Hilfestellungen für kleine und mittlere Unternehmen

Konkrete Hilfestellung für kleine und mittlere Unternehmen hat jetzt das bayLDA veröffentlich. Die Informationen enthalten u.a. konkrete Beispiele für das Verzeichnis der Verarbeitungstätigkeiten.

Folgende Branchen sind enthalten:

  • Vereine
  • KFZ-Werkstatt
  • Handwerksbetrieb
  • Arztpraxis
  • WEG-Verwaltung
  • Produktionsbetrieb
  • Genossenschaftsbank
  • Onlineshop
  • Bäckerei
  • Beherbunbsbetrieb

 

Werbung nach DSGVO!?

Da kommt tatsächlich so etwas wie Panik auf: Darf ich jetzt etwa keine Werbung mehr betreiben mit der DSGVO!?

Doch, natürlich darf das!

Wie verrückt wäre es auch, wenn Unternehmen keine Werbung mehr betreiben dürfen. Das würde dem wirtschaftlichen Gedanken und der Notwendigkeit mehr als widersprechen.

Trotzdem gibt es ein paar Regeln zu beachten, die wir hier einmal zusammenfassen:

  • Es fehlt eine klare Regelung für Werbung in der DSGVO. Daher gilt für die Zulässigkeit der Werbung entweder das Vorliegen einer Einwilligung oder eine Interessenabwägung. In die Bewertung der Interessenabwägung nehmen wir den Erwägungsgrund 47 (Satz 7) hinzu: „Die Verarbeitung personenbezogener Daten zum Zwecke der Direktwerbung kann als eine einem berechtigten Interesse dienende Verarbeitung betrachtet werden.“ Dazu muss eigentlich nichts mehr gesagt werden, oder?
  • Grundsätzlich gilt für die Verarbeitung personenbezogener Daten auch der Grundsatz der Angemessenheit und der Datensparsamkeit (Art. 5 DSGVO)
  • Wichtig ist, dass eine Widerspruchsmöglichkeit (Art. 21 Abs. 2 bis 4 DSGVO), hierauf muss bei der ersten Kommunikation hingewiesen werden!
  • Das Gesetz gegen den unlauteren Wettbewerb (UWG) ist zu beachten. Hier regelt § 7 die „unzumutbaren Belästigen“. Werbung an Verbraucher per Mail, Telefon, Fax und SMS stets nur mit vorheriger ausdrücklicher Einwilligung! E-Mail-Wertung an Bestandskunden kann jedoch zulässig sein (§ 7 Abs. 3 UWG)
  • Informationspflichten gem. Art. 13 und 14 DSGVO sind zu beachten. Ergänzend zu den möglichen AGB muss es zukünftig eine Datenschutzinformation geben. Fraglich ist derzeit noch, wie die Datenschutzinformationen auf maximal einfache Art und Weise bekannt gemacht werden können.
  • Einwilligungen, die bereits nach Bundesdatenschutzgesetz (BDSG) in der Vergangenheit gültig waren, bleiben gültig!
  • Bei Einwilligungen ist das Koppelungsverbot (z.B. fehlende Freiwilligkeit, d.h. Zwang zur Einwilligung) zu beachten.
  • Bei „kostenlosen“ Services, die mit der werblichen Nutzung von Daten „bezahlt“ werden, muss bei Vertragsabschluss klar dargestellt werden, dass dies die Gegenleistung des Nutzers ist.

Detailliertere Informationen befinden sich in der folgenden Information des baylda: https://www.lda.bayern.de/media/baylda_ds-gvo_12_advertising.pdf

GoBD-Verfahrensdokumentation – wieso, weshalb, warum!?

Zunehmend werden Anforderungen kommuniziert, dass jedes Unternehmen zur Erfüllung steuerrechtlicher Anforderungen eine Verfahrensdokumentation erstellen muss. Hintergrund ist ein im November 2014 veröffentlichtes Schreiben des Bundesministeriums der Finanzen (BMF). Bei diesem Schreiben handelt es sich um die sogenannten GoBD, die im Folgenden noch weiter erläutert werden.

