Datenschutz Archive – IT-Systemhaus Chemnitz – Wir machen IT einfach!

Hacker haben es auf E-Mail-Konten abgesehen

by Peter Weißflog6. April 202231. Juli 2023

Wir bemerken derzeit ein erhöhtes Aufkommen von Spam- und Phishing-Attacken durch Hacker-Angriffe auf E-Mail-Postfächer.

Dabei werden reelle, vertrauenswürdige E-Mail-Accounts gehackt, um dann mit diesen Spam-E-Mails zu versenden. Da es sich dabei um legitime Konten handelt, ist es schwer für Empfänger und deren Sicherheitssysteme diese als Malware zu erkennen.

Mögliche Nachrichteninhalte könnten beispielsweise Benachrichtigungen zu Dateifreigaben sein. Der Empfänger soll dabei auf einen Downloadlink klicken, wodurch die Malware installiert wird.

Auch gefälschte Zahlungsaufforderungen der Bundesanstalt für Finanzdienstleistungsaufsicht sind in diesem Zusammenhang aktuell im Umlauf. (weitere Informationen)

Aktuellste Informationen zu betrügerischen Phishing-Aktivitäten veröffentlicht außerdem die Verbraucherzentrale.

Sollten Sie verdächtige Mails erhalten, zögern Sie nicht, sich an uns zu wenden!

Sie möchten Ihr Unternehmen schützen, indem Sie Ihre Mitarbeiter sensibilisieren? Gern vermitteln wir Ihnen die wichtigsten Grundlagen zum Thema Cybersecurity in unseren Schulungen. Sprechen Sie uns an!

Gesetzliche Anforderungen an die IT – DSGVO

by Peter Weißflog24. Februar 202228. Juli 2023

Die IT in Unternehmen unterliegt verschiedensten rechtlichen Bedingungen – unabhängig davon, ob es sich um ein Startup oder ein traditionsreiches Familienunternehmen in sechster Generation handelt.

Aktuell gehören hier neben BGB und HGB die Vorgaben der GoBD und DSGVO zu den hauptsächlichen Richtlinien.

Beide Texte thematisieren die Nutzung digitaler Medien in Unternehmen.

In diesem Beitrag geben wir einen groben inhaltlichen Überblick über die Schwerpunkte der DSGVO. Wenn Sie stattdessen mehr über die GoBD erfahren möchten, empfehlen wir Ihnen diesen Beitrag.

Unabhängig davon, was Sie geschäftlich machen, sollten Sie auf jeden Fall bei Fragen einen Rechtsanwalt oder Datenschützer hinzuziehen.

DSGVO – Was ist das überhaupt?

Die DSGVO – oder Datenschutz-Grundverordnung – ist eine Verordnung der Europäischen Union, die den Umgang und die Verarbeitung personenbezogener Daten regelt. Seit dem 25. Mai 2018 bildet sie den gemeinsamen Datenschutzrahmen der EU. [Zum Volltext]

Wichtige Eckpunkte der DSGVO

Die DSGVO stellt den Rahmen, in dem Sie als Unternehmen, Daten von Personen erfassen und speichern dürfen. Konkret bedeutet das:

Verarbeiten und Speichern von personenbezogenen Daten nur mit vorheriger Erlaubnis
Herausgabe der gespeicherten Daten auf Nachfrage
Löschung der Daten, sobald rechtlich möglich

Die DSGVO betrifft alle Systeme (IT oder nicht), in denen entsprechende Daten enthalten sein können. Daher ist es gerade bei den IT-Systemen wichtig, auf entsprechende Zertifikate zu achten. Dies umfasst auch die Datensicherheit – also sichere Zugänge und Backups!

Darüber hinaus umfasst die DSGVO vor allem auch alle Partner, Lieferanten und Dienste, die Ihr Unternehmen nutzt. Hier muss dann entsprechend eine Auftragsverarbeitungsvertrag (AVV) geschlossen werden. Das beginnt bereits auf der Webseite, z. B. bei Kontaktformularen oder der Newsletter-Anmeldung.

Worauf zielt die DSGVO ab – Was kann passieren?

Die DSGVO ist zunächst einmal ausschließlich auf Personendaten angelegt. Unternehmensdaten bleiben außen vor. Es geht im Grunde um den sicheren und vertrauenswürdigen Umgang mit Daten, vor allem wenn diese persönlich sind. Gerade in der Außendarstellung (z.B. Webseite) sollte hier aufgrund der Veröffentlichung sehr auf die Einhaltung der Richtlinien geachtet werden.

