Die Munker Privacy Consulting GmbH

Transkript

1

2 Die Munker Privacy Consulting GmbH Unternehmensgründung im März 2012 Spezialisierung auf die Beratung von Freiberuflern, Kliniken und Dienstleistern Mehr als 12 Jahre Erfahrung im Datenschutz 15 Jahre Erfahrung in der IT- und Organisationsberatung Datenschutzberatung Datenschutzaudit Datenschutzmanagement Externe Datenschutzbeauftragte Munker Privacy Consulting GmbH Mühlfelder Str Herrsching am Ammersee Tel.: 08152/ Mail:

3 Ihr Referent Dirk Munker Dipl. Staatswissenschaftler (Univ.) Datenschutz-Auditor (TÜV) und externer Datenschutzbeauftragter Mehr als 12 Jahre Erfahrung im Datenschutz, darunter u.a.: Medizinischer Datenschutz Datenschutz im Personalwesen Datenschutz bei Finanzdienstleistern Behördlicher Datenschutz

4

5

6

7

8 Abmahnwelle gegen Steuerberater Ziel: Steuerkanzleien, die eine Homepage mit Kontaktformular betreiben. Begründung: Datenschutzrechtliche Hinweise zur Verwendung der über das Kontaktformular übermittelten Daten fehlen.

9 Fakten Datenschutz wird (zu) oft vernachlässigt Das Gefährdungspotenzial steigt durch moderne Technik (jederzeitige Verfügbarkeit von Daten, leichtes Erstellen von Profilen und Querverbindungen ist möglich) Beachtung ist gesetzlich vorgeschrieben im Bundesdatenschutzgesetz (BDSG) (basiert auf EU-Richtlinie v. 1995, teilw. Verschärfung 2009) Bußgeld bis zu (EU-DSGVO 10/20 Millionen Euro bzw. 4 % des weltweiten Jahresumsatzes!) Datenschutz ist nicht nur lästige Pflicht, sondern bringt auch Vorteile (fördert klare Arbeitsanweisungen, bringt Image- und Vertrauensgewinn nach innen und außen, Schadensprävention) 9

10 Warum ist Datenschutz notwendig? Grundrecht auf informationelle Selbstbestimmung (1983): Schutz der Privatsphäre; Kenntnis darüber, welche Daten wo gespeichert sind. Grundrecht auf digitale Intimsphäre (2008): Schutz der Daten in IT-Systemen sowie deren Vertraulichkeit und Integrität. BUNDES- VERFASSUNGS- GERICHT Merksatz für die Praxis: So wie Sie nicht wollen, dass Daten über Sie Unbefugten zur Kenntnis gelangen, müssen Sie auch dafür sorgen, dass Sie die Daten anderer vertraulich behandeln. 10

11 Wo ist der Datenschutz geregelt? Bundesdatenschutzgesetz (BDSG) Landes-Datenschutzgesetze Kirchen-Datenschutzgesetze Spezielle gesetzliche Regelungen: BGB, HGB, UWG, StBerG, WPO, BRAO, AO, StGB, SGB, TMG Künftig: EU Datenschutz Grundverordnung (rechtswirksam am 25. Mai 2018)

12 Besonderheiten in der Kanzlei 12

13 203 StGB - Verletzung von Privatgeheimnissen Wer unbefugt ein fremdes Geheimnis, namentlich ein zum persönlichen Lebensbereich gehörendes Geheimnis oder ein Betriebs- oder Geschäftsgeheimnis, offenbart, das ihm als Wirtschaftsprüfer, vereidigtem Buchprüfer, Steuerberater, Steuerbevollmächtigten anvertraut worden oder sonst bekanntgeworden ist, wird mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft. 13

14 Verschwiegenheit Siehe auch 57 Abs. 1 StBerG und 5 BOStB 62 StBerG: Verpflichtung der Mitarbeiter Keine Weitergabe von Informationen über Mandanten an Dritte. Betrifft auch die Information über das Mandatsverhältnis selbst. 14

15 Die IT-Landschaft in der Kanzlei EDV-Betreuung / IT-Systempartner Betreuung durch den Softwarepartner Wartung von Telefonanlagen Leasing von Multifunktionskopierern/-scangeräten mit Festplatte Entsorgung von PCs, Datenträgern etc. Providing von s etc. 15

16 Typische IT-Dienstleistungen in der Kanzlei ASP-Lösungen, Outsourcing der IT an Rechenzentren Webbasierte Tools zur Kommunikation mit dem Mandanten (Informationsaustausch, Datenbereitstellung) Webbasierte Tools zur Erfassung von Daten (Lohn, Kassenbuch, Belegerfassung ) Abruf von Bankkonten über Rechenzentren Hosting-Dienstleistungen für Homepages (oft inkl. -Providing) Outsourcing von Security-Lösungen Nutzung von Apps und webbasierten Lösungen zur Steigerung der Kanzleiproduktivität (Dropbox, Google Kalender, Office 365 etc.) 16

