Markus Olbring,
comdatis it-consulting GmbH & Co.KG

Deventer Weg 8
D-48683 Ahaus-Alstätte

Datenschutz

Die Datenschutzgrundverordnung (DSGVO) und das Bundesdatenschutzgesetz (BDSG) stellen Anforderungen an Unternehmen jeder Größenordnung und Vereine. 

Der Umfang der notwendigen Maßnahmen hängt wesentlich davon ab, in welchem Umfang personenbezogene Daten verarbeitet werden und wie risikobehaftet die Verarbeitung ist. Die Verarbeitung von Gesundheitsdaten, die als besonders schützenswert definiert sind, birgt höhere Risiken als die Pflege einer Kundendatenbank für Angebotserstellung und Rechnungsschreibung. 

Insbesondere für kleine und mittlere Unternehmen können die Anforderungen der Datenschutzgrundverordnung einfach und pragmatisch umgesetzt werden. Mit Blick auf die Informationssicherheit können gar Mehrwerte für Unternehmen geschaffen werden. 

Zunächst muss festgestellt werden, welche personenbezogenen Daten im Unternehmen verarbeitet werden. Hieraus wird das Verzeichnis der Verarbeitungstätigkeiten (VVT) erstellt. Anhand einer einfachen Risikobewertung wird bewertet, ob hohe Risiken bestehen. Im einfachsten Fall, und das ist die Regel, bestehen normale Risiken.

Beschäftigen sich im Unternehmen 20 Personen oder mehr regelmäßig unter Verwendung von IT-Systemen mit personenbezogenen Daten, muss das Unternehmen einen Datenschutzbeauftragten (DSB) ernennen und die Kontaktdaten an die zuständige Aufsichtsbehörde melden. Der Datenschutzbeauftragte darf Mitarbeiter des Unternehmens sein, der diese Funktion unabhängig und frei von Interessenkonflikten ausüben kann. Auch ein externer Datenschutzbeauftragter darf ernannt werden.

Mit zunehmenden Cyber-Angriffen sollten sich Unternehmen mit der Informationssicherheit beschäftigen. Für den Bereich der Verarbeitung personenbezogener Daten ist die Informationssicherheit in Form der technischen und organisatorischen Maßnahmen sogar verpflichtend umzusetzen und zu dokumentieren. Dieser Themenbereich ist ein klarer Mehrwert für jedes Unternehmen.

Folgende weitere Anforderungen müssen umgesetzt werden:

  • Datenschutz-Folgenabschätzung (z.B. falls eine Videoüberwachung im Einsatz ist)
  • Erfüllung von Informationspflichten gegenüber Geschäftspartnern, Bewerbern, Mitarbeitern, auf der Website sowie in sozialen Netzwerken
  • Schulung der Mitarbeiter
  • Verpflichtung zur Vertraulichkeit für Mitarbeiter
  • Verfahren für den Umgang mit Datenschutzverletzungen
  • Verfahren für den Umgang mit Betroffenenrechten
  • Verfahren für die Verwaltung von Einwilligungen
  • Etablierung eines Löschkonzeptes
  • Verpflichtung externer Dienstleistungsunternehmen (Auftragsverarbeitung)

TNM-Berater unterstützen bei der Umsetzung der Anforderungen für kleine und mittelständische Unternehmen.

Zunehmende Digitalisierung, die Vernetzung aller Unternehmensbereiche und das zunehmende Risiko von Cyber-Attacken durch Verschlüsselungstrojaner führen zu einem veränderten Bewusstsein für die Informationssicherheit in Unternehmen jeder Größenordnung.

Die Risiken können durch eine Umsetzung von Mindestmaßnahmen zur Stärkung der Informationssicherheit erheblich gesenkt werden.

