Detaillierte Begutachtungsergebnisse DATENSCHUTZBEGUTACHTUNG BUNDESDATENSCHUTZGESETZ (BDSG) DATEV eg DATEV-STANDORTE IN DEUTSCHLAND

Transkript

1 Detaillierte Begutachtungsergebnisse DATENSCHUTZBEGUTACHTUNG BUNDESDATENSCHUTZGESETZ (BDSG) DATEV eg DATEV-STANDORTE IN DEUTSCHLAND 29. Oktober 2015

2 1 Erläuterungen zur Begutachtung Ausgangslage Die DATEV eg, Nürnberg, hat sich in den 49 Jahren seit ihrer Gründung am 14. Februar 1966 zum führenden Softwarehaus und IT-Dienstleister für Steuerberater, Wirtschaftsprüfer und Rechtsanwälte sowie deren Mandanten entwickelt. Das Leistungsspektrum umfasst vor allem die Bereiche Rechnungswesen, Personalwirtschaft, betriebswirtschaftliche Beratung, Steuern, Enterprise Resource Planning (ERP) sowie Organisation und Planung. Basierend auf der Satzungsänderung vom 18. Februar 2005 kann DATEV auf Wunsch eines Mitgliedes auch unmittelbar für dessen Mandanten tätig werden. Daneben werden einzelne Leistungen auch für Nicht-Mitglieder erbracht (IT-Sourcing). Laut Geschäftsbericht 2014 hatte DATEV am 31. Dezember 2014 insgesamt Mitarbeiterinnen und Mitarbeiter sowie Mitglieder, für die u. a. monatlich über 11,5 Mio. Lohn- und Gehaltsabrechnungskonten sowie 2,5 Mio. Finanzbuchhaltungen deutscher Unternehmen bearbeitet wurden. Angesichts von Art und Umfang der verarbeiteten Daten sind der Schutz und die Sicherung dieser Daten sowie der IT-Systeme und eine entsprechende Gestaltung der Programme, Schulungen und Beratungsangebote von existentieller Bedeutung für das Unternehmen; dies wird auch von den Mitgliedern so eingeschätzt. Da bei der Auftragsdatenverarbeitung die Verantwortung für die verarbeiteten Daten beim Auftraggeber liegt, ist dieser gehalten, sich von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Datenschutzmaßnahmen zu überzeugen ( 11 BDSG). Die Anforderungen für die vertragliche Gestaltung der Auftragsdatenverarbeitung ( 11, insbesondere Abs. 2 BDSG) wurden mit der Novellierung des Bundesdatenschutzgesetzes von 2009 erhöht. Dazu gehören auch die zu treffenden technischen und organisatorischen Maßnahmen, die Kontrollpflichten des Auftragnehmers (wie DATEV) und die Kontrollrechte des Auftraggebers (wie Mitglied), dessen Weisungsbefugnisse sowie Regelungen für die Löschung gespeicherter Daten beim Auftragnehmer. Zu diesem Zweck stellt die DATEV ihren Mitgliedern neben dem Vertrag zur Auftragsdatenverarbeitung mit der Beschreibung der technischen und organisatorischen Maßnahmen gemäß Anlage zu 9 BDSG auch die Broschüre Datenschutz und Datensicherheit bei DATEV zur Verfügung. Diese enthält eine weitergehende Beschreibung der bei DATEV getroffenen Datenschutz- und Datensicherheitsmaßnahmen. Sie gibt Einblick in die getroffenen Maßnahmen, erlaubt als solche jedoch noch nicht die Beurteilung der Gesetzeskonformität und der Wirksamkeit der getroffenen Maßnahmen. DATEV sieht sich also vor die Aufgabe gestellt, den Mitgliedern eine Einschätzung des Datenschutzniveaus zu ermöglichen, die möglichst ohne eine individuelle Inaugenscheinnahme auskommt. 1.2 Zweck der Begutachtung In der Vergangenheit konnte dieser Zweck weitgehend mit dem Verweis auf die regelmäßigen Prüfungen durch die Datenschutz-Aufsichtsbehörde erreicht werden. Im Zuge der Novellierung des Bundesdatenschutzgesetzes (BDSG) im Jahr 2001 ist die turnusmäßige Überprüfung des Rechenzentrums der DATEV durch die Aufsichtsbehörde jedoch entfallen. Als Ersatz dafür hat DATEV erstmalig im Jahr 2006 von der im BDSG geschaffenen Möglichkeit Gebrauch gemacht, auf freiwilliger Basis das Datenschutzkonzept durch unabhängige und zugelassene Gutachter prüfen und bewerten zu lassen (Datenschutzaudit nach 9a BDSG). Mit diesem freiwilligen Datenschutzaudit nach 9a BDSG möchte DATEV für alle Mitglieder und weiteren Kunden einheitlich und übergreifend darlegen, dass die getroffenen Datenschutzmaßnahmen die gesetzlichen Forderungen erfüllen und angemessen und wirksam umgesetzt sind. Als 1 Dieser Bericht kann auch als Kurzfassung ohne Abschnitt 3 Anhang: Einzelergebnisse der Begutachtung veröffentlicht werden, siehe Abschnitt 1.7 Nutzung der Begutachtungsergebnisse. Bericht zum Datenschutzaudit /6

