Lediglich 25 Prozent der deutschen Unternehmen haben die neue Datenschutzgrundverordnung lt. einer Umfrage bis dato vollständig umgesetzt. Vier Monate nach Inkrafttreten der DSGVO am 25.05.2018 stellen 80 % der Unternehmen, die die Umsetzung des neuen Regelwerks in Angriff genommen haben, einen deutlich gestiegenen Arbeitsaufwand für die notwendigen Anpassungen der betrieblichen Abläufe fest, so der Digitalverband Bitkom.

Hatten vor einem Jahr noch 42 % der Befragten aufwändigere Geschäftsabläufe erwartet, gehen nun 63 % davon aus, dass sich die Prozesse im Unternehmen komplizieren. So hätten zahlreiche Unternehmen erst im Rahmen der Umsetzung der DSGVO erkannt, dass ein erheblicher Nachholbedarf im Bereich Datenschutz bestünde.

Seit längerem steht die Tätigkeit des Steuerberaters für seinen Mandanten bezüglich der Frage im Fokus, ob es sich um eine Funktionsübertragung oder einen Fall der Auftragsdatenverarbeitung handelt.

Aktuell äußert sich die Landesbeauftragte für Datenschutz und Informationsfreiheit in Nordrhein-Westfalen zu dieser Fragestellung und stellt fest, dass es maßgeblich auf die vertraglichen Aufgabenfestlegungen zwischen Mandant und Steuerberater ankommt. Eine Auftragsdatenverarbeitung gemäß Art. 28 DSGVO sei dann gegeben, wenn dem Steuerberater eine Aufgabe ohne eigenen Entscheidungsspielraum erteilt werde. Diese Voraussetzung für eine Auftragsverarbeitung sei insbesondere bei der reinen Lohn- und Gehaltsabrechnung erfüllt. oder auch bei sonstigen, rein technischen Dienstleistungen.

Erforderlich sei dann ein Vertrag zur Auftragsdatenverarbeitung zwischen Mandant (Auftraggeber der AV) und Steuerberater (Auftragnehmer der AV).

Die betriebliche Nutzung verstößt gegen die Bestimmungen der DSGVO Die Ende Mai in Kraft getretene DSGVO verschärfte die Regelungen zur Weitergabe persönlicher Daten. Dies wird vor allem für Unternehmen problematisch werden, da die Nutzung des Nachrichtendienstes, zumindest in seiner bisherigen Form, illegal ist. Betroffen sind hiervon vor allem Selbstständige, Freiberufler oder auch Handwerksbetriebe, die im […]

Ab Mai 2018 gilt in der Europäischen Union ein neues Datenschutzrecht, das in allen EU-Mitgliedsstaaten unmittelbar gilt. Kanzleien und Unternehmen müssen ihre Prozesse, Regelwerke und vertraglichen Formulierungen anpassen. Hierfür verbleibt nicht einmal mehr ein Jahr. Der im Vergleich zum bisherigen BDSG drastisch erhöhte Sanktionsrahmen bis 20 Millionen Euro bzw. bei Unternehmen bis zu 4 % des weltweiten Jahresumsatzes (es gilt der jeweils höhere Betrag) macht deutlich, dass der Gesetzgeber die Forderung eines regelkonformen Umgangs mit personenbezogenen Daten absolut ernst nimmt.

Auch der deutsche Gesetzgeber hat von seinen Regelungsmöglichkeiten Gebrauch gemacht.Mit dem Datenschutz-Anpassungs- und -Umsetzungsgesetz EU (DSAnpUG-EU) wurden erforderliche Festlegungen zu Aufsichtsbehörden, Beschränkungen der Rechte der betroffenen Personen und zur Einschränkung der Befugnisse von Aufsichtsbehörden vorgenommen. Diese Regelungen sind in das neue Bundesdatenschutzgesetz (BDSG-neu) eingeflossen. Das neue BDSG wird das bisherige BDSG ersetzen und wie die DS-GVO ab dem 25.05.2018 gelten.

Ein wichtiger Baustein, den Kanzleien und Unternehmen künftig stärker berücksichtigen und ggfs. auch überarbeiten müssen, ist die Auftragsdatenverarbeitung (ADV). Die vertraglichen Grundlagen zur Auftragsdatenverarbeitung (ein Beispiel ist die Nutzung der Dienstleistungen der DATEV eG durch Steuerberater oder Unternehmen) müssen an die neuen gesetzlichen Regelungen angepasst werden. Wichtig ist, den erweiterten Dokumentations- und Nachweispflichten der DS-GVO gerecht zu werden. Abweichend zur BDSG-Novelle 2009 können datenschutzrechtliche Vertragsgrundlagen zur Abwicklung der Auftragsdatenverarbeitung im elektronischen Format (z.B. via Zustimmung auf einer Internet-Seite) geschlossen werden.