17 Weitergabe von Mandatsinformationen IT Dienstleistungen CloudServices Webanwendungen Weitergabe von Mandatsinformationen Softwarepartner Dienstleister Cloud-Anbieter Möglichkeit des Auftragnehmers zur Kenntnisnahme von Daten, die dem Berufsgeheimnis und dem Bundesdatenschutzgesetz unterliegen. 17

18 Beispiel IT-Dienstleistungen Wartung vor Ort: Mögliche Kenntnis des Systembetreuers von Mandatsinformationen. Wartung Online: Mögliche Kenntnis des Systembetreuers von Mandatsinformationen plus Sicherstellen der Verschlüsselung der Übertragungswege. 18

19 Beispiel Cloud-Services Datenübertragung in die Cloud: Übertragungswege hinreichend verschlüsselt? Speicherung beim Cloud-Anbieter: Ist sichergestellt, dass kein Dritter Kenntnis über die Daten erlangen kann (Verschlüsselte Speicherung)? Unterauftragnehmer: Bezieht der Anbieter ggf. Leistungen weiterer Anbieter? Sind dort die Voraussetzungen gegeben? Achtung: Datenübermittlung ins Ausland!? 19

20 Rechtliche Situation Offenbarung von Mandantendaten nur mit Einwilligung der Mandanten! Kaum Verfahren zu 203 StGB bekannt. Antragsdelikt Setzt Strafantrag des Betroffenen voraus. Unkenntnis der Vorschriften beim Mandanten. Unkenntnis der praxisinternen Abläufe beim Mandanten. Auch bei Kenntnis: Oft Vorteil für die weitere Zusammenarbeit mit der Kanzlei. RISIKO! Finanzieller Schaden und Imageschaden für die Kanzlei sowie persönliches Haftungsrisiko für den Berater, wenn der Verstoß gegen das Berufsgeheimnis offenkundig wird (z.b. durch Datenschutzpanne). 20

21 Rechtliche Situation Derzeitige Ausgestaltung der Schweigepflicht in der Steuerkanzlei wird der heutigen Arbeitswelt in vielen Fällen nicht mehr gerecht. Ohne Entbindung von der Schweigepflicht besteht jedoch rechtliche Unsicherheit für alle Beteiligten. Zusätzliche Verschärfung der Situation durch aktuelle Vorschriften, z. B. Gesetz zur Förderung des elektronischen Rechtsverkehrs mit den Gerichten. EMPFEHLUNG! Einholung einer Schweigepflichtentbindung des Mandanten für die Beauftragung von Kollegen und externen Dienstleistern! 21

22 Risiken im Alltag -Verkehr mit personenbezogenen Daten, die der beruflichen Verschwiegenheit unterliegen, nur verschlüsselt! Einwilligung der Mandanten in eine unverschlüsselte Kommunikation lässt Risiken offen! Problem: Fax im Zeitalter der IP-Telefonie? Vernichtung von Akten und Datenträgern nach DIN mindestens nach Sicherheitsstufe P4 in der Schutzklasse 3. Falls nicht vor Ort vernichtet wird, ist auch hierfür eine Einwilligung der Mandanten erforderlich. 22

23 Handbuch der Bundessteuerberaterkammer. 23

24 5 Stolpersteine im Datenschutz Datenschutzhinweise auf der Homepage (passt das Impressum?) Übersicht über Verfahren und Prozesse im Unternehmen Schulung und Belehrung der Mitarbeiter Verträge mit Dienstleistern Technisch-organisatorische Maßnahmen

25 5 Stolpersteine im Datenschutz Datenschutzhinweise auf der Homepage (passt das Impressum?) Information der Besucher Trackingtools Cookies Kontaktformular https-verschlüsselung

26 5 Stolpersteine im Datenschutz Übersicht über Verfahren und Prozesse im Unternehmen Wer verarbeitet was? Wie lange wird gespeichert? Risikobewertung Zukünftig Datenschutz-Folgenabschätzung

27 5 Stolpersteine im Datenschutz Schulung und Belehrung der Mitarbeiter Grundlagen des Datenschutzrechts Verhalten am Telefon (Auskunftsverhalten!) Umgang mit Fax und (Schadsoftware!) Umgang mit der IT Verhalten Im Internet (Privatnutzung)

28 5 Stolpersteine im Datenschutz Verträge mit Dienstleistern Datenverarbeitung im Auftrag ( 11 BDSG) Beispiele: Fernwartung Software, Telefonanlage, Multifunktionsgeräte, IT-Monitoring, Callcenter, Lohnbuchhaltung, Lettershop, Rechenzentrum/Cloud

29 5 Stolpersteine im Datenschutz Technisch-organisatorische Maßnahmen Organisation Datenschutz, Datensicherheit und IT-Security -> Berührungspunkte mit IT-Dienstleister und IT-Security

30 Was bedeutet Datenschutz? Datenschutz als Gesamtheit der in verschiedenen Gesetzen zum Schutz des Individuums vorhandenen Regelungen zum Schutz der Privatsphäre. Diese sollen in einer zunehmend automatisierten und computerisierten Welt vor unberechtigten Zugriffen schützen. Schutz des Einzelnen vor einer Beeinträchtigung des Persönlichkeitsrechts! Kein gläserner Mensch!

