DSGVO
Stichtag: 25.05.2018
Mit der verbindlichen Anwendung der Datenschutz-Grundverordnung (DSGVO), in allen EU-Mitgliedstaaten ab dem 25. Mai 2018, werden die Rechte hinsichtlich des Datenschutzes für EU-Bürger gestärkt und vereinheitlicht. In den letzten Wochen haben uns viele Rückfragen zu diesem Thema erreicht, weshalb wir Ihnen nachfolgend eine Übersicht geben möchten, wie wir das Thema DSGVO in ORGA-PEG umgesetzt haben, welche Anforderungen ganz allgemein in Ihrem Unternehmen umgesetzt werden sollten und wie wir Sie hierbei unterstützen.
Unter dem Punkt „DSGVO Allgemein“ » „Was ist konkret zu tun?“, haben wir die wichtigsten Sofortmaßnahmen für Sie zusammengefasst.
Bitte beachten Sie speziell hierbei speziell Ihre Webseite. Wir gehen davon aus, dass ab 25. Mai eine Abmahnwelle über uns einbrechen wird, die sich vor allem das Thema Impressum, Datenschutzerklärung und Kontaktformulare auf Webseiten beziehen wird (Diese Punkte sind leicht zu überprüfen).
Sollten Sie generelle Fragen zum Thema Datenschutz bei OpenSoft+ haben, oder möchten Sie von Ihren Persönlichkeitsrechten Gebrauch machen, so erreichen Sie uns gerne per E-Mail.
Die Datenschutz-Grundverordnung im Allgemeinen
Bei der DSGVO handelt es sich um eine EU weite Regelung, welche die Rechte hinsichtlich des Datenschutzes für EU-Bürger stärkt und vereinheitlicht. Nachfolgend haben wir die wichtigsten inhaltlichen Punkte für Sie aufgelistet – bitte beachten Sie dabei, dass es sich lediglich um das Zusammentragen von verschiedenen Informationsquellen handelt und keinesfalls eine rechtliche Empfehlung darstellt bzw. die Korrektheit der Informationen garantiert wird.
Wer ist betroffen?
Die DSGVO gilt für Unternehmen und Vereine, die in der EU Waren oder Leistungen anbieten, Mitarbeiter beschäftigen oder Mitglieder haben.
De facto also für jeden, der mind. einen Kunden oder einen Mitarbeiter hat.
Wer ist verantworlich?
Geschäftsführer, Inhaber, Vorstände
Wann benötige ich einen Datenschutzbeauftragten?
Ein Datenschutzbeauftragter ist ab einer Unternehmensgröße von 10 Mitarbeitern Pflicht, kann aber extern bestellt werden. Ab 250 Mitarbeitern ist ein interner Datenschutzbeauftragter notwendig. Der Geschäftsführer kann nicht Datenschutzbeauftragter sein.
Was sind die Grundsätze für die Verarbeitung personenbezogener Daten?
Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz, Art. 5 (1) a) DS-GVO
- Zweckbindung, Art. 5 (1) b) DS-GVO
- Datenminimierung, Art. 5 (1) c) DS-GVO
- Richtigkeit, Art. 5 (1) d) DS-GVO
- Speicherbegrenzung, Art. 5 (1) e) DS-GVO
- Integrität und Vertraulichkeit, Art. 5 (1) f) DS-GVO
- Rechenschaftspflicht, Art. 5 (2) DS-GVO
Was bedeutet diese Punkte? Welche Begriffe muss ich kennen?
Rechtmäßigkeit der Datenverarbeitung
Für die Verarbeitung personenbezogener Daten gilt als allgemeiner Grundsatz ein sogenanntes Verbot mit Erlaubnisvorbehalt.
Die Verarbeitung von Daten ist demnach nur zulässig, wenn eine Einwilligung oder eine andere in dieser Vorschrift normierte Ausnahme vorliegt.
Datensparsamkeit
Nach Art 5 Abs 1 DSGVO muss die Verarbeitung personenbezogener Daten dem Zweck angemessen und sachlich relevant sowie auf das für den Zweck der Datenverarbeitung notwendige Maß beschränkt sein.
Zweckbindung
Personenbezogene Daten dürfen nur für festgelegte, eindeutige und rechtmäßige Zwecke erhoben werden. Zudem sind grundsätzlich nur solche Änderungen des Verarbeitungszwecks erlaubt, die mit dem ursprünglichen Erhebungszweck vereinbar sind. Dabei stellt die Datenschutz-Grundverordnung in Art 6 Abs 4 Kriterien auf, die bei der Beurteilung der Vereinbarkeit einer Zweckänderung zu berücksichtigen sind.