Das Schreiben beinhaltet die Anforderungen der Finanzverwaltung an IT-gestützte Buchführungssysteme, also die Führung und Aufbewahrung steuerrelevanter Unterlagen in elektronischer Form.

Die zunehmende Integration der IT-Systeme in Unternehmen, aber auch die Digitalisierung führen in jüngeren Betriebsprüfungen dazu, dass die Bedeutung steuerrelevanter IT-Systeme auch in Betriebsprüfungen zunimmt. Es gibt kaum ein Unternehmen, welches sich nicht bereits in Digitalisierungsprozessen befindet, z.B. durch den Empfang und Versand von Rechnungen per E-Mail.

Obwohl die Anforderung an die Erstellung einer Verfahrensdokumentation bereits seit 1995 besteht, ist vor dem Hintergrund der zunehmenden Digitalisierung erkennbar, dass in aktuellen Betriebsprüfungen vermehrt nach der Dokumentation gefragt wird.

 

Was sind die GoBD?

Die „Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff“ (GoBD) wurden im November 2014 veröffentlicht. Das Schreiben des Bundesministeriums der Finanzen (BMF) ist für Veranlagungszeiträume ab Januar 2015 gültig und hat die bisherigen Schreiben GoBS aus 1995 und GDPdU aus 2001 abgelöst.

Warum muss eine Verfahrensdokumentation erstellt werden?

Die Anforderung an die Erstellung der Dokumentation ergibt sich konkret aus Tz. 151 der GoBD. Dort heißt es, dass für jedes DV-System eine übersichtlich gegliederte Verfahrensdokumentation vorhanden sein muss, aus der folgende Inhalte vollständig und schlüssig ersichtlich sind:

  • Inhalt des Verfahrens
  • Aufbau des Verfahrens
  • Ergebnis des Verfahrens

Primäre Zielgruppe der Verfahrensdokumentation ist ein sachverständiger Dritter, z.B. ein Betriebsprüfer der Finanzbehörde. Diesem muss die Dokumentation die Möglichkeit geben, das Verfahren in angemessener Zeit nachvollziehen zu können.

Was sind die typischen Inhalte einer Verfahrensdokumentation?

Als typische Inhalte der Verfahrensdokumentation werden in Tz 152 der GoBD genannt:

  • Allgemeine Beschreibung
  • Anwenderdokumentation
  • Systemdokumentation
  • Betriebsdokumentation

Erwähnenswert ist auch die Anforderung, dass die Verfahrensdokumentation der gesetzlichen Aufbewahrungspflicht (10 Jahre) unterliegt. Änderungen an den Verfahren und Systemen müssen historisch belegbar sein. Hier bietet es sich an, für die Dokumentation ein Dokumentenmanagementsystem (DMS) einzusetzen.

Hilfreich zur Konkretisierung der notwendigen Dokumentationsinhalte ist die Tatsache, wenn wir anstelle von Verfahren besser von Geschäftsprozessen sprechen. Die Verfahrensdokumentation ist also nichts anderes als eine Dokumentation der steuerrelevanten Geschäftsprozesse.

Typische Geschäftsprozesse mit Steuerrelevanz sind:

  • Einkauf
  • Verkauf
  • Personalbuchhaltung
  • Kassenführung
  • Digitale Belegablage und E-Mail-Archivierung

Für die konkrete inhaltliche Ausgestaltung hilft Tz. 152 der GoBD: „Die Verfahrensdokumentation beschreibt den organisatorisch und technisch gewollten Prozess, z.B. bei elektronischen Dokumenten von der Entstehung der Informationen über die Indizierung, Verarbeitung und Speicherung, dem eindeutigen Wiederfinden und der maschinellen Auswertbarkeit, der Absicherung gegen Verlust und Verfälschung und der Reproduktion.“

Gibt es Erleichterungen für kleine und mittlere Unternehmen?