Im Grunde kann im Bereich der DSGVO immer etwas passieren. Es kann jeder eine Beschwerde beim Landesamt einlegen, welche dieses dann auch prüfen muss.

Strafen werden je nach Schwere des Verstoßes und Art der Daten verteilt (aktuell bis zu 4 % vom Umsatz).

Gerade bei den öffentlich erreichbaren Themen, wie Webseite, Auftragsformulare, Auftragsverarbeitungsverträgen o. ä., lohnt es sich durchaus, diese durch einen Datenschutzexperten prüfen zu lassen.

Gesetzliche Anforderungen an die IT – GoBD

by Peter Weißflog14. Februar 202228. Juli 2023

Aktuell gehören hier neben BGB und HGB die Vorgaben der GoBD und DSGVO zu den hauptsächlichen Richtlinien.

Beide Texte thematisieren die Nutzung digitaler Medien in Unternehmen.

In diesem Beitrag geben wir einen groben inhaltlichen Überblick über die Schwerpunkte der GoBD. Wenn Sie mehr über die DSGVO erfahren möchten, empfehlen wir Ihnen diesen Beitrag.

Unabhängig davon, was Sie geschäftlich machen, sollten Sie auf jeden Fall bei Fragen einen Rechtsanwalt oder Datenschützer hinzuziehen.

GoBD – Was ist das überhaupt?

Die Abkürzung GoBD steht für “Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff“. Sie deckt zahlreiche Aspekte rund um die Buchführung ab.

Hierzu die wichtigsten Grundlagen:

Verantwortlich ist hier immer der Steuerschuldner – also Sie! Der Steuerberater kann das nicht übernehmen.
Achten Sie bei allen Systemen, die Belege produzieren, auf entsprechende GoBD-Sicherheit, Nachvollziehbarkeit und Zugriff.
Alle Belege und buchungsrelevanten Dokumente, welche digital ins Unternehmen kommen, müssen auch digital, also GoBD-konform aufbewahrt werden. (Stichwort Revisionssicherheit bei digitalen Dokumenten und NEIN! PDF ist nicht revisionssicher! 😉)
Alle Unterlagen müssen mindestens für 10 Jahre nach Steuerbescheid verfügbar sein. Es wird hier ausdrücklich darauf hingewiesen, dass ein Verlust nicht mehr anerkannt werden muss.
Für alle Systeme muss eine entsprechende Dokumentation und Verfahrensbeschreibung vorhanden sein.

Wer sich tiefer einlesen will, kann das auf rund 44 Seiten gern auf der Webseite des Bundesministeriums der Finanzen tun. 😅

Worauf zielt die GoBD ab?

Die GoBD ist vor allem eine Richtlinie der Finanzprüfer.
Seit 2015 werden Buchprüfungen unter Anwendung der GoBD durchgeführt – Tendenz stark steigend.
Es können dabei ALLE digitalen Aufzeichnungen und Programme geprüft werden. Die Themen Revisionssicherheit und Verfahrensdokumentation stehen dabei im Vordergrund.

Was kann passieren, wenn der Prüfer hier Fehler findet?

Es können einzelne Belege (Eingangsrechnungen) verworfen werden. -> Umsatzsteuerrückzahlung
Es kann zu Zuschätzungen zum Umsatz kommen. -> Nachzahlungen
Im schlimmsten Fall kann die komplette Buchführung verworfen werden.
Bei grober Verletzung können auch Strafen verhängt werden.

Hinweis: Aktuell werden alle Betriebsprüfer auf genau diese Themen geschult. Gerade die jüngere Generation bei den Finanzbehörden ist im Bereich IT unheimlich fit.

Sie haben Fragen zu GoBD-konformer Bürosoftware? Sprechen Sie uns gern an!

Informationspflichten für Unternehmen

by Madlen Vogt26. Mai 20218. Oktober 2021

Sei es bei der Erstellung eines Angebotes, beim Abschluss eines Vertrages oder einem simplen Besuch einer Internetseite. In unserer digitalen Welt werden immer schneller und immer mehr Daten erhoben, wobei sich Betroffene dessen oft gar nicht bewusst sind.

Um hier eine größere Transparenz zu schaffen, beziehungsweise die Datenschutzrechte von Betroffenen zu stärken, trat 2018 die Datenschutzgrundverordnung (DSGVO) in Kraft, in der unter anderem auch die Informationsrechte von Betroffenen geregelt sind und bestimmt wird, wer für die Erhebung und Verarbeitung personenbezogener Daten verantwortlich ist.