Datensicherheit
Unter Berücksichtigung des Stands der Technik, der Implementierungskosten sowie der Art, der Umstände und Zweck der Datenverarbeitung, aber auch der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die persönlichen Rechte und Freiheiten haben der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen umzusetzen und dadurch Datenschutzverletzungem vermeiden.
Dabei muss das Sicherheitslevel im Verhältnis zum Risiko angemessen sein. OpenSoft+ unterstützt Sie hierbei zum Beispiel mit dem Produkt ManagedBackup+.
Übermittlung in Drittstaaten (außer EU)
Eine Übermittlung von personenbezogenen Daten in ein Drittland oder an eine internationale Organisation ist nur zulässig, wenn der Verantwortliche und der Auftragsverarbeiter die im Kapitel V zur Datenübermittlung in Drittländer und zu internationalen Organisationen niedergelegten Bedingungen erfüllen und auch die sonstigen Bestimmungen der Datenschutz-Grundverordnung beachtet werden (Art 44 DSGVO).
Betroffenenrechte
- Anforderungen an die Transparenz der Informationen
- Katalog produktiver Benachrichtigungen
- Auskunftsrecht der Betroffenen
- Recht auf Berichtigung/Vervollständigung der erhobenen Daten
- Recht auf Löschung = „Recht auf Vergessenwerden“
- Einschränkung der Verarbeitung
- Recht auf Datenübertragbarkeit (Daten mitnehmen, z.B. zu anderem, Anbieter)
- Allgemeines Widerspruchsrecht gegen die Verarbeitung
„Privacy by Design“
Übersetzt heißt Privacy by Design „Datenschutz durch Technikgestaltung“ und greift den Grundgedanken auf, dass sich der Datenschutz am besten
einhalten lässt, wenn er bereits bei Erarbeitung eines Datenverarbeitungsvorgangs technisch integriert ist.
Was ist das?„Privacy by Default“
Privacy by Default heißt sinngemäß übersetzt „Datenschutz durch datenschutzfreundliche Voreinstellungen“ und bedeutet, dass die Werkeinstellungen datenschutzfreundlich auszugestalten sind.
Was ist konkret zu tun?
Auch wenn der 25. Mai in greifbarer Nähe ist, gilt als erste Regel: keine Panik!.
Als allererstes sollten Sie die Datenschutzerklärung auf Ihrer Homepage aktualisieren, sowie etwaige Kontaktformulare mit einer zusätzlichen Checkbox ausstatten, welche den Anwender über den Anwendungszweck der übermittelten Daten aufklärt und zur Zustimmung auffordert.
Desweiteren werden Sie von uns in Kürze die benötigten Verträge zur Auftragsverarbeitung erhalten.
Recht an den Daten / Recht auf Vergessenwerden
Auf Verlangen müssen dem Verbraucher die gespeicherten Daten mitgeteilt werden bzw. auf entsprechende Aufforderung sind diese zu löschen.
Informationen zur EU-DSGVO
Prüfen, ob Daten gelöscht werden können bzw. ob diesem Ansinnen andere gesetzliche Regelungen (z.B. Aufbewahrungspflichten aus dem Steuerrecht) entgegenstehen.
Dateninhaber können die Übergabe ihrer Daten an einen anderen Dienstleister beauftragen.
Informationen zur EU-DSGVO
Prüfen, ob eine Ausgabe der Daten in einer für andere lesbaren Form möglich und sinnvoll ist.
Sicherheit der Verarbeitung garantieren
Informationen zur EU-DSGVO
Zitat: „Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.“
Wichtige Maßnahmen hier können sein:
- Pseudonymisierung und Verschlüsselung von Daten -> Ansprechpartner Daten werden verschlüsselt in ORGA-PEG abgelegt
- Sicherstellung der Verfügbarkeit und Belastbarkeit von Systemen
- Datensicherungen und Wiederherstellbarkeit von Daten nach einem Zwischenfall à OpenSoft Managed Backup +
- Entwicklung von Test-/Prüfverfahren zur Beurteilung von Systemen
Verarbeitungstätigkeiten beschreiben
- Datensicherungen erstellen/verschlüsseln/sichern
- Dienstleistungen/Fehlersuchen/Unterstützung mit pseudonymisierten Daten ausführen
- unautorisierte Weitergabe von Daten verhindern (z.B. Übergaben von Datensätzen/-beständen an Drucker, Zwischenablage usw.)
