• Die neue EU-Datenschutzverordnung tritt 2018 in Kraft. Zeit sich mit der Thematik Datenschutz und Datensicherheit näher auseinanderzusetzen.

Mit der Datenschutzgrundverordnung (DSGVO), sollen die gesetzlichen Rahmenbedingungen Richtlinien zum Datenschutz Europaweit vereinheitlicht werden. Die neuen Regelungen sind zum 25.05.2018 für Unternehmen verbindlich. Verändern wird sich der Sanktionsrahmen für Datenschutzverstöße.

Wurden bisher höchsten bis zu 300.000 € Bußgelder verhängt, gelten diese künftig abhängig vom Umsatz und können in die Mio. gehen.  Die Datenschutzgrundverordnung sieht in verschiedenen Bereichen Änderungen gegenüber dem bisher geltenden Bundesdatenschutzgesetz vor. Bleiben wird der Grundsatz, dass für jegliche Datenverarbeitung eine Rechtsgrundlage im Gesetz oder eine Einwilligung des Betroffenen vorliegen muss. Auch in Zukunft wird es eine Herausforderung bleiben, ein ausreichendes Maß an IT-Sicherheit zu finden und Verfahren vollständig zu dokumentieren.

Das Gebot der Zweckbindung bleibt bestehen. Danach dürfen personenbezogene Daten nur für „festgelegte, eindeutige und rechtmäßige Zwecke erhoben werden“. Grundsatz des „Verbots mit Erlaubnisvorbehalt“. Danach sind alle Arten des Umgangs mit persönlichen Informationen so lange verboten, bis der Gesetzgeber die Handlung explizit erlaubt oder der Betroffene ausdrücklich einwilligt.

Artikel 12 der neuen Verordnung legt außerdem strengere Informationspflichten fest. Unternehmen müssen den Nutzern die Rechtsgrundlage zur Verarbeitung der Daten ebenso mitteilen wie die Dauer der Speicherung, die Kriterien für die Dauer der Speicherung oder die Weitergabe an Auftragsdatenverarbeiter. Diesen Informationspflichten beinhaltet das Recht auf Auskunft, Widerruf sowie Löschung.

Eine echte Neuerung ist das in Artikel 18 DSGVO geregelte Recht auf Datenportabilität. Hieraus entsteht ein Anspruch des Betroffenen, seine im Rahmen einer Einwilligung oder eines Vertrags übertragenen personenbezogenen Daten vom Vertragspartner in einem „strukturierten, gängigen und maschinenlesbaren Format zu erhalten“ und diese Daten einem anderen Anbieter zu übermitteln. Der Nutzer wird sogar verlangen können, dass der bisherige Verwender seiner Daten diese direkt an den neuen Anbieter übermittelt – soweit dies technisch möglich ist (Interportabilität). Dies bedeutet außerdem, dass vorhandenen Daten jederzeit vollständig löschbar sein müssen.

Die neuen Rechenschaftspflichten bringen haftungsrechtliche Konsequenzen mit sich. Denn hier kommt es de facto zu einer Beweislastumkehr. Musste bisher ein Betroffener vor Gericht selbst den Nachweis dafür erbringen, dass das Unternehmen für eine fehlerhafte Verarbeitung von Daten haftbar ist, obliegt diese Pflicht nun nach dem neuen Artikel 22 der datenverarbeitenden Stelle, welche die Ordnungsmäßigkeit durch Dokumente belegen muss.

Auch hinsichtlich der Datensicherheit gibt es neue Vorgaben durch die DSGVO. Es bleibt zwar dabei, dass Unternehmen abhängig vom Schutzbedarf der Daten und der wirtschaftlichen Zumutbarkeit technische und organisatorische Maßnahmen zur Datensicherheit zu treffen haben. Zu gewährleisten ist nun aber zusätzlich die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme, mit denen personenbezogene Daten verarbeitet werden.

Für Unternehmen ergeben sich darauf insgesamt schärfere Bedingungen was den Datenschutz und die Datensicherheit angeht. Alleinig Ausschlüsse und Vereinbarungen mit dem Kunden reichen dabei nicht mehr aus. Das Unternehmen muss aktiv dafür Sorge tragen, dass Daten nur zu dafür vorgesehenen spezifischen Zweck verarbeitet und gespeichert werden. Für fremde Zwecke dürfen die Daten nicht genutzt oder weitergegeben werden. Ebenso spielt die Dauer der Speicherung von Daten eine wichtige Rolle – dies muss klar geregelt werden. Die Einspeicherung persönlicher Daten in vorhandene Agentursysteme und die Übernahme von Daten in andere Geschäftsbereiche ist dabei nicht mehr ohne weiteres zulässig.