31 Was bedeutet Datensicherheit? Datensicherheit (Safety) ist der Schutz vor ungewolltem Datenverlust (Feuer im Serverraum, Festplattendefekt, Hochwasser etc.) Was bedeutet IT-Security? IT-Security ist der Schutz vor gewolltem Datenverlust, vor gewollten Angriffen auf die Vertraulichkeit, Integrität und Verfügbarkeit von Daten.

32 32 Technisch-organisatorische Maßnahmen

33 Technische und organisatorische Maßnahmen ( 9 BDSG) Personenbezogene Daten sollen geschützt werden durch diese 8 Gebote: 1. Zutrittskontrolle 2. Zugangskontrolle 3. Zugriffskontrolle 4. Weitergabekontrolle 5. Eingabekontrolle 6. Auftragskontrolle 7. Verfügbarkeitskontrolle Trennungsgebot Einbruch Login Was verdient der Chef? Übergabe von Kundendaten! Wer macht was? Rechenzentrum Don t mix it! Dienstleister

34 Der Datenschutzbeauftragte Alle Unternehmen, in denen mehr als 9 MA personenbezogene Daten bearbeiten, benötigen einen Datenschutzbeauftragten. Stellung: Direkt der Geschäftsleitung unterstellt Weisungsfrei (neutrale Stellung) Verschwiegenheitsverpflichtung Kündigungsschutz

35 Aufgaben des Datenschutzbeauftragten (gem. 4 g BDSG) Hinwirken auf Einhalten der Datenschutzbestimmungen, Überwachung der Datenverarbeitung, Führen des Verfahrensverzeichnisses, Durchführen von Vorabkontrollen - soweit erforderlich, Schulung der Mitarbeiter bzgl. der geltenden Vorschriften und besonderen Erfordernissen des Datenschutzes, Ansprechpartner für Geschäftsleitung, Personalvertretung, Mitarbeiter, Mandanten, Dritte..

36 Interner Datenschutzbeauftragter Vorteile: + Kennt die Kanzlei und ist in den internen Ablauf eingebunden. Nachteile: - Unkündbar, Tätigkeit kann nicht zeitlich begrenzt werden, - Zeitaufwand geht zu Lasten seiner eigentlichen Tätigkeit, - Gefahr der Betriebsblindheit, - Interessenkollisionen, - Kostenaufwand: Schulung, Weiterbildung, eigenes Büro, eigener PC!

37 Externer Datenschutzbeauftragter Vorteile: + Neutrale Stellung und Unabhängigkeit, vermeidet Interessenkonflikte, + Spezialkenntnisse sind bereits vorhanden, d.h. keine Fortbildungsmaßnahmen, + er besitzt breit gefächerte Kenntnis (Synergieeffekte), + Haftungsauslagerung. Nachteile: - Er kennt die Kanzlei anfangs nicht, - er ist nicht ohne weiteres in den Kanzleiablauf eingebunden.

38 Kontrolle Wer überwacht die Einhaltung des Datenschutzes? Aufsichtsbehörden Kunden Staatsanwalt/ Gericht Ggf. Mitbewerber Unternehmen Geschäftsleitung (z. B. durch Arbeitsanweisungen) Datenschutzbeauftragter jeder Mitarbeiter (z. B. keine Datenweitergabe an Dritte) Ggf. Verbände 38

39 Klare Vorteile für die Kanzlei Die Umsetzung eines professionellen Datenschutzkonzepts schafft aber auch positive Nebeneffekte: Ansatz zur Prozessoptimierung Synergieeffekte im Hinblick auf den Schutz sensibler Unternehmensdaten Positive Imagewirkung Fair Play Argumentationshilfe für Vertrieb und Mandantenbetreuung Erhalten der Wettbewerbsfähigkeit (EU-DSVGO!)

40 Folgen bei Verstoß Was passiert, wenn gegen Datenschutz-Vorschriften verstoßen wird? Image der Kanzlei nimmt Schaden evtl. Informationspflicht nach 42a! Schadensersatzpflicht gegenüber dem Betroffenen für Beschäftigte: arbeitsrechtliche Konsequenzen Ordnungswidrigkeit ( 43 BDSG): Bußgeld bis zu bzw plus erlangtem Vermögensvorteil Straftat ( 44 BDSG): Geldstrafe oder Freiheitsstrafe bis zu 2 Jahren 40

41 Zusammenfassung Um Datenschutz kommt man nicht herum! Geschützt sind alle personenbezogene Daten in der Kanzlei. Deshalb sind auch technische Geräte (Hard- und Software) zu schützen, auf denen personenbezogene Daten bearbeitet werden. Kanzleienn, in denen mehr als 9 Personen personenbezogene Daten verarbeiten, benötigen einen Datenschutzbeauftragten! 41

42 Wir organisieren Datenschutz!