3 Nachweis hierzu stellt DATEV den Mitgliedern, den weiteren Kunden und der Öffentlichkeit das jeweils gültige Zertifikat bereit, das bei Bedarf durch den zugehörigen Audit-Bericht belegt werden kann. Insbesondere wird durch das Zertifikat auch bestätigt, dass die in der Vereinbarung zur Auftragsdatenverarbeitung und in der Broschüre Datenschutz und Datensicherheit beschriebenen Maßnahmen wirksam und angemessen sind. Damit versetzt DATEV ihre Mitglieder und Kunden in die Lage, der geforderten Kontrollpflicht auf einfache und wirksame Weise nachkommen und auch etwaige Dokumentationspflichten gegenüber externen Stellen und Kontrollorganen erfüllen zu können. 1.3 Rahmen der Begutachtung Da die in 9a BDSG angekündigte gesetzliche Regelung der näheren Anforderungen eines solchen Datenschutzaudits nach wie vor aussteht, ist die Auswahl eines geeigneten Zertifizierungsverfahrens für die Aussagekraft des Zertifikates von entscheidender Bedeutung. Dabei sind sowohl die Reputation der Zertifizierungsgesellschaft als auch die zugrunde gelegten Verfahrensweisen wesentlich. Mit der Durchführung des freiwilligen Datenschutzaudits hat DATEV daher die DQS GmbH Deutsche Gesellschaft zur Zertifizierung von Managementsystemen betraut. Die DQS GmbH ist auf dem Gebiet der Zertifizierung von Qualitäts- und Managementsystemen einer der Marktführer und für zahlreiche Regelwerke nach der ISO / IEC akkreditiert. 2 Nachdem für den Bereich Datenschutz keine Akkreditierung vorgesehen ist, führt die DQS die Zertifizierung in Anlehnung an das akkreditierte Verfahren zur Begutachtung von Informationssicherheits- Managementsystemen nach ISO/IEC (früher BS 7799) durch, so dass ein angemessenes Begutachtungsniveau gewährleistet ist. Nach dieser Norm hat DATEV außerdem im Jahr 2010 ihr Informationssicherheits- Managementsystem (ISMS) für das Rechenzentrum zertifizieren lassen. Das verliehene Zertifikat wurde im Januar 2015 erneuert. Darüber hinaus wurde im Juli 2015 das Druck-, Logistik- und Servicezentrum erfolgreich nach ISO (Service Management) und ISO 9001 (Qualitätsmanagement) zertifiziert. Die Zertifizierung des Entsorgungsprozesses nach der DIN SPEC wurde im November 2014 erfolgreich abgeschlossen. Das Zertifikat bestätigt die ordnungsgemäße Entsorgung von Test- und Fehldrucken aus dem Produktionsbereich gemäß den Anforderungen von Schutzklasse 3 und Sicherheitsstufe 4 der DIN SPEC (sehr hoher Schutzbedarf, besonders sensible Daten). Aus diesen durch die DQS GmbH durchgeführten Zertifizierungen ergeben sich insbesondere bei der Begutachtung der nach 9 BDSG zu treffenden Datensicherheitsmaßnahmen erhebliche Synergien. Im Rahmen des freiwilligen Datenschutzaudits soll das gesamte Datenschutz-Managementsystem der DATEV auf seine gesetzeskonforme und effektive Gestaltung hin überprüft werden. Dabei sollen gegebenenfalls bestehende Optimierungspotentiale aufgedeckt und genutzt werden. Die Erstzertifizierung wurde im Herbst 2006 erfolgreich durchgeführt und durch Förderbegutachtungen in den beiden folgenden Jahren bestätigt. Gemäß den Regularien für die Zertifizierung ist nach drei Jahren eine Wiederholung der Zertifizierung im vollen Umfang erforderlich. Der im Jahr 2012 begonnene dritte Zyklus wurde ebenfalls erfolgreich durchgeführt. Mit der erfolgreichen Wiederholungsbegutachtung im Jahr 2015 beginnt also nun der vierte Zyklus zur Begutachtung der gesetzeskonformen Umsetzung des Datenschutzes und der Überprüfung und Bestätigung der wirksamen Umsetzung der vertraglich vereinbarten technischen und organisatorischen Maßnahmen zum Schutz der Auftragsdaten, dessen Ergebnisse hier berichtet werden. 2 Übersicht unter Die bestehenden Akkreditierungen durch die bisher zuständige Trägergemeinschaft für Akkreditierung GmbH (TGA) sind inzwischen auf die Deutsche Akkreditierungsstelle GmbH (DAkkS) übergegangen, nachdem die Zusammenführung in eine einzige nationale Akkreditierungsstelle gemäß Artikel 4 Absatz 1 der Verordnung (EG) Nr. 765/2008 zum 1. Januar 2010 umgesetzt wurde ( Bericht zum Datenschutzaudit /6

