genau hieraus ergibt sich die Notwendigkeit an den Schutz der Daten. Der Datenschützer nennt dies die "Sicherheit der Verarbeitung" oder auch "Technische und organisatorische Maßnahmen" (sog. TOM's). Hierunter sind die Maßnahmen der IT-Sicherheit zu verstehen, die dem Schutz der Daten dienen. Hierzu zählen beispielsweise:

·        Verwendung sicherer Kennwörter

·        Verfahren zur Datensicherung

·        Aktualisierung von Software und Betriebssystemen

·        Virenschutz

·        Firewall

·        Usw.

IT-Richtlinie

Mit zunehmender Komplexität der IT-Umgebung in Unternehmen, evt. mehrerer vernetzter IT-Arbeitsplätze stellt sich die Frage der Notwendigkeit einer Richtlinie zum Umgang mit der Unternehmens-IT. Die Notwendigkeit einer IT-Richtlinie hängt ab von der Unternehmensgröße, möglicherweise lassen sich einfache Regeln bereits als einfaches Merkblatt definieren. Enthalten sein sind z.B. Regeln zur Privatnutzung im Unternehmen.

Auftragsverarbeitung

Ohne externe Dienstleister kommt kaum ein Unternehmen aus. Sei es der Softwarehersteller für Fernwartungen, das IT-Systemhaus oder der Hoster der Unternehmens-Website. Sobald nicht ausgeschlossen werden kann, dass auf personenbezogene Daten zugegriffen werden kann, bedarf es einer schriftlichen Vereinbarung zum Datenschutz. Es ist denkbar, die Vereinbarungen auf Basis einer der zahlreich vorhandenen Vorlagen selber zu erstellen. Möglicherweise ist es aber auch einfacher, bei den Dienstleistern anzufragen. Diese sollten die Thematik kennen.

Das klingt zunächst nach einem erheblichen Aufwand, dass ist es aber nicht. Wenn die Dokumente einmal fertiggestellt sind, bleibt lediglich die Aufgabe der regelmäßigen Kontrolle. Wir empfehlen unseren Kunden, die nicht einen Datenschutzbeauftragten haben, einmal jährlich alle Dokumente kritisch zu prüfen. Außerdem können Mitarbeiter befragt werden, ob die Regeln eingehalten werden oder ob Nachbesserungsbedarf besteht.

Wir werden in Kürze ein Onlineangebot starten, bei dem Sie anhand von kurzen Videos eine Anleitung zur Umsetzung der Anforderungen erhalten. Im Onlinecoaching-Paket sind selbstverständlich alle notwendigen Dokumente und/oder Hilfestellungen enthalten, die Sie bei der Fertigstellung der Dokumentation unterstützen.

Über den Autoren:

Markus Olbring ist Inhaber der comdatis it-consulting GmbH & Co. KG in Ahaus-Alstätte. Er ist als IT-Berater und IT-Sachverständiger und berät Unternehmen in den Bereichen Digitalisierung, Verfahrensdokumentation, Datenschutz, externer Datenschutzbeauftragter sowie Informationssicherheit.

#dsgvo #comdatis #bdsg #datenschutzbeauftragter #einfachmittelstaendischpragmatisch #kmu #ahaus #alstaette #alstätte #digitalisierung #handwerk #cyber #informationssicherheit

21.12.2018 07:55

GoBD-Verfahrensdokumentation - wieso, weshalb, warum?

Zunehmend werden Anforderungen kommuniziert, dass jedes Unternehmen zur Erfüllung steuerrechtlicher Anforderungen eine Verfahrensdokumentation erstellen muss. Hintergrund ist ein im November 2014 veröffentlichtes Schreiben des Bundesministeriums der Finanzen (BMF). Bei diesem Schreiben handelt es sich um die sogenannten GoBD, die im Folgenden noch weiter erläutert werden.

[In der Blog-Übersicht wird hier ein Weiterlesen-Link angezeigt]

Das Schreiben beinhaltet die Anforderungen der Finanzverwaltung an IT-gestützte Buchführungssysteme, also die Führung und Aufbewahrung steuerrelevanter Unterlagen in elektronischer Form.