Es gibt keine konkreten und klar definierten Erleichterungen für kleine und mittlere Unternehmen. Aus der folgenden Formulierung ergeben sich jedoch Anhaltspunkte für mögliche Erleichterungen:

„Die konkrete Ausgestaltung der Verfahrensdokumentation ist abhängig von der Komplexität und Diversifikation der Geschäftstätigkeit und der Organisationsstruktur des eingesetzten DV-Systems.“ (Tz. 151 GoBD)

Auch Tz. 155 der GoBD deutet mögliche Erleichterungen an:

„Soweit eine fehlende oder ungenügende Verfahrensdokumentation die Nachvollziehbarkeit und Nachprüfbarkeit nicht beeinträchtigt, liegt kein formeller Mangel mit sachlichem Gewicht vor, der zum Verwerfen der Buchführung führen kann.“

Keines der Zitate führt dazu, dass ein Unternehmen keine Verfahrensdokumentation benötigt. Der Umfang der Dokumentation hängt aber von der Komplexität der Geschäftsprozesse und der verwendeten IT-Systeme ab.

Während in größeren Unternehmen integrierte Softwarelösungen (z.B. ERP-System) eingesetzt werden, die vor dem Einsatz durch ein Customizing betriebsbereit gemacht werden, verwenden kleine Unternehmen Softwarelösungen, die kaum Einstellungsmöglichkeiten bieten.

Die Komplexität der Softwarelösungen und der Verfahren geben daher ein Indiz auf die notwendige Verfahrensdokumentation, z.B.:

  • Bei Einsatz von Standardsoftware ohne umfangreiche Einstellungsmöglichkeiten kann eine Verfahrensdokumentation möglicherweise als einfache Exceltabelle der Ablaufschritte dargestellt werden mit einigen Zusatzinformationen (z.B. Internes Kontrollsystem, verwendete Software)
  • Bei Einsatz von Softwareprodukten, die vor dem Einsatz eingerichtet werden muss, ist eine Verfahrensdokumentation voraussichtlich umfangreicher.
  • Für komplexe Dokumentenmanagementlösungen (DMS) wird in der Praxis häufig eine separate Verfahrensdokumentation zu digitalen Belegablage erstellt.

Ist ein Testat des Softwareherstellers nicht ausreichend?

Buchhalterische Softwareprodukte werden von den Softwareherstellern häufig mit einem Testat herausgegeben, welches die Ordnungsmäßigkeit der Software bescheinigt. Der am weitesten verbreitete Standard ist der Prüfungsstandard 880 „Erteilung von Softwarebescheinigungen“ vom Institut der Wirtschaftsprüfer (IDW).

Für Unternehmen hat das Zertifikat im ersten Moment keine unmittelbare Aussagekraft. Das Zertifikat alleine sagt nichts über das eingerichtete System, also die spezifische Implementierung und Anpassung aus. Auch gibt das Zertifikat einem Prüfer keine Hinweise über die steuerrelevanten Prozesse und das interne Kontrollsystem (IKS). Der Mehrwert einer vorhandenen Softwarebescheinigung liegt in der Gewissheit, dass die Software die notwendigen Grundlagen für den ordnungsgemäßen Einsatz im Unternehmen „von Haus aus“ (also vom Softwarehersteller ausgehend) mitbringt. Das ausgelieferte Zertifikat ist daher ein ideales Fundament für die Verfahrensdokumentation zur Erfüllung der Anforderungen aus den GoBD.

Was müssen Unternehmen jetzt machen?

Unternehmen müssen sich darüber im Klaren sein, dass mit zunehmender Digitalisierung die Bedeutung einer Verfahrensdokumentation noch zunehmen wird. Es gibt kaum Unternehmen, die noch keine Rechnungen als Mail empfangen. Alleine an diesem Beispiel ist die Notwendigkeit einer Verfahrensdokumentation einfach erklärt, da der Ausdruck des PDF in der Mail alleine nicht ausreicht, um die Aufbewahrungspflichten zu erfüllen.

