Datenschutzberatung bei 21unity

 

Die Europäische Union sieht den Schutz personenbezogener Daten als Grundrecht. Das Europäische Parlament und der Europäische Rat haben in der Datenschutzrichtlinie (Richtlinie 95/46/EG) Mindeststandards für den Datenschutz der Mitgliedsstaaten festgeschrieben.
Das Bundesverfassungsgericht hat mit dem Recht auf informelle Selbstbestimmung den Datenschutz als Grundrecht festgelegt.
Das Bundesdatenschutzgesetz (BDSG) regelt den Datenschutz für die Behörden und den privaten Bereich (d. h. für alle Wirtschaftsunternehmen, Institutionen, Vereinen etc.) gegenüber natürlichen Personen. Das BDSG wird unterstützt von den Datenschutzgesetzen der Länder. Weitere Bestimmungen zum Datenschutz finden sich in vielen anderen Gesetzen, z.B. dem Telekommunikationsgesetz und dem Telemediengesetz, welche speziell auf die jeweiligen Anforderungen eingehen.

Allgemein gesprochen versteht man also unter Datenschutz die Regelungen personenbezogener Datenverarbeitung. Der Datenschutz bezieht sich also auf die Erhebung, Verarbeitung und Nutzung personenbezogener Daten. Zur Einhaltung der Datenschutzbestimmungen sind technisch-organisatorische Maßnahmen zu treffen.

Wo fängt Datenschutz in der Praxis an?

Schon das notieren einer Telefonnummer mit der anschließenden Entsorgung bzw. Vernichtung des Notizzettels fällt unter die Bestimmungen des Datenschutzgesetzes. Es ist also wichtig, alle Mitarbeiter im Umgang mit personenbezogenen Daten zu sensibilisieren und geeignete Abläufe zu installieren.

 

Datenverarbeitung im Auftrag

Die Datenverarbeitung im Auftrag ist per definitionem die Erhebung, Verarbeitung oder Nutzung von personenbezogenen Daten durch einen Dienstleister auf Weisung des Auftraggebers, bei der die Verantwortung für die ordnungsgemäße Datenverarbeitung beim Auftraggeber verbleibt. Maßgeblich hierfür ist, dass der Auftragnehmer nur unterstützend tätig wird. Dies tritt ein bei ausgelagerten Callcentern, Werbemaßnahmen durch beauftragte Agenturen, externe Lohn- und Gehaltsabrechnung oder ausgelagerten Rechenzentren.
Bei den ausgelagerten Rechenzentren sind zwei Szenarien zu unterscheiden:
im ersten Fall ist der Server ist angemietet und der Betreiber sorgt nur für die Einsatzbereitschaft(sog. Housing). Hier liegt keine Datenverarbeitung vor.
Im zweiten Fall übernimmt der Betreiber des Rechenzentrums auch die Pflege, führt die notwendigen Backups durch und administriert die Systeme (sog. Hosting). Hier ist grundsätzlich die Möglichkeit des Zugriffs auf personenbezogene Daten gegeben und es liegt eine sog. Auftragsdatenverarbeitung vor.

Dies klingt im ersten Schritt recht einleuchtend, in der Praxis lauert hier jedoch so manche Überraschung. Denn auch ein Dienstleister der auf den ersten Blick nichts mit den bei Ihnen gespeicherten personenbezogenen Daten zu tun hat, kann u.U. mit diesen in Berührung kommen. Als prominentestes Beispiel betrachten wir die Reinigungskraft, die Ihre Büros säubert, die Schreibtische wischt (und dabei die Aktenstapel von der einen auf die andere Seite des Tisches befördert) und die Papiereimer leert. Oder den Hausmeister, der sich ungehindert zwischen den Schreibtischen bewegt um eine defekte Glühbirne zu wechseln oder nach der Heizung zu schauen. Zugegeben... diese beiden Beispiele erscheinen etwas weit hergeholt. Nichts desto trotz haben Sie sicherlich gerade ein unwohles Gefühl in der Magengegend.

Auch hier haben wir für Sie die Lösung!
Lassen Sie sich von uns auf die möglichen Gefahrenquellen sensibilisieren. Gemeinsam machen wir eine Bestandsaufnahme und analysieren mögliche Sicherheitsrisiken. Im Anschluss hieran erstellen wir ein auf Ihre Bedürfnisse angepasstes Datenschutzkonzept und ggf. Datenverarbeitungsverträge - zu Ihrem Schutz und dem Schutz Ihrer Kunden.