- unautorisierten Zugriff auf Datenbestände verhindern
- unbeabsichtigtes „Zeigen“ von Daten verhindern (Bildschirm)
- gesicherte Kommunikation beispielsweise durch Zertifikate und Signaturen/Verschlüsselung
- Abläufe/Prozesse im Unternehmen auf Vereinbarkeit mit der EUDSGVO prüfen (z.B. Arbeit mit Datensicherungen, Zugriff auf Fremde Systeme)
- Datenschutzmaßnahmen dokumentieren
- Datenschutzerklärung und Einwilligungen/Formulare überprüfen
- Verträge und Vertrags-/Geschäftsbedingungen überprüfen
DSGVO konform arbeiten
Die DSGVO verlangt, dass alle eingesetzten Anwendungen, die personenbezogene Daten verarbeiten, sicherstellen, dass die Anwender des Systems technisch in der Lage sind, das Datenschutzrecht umsetzen können. Ab dem ORGA-PEG Programmstand 2014v34.0.0 in Verbindung mit der C16-Version 5.8.09 versetzten wir unseren Anwender in die Lage, DSGVO konform in ORGA-PEG arbeiten zu können. Bei der Installation des ORGA-PEG und C16 Standes unterstützen wir Sie gerne.
Achtung: Bitte beachten Sie, dass ebenfalls ein Update auf den aktuellsten C16 Stand 5.8.09 notwendig ist, um alle DSGVO relevanten Anforderungen umzusetzen.
Die nachfolgenden Windows-Updates werden auf jedem PC benötigt, der mit ORGA-PEG arbeitet und sind bei älteren Windows Versionen (< Windows 10) nicht automatisch enthalten. Download 32-Bit | Download 64-Bit
Die Umsetzung erfolgt durch Wahrung der nachfolgenden Punkte:
1. Benutzer Kennwort
Die DSGVO fordert durch die Anwendung entsprechender Technischer Organisatorischer Maßnahmen (TOMs) die Datensicherheit zu gewährl eisten. Ein Benutzerkennwort ist eine solche TOM. Bisher war es in ORGA-PEG möglich, Benutzer ohne Kennwort auf Datenbankebene zu erstellen. Dies wird auch weiterhin der Fall sein. Um der Forderung nach „Privacy by Default“ gerecht zu werden, ist es Benutzern OHNE Kennwort an dem o.g. Programmstand NICHT mehr möglich, Ansprechpartner bezogene Daten einzusehen (Stamm-Masken, Listen, Infosystem, etc.). Ebenso erfolgt ein entsprechender Hinweis bei jedem Login, dass hier evtl. nicht DSGVO konform gearbeitet wir.
2. Regelmäßige Änderung des Benutzerkennwortes
Um der Forderung nach „Privacy by Default“ besser gerecht zu werden, haben wir die Kennwortrichtlinie um einen Zeitraum der Gültigkeit erweitert.
D.h. der User wird nach einer bestimmten Anzahl Tage aufgefordert, sein Kennwort zu ändern. Der hinterlegte Standard sind 90 Tage.
Die Einstellungen kann unter dem Punkt „Parameter“ » „Firma“ gemäß Ihrer Vorgabe geändert werden (maximal 9999 Tage)
3. Neuer Benutzerparameter DSGVO
Unter den Benutzerparametern -> Rechte finden Sie nun einen neuen Parameter DSGVO. Ist dieser Parameter aktiviert, so hat der Benutzer Zugriff auf Ansprechpartner Daten. Der Parameter kann über den User SYSOP gesetzt werden, sofern bei dem Benutzer ein Kennwort hinterlegt ist.
ACHTUNG: Gemäß „Privacy by Default“ wird der Parameter mit dem o.g. Update bei allen Benutzern deaktiviert. D.h. nach dem Update hat kein Benutzer Zugriff auf Ansprechpartnerdaten, so lange das Recht nicht wieder gesetzt wird.
4. Infosystem
Ist der Benutzerparameter „DSGVO“ nicht aktiv, so erhält der User keinerlei Zugriff auf Ansprechpartnerdaten.
Im Infosystem werden die entsprechenden Registerkarten deaktiviert und stehen nicht mehr zur Verfügung.
5. Listenformate
Ist der Benutzerparameter „DSGVO“ nicht aktiv, so erhält der User keinerlei Zugriff auf Ansprechpartnerdaten.
In Konsequenz werden daher alle Listen ausgeblendet, die eventuell Ansprechpartnerdaten enthalten können. Ebenfalls deaktiviert sind die Individuallisten, da hier nicht überprüft werden kann, welche Datenbereiche angedruckt werden.
6. Adressenstamm
Ist der Benutzerparameter „DSGVO“ nicht aktiv, so erhält der User keinerlei Zugriff auf Ansprechpartnerdaten.
Im Adressenstamm werden die entsprechenden Registerkarten deaktiviert und stehen nicht mehr zur Verfügung.
7. Ansprechpartner
Ist der Benutzerparameter „DSGVO“ nicht aktiv, so erhält der User keinerlei Zugriff auf Ansprechpartnerdaten.
Im unteren Teilbereich werden die entsprechenden Registerkarten deaktiviert und stehen nicht mehr zur Verfügung.