  • Was bedeutet dies für den Estate Planner oder Generationenberater?

Gerade in diesem Bereich werden besonders sensible Daten des Kunden und einem erweiterten Personenkreis erfasst und verarbeitet, welche oft über einen längeren Zeitraum gepflegt werden – idealerweise ein ganzes Leben lang. Gerade bei einer kontinuierlichen Beratung oder einer sog. Beratungsflatrates sollen die finanziellen Verhältnisse eines Kunden dauerhaft im Blick behalten werden und bei Bedarf schnell reagiert werden können, ohne das eine erneute Datenaufnahme von Nöten wäre.

Da es gesetzlich überhaupt nur zulässig ist Personendaten zu sammeln, wenn dies für die Auswertung zwingend erforderlich sind, sind aufgrund der Komplexität der Berechnungen geeignete IT-System unumgänglich. Ohne eine Beratungssoftware muss daher von einer Datenbeschaffung abgeraten werden, da ein Nachweis über die Zweckmäßigkeit nur schwerlich erbracht werden kann. Andernfalls wäre dies nicht nur gem. EU-Verordnung nicht gestattet, sondern darf außerdem einen Verstoß gegen das RDG befürchtet werden, da rechtlich und steuerliche Daten nicht zum Zwecke wirtschaftlicher und finanzieller Auswertung erhoben werden.

Wird eine Beratungssoftware für eine solche Beratung eingesetzt, wovon wir ausgehen, liegt das Augenmerkt beim Datenschutz und der Datensicherheit hauptsächlich im Bereich der Software, der Organisation und IT Infrastruktur. Bei der Softwareanschaffung sollten Datenschutzrechtliche Kriterien berücksichtigt werden und frühzeitig Organisation und IT aufeinander abgestimmt werden.

An oberster Stelle steht die Unternehmens-IT selbst, dort müsse geeignete Maßnahmen ergriffen werden, damit sensible Daten vor unberechtigten Zugriff geschützt und vor Datenverlust gesichert sind. Darum kümmern sich i.d.R. Rechenzentren mit Zugangsberechtigung, Sicherheitssoftware und Firewalls, sowie durch verschlüsselte Datenkommunikation und Backup-Systemen. Wichtig ist aber auch, dass mit organisatorischen Maßnahmen verhindert wird, dass sensible Daten nicht auch innerhalb des Unternehmens nicht ohne weiteres zwischen Mitarbeitern und Abteilungen ausgetauscht werden (Gefahr der Zweckentfremdung).

Hier muss die Beratungssoftware dafür Sorge tragen, dass Daten in dafür vorgesehenen, geschützten Bereichen gespeichert werden, Daten für Dritte nicht lesbar sind und selbst bei Datendiebstahl die Daten nicht gelesen oder verarbeitet werden können. Dazu muss die Software möglich autonom und unabhängig von Agentursystemen agieren können. Schnittstellen sind dabei immer potentiell gefährlich und daher kritisch zu betrachten.  Oft rechtfertigen der Nutzen solcher Schnittstellen das Risiko ungeprüfter Daten und damit verbundenes Fehlerrisiko nicht. Interfaces sollten deshalb kritisch hinterfragt und genauestens dokumentiert werden. Der Zugriff auf die Beratungssoftware sollte benutzerbezogen eingeschränkt sein. Dies gilt auch für Administratoren oder Techniker, welche naturgemäß über weitreichend Rechte verfügen.

  • Anhand der Beratungssoftware FINESS möchten wir hier die Stufen der Datenschutz und Datensicherheit aufzeigen.

Autonomes System

Zunächst kommt die Beratungssoftware FINESS ohne Schnittstellen nach außen aus. Daten von Fremdsystemen können nicht ungeprüft übernommen und interne Daten nicht zweckentfremdet werden.  Trotzdem wird der Anforderung an die Portabilität Rechnung getragen, indem Daten auf Wunsch im XML-lesbaren Format exportiert und übermittelt werden können.

IT Infrastruktur und Konfiguration

Die gespeicherten Daten werden auf Unternehmensservern gespeichert, dort sind diese über Zugangsberechtigungen i.d.R. nur innerhalb einer Abteilung zugänglich. Ein Fremdzugriff wird durch Firewall, Benutzerberechtigungen etc. unterbunden. Gleichzeitig werden die Verzeichnisse zur regelmäßigen Datensicherung entsprechend vorkonfiguriert.