Jedes Unternehmen ist daher gut beraten, eine Verfahrensdokumentation zur Erfüllung der Anforderungen der GoBD zu erstellen. Der Umfang der Dokumentation sollte dabei von der Komplexität der Systeme und Prozesse abhängen.

Abschließend muss erwähnt werden, dass das Abwarten der nächsten Betriebsprüfung keine sinnvolle Strategie sein kann. Bereits morgen könnte im Rahmen einer Kassennachschau nach einer Verfahrensdokumentation gefragt werden.

 

Über den Autoren:

Markus Olbring ist Inhaber der comdatis it-consulting in Ahaus-Alstätte. Als IT-Berater und IT-Sachverständiger beschäftigt er sich mit der Erstellung und Prüfung von Verfahrensdokumentationen. Darüber hinaus ist er als IT-Prüfer für Wirtschaftsprüfungsgesellschaften tätig. Weitere Tätigkeitsfelder sind der Datenschutz und die Informationssicherheit, in beiden Bereichen sowohl als Berater als auch als zertifizierter Auditor.

IT-Auditor IDW – Bestanden!

Markus Olbring hat jetzt mit bestandener Prüfung beim Institut der Wirtschaftsprüfer (IDW) die Zertifizierung zum IT-Auditor (IDW) erhalten.

Eine Zertifizierung wie viele andere bzw. was zeichnet den IT-Auditor (IDW) aus? Den IT-Auditor (IDW) kann man nicht ausschließlich durch Lehrgangsteilnahme und Bestehen der Prüfung erwerben. Vielmehr sind für die Anerkennung umfangreiche Tätigkeitsnachweise, also Praxiserfahrung, nachzuweisen. Das macht den IT-Auditor (IDW) dann doch zu etwas Besonderem, nämlich dem Nachweis umfangreicher Praxiserfahrungen im Bereich der IT-Prüfung.

Wir freuen uns und gratulieren zur bestanden Prüfung!

 

Teil 7/7: DSGVO – Hilfsmittel zur Umsetzung

Welche Hilfsmittel gibt es, um in der noch verbleibenden Zeit die Anforderungen umzusetzen?

 

Wir haben hier einige interessante Links zur Verfügung gestellt:

 

Wenn Sie eine unabhängige Beratung zum Datenschutz nutzen möchten oder einen externen Datenschutzbeauftragten bestellen möchten, nehmen Sie gerne Kontakt mit uns auf: https://www.comdatis.de/kontakt

 

Interessiert Sie der Datenschutz so sehr, dass Sie beruflich auf diesem Gebiet tätig werden möchten? Dann werfen Sie doch mal einen Blick auf die folgende Seite:

Berater – Compliance, Datenschutz und Informationssicherheit

Über den Autor:
Faraz Afscharian ist IT-Berater bei der comdatis it-consulting in Ahaus-Alstätte. Er beschäftigt sich u.a. mit der Erstellung von Verfahrensdokumentationen gem. GoBD für IT-gestützte Geschäftsprozesse zur digitalen Belegarchivierung und zum Dokumentenmanagement. Darüber hinaus ist er als Datenschutzberater und IT-Prüfer für Wirtschaftsprüfungsgesellschaften tätig. Er verfügt über eine Ausbildung zum Lead Auditor ISO/IEC 27001.

Teil 6/7: DSGVO: Einwilligung

Wir haben schon viel über die Einwilligungserklärung geschrieben, doch was sind die Voraussetzungen einer Einwilligungserklärung? Denn nur auf Basis einer Einwilligungserklärung kann eine rechtmäßige Datenverarbeitung stattfinden. Der Text der Einwilligungserklärung muss einfach und verständlich sein. Aus der Einwilligung muss der Zweck der Verarbeitung hervorgehen. Der betroffene muss freiwillig die Einwilligung abgeben. Des Weiteren muss sichergestellt sein, dass der Betroffene jederzeit seine Einwilligung widerrufen kann. Eine konkrete Formvorschrift wird nicht genannt, jedoch muss die verantwortliche Stelle im Zweifel den Nachweis erbringen können, dass die betroffene Person in die Verarbeitung der personenbezogenen Daten eingewilligt hat.