Die zunehmende Integration der IT-Systeme in Unternehmen, aber auch die Digitalisierung führen in jüngeren Betriebsprüfungen dazu, dass die Bedeutung steuerrelevanter IT-Systeme auch in Betriebsprüfungen zunimmt. Es gibt kaum ein Unternehmen, welches sich nicht bereits in Digitalisierungsprozessen befindet, z.B. durch den Empfang und Versand von Rechnungen per E-Mail.

Obwohl die Anforderung an die Erstellung einer Verfahrensdokumentation bereits seit 1995 besteht, ist vor dem Hintergrund der zunehmenden Digitalisierung erkennbar, dass in aktuellen Betriebsprüfungen vermehrt nach der Dokumentation gefragt wird.

Was sind die GoBD?

Die „Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff“ (GoBD) wurden im November 2014 veröffentlicht. Das Schreiben des Bundesministeriums der Finanzen (BMF) ist für Veranlagungszeiträume ab Januar 2015 gültig und hat die bisherigen Schreiben GoBS aus 1995 und GDPdU aus 2001 abgelöst.

Warum muss eine Verfahrensdokumentation erstellt werden?

Die Anforderung an die Erstellung der Dokumentation ergibt sich konkret aus Tz. 151 der GoBD. Dort heißt es, dass für jedes DV-System eine übersichtlich gegliederte Verfahrensdokumentation vorhanden sein muss, aus der folgende Inhalte vollständig und schlüssig ersichtlich sind:

·        Inhalt des Verfahrens

·        Aufbau des Verfahrens

·        Ergebnis des Verfahrens

Primäre Zielgruppe der Verfahrensdokumentation ist ein sachverständiger Dritter, z.B. ein Betriebsprüfer der Finanzbehörde. Diesem muss die Dokumentation die Möglichkeit geben, das Verfahren in angemessener Zeit nachvollziehen zu können.

Was sind die typischen Inhalte einer Verfahrensdokumentation?

Als typische Inhalte der Verfahrensdokumentation werden in Tz 152 der GoBD genannt:

·        Allgemeine Beschreibung

·        Anwenderdokumentation

·        Systemdokumentation

·        Betriebsdokumentation

Erwähnenswert ist auch die Anforderung, dass die Verfahrensdokumentation der gesetzlichen Aufbewahrungspflicht (10 Jahre) unterliegt. Änderungen an den Verfahren und Systemen müssen historisch belegbar sein. Hier bietet es sich an, für die Dokumentation ein Dokumentenmanagementsystem (DMS) einzusetzen.

Hilfreich zur Konkretisierung der notwendigen Dokumentationsinhalte ist die Tatsache, wenn wir anstelle von Verfahren besser von Geschäftsprozessen sprechen. Die Verfahrensdokumentation ist also nichts anderes als eine Dokumentation der steuerrelevanten Geschäftsprozesse.

Typische Geschäftsprozesse mit Steuerrelevanz sind:

·        Einkauf

·        Verkauf

·        Personalbuchhaltung

·        Kassenführung

·        Digitale Belegablage und E-Mail-Archivierung

Für die konkrete inhaltliche Ausgestaltung hilft Tz. 152 der GoBD: „Die Verfahrensdokumentation beschreibt den organisatorisch und technisch gewollten Prozess, z.B. bei elektronischen Dokumenten von der Entstehung der Informationen über die Indizierung, Verarbeitung und Speicherung, dem eindeutigen Wiederfinden und der maschinellen Auswertbarkeit, der Absicherung gegen Verlust und Verfälschung und der Reproduktion.“

Gibt es Erleichterungen für kleine und mittlere Unternehmen?