4 Die Begutachtung der Standorte wird im so genannten Matrixverfahren durchgeführt, bei dem jeweils aus den noch nicht begutachteten Standorten eine geeignete Stichprobe ausgewählt wird. 1.4 Geltungsbereich der Begutachtung Das freiwillige Datenschutzaudit betrifft alle Standorte der DATEV in Deutschland, d. h. die zentralen Standorte in Nürnberg und die zum Prüfungszeitpunkt bestehenden 25 DATEV-Niederlassungen, wobei das vormalige DATEV Informationszentrum Nürnberg in der Zentrale aufgegangen und damit als eigener Standort weggefallen ist. Das erteilte Zertifikat gilt drei Jahre lang, sofern es durch jährliche Förderbegutachtungen aufrechterhalten wird. 1.5 Gegenstand der Begutachtung Prüfungsschwerpunkte waren folgende Themen des Bundesdatenschutzgesetzes: Schutzbereich Datenschutzmanagement o Betrieblicher Datenschutzbeauftragter (DSB) und andere Datenschutzorgane o Verantwortung der Leitung o Überwachung und Verbesserung o Änderungsmanagement zur Berücksichtigung gesetzlicher Neuerungen, insbesondere die Umsetzung der BDSG-Novelle II Vereinbarung zur Auftragsdatenverarbeitung wirksame und angemessene Umsetzung der vereinbarten technischen und organisatorischen Maßnahmen, z. B. Auftragskontrolle Zulässigkeit des Umgangs mit personenbezogenen Daten Verpflichtung auf das Datengeheimnis und die berufliche Verschwiegenheit Schulung der Mitarbeiter Rechte Betroffener Allgemeine Datensicherungsmaßnahmen Besondere Formen des Umgangs mit personenbezogenen Daten Datenschutz in besonderen Bereichen o Generelle Zutrittskontrolle o Produktentwicklung o Produktion o Wahrung des Berufsgeheimnisses bei ASP/NSM und anderen DATEV-Produkten o DATEV-Niederlassungen o Anwenderservice und Vertrieb o Trustcenter-Dienstleistungen 1.6 Durchführung und Kriterien der Begutachtung Die Begutachtung erfolgte vom bis in vier DATEV-Niederlassungen und vom bis in den Räumen der DATEV-Zentrale in Nürnberg. Im Rahmen dieser Prüfungshandlungen wurden von Seiten der DATEV die relevanten organisatorischen Regelungen, Prozesse und Verfahren vorgestellt und anhand der zugehörigen Regelungen und Nachweise begutachtet. Die Begutachtung erfolgte auf folgender Grundlage: Bericht zum Datenschutzaudit /6