Bereits nach derzeitigem Recht erteilte Einwilligungen bleiben i.d.R. weiterhin gültig.

 

Über den Autor:
Faraz Afscharian ist IT-Berater bei der comdatis it-consulting in Ahaus-Alstätte. Er beschäftigt sich u.a. mit der Erstellung von Verfahrensdokumentationen gem. GoBD für IT-gestützte Geschäftsprozesse zur digitalen Belegarchivierung und zum Dokumentenmanagement. Darüber hinaus ist er als Datenschutzberater und IT-Prüfer für Wirtschaftsprüfungsgesellschaften tätig. Er verfügt über eine Ausbildung zum Lead Auditor ISO/IEC 27001.

 

Teil 5/7: DSGVO: Was muss ein Unternehmen noch umsetzen

Datenverarbeitende Unternehmen müssen auf der Homepage, also öffentlich zugänglich, eine Datenschutzerklärung vorhalten. Das war im BDSG bereits geregelt und das hat sich auch mit der DSGVO nicht geändert. Folgende verpflichtende Informationen müssen in der Datenschutzerklärung einfließen:

  • Namen und Kontaktdaten der verantwortlichen Stelle sowie ggf. die der eines Vertreters
  • Die Kontaktdaten des bestellten Datenschutzbeauftragten
  • Die Zwecke für die die personenbezogenen Daten verarbeitet werden sollen
  • Die Rechtsgrundlage für die Datenverarbeitung
  • die berechtigen Interessen, auf die die Datenverarbeitung gestützt wird.
  • Falls vorhanden die Empfänger der personenbezogenen Daten
  • die Weitergabe an ein Drittland oder an eine internationale Organisation
  • Die Dauer der Speicherung
  • Der Nutzer muss darüber informiert werden, dass er ein Recht auf Auskunft, Berichtigung, Löschung oder Einschränkung der Verarbeitung sowie das Bestehen eines Widerspruchsrechts
  • Das Recht der Benutzer auf eine Datenübertragbarkeit
  • Die Möglichkeit die Einwilligung widerrufen zu können
  • Das Bestehen des Beschwerderechts bei einer Aufsichtsbehörde
  • Auf welche Grundlage die personenbezogenen Daten verarbeitet werden (gesetzlich, vertraglich, oder für einen Vertragsabschluss erforderlich ist)

Die Pflichtangaben müssen in präziser, transparenter, verständlicher und leicht zugänglicher Form sowie in einer klaren und einfachen Sprache erfolgen. Hier gilt der Grundsatz der Prägnanz, sodass ausschweifende Erläuterungen zu vermeiden sind. Bei Informationen an Kinder müssen diese auch in kindgerechter Sprache formuliert werden, unter Umständen muss eine bildliche Aufbereitung der Informationen erfolgen.

 

Über den Autor:
Faraz Afscharian ist IT-Berater bei der comdatis it-consulting in Ahaus-Alstätte. Er beschäftigt sich u.a. mit der Erstellung von Verfahrensdokumentationen gem. GoBD für IT-gestützte Geschäftsprozesse zur digitalen Belegarchivierung und zum Dokumentenmanagement. Darüber hinaus ist er als Datenschutzberater und IT-Prüfer für Wirtschaftsprüfungsgesellschaften tätig. Er verfügt über eine Ausbildung zum Lead Auditor ISO/IEC 27001.

Revisionssicher mit Softwarebescheinigung und GoBD-Verfahrensdokumentation

Für viele Softwareuser ist ein Softwaretestat z.B. nach IDW PS 880 irreführend. Häufig wird angenommen, dass das Testat die Revisionssicherheit sichergestellt und die Verfahrensdokumentation nach GoBD ersetzt.