Es gibt keine konkreten und klar definierten Erleichterungen für kleine und mittlere Unternehmen. Aus der folgenden Formulierung ergeben sich jedoch Anhaltspunkte für mögliche Erleichterungen:

„Die konkrete Ausgestaltung der Verfahrensdokumentation ist abhängig von der Komplexität und Diversifikation der Geschäftstätigkeit und der Organisationsstruktur des eingesetzten DV-Systems.“ (Tz. 151 GoBD)

Auch Tz. 155 der GoBD deutet mögliche Erleichterungen an:

„Soweit eine fehlende oder ungenügende Verfahrensdokumentation die Nachvollziehbarkeit und Nachprüfbarkeit nicht beeinträchtigt, liegt kein formeller Mangel mit sachlichem Gewicht vor, der zum Verwerfen der Buchführung führen kann.“

Keines der Zitate führt dazu, dass ein Unternehmen keine Verfahrensdokumentation benötigt. Der Umfang der Dokumentation hängt aber von der Komplexität der Geschäftsprozesse und der verwendeten IT-Systeme ab.

Während in größeren Unternehmen integrierte Softwarelösungen (z.B. ERP-System) eingesetzt werden, die vor dem Einsatz durch ein Customizing betriebsbereit gemacht werden, verwenden kleine Unternehmen Softwarelösungen, die kaum Einstellungsmöglichkeiten bieten.

Die Komplexität der Softwarelösungen und der Verfahren geben daher ein Indiz auf die notwendige Verfahrensdokumentation, z.B.:

·        Bei Einsatz von Standardsoftware ohne umfangreiche Einstellungsmöglichkeiten kann eine Verfahrensdokumentation möglicherweise als einfache Exceltabelle der Ablaufschritte dargestellt werden mit einigen Zusatzinformationen (z.B. Internes Kontrollsystem, verwendete Software)

·        Bei Einsatz von Softwareprodukten, die vor dem Einsatz eingerichtet werden muss, ist eine Verfahrensdokumentation voraussichtlich umfangreicher.

·        Für komplexe Dokumentenmanagementlösungen (DMS) wird in der Praxis häufig eine separate Verfahrensdokumentation zu digitalen Belegablage erstellt.

Ist ein Testat des Softwareherstellers nicht ausreichend?

Buchhalterische Softwareprodukte werden von den Softwareherstellern häufig mit einem Testat herausgegeben, welches die Ordnungsmäßigkeit der Software bescheinigt. Der am weitesten verbreitete Standard ist der Prüfungsstandard 880 „Erteilung von Softwarebescheinigungen“ vom Institut der Wirtschaftsprüfer (IDW).

Für Unternehmen hat das Zertifikat im ersten Moment keine unmittelbare Aussagekraft. Das Zertifikat alleine sagt nichts über das eingerichtete System, also die spezifische Implementierung und Anpassung aus. Auch gibt das Zertifikat einem Prüfer keine Hinweise über die steuerrelevanten Prozesse und das interne Kontrollsystem (IKS). Der Mehrwert einer vorhandenen Softwarebescheinigung liegt in der Gewissheit, dass die Software die notwendigen Grundlagen für den ordnungsgemäßen Einsatz im Unternehmen „von Haus aus“ (also vom Softwarehersteller ausgehend) mitbringt. Das ausgelieferte Zertifikat ist daher ein ideales Fundament für die Verfahrensdokumentation zur Erfüllung der Anforderungen aus den GoBD.

Was müssen Unternehmen jetzt machen?

Unternehmen müssen sich darüber im Klaren sein, dass mit zunehmender Digitalisierung die Bedeutung einer Verfahrensdokumentation noch zunehmen wird. Es gibt kaum Unternehmen, die noch keine Rechnungen als Mail empfangen. Alleine an diesem Beispiel ist die Notwendigkeit einer Verfahrensdokumentation einfach erklärt, da der Ausdruck des PDF in der Mail alleine nicht ausreicht, um die Aufbewahrungspflichten zu erfüllen.

Jedes Unternehmen ist daher gut beraten, eine Verfahrensdokumentation zur Erfüllung der Anforderungen der GoBD zu erstellen. Der Umfang der Dokumentation sollte dabei von der Komplexität der Systeme und Prozesse abhängen.

Abschließend muss erwähnt werden, dass das Abwarten der nächsten Betriebsprüfung keine sinnvolle Strategie sein kann. Bereits morgen könnte im Rahmen einer Kassennachschau nach einer Verfahrensdokumentation gefragt werden.