Software Zugangsbeschränkungen

Die Software selbst wird z.T. lokal, meist aber auf Servern installiert und ist somit nur auf einem bestimmten Arbeitsplatzrechner innerhalb eines Unternehmens ausführbar. Bei FINESS handelt es sich um keine Web-Applikation, d.h. der Zugang zur Software ist nur über eigene Server oder Computer möglich. Damit die Software auch dort nur von berechtigten Mitarbeitern ausgeführt werden kann, muss FINESS registriert werden.

Somit haben ausschließlich namentlich registrierte User überhaupt die Möglichkeit auf Beratungsdaten von FINESS zuzugreifen. Dabei sind registrierte User immer gleichzeitig Lizenznehmer von FINESS, welche allgemeinen Lizenzbedingungen unterliegen. Der Kreis der FINESS Lizenznehmer schränkt sich bereit durch die jährlichen Lizenzgebühren für die Software erheblich ein und minimiert somit den Nutzen für unberechtigte Dritte. Alle Lizenznehmer sind namentlich bekannt und aufgrund Ihrer Qualifizierung oft auch persönlich bekannt und i.d.R. zertifiziert. Zertifizierte Berater werden darüber hinaus in verschiedenen Verbänden namentlich gelistet und haben sich einem Kodex verpflichtet. In FINESS sind keine freien Aufrufe möglich, sodass FINESS immer sofort registriert werden muss. Ohne FINESS kann auf die gespeicherten Daten nicht zugegriffen werden.

Verschlüsselung

Trotz Zugangsschutz der internen IT und den Registierungsschutz ist es zeitweise erforderlich, dass gespeicherte Beratungen auf lokalen Geräten übertragen oder per Email verschickt werden. Dies ist immer dann der Fall wenn die Beratung vor Ort beim Kunden stattfindet oder Daten mit einem Kooperationspartner Steuerberater oder Anwalt ausgetauscht werden. Auch wenn hier eine Email-Verschlüsselung vorausgesetzt wird, werden in FINESS alle Beratungen automatisch verschlüsselt gespeichert und sind somit nur mit einer lizenzierten Version von FINESS lesbar. 

Passwortschutz

Eine weitere Sicherheitsstufe ergibt sich aus dem Passwortschutz. In FINESS kann jede Beratung bis auf Beraterebene durch Passwort geschützt und verschlüsselt werden. Nur mit Kenntnis des hinterlegten Passworts ist ein Zugriff auf die Daten überhaupt möglich.

Es wäre darüber hinaus denkbar, dass ein Kunden selbst das Passwort vergibt und dem Berater lediglich in Beisein des Kunden Zugriff auf seine Daten gewährt wird.  Durch die dokumentenbasierte Speicherung kann der Kunde außerdem eine geschützte Kopie seiner Daten verlangen und diese bei Bank- oder Beraterwechsel mitnehmen bzw. weitergeben (Datenportabilität).

Datenaufnahme und Zustimmung

Die Daten werden über Erfassungsbögen dezidiert auf den Beratungsumfang zugeschnitten. Erst durch den hohen Detaillierungsgrad der Auswertungen mit FINESS kann eine umfassende Datenübermittlung und Speicherung überhaupt gerechtfertigt werden. Dennoch muss der Kunde dem zustimmen. Beratungsvertrag, Datenschutzvereinbarung, Beratungs- und Erfassungsbogen werden direkt aus FINESS generiert und sind geeignet um die nötigen Zustimmungen beim Kunden einzuholen und die rechtlichen Voraussetzungen zu schaffen.

  • FAZIT

Wer mit der Beratungssoftware FINESS berät ist in jedem Fall auf der sicheren Seite was Datenschutz und Datensicherheit angeht. FINESS schafft für den Berater Transparenz und volle Kontrolle über die Zweckmäßigkeit der verwendeten Daten. U.a. über einen generierten Beratervertrag werden die datenschutzrechtlichen Rahmenbedingungen umfänglich geregelt. Jeder FINESS Nutzer muss sich persönlich registrieren lassen. Alle persönlichen Daten werden verschlüsselt und können nach bestimmter Zeit oder auf Verlangen vollständig gelöscht werden.  Die Lizenznehmer von FINESS sind geprüft und garantiert qualifiziert, sowie in den Belangen des Datenschutzes vertraut.

 

Manfred Angermeier, GeNe, 30.06.2017