Wir möchten hier die „Mythen“ aus der Welt schaffen. Doch zunächst gehen wir auf die Begrifflichkeiten ein, mit denen sich Unternehmen konfrontiert fühlen:

Wichtige Begriffe und Abkürzungen, wenn wir über Revisionssicherheit sprechen möchten, sind die folgenden:
IDW = Institut der Wirtschaftsprüfer
PS = Prüfungsstandard
GoBD = Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff
GoB = Grundsätze ordnungsmäßiger Buchführung
FAIT = Fachausschuss Informationstechnologie
HGB = Handelsgesetzbuch
AO = Abgabenordnung
BDSG = Bundesdatenschutzgesetz
DSGVO = Datenschutz-Grundverordnung

Das Institut der Wirtschaftsprüfer (IDW) publiziert „IDW-Verlautbarungen“. Nach diesen Grundsätzen können Wirtschaftsprüfer unbeschadet ihrer Eigenverantwortlichkeit ihrer Prüfungstätigkeit nachgehen. Zu den IDW-Verlautbarungen zählen unter anderem „IDW Prüfungsstandards (IDW PS)“, „IDW Stellungsnahmen zur Rechnungslegung (IDW RS)“, „IDW Standards (IDW S)“, „IDW Prüfungshinweise (IDW PH)“, „IDW Rechnungslegungshinweise (IDW RH)“ .

Wir gehen hier konkreter auf den IDW PS 880 („Erteilung von Softwarebescheinigungen“) ein. Die Prüfung orientiert sich an den Anforderungen an Systemprüfungen bei Einsatz von IT (IDW PS 330) sowie den Grundsätzen ordnungsmäßiger Buchführung bei Einsatz von Informationstechnologie (IDW RS FAIT 1). Neben den genannten Verlautbarungen sind ebenfalls rechtliche Aspekte bei der Prüfung zu beachten:
– HGB
– AO
– GoB
– GoBD (bzw. Vorgänger: GDPdU und GoBS)

Nach der Prüfung erhält der Softwarehersteller einen Abschlussbericht sowie die Softwarebescheinigung. Dabei wird die Software dahingehend geprüft, dass der korrekte Einsatz der Software den rechtlichen Aspekten entspreche kann. Typische Prüfungsbereiche sind:
– Softwareentwicklungsprozess
– Dokumentationsprüfung
– Softwaresicherheit
– Programmfunktionen

Für Unternehmen hat das Zertifikat im ersten Moment keine unmittelbare Aussagekraft. Das Zertifikat alleine sagt nichts über das eingerichtete System, also die spezifische Implementierung und Anpassung aus. Auch gibt das Zertifikat einem Prüfer keine Hinweise über die steuerrelevanten Prozesse und das interne Kontrollsystem (IKS). Der Mehrwert einer vorhandenen Softwarebescheinigung liegt in der Gewissheit, dass die Software die notwendigen Grundlagen für den ordnungsgemäßen Einsatz im Unternehmen „von Haus aus“ (also vom Softwarehersteller ausgehend) mitbringt. Das ausgelieferte Zertifikat ist daher ein ideales Fundament für die Verfahrensdokumentation zur Erfüllung der Anforderungen aus den GoBD.

In den GoBD ist ganz klar beschrieben, was zu tun ist, damit Unternehmen ordnungsgemäß arbeiten. In Kapitel 10.1 ist dargestellt, dass für jedes steuerrelevante DV-System eine übersichtlich gegliederte Verfahrensdokumentation vorhanden sein muss. Die Verfahrensdokumentation muss verständlich und damit für einen sachverständigen Dritten (Prüfer) in angemessener Zeit nachvollziehbar sein. In einer Verfahrensdokumentation für die digitale Belegarchivierung wird der organisatorisch und technisch gewollte Prozess beschrieben, dabei wird der gesamte Lebenszyklus der Dokumente und weiterer Daten von der Entstehung der Information über die Indizierung, Verarbeitung und Speicherung, dem eindeutigen Wiederfinden und der maschinellen Auswertbarkeit, der Absicherung gegen Verlust und Verfälschung und der Reproduktion beschrieben. Aus Sicht des Datenschutzes sollte auch auf das Löschen nach Ende der Aufbewahrungspflicht eingegangen werden.