Über den Autoren:

Markus Olbring ist Inhaber der comdatis it-consulting in Ahaus-Alstätte. Als IT-Berater und IT-Sachverständiger beschäftigt er sich mit der Erstellung und Prüfung von Verfahrensdokumentationen. Darüber hinaus ist er als IT-Prüfer für Wirtschaftsprüfungsgesellschaften tätig. Weitere Tätigkeitsfelder sind der Datenschutz und die Informationssicherheit, in beiden Bereichen sowohl als Berater als auch als zertifizierter Auditor.

15.03.2019 16:23

E-Mail Sicherheit durch die 3-Sekunden Regel

Auf E-Mails zu verzichten ist in unserer schnelllebigen Zeit einfach undenkbar. Doch E-Mails bringen viele Risiken mit sich und zwar durch Spam-Mails. Um sich vor diesen zu schützen, schlägt das Bundesamt für Sicherheit in der Informationstechnik die 3-Sekundenregel vor. Durch die 3-Sekundenregel können bereits viele Risiken minimiert, jedoch nicht ausgeschlossen werden.

[In der Blog-Übersicht wird hier ein Weiterlesen-Link angezeigt]

 

Kenne ich den Absender?

Ist der Absender unbekannt ist Vorsicht geboten.

Erwarte ich einen Anhang?

Auch bei bekannten Absendern, ist es immer wieder sinnvoll sich zu fragen, ob der Absender eine E-Mail mit einer Anlage senden muss oder eine E-Mail erwartet wird

Ist der Betreff sinnvoll?

Anhand des Betreffs lässt sich bereits erahnen, ob die E-Mail seriös erscheint.

Aber auch die 3-Sekundenregel schützt nicht komplett vor einem möglichen Infekt. Die Regeln dienen lediglich als erste Abwehrmaßnahme.

Auch wenn Sie den Absender auf den ersten Blick kennen, gilt es trotzdem vorsichtig zu sein. Die im E-Mail-Client angezeigte Absender Mail-Adresse lässt sich mit wenig Aufwand fälschen. Hinter den angezeigten Namen kann sich eine vollkommen andere Adresse verbergen. Je nach E-Mail Client können Sie dies prüfen, indem Sie mit der Maus über die Adresse fahren. Die wirkliche E-Mail-Adresse wird dann auf dem Bildschirm angezeigt. Bei dem kleinsten Hinweis, dass es sich um eine gefälschte E-Mail-Adresse handelt, ist die E-Mail sofort zu löschen. Falls Sie sich nicht zu 100% sicher sind, ob es eine korrekte E-Mail ist, sollten Sie die E-Mail löschen. Kennen Sie den Absender, kann dieser bei Zweifel angerufen werden, damit die Korrektheit der E-Mail verifiziert werden kann. Ganz besondere Vorsicht ist bei unerwarteten E-Mails von Internet-Diensten wie Amazon, PayPal oder Online-Shops geboten. Folgen Sie niemals irgendwelchen Links in den E-Mails, besonders wenn von einer unerwarteten Kontoaktivität berichtet wird. Geben Sie niemals Ihre Benutzerkennung (Benutzernamen & Passwort) ein, wenn Sie doch einen der Links in der E-Mail verfolgen / angeklickt haben. In den meisten Fällen fordern Sie die Internet-Dienstleister niemals zur Eingabe dieser Daten über einen Link in einer E-Mail auf. Auch bei einer über eine E-Mail geforderten Authentifizierung sollten Sie Vorsicht walten lassen. Die Zielwebseiten aus solchen Links werden sehr professionell kopiert und sehen dem Original sehr ähnlich. Diese Webseiten sind darauf ausgelegt Ihre Benutzerkennung zu sammeln. Dies lässt sich unter einem Phishing-Versuch einordnen, wo es darum geht Ihre Benutzerkennung zu „angeln“.