Zur Klärung der Anforderungen der Informationssicherheit im Unternehmen müssen zunächst die Sicherheitsziele definiert werden:

  • Welche „Kronjuwelen“ gilt es schützen?
  • Welche Ausfallzeiten der IT im Unternehmen ist akzeptabel?
  • Bestehen hohe Abhängigkeiten von externen IT-Dienstleistern?
  • Soll eine Zertifizierung im Bereich Informationssicherheit (z.B. ISO 27001, VdS 10000) erreicht werden?
  • Werden Sicherheitsanforderungen von Dritten (z.B. Kunden) an das Unternehmen herangetragen?
  • Gibt es gesetzliche Verpflichtungen an die Informationssicherheit? (z.B. KRITIS, IT-Sicherheitsgesetz, DSGVO)
  • Gibt es Anforderungen von Versicherungsgesellschaften (z.B. Cyberschutz-Police)?

Die Maßnahmen zur Informationssicherheit werden häufig in ein Managementsystem überführt. Die Sicherheitsziele für das Informationssicherheits-Managementsystem (ISMS) werden in einer Leitlinie von der Geschäftsleitung dokumentiert.

Neben technischen Maßnahmen zur Informationssicherheit werden organisatorische Maßnahmen umgesetzt. Hierzu zählt die Erstellung von Richtlinien bzw. Betriebsvereinbarungen und/oder Arbeitsanweisungen. Inhaltlich können Regeln zu folgenden Inhalten definiert werden:

  • Umfang der Privatnutzung im Unternehmen
  • Mobiles Arbeiten / Home-Office
  • Umgang mit Informationssicherheitsvorfällen
  • bring your own device (BYOD)
  • Umgang mit Mobilgeräten 
  • Umgang mit betrieblicher Hard- und Software
  • Umgang mit mobilen Datenträgern und deren Transport
  • Regelungen für den zulässigen Gebrauch von Hard- und Software

Die konkrete Ausgestaltung von Richtlinien hängt vom Unternehmen ab.

Ein wesentlicher Faktor ist die Sensibilisierung der Mitarbeiter, hier müssen Schulungs- und Awarenessmaßnahmen etabliert werden. 

Neben den organisatorischen Aspekten gibt es eine Vielzahl an technischen Maßnahmen, die im Unternehmen geregelt werden müssen. Hierzu zählen:

  • Vorgabe für sichere Kennwörter
  • Aktivierung einer 2-Faktor-Authentifizierung (2FA) für eine Einwahl von Extern (z.B. VPN, Office 365)
  • Etablierung von Verfahren zur Datensicherung und Sicherstellung der Durchführung von Tests der Datensicherung
  • Minimierung der administrativen Berechtigungen 
  • Berechtigungsvergabe nach dem „Need-to-know-Prinzip“
  • Zeitnahe Deaktivierung / Sperre von Benutzern, die das Unternehmen verlassen
  • Sicherstellung der Netzwerksicherheit (z.B. Trennung Netzwerk und Gäste-WLAN)
  • Sicherstellung von Verfahren zur regelmäßigen Aktualisierung von Software auf Clients und Servern (Patches)
  • Sicherstellung von Virenschutzprogrammen auf allen Clients und Servern und Überwachung der Funktionsfähigkeit
  • Etablierung eines Notfallkonzeptes

Über regelmäßige Selbsteinschätzungen können Defizite einfach aufgedeckt und behandelt werden.

Ein wesentlicher Aspekt bei der Einführung von Maßnahmen zur Informationssicherheit ist die Definition von Verantwortlichkeiten im Unternehmen. 

Berater der TNM können bei der Umsetzung begleiten und Audits der etablierten Maßnahmen durchführen.

Informations-sicherheit

Verfahrens- dokumentation

Durch die zunehmende Digitalisierung entstehen IT-gestützte Geschäftsprozesse, die für die steuerliche Rechnungslegung der Unternehmen bedeutsam sind. Mit dem BMF-Schreiben „Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff“ (GoBD) sieht der Gesetzgeber die Erstellung einer Verfahrensdokumentation vor. Die GoBD haben in 2014 die BMF-Schreiben „Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen“ (GDPdU) und „Grundsätze ordnungsmäßiger DV-gestützter Buchführungssysteme“ (GoBS) abgelöst.