 

Din 66399

Im Hinblick auf die ordnungsgemäße Datenvernichtung werfen wir nun einen Blick auf die geltende DIN 66399. Diese ersetzt die bis Oktober 2012 geltende DIN 32757 und beschreibt die Anforderungen an Maschinen und Prozesse zur Datenvernichtung.
Nach DIN 66399 gibt es 3 Schutzklassen und 6 Datenträgerkategorien. In Abhängigkeit von den Schutzklassen und der Datenträgerkategorie ergeben sich daraus 7 Sicherheitsstufen. Die Sicherheitsstufen sind ausschlaggebend für die Partikelgröße des Datenträgers, welche nach dem Vernichtungsvorgang übrig bleiben. Mit anderen Worten: je höher die Sicherheitssufe, desto kleiner die Partikel.

Die Schutzklassen im Überblick:
Schutzklasse 1: Normaler Schutzbedarf für interne Daten
Schutzklasse 2: Hoher Schutzbedarf für vertrauliche Daten
Schutzklasse 3: Sehr hoher Schutzbedarf für besonders vertrauliche und geheime Daten

Die Kategorien der Datenträger:
P: Informationen in Originalgröße, z.B. Papier, Röntgenfilm oder andere Druckformen
O: optische Datenträger wie CD, DVD und Blu-Ray Disc
T: magnetische Datenträger wie z.B. Disketten, oder ID-Karten mit Magnetstreifen
E: elektronische Datenträger, z.B. USB-Sticks, Chipkarten oder Flash-Speicher
F: Informationen in verkleinerter Form, z.B. Film oder Folie
H: Festplatten mit magnetischem Datenträger

Die definierten Sicherheitsstufen:
Sicherheitsstufe 1: Allgemeines Schriftgut, das unlesbar gemacht oder entwertet werden soll.
Sicherheitsstufe 2: Interne Unterlagen, die unlesbar gemacht oder entwertet werden sollen.
Sicherheitsstufe 3: Datenträger mit sensiblen und vertraulichen sowie personenbezogenen Daten, die einem erhöhten Schutzbedarf unterliegen.
Sicherheitsstufe 4: Datenträger mit besonders sensiblen und vertraulichen Daten sowie personenbezogenen Daten, die einem erhöhten Schutzbedarf unterliegen.
Sicherheitsstufe 5: Datenträger mit geheim zu haltenden Informationen mit existenzieller Wichtigkeit für eine Person, ein Unternehmen oder eine Einrichtung.
Sicherheitsstufe 6: Datenträger mit geheim zu haltenden Unterlagen, wenn außergewöhnliche Sicherheitsvorkehrungen einzuhalten sind.
Sicherheitsstufe 7: für strengst geheim zu haltende Daten, bei denen höchste Sicherheitsvorkehrungen einzuhalten sind.

Auch wenn Sie einen externen Dienstleister mit der Vernichtung Ihrer Datenträger beauftragen, sind Sie bis zum endgültigen Vernichtungsvorgang für evtl. Fehler in der Prozesskette verantwortlich.

Ein Beispiel: als Auftraggeber müssen Sie sicherstellen, dass die von Ihnen zur Vernichtung ausgewiesenen und an den Dienstleister gegebenen Datenträger in einem sicher verschlossenen Behältnis aufbewahrt werden und zwar für den gesamten Zeitraum angefangen bei der Übergabe an den Dienstleister bis hin zur endgültigen Vernichtung durch den Auftragnehmer. Sollte dieser Prozess nicht ordnungsgemäß eingehalten werden, so sind Sie als Auftragebber im Falle eines Vergehens mitschuldig. Die Strafen hierfür können durchaus existenzbedrohend sein.

Vermeiden Sie dieses Risiko indem Sie bereits im Vorfeld die notwendigen Maßnahmen in Ihrem Einflussbereich treffen. Mit einfachen Mitteln können Sie sich hier absichern. Gerne unterstützen wir Sie hierbei im Rahmen einer sog. Datenschutzberatung.

Durch einen zertifizierten Bundesdatenschutzbeauftragten erfolgt im ersten Schritt ein Vorgespräch. Im Anschluss kommt es zu einem Vor-Ort-Termin inkl. der Begehung Ihrer Örtlichkeiten. Mit den so gewonnenen Informationen über die vorherrschenden Gegebenheiten und Abläufen in Ihrem Haus können wir ein umfassendes, individuelles Konzept erstellen.