Wenn Sie eine Anlage zu einer E-Mail erhalten ist es sinnvoll, die Anlage nicht unmittelbar zu öffnen. Erwarten Sie überhaupt von dem Absender eine E-Mail mit Anlage? Trifft dies zu, gilt es sich trotzdem die Dateiendung anzuschauen. Generell gilt es keine „.exe“ Dateien zu öffnen. Das ist weitestgehend bekannt, aber Schadsoftware kann sich auch in Office-Dateien, in sogenannten Makroviren verstecken. Die Dateien beinhalten ein „M“ am Ende des Suffixes. So heißt die Excel Datei nicht „.XLSX“, sondern „XLSM“.

Auch der Betreff kann bereits ein Anzeichen für eine Spam-Mail sein. Hier kommen meist Schlagwörter zum Einsatz, auf die die meisten Menschen anspringen würden, wie bspw. „Konto“ oder „Gewinn“. Aber auch harmlose Betreffzeilen, die den Empfänger auffordern ganz dringend und innerhalb einer kurzen Zeit zu handeln, können Spam enthalten. Achten Sie auch auf den Inhalt der E-Mail. Erscheint Ihnen der Text als schlüssig und sinnvoll? Wie werden Sie in der E-Mail angesprochen und wie werden Sie normalerweise vom E-Mail Versender angesprochen?

Dies sind alles Anhaltspunkte, damit Sie in der Lage sind, Spam-Mails zu identifizieren. Abschließend bleibt zu sagen, dass Sie besonders bei E-Mails mit Anhang genau prüfen sollten, ob dies eine Spam-Mail sein könnte.

Quellen:

https://www.bsi-fuer-buerger.de/BSIFB/DE/Empfehlungen/Menschenverstand/E-Mail/E-Mail_node.html

https://www.bsi-fuer-buerger.de/BSIFB/DE/Risiken/Sicherheitsirrtuemer/Sicherheitsirrtuemer.html?cms_pos=4

26.02.2019 12:57

Messenger: Alternativen zu WhatsApp

Heute stellen wir Ihnen analog zu unserem Beitrag vom 13. Januar datenschutzkonforme Messenger als Alternative zu WhatsApp vor. Diese sind mittlerweile recht häufig zu finden und kosten trotz hoher Usability nicht viel Geld. Mehrwert erhalten Sie teilweise bei der Verwendung von Mobile Device Management (MDM).

[In der Blog-Übersicht wird hier ein Weiterlesen-Link angezeigt]

Unser Favorit unter den DSGVO-konformen Messengern ist „Threema“. In der „Work-Edition“ starten die Preise ab 1,23 EUR pro Gerät, pro Monat. In der Enterprise-Version können Sie zusätzlich App-Konfigurationen direkt aus dem Management-Cockpit steuern. 
Wem Threema Work zu kostspielig sein sollte, könnte nun auf die Privatanwender-Version dieses Unternehmens zurückgreifen wollen. Dabei sollten Sie allerdings stets prüfen, ob in diesem Fall auch eine Auftragsverarbeitungsvereinbarung (AVV) geschlossen werden kann. [1] [2]

Als weitere Alternative aus Deutschland – mit ausschließlichen Serverstandorten in Deutschland – wäre Hoccer zu nennen. Auch hier wird ein Augenmerk auf Datensparsamkeit gelegt: so ist es nicht notwendig Ihre Telefonnummer oder E-Mail-Adresse anzugeben.

Wie lässt sich nun aus der recht großen Auswahl einen Messenger ausfindig machen, der wirklich Datenschutz compliant ist? Sie sollten dabei eine Recherche unternehmen und bei der Bewertung der datenschutzrechtlichen Angemessenheit, folgende Punkte beachten:

  1. Geschieht ein automatisierter Upload des Adressbuches?
  2. In welchem Staat befinden sich die Server des Anbieters? 
    a. Als sichere Drittländer gelten z. B. die EWR-Staaten 
    b. (Momentan) sicher ist die Übertragung an Unternehmen im Privacy Shield
  3. Ist das Rechenzentrum / Serverstandort zertifiziert? 
    a. zum Beispiel ISO/IEC 27001
  4. Als juristische Person muss eine AVV mit dem Anbieter geschlossen werden. Ist dies möglich?
  5. Ist die Übertragung mittels einer Ende-zu-Ende-Verschlüsselung vorhanden?
  6. Besteht eine anderweitige Verschlüsselung (z. B. Speicherung der Nachrichten auf den Servern nur als „Hashwert“)?
  7. Ist eine Datenschutzfreundliche Voreinstellung vorhanden? 
    a. Wenn z. B. werkseitig GPS-Ortungen, Upload des Adressbuches, etc. nicht aktiviert ist
  8. Können Sie datenschutzrelevante Einstellung zentral (z. B. durch ein MDM) steuern, sodass Ihre Mitarbeiter nicht eigenhändig Einstellungen vornehmen bzw. umgehen können? 
    a. Auch Ihre Richtlinien sollten konkret angepasst werden, damit der Umgang mit dem Messenger organisatorisch bestimmt wird.
  9. Geschieht eine automatische Ortung mittels GPS?
  10. Legt der Anbieter Wert auf Datensparsamkeit? 
    a. Sind bei der Registrierung viele personenbezogene Daten Pflichtangaben (z. B. Rufnummer, E-Mail-Adresse, Name)?
  11. Unterscheiden Sie stets zwischen der Privat-Anwender-Variante und der für Unternehmen. Hier können unter Umständen Unterschiede herrschen

Wenn Sie die obengenannten Punkte vor Einführung eines Messengers prüfen, sind Sie sicher aufgestellt, was den Umgang mit Messengern angeht. Aber auch wenn ein Messenger-Anbieter viel Wert auf Datenschutz und IT-Sicherheit legt, entbindet dies nicht davon, dass niemals Kontakte freigegeben werden dürfen und vor der ersten Verarbeitung Verantwortliche eine AVV mit dem Anbieter schliessen müssen. [3]

Über den Autoren:
Sven Schüldink ist als IT-Berater bei der comdatis it-consulting in Ahaus-Alstätte beschäftigt. Als ausgebildeter Datenschutzbeauftragter beschäftigt er sich mit Themen rund um den Datenschutz.

#comdatis #einfachmittelstaendischpragmatisch #ahaus #datenschutz #dsgvo[1] https://threema.ch/de/faq
[2] https://work.threema.ch/docs/_threema_avv.pdf
[3] http://blog.comdatis.de/whatsapp-im-unternehmen-und-verein/

KATEGORIENDATENSCHUTZ & INFORMATIONSSICHERHEITBeitrags-NavigationSuche nach:SucheNEUE BEITRÄGE

KATEGORIEN
22.02.2019 12:55

Auftragsverarbeitung

Wann handelt es sich um eine Auftragsverarbeitung? Diese Frage gilt es heute zu klären.

[In der Blog-Übersicht wird hier ein Weiterlesen-Link angezeigt]

Allgemein sind Auftragsverarbeiter im Sinne der DS-GVO nur Unternehmen / Dienstleister, die im Schwerpunkt mit der Verarbeitung personenbezogener Daten beauftragt werden. Insbesondere verarbeiten die Dienstleister gemäß Art. 4 Abs. 8 und Art. 28 Abs. 3 a) DS-GVO die personenbezogenen Daten nur auf dokumentierte Weisung des Verantwortlichen. Das bedeutet, es handelt sich um einen Auftragsverarbeiter, wenn der Auftragnehmer..

  • keine Entscheidungsbefugnis über die Daten hat
  • keinen eigenen Geschäftszweck bezüglich der personenbezogenen Daten verfolgt
  • einem Nutzungsverbot der zu verarbeitenden Daten untersteht
  • in keiner vertraglichen Beziehung zu den Betroffenen steht, von denen er personenbezogene Daten verarbeitet
  • einen Zugriff auf personenbezogene Daten haben könnte
  • nicht für die Verarbeitung verantwortlich ist.

Konkret sind Unternehmen als Auftragsverarbeiter zu identifizieren, die z.B.