Unternehmen und Kanzleien müssen sich mit dem neuen Datenschutzrecht auseinandersetzen. Datenverarbeitungsprozesse in Unternehmen und Kanzleien sind auf den Prüfstand zu stellen. So muss z.B. im Falle einer Datenpanne binnen 72 Stunden eine Meldung an die zuständige Aufsichtsbehörde erfolgen (Art. 33 Abs. 1 DS-GVO). Die möglichen Betroffenen sind ebenfalls unverzüglich zu informieren (Art. 34 Abs. 1 DS-GVO). Um diesen Anforderungen gerecht zu werden, bedarf es organisatorischer Festlegungen, die sicherstellen, dass unmittelbar nach einem datenschutzrelevanten Vorfall, die gesetzlich geforderten Schritte erfolgen. So ist in einem ersten Schritt festzustellen, ob die aufgetretene Datenpanne ein Risiko für die Rechte und Freiheiten natürlicher Personen darstellt. Anschließend ist der Vorfall zu dokumentieren und der zuständigen Aufsichtsbehörde zu melden. Beispiele für relevante Vorfälle sind die BWA und / oder OPOS-Liste im Hausmüll und dann auf der Straße oder in den Händen des Müllverwerters. Sofern gegen die vorgenannten prozessualen Vorgaben verstoßen wird, beläuft sich der Bußgeldrahmen auf bis zu 10 Millionen Euro oder zwei Prozent des weltweiten Jahresumsatzes der für die Datenverarbeitung verantwortlichen Stelle (Art. 83 Abs. 4 DS-GVO).

Die DS-GVO sieht erweiterte Rechenschafts- und Nachweispflichten vor (Art. 5 Abs. 2 DS-GVO). Diese haben unmittelbare Auswirkungen auf die Prozesse und Abläufe in Unternehmen und Kanzleien: Die verantwortliche Stelle muss nach Art. 5 Abs. 1 DS-GVO jederzeit nachweisen können, dass die Datenverarbeitung rechtmäßig erfolgt, z.B. auf Grundlage von Einwilligungen und Verträgen mit Kunden und Mandanten.

Grundsätzlich gilt wie bisher, dass die Erhebung und Verarbeitung personenbezogener Daten nur für bestimmte und festgelegte Zwecke beschränkt auf die zur Zweckerfüllung notwendigen Daten erfolgen darf. Des weiteren müssen Prozesse definiert werden, welche die unverzügliche Berichtigung und / oder Löschung unrichtiger Daten regeln.

Die Speicherung nicht mehr benötigter Daten ist ausdrücklich untersagt. Die DS-GVO begründet eine Nachweispflicht des Unternehmens oder der Kanzlei.

Sprechen Sie uns auf das überaus komplexe Thema Datenschutz an.

Rechner mit aktuellen Windows-Sicherheits-Updates sind besser vor Angriffen geschützt. Das hat sich bestätigt, als der Cryptowurm Wannacry weltweit in kürzester Zeit Hunderttausende Computer verschlüsselte.

Obwohl die meisten Menschen jedem Rückruf Ihres Automobils in die Werkstatt Folge leisten, sind die Nutzer von PCs und Servern bezüglich notwendiger Sicherheits-Updates weitaus zurückhaltender – mit zum Teil gravierenden Folgen.

Microsoft veröffentlicht regelmäßig Updates für seine Betriebssysteme, Programme und Systemkoponenten. Diese Updates beheben Fehler und Sicherheitslücken, die es Schadsoftware ermöglichen, auf die Systeme zu gelangen, Daten auszuspähen oder zu manipulieren. Auch aktuelle Virenscanner sind nicht immer in der Lage, einen ausreichenden Schutz vor Angriffen zu gewährleisten.

Daher ist es von essentieller Bedeutung, angebotene Sicherheits-Updates zeitnah zu installieren. Es sei denn, ebenfalls genutzte Software anderer Anbieter verfügt über geklärte oder zu klärende Inkompatibilitäten.

Hier empfiehlt es sich, mit dem jeweiligen Anbieter Kontakt aufzunehmen.

Auch wenn Kontinuität als Datenschutzbeauftragter und Datenschutzberater seit bereits 2004 unser „Markenzeichen“ ist, haben wir im Jahr 13 nach Aufnahme unserer Tätigkeit im Bereich Datenschutz und 10 Jahre nach Freischaltung unserer ersten Internet-Präsenz einen Relaunch unseres Auftrittes im World-Wide-Web an den Start gebracht.

Im Bereich „Aktuelles“, den Sie gerade geöffnet haben, finden Sie künftig aktuelle Nachrichten rund um Datenschutz, Ihre IT und unser Unternehmen.

Wir bieten Ihnen an dieser Stelle Gewohntes und Neues. So wie Sie uns seit 25 Jahren kennen.

Ihr

Oliver Luerweg

Der Diebstahl von Hardware und Daten versursacht die größten Schäden bei deutschen Unternehmen.

Verursacher sind vor allem ehemalige und im Beschäftigungsverhältnis stehende Mitarbeiter. 53 % deutscher Unternehmen sind nach einer repräsentativen Umfrage des Digitalverbands Bitkom in den vergangenen 24 Monaten Opfer von Sabotage, Spionage und Datendiebstahl geworden.

Die führende Tätergruppe stellen nach der Studie der Bitkom ausgeschiedene oder tätige Mitarbeiter dar. Ihr Anteil liegt bei 62 %. Auf diese Personengruppe folgen Wettbewerber, Kunden und Lieferanten mit einem Anteil von 41 %.

„Nur“ 7 % der Angriffe auf Unternehmensdaten sind der organisierten Kriminalität zuzurechnen. Auf ausländische Nachrichtendienste entfielen 3 % der Fälle.