Eine ordnungsgemäße digitale Archivierung im Sinne einer Revisionssicherheit gem. GoBD entsteht also auf Basis eines Softwaretestats und der nachvollziehbaren Beschreibung der Implementierung und abgebildeten Geschäftsprozesse in der Verfahrensdokumentation, die selbstverständlich mit der tatsächlichen Implementierung übereinstimmt.

Teil 4/7: Betroffenenrechte & weitere Pflichten der Verantwortlichen

Mit der DSGVO sollen die Rechte der Betroffenen gestärkt werden. Hier wird beispielhaft das Recht auf Vergessen werden genannt. Dieses Recht wurde durch die DSGVO eingeführt und umfasst den Anspruch auf Löschung der personenbezogenen Daten des Betroffenen sowie auch von eventuellen Querverweisen. Das setzt allerding voraus, dass die Daten für die Zwecke, für die eingesetzt worden sind nicht mehr notwendig; der Betroffene widerruft seine Einwilligung; der Betroffene legt Widerspruch gegen die Verarbeitung ein; die Daten wurden zu Unrecht verarbeitet; die Löschung der Daten unterliegt einer rechtlichen Verpflichtung oder es handelt sich um Daten von einer Person, die noch nicht volljährig ist.

Ebenfalls neu ist die Datenportabilität. So soll es bspw. möglich sein, seine Daten von einer Plattform in eine andere einzuspielen. Dies kommt vor, wenn Betroffene z.B. den Anbieter für Telekommunikation wechseln möchten.

Beim Auskunftsrecht kann der Betroffene von dem Verantwortlichen erfahren, ob von ihm personenbezogene Daten verarbeitet werden. Wenn das der Fall ist hat der Betroffene das Recht Auskunft über seine Daten, die Verarbeitungszwecke, die erfassten Datenkategorien, die möglichen Empfänger und die geplante Dauer der Speicherung der Daten. Des Weiteren hat er das Recht auf Berichtigung oder Löschung der Daten oder das Recht auf Einschränkung der Verarbeitung sowie das Widerspruchsrecht gegen die Verarbeitung. Es besteht außerdem das Recht einer Beschwerde bei einer Aufsichtsbehörde und alle Informationen über die Herkunft der Daten, wenn diese nicht beim Betroffenen selbst erhoben worden sind.

Die Betroffenen haben also eine Vielzahl an Rechten gegenüber datenverarbeitenden Unternehmen, die sie im Zweifel auch mit Hilfe der Aufsichtsbehörden oder Gerichten durchsetzen können. Die Rechte sind aber nicht grenzenlos. So können Rechte auf Auskunft, Widerspruch, Löschung, Vergessen werden, Datenübertragbarkeit, usw. unter bestimmten Voraussetzungen auch eingeschränkt werden. bei den Einschränkungen geht es um folgende Maßnahmen:

  • Die nationale Sicherheit
  • Die Landesverteidigung
  • Die öffentliche Sicherheit
  • Öffentliches Interesse
  • Wirtschaftliches und finanzielles Interesse
  • Unabhängigkeit der Justiz
  • Ausübung öffentlicher Gewalt
  • Zivilrechtliche Ansprüche
  • Schutz des Betroffenen
  • Rechte und Freiheiten andere Personen

Neben den Rechten der Betroffenen sind verschiedene Pflichten der für die Daten verantwortlichen Stellen ebenfalls in der DSGVO geregelt. Das sind Durchführungen von externen Audits, Bereitstellungen von Regelungen im Hinblick auf Datenschutz und IT-Sicherheit, Implementierung von Prozessen zur Sicherstellung der Compliance nach DSGVO, Dokumentation von Datenverarbeitungsprozessen, Risikoanalyse im Bezug auf die Folgen der Datenverarbeitung, Bereitstellung von geeigneten technischen und organisatorischen Maßnahmen, Durchführung von Datenschutzfolgenabschätzungen, Bereitstellung von Informationen (bspw. auf der Unternehmenswebseite), die Bestellung eines Datenschutzbeauftragten, Privacy by design sowie privacy by default.