Diese soll einem sachverständigen Dritten (z.B. Betriebsprüfer, Wirtschaftsprüfer) ermöglichen, die steuerrelevanten und IT-gestützten Geschäftsprozesse im Unternehmen nachvollziehen zu können. Neben den klassischen IT-gestützten Buchführungssystemen müssen insbesondere die Verfahren zur digitalen Belegablage einschl. Vernichtung der Papieroriginale, Kassensysteme, E-Mail und weitere Systeme berücksichtigt werden. Die Verfahrensdokumentation ist als Nachweis der Erfüllung der Anforderungen an eine Revisionssicherheit zu sehen. 

Typische Geschäftsprozesse mit Steuerrelevanz sind:

  • Beschaffung mit Bedarfsauslösung, Bestellabwicklung, Wareneingang / Dienstleistungserbringung, Rechnungsprüfung, Zahlungsabwicklung, Buchungserfassung im Hauptbuch

  • Absatz mit Angebot, Auftragsannahme / Bestellabwicklung, Warenausgang bzw. Dienstleistungserbringung, Fakturierung, Zahlungseingang, Buchungserfassung im Hauptbuch

  • Scan von Papierbelegen

  • Digitale Belegverarbeitung (z.B. Eingangsrechnungsverarbeitung) und -ablage

  • Kassenführung

  • E-Mail

  • Finanzbuchhaltung 

  • Anlagenbuchführung

  • Lohnbuchhaltung

  • Inventur

  • Umsatzsteuermeldungen

  • Jahresabschluss und Steuererklärung

Die Einbindung externer Leistungserbringer (z.B. Nutzung von Clouddiensten, Tätigkeit des Steuerberaters) muss in die Verfahrensdokumentation einfließen und es muss erkennbar sein, wem welche Pflichten obliegen. Bei Clouddiensten muss darauf eingegangen werden, wo die Datenhaltung stattfindet. Die Speicherung steuerrelevanter Daten innerhalb der EU ist zulässig, die Speicherung steuerrelevanter Daten außerhalb der EU-Grenzen bedarf der vorherigen Genehmigung des zuständigen Finanzamtes.

In der gelebten Praxis sollte die Dokumentation jedoch mehr sein als die bloße Erfüllung gesetzlicher Anforderungen. Folgende Mehrwerte können sich aus der Verfahrensdokumentation ergeben:

  • Schulungsunterlage für die Einarbeitung von Mitarbeitern

  • Aufdeckung von Verbesserungspotentialen in den betrieblichen Abläufen

  • Die Verfahrensdokumentation kann Ausgangspunkt für weitere Maßnahmen der Digitalisierung sein

  • Sicherstellung der Qualität der Abläufe 

  • Erfüllung der gesetzlichen Anforderungen

Die Verfahrensdokumentation besteht im Regelfall aus einer allgemeinen Beschreibung, einer Anwenderdokumentation, einer Betriebsdokumentation und einer Systemdokumentation. Der Umfang der Dokumentation hängt üblicherweise von der Komplexität und Größe des Unternehmens ab. Es darf berücksichtigt werden, ob möglicherweise ein bestehendes QM-System für die Verfahrensdokumentation verwertbar ist.

Konkrete Anforderungen an die inhaltliche Ausgestaltung der Dokumentation bestehen nicht oder nur sehr begrenzt. Dieser Umstand muss genutzt werden, um unternehmensspezifische Mehrwerte aus der Dokumentation abzuleiten.

Für Unterlagen mit besonderem Schutzbedarf und hohen Anforderungen an die Beweiskraft (z.B. elektronische Patientenakten) kann auf die Richtlinie „Ersetzendes Scannen (RESISCAN)“ (TR-03138) vom Bundesamt für Sicherheit in der Informationstechnologie (BSI) zurückgegriffen werden. 

Berater der TNM unterstützen bei Fragen zur Verfahrensdokumentation zur Sicherstellung der Einhaltung der Anforderungen aus den GoBD.

Kontakt zu Markus Olbring

Termin online vereinbaren