8. Auftragsbearbeitung / Zugriffslisten
Ist der Benutzerparameter „DSGVO“ nicht aktiv, so erhält der User keinerlei Zugriff auf Ansprechpartnerdaten.
Im Bereich der Auftragsabwicklung sind hier maßgeblich die Projektdaten betroffen. Eine Auswahl auf die Ansprechpartnerdaten wird daher an dieser Stelle deaktiviert.
9. Adressen-Stammsatz Ausdruck
Ist der Benutzerparameter „DSGVO“ nicht aktiv, so erhält der User keinerlei Zugriff auf Ansprechpartnerdaten.
Aus diesem Grund können auch die Ansprechpartnerinformationen im Bereich der Adressen Stammsätze nicht mehr angedruckt werden.
Opensoft+ unterstüzt Sie bei der Umsetzung der DSGVO
Die Umsetzung der DSGVO ist für alle Unternehmen ein wichtiges und essentielles Thema. Wir möchten Sie bei der Umsetzung der DSGVO unterstützen – soweit dies im rechtlichen Rahmen möglich ist und bieten Ihnen die nachfolgenden Punkte an:
Kostenfreie Teilnahme am Webinar „DSGVO ALLGEMEIN“
In unserem Webinar am Mittwoch, 30.05.2018 um 09:00 Uhr möchten wir noch einmal ganz allgemein über die DSGVO aufklären, welche Punkte für Sie als Unternehmen zu berücksichtigen sind und welche Maßnahmen Sie am besten mit welchen Tools umsetzen können. Hier werden keine speziellen ORGA-PEG Themen behandelt, sondern die DSGVO und Ihre Konsequenzen in Übersicht dargestellt.
Video „Umsetzung der DSGVO in ORGA-PEG“
In diesem Video beschreiben wir noch einmal die konkrete Umsetzung der DSGVO in ORGA-PEG. Welche Parameter haben Einfluss, wo kann ich diese setzen und mit welchem User kann ich das tun.
DSGVO Upgrade-Paket
Wir wissen: Das Einspielen eines ORGA-PEG oder gar C16 Updates ist nicht jedermanns Sache. Hierbei möchten wir Sie unterstützen und haben dafür unser DSGVO Upgrade-Paket geschnürt, welches die nachfolgenden Dienstleistungen enthält:
- Installation und Verteilung des C16-Programmstandes 5.8.09 auf Ihrem Server, sowie verbundenen Clients per Teamviewer
- Installation und Durchführung des ORGA-PEG Updates auf Stand 2014v34.0.0 per Teamviewer
- Persönliche Schulung per Teamviewer über die Umsetzung der DSGVO in ORGA-PEG
- Einstellen der entsprechenden Parametern in Bezug auf die DSGVO bei Ihren ORGA-PEG Benutzern
Festpreis für das DSGVO-Paket sind 99,- EUR zzgl. MwSt.
Managed Backup+
Mit unserem Produkt Managed Backup+ erfüllen Sie die Anforderungen der DSGVO an die Datensicherheit. Wir sichern Ihre C16 Datenbanken täglich verschlüsselt in deutschen Rechenzentrum und gewährleisten die Integrität und damit auch die Funktionsfähigkeit der gesicherten Dateien. Sollte der Fall eines Serverausfalls in Ihrem Hause eintreffen, stellen wir Ihnen das letzte Backup Ihrer Datenbanken per Remote-Desktop-Applikation aus unserem Rechenzentrum zur Verfügung und gewährleisten somit, dass Sie schnell und unkompliziert weiter arbeiten können.
Mailarchiv+
Im Rahmen der GdPdU sind Unternehmen in Deutschland zum revisionssicheren Ablegen von steuerrechtlich relevanten Daten verpflichtet. Aus diesem Grund gehen viele Unternehmen dazu über, einfach den gesamten Mailverkehr zu archivieren. Bei einer späteren Prüfung kann somit nichts fehlen.
Mit MailArchiv+ kann entweder eine vollautomatische Ablage – jede Mail wird automatisch archiviert – oder eine halbautomatische Ablage – Sie entscheiden ob eine E-Mail archiviert wird – erfolgen. Dabei können alle gängigen Emailsysteme, wie Microsoft Exchange, Office365, Tobit, Kerio, etc. angebunden werden.
MailArchiv+ erhalten Sie kostengünstig und ohne Installationsaufwand aus der Cloud – und das schon ab 3 EUR pro User.
Links
Nachfolgend möchten wir Ihnen noch einige Links mit Ihnen teilen, welche uns beim Verständnis und der Umsetzung der DSGVO in unserem Unternehmen geholfen haben:
Sollten Sie generelle Fragen zum Thema Datenschutz bei OpenSoft+ haben, oder möchten Sie von Ihren Persönlichkeitsrechten Gebrauch machen, so erreichen Sie uns gerne per E-Mail.