  • die Lohn- und Gehaltsabrechnung oder die Finanzbuchhaltung durch Rechenzentren für den Auftraggeber übernehmen,
  • dem Auftraggeber Speicherplatz im Rahmen von Cloud-Computing zur Verfügung stellen, ohne dass ein inhaltlicher Datenzugriff des Cloud-Betreibers erforderlich,
  • in einem Lettershop Werbeadressen verarbeiten
  • Kundendaten in einem Callcenter verarbeiten, ohne wesentliche eigene Entscheidungsspielräume zu besitzen,
  • die E-Mail-Verwaltung oder sonstige Datendienste zu Webseiten (z.B. Betreuung von Kontaktformularen oder Nutzeranfragen) übernehmen,
  • die Datenerfassung, Datenkonvertierung oder das Einscannen von Dokumenten übernehmen,
  • die Archivierungen und Backup-Sicherheitsspeicherung übernehmen,
  • für den Auftraggeber Datenträger entsorgen oder die Vernichtung von Akten mit personenbezogenen Daten übernehmen,
  • automatisierte Verfahren oder Datenverarbeitungsanlagen prüfen oder warten (z.B. durch Fernwartung oder externen Support), wenn bei diesen Tätigkeiten ein Zugriff auf personenbezogene Daten nicht ausgeschlossen werden kann,
  • bestimmte „Shared Services-Dienstleistungen“ innerhalb eines Konzerns zentral übernehmen, wie Dienstreisen-Planungen oder Reisekostenabrechnungen (jedenfalls sofern kein Fall gemeinsamer Verantwortlichkeit nach Art. 26 DS-GVO vorliegt),
  • Rechenzentren für Apotheken nach § 300 SGB V betreiben,
  • als ärztliche/zahnärztliche Verrechnungsstellen ohne Forderungsverkauf agieren,
  • als Sicherheitsdienst an der Pforte Besucher- und Anliefererdaten erheben,
  • im Auftrag Messwerte in Mietwohnungen (Heizung, Strom, Wasser etc.) ablesen und/oder erfassen bzw. verarbeiten oder
  • als Dienstleistung die Visabeschaffung übernehmen und hierfür vom Arbeitgeber die Beschäftigtendaten erhalten.

Fachliche Dienstleister, bei denen nicht die Datenverarbeitung im Vordergrund steht bzw. diese nicht zumindest einen wichtigen (Kern-)Bestandteil ausmacht, zählen nicht zu den Auftragsverarbeitern.

Dabei können zwei Arten von Dienstleistungen unterschieden werden:

  • Die Inanspruchnahme von fremden Fachleistungen, bei denen der Dienstleister ein eigenständiger Verantwortlicher ist.
  • Die Inanspruchnahme von fremden Fachleistungen, bei denen im Kern keine beauftragte Verarbeitung personenbezogener Daten vorliegt, sondern eine andere Tätigkeit ausgeübt wird.

Eigenständig Verantwortliche sind dabei beispielsweise:

  • Berufsgeheimnisträger (Steuerberater, Rechtsanwälte, externe Betriebsärzte, Wirtschaftsprüfen),
  • Inkassobüros mit Forderungsübertragung,
  • Bankinstitute für den Geldtransfer,
  • Postdienste für den Brief- oder Pakettransport,
  • Tätigkeit als WEG-Verwalter oder aber auch Sondereigentumsverwalter,
  • Beauftragte Warenzusendungen (Hersteller und Großhändler, die per Direktlieferung an den Endkunden liefern, die Adressen jedoch von Einzelhändlern bekommen; Blumen- oder Weinversender, die Adressdaten zur Versendung von Blumen- oder Weingeschenken erhalten),
  • Insolvenzverwalter,
  • Versicherungs-/Finanzmakler, -vermittler im Rahmen des Kundenvertrags,
  • Handelsvertreter im Rahmen ihrer Beratungstätigkeit und Vertragsvermittlungen oder
  • Hersteller individueller medizinischer Produkte, Hilfsmittel, Prothesen etc. für Patienten/Kunden im Auftrag von Ärzten, Zahnärzten, Apotheken, Sanitätshäusern usw.