5 Bundesdatenschutzgesetz (BDSG) in der Fassung vom 14. August sowie weitere bereichsspezifische Datenschutz-Rechtsvorschriften (z. B. Telegesetze); Interne Vorgabedokumente der DATEV zum Datenschutz und zur IT-Sicherheit. 1.7 Nutzung der Begutachtungsergebnisse Mit der erneuten Begutachtung des Datenschutzes im Jahr 2015 hat DATEV wieder einen wirksamen Kontrollnachweis für ihre Mitglieder und sonstigen Kunden durch einen unabhängigen Gutachter erbracht. Das Datenschutz-Zertifikat ist auf der Website der DQS in der frei zugänglichen Kundendatenbank veröffentlicht ( Das Datenschutz-Zertifikat der DQS in Verbindung mit der eigenen Prüfung des Audit-Berichts kann für die Dokumentation der gesetzlichen regelmäßigen Kontrollpflicht verwendet werden. Auch können diese Testate an die Mandanten weitergegeben werden, falls diese wiederum eine eigene Kontrollpflicht wahrnehmen möchten. Dafür werden im Internet unter folgende Dokumente zur Verfügung gestellt: 1. Datenschutz-Zertifikat. 2. Kurzfassung des vorliegenden Berichtes, also ohne den Abschnitt 3 Anhang: Einzelergebnisse der Begutachtung. Die Langfassung kann auf Anfrage vom Datenschutzbeauftragten zur Verfügung gestellt werden. 3. DATEV-eigene Ergänzungen, insbesondere die Broschüre Datenschutz und Datensicherheit bei DATEV. Anhand dieser Testate können sich die Auftraggeber wie bisher schon von der Einhaltung der technischen und organisatorischen Maßnahmen durch DATEV überzeugen. 2 Gesamtergebnis der Begutachtung Die Begutachtung hat ergeben, dass der DATEV uneingeschränkt die Datenschutzkonformität bescheinigt werden kann. Insbesondere hat die Begutachtung ergeben, dass bei DATEV sehr vielfältige, umfassende und komplexe Datenschutz- und Datensicherheitsmaßnahmen bestehen, die die Anforderungen des Bundesdatenschutzgesetzes in vollem Umfang erfüllen und insbesondere auch einen hohen Vorsorgestand und einen sicheren Datenverarbeitungsbetrieb gewährleisten. DATEV überprüft laufend die technischen und organisatorischen Maßnahmen in Form von regelmäßigen internen Kontrollen auf ihre Angemessenheit und Wirksamkeit und dokumentiert die Ergebnisse in einer Checkliste bzw. in den dazugehörigen internen Datenschutzkontrollberichten. Diese Überprüfungen wurden ihrerseits im durchgeführten Wiederholungs-Audit anhand von Stichproben nachvollzogen. Auf dieser Grundlage wird die wirksame und angemessene Erfüllung der in der Vereinbarung zur Auftragsdatenverarbeitung festgelegten technischen und organisatorischen Maßnahmen (TOM) bestätigt. Damit können Mitglieder und Kunden zur Erfüllung Ihrer Prüfpflicht nach 11 (2) Satz 4 BDSG auf die vorliegende Zertifizierung zurückgreifen. 3 Hinweis zum Bundesdatenschutzgesetz (BDSG): Das am 1. Januar 2016 in Kraft tretende Zweite Gesetz zur Änderung des Bundesdatenschutzgesetzes dürfte zwar keine unmittelbaren Auswirkungen auf die DATEV haben, es dürfte aber die Rolle des Datenschutzes insgesamt stärken, da die/der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit den rechtlichen Status einer obersten Bundesbehörde erhält und somit künftig ausschließlich der Kontrolle des Parlamentes und der Gerichte unterliegt. Bericht zum Datenschutzaudit /6

6 Hohe Synergien für den wirksamen Nachweis und die Kontrolle der technischen und organisatorischen Maßnahmen ergeben sich darüber hinaus bei der erfolgreichen Begutachtung und Zertifizierung des ISMS (Informationssicherheits-Managementsystem) nach ISO/IEC für das Rechenzentrum und nach ISO / ISO 9001 für den Bereich des Druck-, Logistik- und Servicezentrums sowie für die Entsorgung besonders sensibler Daten gemäß DIN SPEC Frankfurt am Main, 29. Oktober 2015 DQS GmbH Bericht zum Datenschutzaudit /6