 

Festplattenvernichtung

Spätestens alle 5 Jahre sollten Festplatten in PC´s oder Speichersystemen ausgetauscht werden. Dann lässt ihre Leistung nach, die Festplatten werden langsamer und stellen ihren Dienst schlussendlich komplett ein. Was passiert jedoch mit den alten Festplatten?
Diese sind zwar nicht mehr voll funktionsfähig, nichts desto trotz sind hierauf noch viele Daten gespeichert.
Wer garantiert Ihnen, dass die Daten von der ausgebauten Festplatte nicht doch noch ausgelesen werden können? Immerhin gibt es Programme mit denen Daten von gecrashten Festplatten wieder hergestellt werden können. Solange die Speichermedien nicht vollständig und zuverlässig zerstört sind, lassen sich die darauf enthaltenen Daten wieder rekonstruieren.
Wenn Sie wirklich sicher sein wollen, dass Ihre Festplatte unbrauchbar ist, lassen Sie sie shreddern. Was bei der Aktenvernichtung schon lange Usus ist, ist nun auch mit Festplatten möglich. Die Speichermedien können bis zu einer Größe von 11,5 mm x 26 mm zerkleinert werden.

Wenn Sie möchten, können Sie die Überreste Ihrer Festplatte zu einem hübschen Briefbeschwerer verarbeiten lassen.
Unsere kreativen Köpfe haben in Zusammenarbeit mit Glas Lerchenmüller in Dieburg unseren Datenschutzwürfel kreiert.
Sehen Sie selbst...

Übrigens... nicht nur Festplatten, sondern alle digitalen Datenträger können in einem Festplattenvernichter der endgültigen Zerstörung überlassen werden.
Sicher, datenschutzkonform und wirtschaftlich.

Bei Interesse an dieser Dienstleistung sprechen Sie uns einfach an. Abhängig von der Menge der zu vernichtenden Festplatten unterbreiten wir Ihnen ein unverbindliches Angebot.

 

GDPdU / GoBD

Ein weiterer Aspekt im Feld der Datenverarbeitung ist neben der ordnungsgemäßen Vernichtung auch die ordnungsgemäße Aufbewahrung. Hier kommen die GDPdU (Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen) zum tragen. Diese sind hervorgegangen aus den GoBD, den Grundsätzen zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff. Dies ist eine vom Bundesministerium der Finanzen (BMF) erlassene Verwaltungsvorschrift.

Zweck der GDPdU ist es, die Prüfungsmethoden der Finanzbehörden durch Regelung des Zugriffs auf steuerlich relevante Informationen, die bei einem Unternehmen gespeichert werden, an die modernen Buchführungstechniken anzugleichen.
Dies betrifft nicht nur die eigentliche Buchführung sondern umfasst auch alle weiteren steuerlich relevanten Unterlagen. Als steuerlich relevant gelten solche Informationen, die für die Besteuerung eines Unternehmens herangezogen werden können.
Unabhängig von Vertragsdokumenten gehört hierzu auch jede weitere Korrespondenz mit vertragsrelevanten Inhalten. Auch der Emailverkehr ist hiervon betroffen.

Dem Prüfer ist der Datenzugriff auf drei Arten zu gewährleisten:
  1. 1. Unmittelbarer Datenzugriff
  2. 2. Mittelbarer Datenzugriff durch Auswertungen
  3. 3. Datenträgerüberlassung
Nicht von der GDPdU zugelassene Dateiformate müssen dem Steuerprüfer in einem lesbaren Dateiformat übergeben werden.
Der Betriebsprüfer darf auch auf digitale Daten zugreifen, welche im Intranet eines Unternehmens verfügbar sind. Und das Unternehmen muss eine umfassende Verfahrensdokumentation bereithalten (§147 Absatz 1A O).

Für den Unternehmer ergeben sich hieraus grundlegende Mitwirkungspflichten. Er muss ein internes Kontrollsystem aufbauen, welches die 'Ordnungsgemäßheit einer DV-gestützten Buchführung' sicherstellt. Er benötigt eine Verfahrensdokumentation für DV-gestützte Buchführungssysteme und er muss unter Zuhilfenahme von geeigneten Hilfsmitteln, die steuerlich relevanten Informationen für den Betriebsprüfer lesbar machen (notfalls in ausgedruckter Form). Hierhinein greifen auch die gesetzlich vorgeschriebenen Aufbewahrungspflichten.
Alles in allem also eine Fülle von Vorschriften und Bestimmungen, die es zu beachten gilt.

Unsere Experten unterstützen Sie hierbei. Eine Beratung umfasst auch hier wieder ein gründliches Vorgespräch sowie eine Begehung der Örtlichkeiten inkl. Analyse der eingesetzten Tools und der vorherrschenden Abläufe. Mit den hieraus gewonnenen Informationen können wir ein umfassendes, individuelles Konzept erarbeiten.

Sprechen Sie uns einfach an. Wir unterstützen Sie mit unserer Expertise.

← zurück