Keine Verarbeitung von personenbezogenen Daten an sich liegt z.B. bei folgenden Tätigkeiten vor:

  • Reparaturen von Handwerkern, die vom Vermieter die nötigen Mieterdaten erhalten haben,
  • Die Beförderung von Personen oder Krankentransporte
  • Der Einsatz von Bewachungsdienstleistern,
  • Der Einsatz von Reinigungsdienstleistern und Handwerkern im Unternehmen
  • Das Drucken von Prospekten oder Unternehmenskatalogen, in denen Bilder von Beschäftigten oder Fotomodellen vorhanden sind,
  • Der Transport von ausreichend geschreddertem Papiermaterial oder
  • Der Transport von Waren und Unterlagen durch Kurierdienste, Speditionen oder Zeitungsausträger.

Quelle: https://www.lda.bayern.de/media/FAQ_Abgrenzung_Auftragsverarbeitung.pdf

Über die Autorin:

Carolin Huy ist IT-Beraterin bei der comdatis it-consulting in Ahaus-Alstätte. Sie beschäftigt sich als DEKRA-Zertifizierte „Fachkraft für Datenschutz“ mit Themen zu Datenschutz und DSGVO.

#comdatis #einfachmittelstaendischpragmatisch #ahaus #datenschutz #dsgvo #auftragsverarbeitung

13.01.2019 12:53

WhatsApp im Unternehmen und Verein

Die Nutzung von WhatsApp im geschäftlichen Einsatz und im Verein ist aus rechtlicher Sicht kritisch zu sehen. Hieran hat die Datenschutzgrundverordnung (DSGVO) im Mai 2018 nichts geändert, die Problematik bestand auch schon mit dem alten Bundesdatenschutzgesetz (BDSG).

[In der Blog-Übersicht wird hier ein Weiterlesen-Link angezeigt]

Was ist konkret das Problem an WhatsApp?

Nach meiner Auffassung sind es weniger die Inhalte der Kommunikation, die rechtlich bedenklich sind. Vielmehr ist es die notwendige Freigabe der Kontakte, um die App überhaupt sinnvoll nutzen zu können. Im Zusammenhang der Freigabe der Kontakte und deren Übertragung an WhatsApp spricht ein Datenschützer von einer „Datenübermittlung in ein Drittland“. Hierfür bedarf es einer Einwilligung, da keine andere Rechtsgrundlage überhaupt in Frage kommt. Jeder Kontakt muss also aktiv und nachweisbar gefragt werden, ob die Übertragung an WhatsApp in Ordnung ist und zwar vor Freigabe der Kontakte. Dies ist in der Praxis kaum umsetzbar.

Ein zweites Problem ist die geschäftliche Nutzung im Unternehmen oder auch im Verein. Hierfür bedarf es gem. Art. 28 DSGVO einer Vereinbarung zur Auftragsverarbeitung bzw. EU-Standardvertragsklauseln. Dies lässt sich mit WhatsApp nicht umsetzen.

Was ist die Folge der rechtlichen Probleme?

Die logische Folge ist, dass Datenschutzbeauftragte empfehlen müssen, WhatsApp nicht im Unternehmen und Verein einzusetzen.

Gibt es Lösungsansätze, das Problem zu beheben?

Unternehmen tun sich schwer, WhatsApp von den Smartphones zu verbannen. Auch für Vereine ist die Organisation über WhatsApp-Gruppen ein enormer Vorteil. Folgende Lösungsansätze bestehen:

  • Einsatz von Datencontainern auf Smartphones, z.B. „Sicherer Ordner“ bzw. „Knox“ auf Samsung-Geräten. Unabhängig von den Geschäftskontakten kann der Container ausschließlich für private Zwecke verwendet werden einschl. Kontakten und Anwendungen wir WhatsApp (Hilfestellung hierzu: https://www.samsung.com/at/discover/sicherer-ordner-auf-dem-galaxy-s8/).
  • Keine Freigabe der Kontakte: Das Verweigern des Zugriffs auf die Kontakte ist ein weiterer Weg zur Nutzung, der jedoch mit Komforteinbußen verbunden ist.

Über den Autoren:

Markus Olbring ist Inhaber der comdatis it-consulting GmbH & Co. KG in Ahaus-Alstätte. Er ist als IT-Berater und IT-Sachverständiger tätig und berät Unternehmen in den Bereichen Digitalisierung, Verfahrensdokumentation, Datenschutz, externer Datenschutzbeauftragter sowie Informationssicherheit.