Bei den letztgenannten Pflichten geht es um die datenschutzfreundliche Technikgestaltung sowie die datenschutzfreundliche Voreinstellung. So muss die verantwortliche Stelle sowohl zum Planungszeitpunkt, als auch bei der eigentlichen Verarbeitung geeignete ToM treffen, um die Datenschutzgrundsätze wirksam umzusetzen und die Rechte der betroffenen Personen zu schützen. Dabei spielen neben dem Stand der Technik, auch die Implementierungskosten, Art, Umfang, Umstände und Zwecke der Verarbeitung eine Rolle. Mit Privacy by design ist die Pflicht zur Berücksichtigung von möglichst datenschutzfreundlichen Techniken schon bei der Entwicklung von neuen Produkten gemeint. Außerdem muss der Verantwortliche geeignete ToM treffen, die durch Voreinstellung sicherstellen, dass grundsätzlich nur die für den konkreten Verarbeitungszweck erforderlichen personenbezogenen Daten verarbeitet werden. Privacy by default bedeutet für die Praxis, dass immer die datenschutzfreundlichsten Voreinstellungen vorzunehmen sind. Wenn Nutzer also nicht aktiv etwas ändern, dürfen Ihnen keine Nachteile dadurch entstehen.

 

Über den Autor:
Faraz Afscharian ist IT-Berater bei der comdatis it-consulting in Ahaus-Alstätte. Er beschäftigt sich u.a. mit der Erstellung von Verfahrensdokumentationen gem. GoBD für IT-gestützte Geschäftsprozesse zur digitalen Belegarchivierung und zum Dokumentenmanagement. Darüber hinaus ist er als Datenschutzberater und IT-Prüfer für Wirtschaftsprüfungsgesellschaften tätig. Er verfügt über eine Ausbildung zum Lead Auditor ISO/IEC 27001.

Teil 3/7: Datensicherheit

Grundsatz der Datensicherheit

Unter Berücksichtigung des Stands der Technik, der Kosten und Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.

Die hierzu von seitens der DSGVO geforderten Maßnahmen sind unter anderem Pseudonymisierung, Verschlüsslung, dauerhafte Sicherstellung von Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Datenverarbeitungssysteme und Dienste. Die zeitnahe Wiederherstellbarkeit, der Verfügbarkeit der personenbezogenen Daten und den Zugang zu den Daten nach einem physischen oder technischem Zwischenfall. Verfahren zur regelmäßigen Überprüfung, die Bewertung und Evaluierung der ToM’s. Für die Umsetzung der ToM’s kann man sich z.B. an den §9 BDSG (aktuelle Fassung Bundesdatenschutzgesetz), am IT-Grundschutzkatalog des BSI oder weiteren Sicherheitsstandards (z.B. ISO27001, ISIS12, VdS 3473) orientieren.

Es besteht eine Rechenschaftspflicht, d.h. dass die verantwortliche Stelle ist für die Einhaltung der genannten Grundsätze verantwortlich und muss diese nachweisen können.

 

Über den Autor:
Faraz Afscharian ist IT-Berater bei der comdatis it-consulting in Ahaus-Alstätte. Er beschäftigt sich u.a. mit der Erstellung von Verfahrensdokumentationen gem. GoBD für IT-gestützte Geschäftsprozesse zur digitalen Belegarchivierung und zum Dokumentenmanagement. Darüber hinaus ist er als Datenschutzberater und IT-Prüfer für Wirtschaftsprüfungsgesellschaften tätig. Er verfügt über eine Ausbildung zum Lead Auditor ISO/IEC 27001.