Unternehmen und deren verantwortliche Stellen sollten sich hierbei den Artikel 13 der Datenschutzgrundverordnung (DSGVO) ganz besonders gut ansehen, weil Informationsrechte für Betroffene gleichbedeutend mit Informationspflichten für Unternehmen sind.

Aber genau diese Informationspflichten für Unternehmen werfen viele Fragen auf:

Wer muss mit welcher Frist informiert werden?
Welche Daten müssen bereitgestellt werden?
Wie und in welcher Form müssen die Daten übermittelt werden?
Gibt es eine Nachweispflicht?
u. v. m.

Wer muss informiert werden?

Jedes Unternehmen ist laut Datenschutzgrundverordnung (DSGVO) verpflichtet, potentiell betroffenen Personen Auskunft zu erteilen:

Jeder Betroffene sollte zu jeder Zeit wissen,
ob und wenn ja, welche Daten von ihm erhoben
und gespeichert werden. Auch der Zweck der
Verarbeitung sollte dem Betroffenen bekannt sein.

Alle Unternehmen sollten somit für verschiedene Personenkreise jeweils ein spezielles Dokument erstellen, das den Anforderungen der Datenschutzgrundverordnung gerecht wird und welches bei einem Erstkontakt oder auf Nachfrage sofort an potentiell betroffene Personen ausgehändigt werden kann.

Mögliche Empfänger könnten unter anderem sein:

Kunden und Interessenten
Lieferanten
Mitarbeiterinnen und Mitarbeiter
Bewerberinnen und Bewerber
Besucherinnen und Besucher deren personenbezogene
Daten, z. B. zur Kontaktverfolgung während
einer Pandemie, festgehalten werden
…

Für die Erstellung dieser Dokumente sollte man sich Zeit nehmen. Zum einen, weil eine transparente Herangehensweise Vertrauen in der Zusammenarbeit schafft, zum anderen aber auch, weil bei Nichteinhaltung der Vorgaben schnell empfindliche Bußgelder drohen.

Welche Informationen müssen übermittelt werden?

Ein Dokument zur Erfüllung der Informationspflichten laut DSGVO sollte folgende Themenschwerpunkte berücksichtigen und ausformuliert für jeden Betroffenen transparent und verständlich darstellen:

Definition des potentiell betroffenen Personenkreises
Benennung des verantwortlichen Unternehmens
Benennung der zu Grunde liegenden Rechtsnormen
Optional der aktuelle Versionsstand (Empfehlung)
Eine einfache und verständliche Einleitung
Benennung des Verantwortlichen
- Kontaktdaten (Firmendaten)
- Vertreter der verantwortlichen Stelle
- (Geschäftsführer/in, Vorstand, …)
- Benennung des Datenschutzbeauftragten, falls vorhanden
Art, Zweck und Rechtsgrundlagen der Verarbeitung
Allgemeine Grundlagen zur Verarbeitung
Beschreibung der personenbezogenen Daten oder Daten-Kategorien
Beschreibung möglicher Datenquellen (z. B. wenn die Daten nicht direkt erhoben werden)
Wer Empfänger der pers. Daten sein kann?
Werden personenbezogene Daten ins nicht
europäische Ausland übermittelt?
Wie lange werden die Daten gespeichert, bzw. auf welcher Rechtsgrundlage müssen die Daten vorgehalten werden?
Benennung der Datenschutzrechte für Betroffene
Beschwerderecht bei der zuständigen Aufsichtsbehörde (inkl. Kontaktdaten der Behörde)
Müssen pers. Daten bereitgestellt werden?
Werden Tools zur automatischen Entscheidungsfindung eingesetzt?

Wann sollten die Daten weitergegeben werden?

Die Frist, in der potentiell Betroffene über die Erhebung und Verarbeitung von pers. Daten informiert werden müssen, beträgt maximal einen Monat.

Falls ein direkter Kontakt zum Betroffenen besteht, z. B. beim Abschluss eines Vertrages, sollte die Übermittlung der Datenschutzinformationen am besten direkt erfolgen, z. B. durch eine Erweiterung des Vertrages, bzw. der Auftragsbestätigung. Falls dies nicht möglich ist, wäre eine fristgerechte Übermittlung per E-Mail zu empfehlen. So wäre auch die Nachweispflicht der Übermittlung zu 100% gegeben.

Übermittlung der Informationen

Um den Informationspflichten nachzukommen, empfehlen wir u. a. folgende Strategien anzuwenden:

Erweiterung der Angebots-, Bestell-, Bestätigungs- und Vertragsunterlagen
Erweiterung der E-Mail Signatur
Herausgabe von Unterlagen für Bewerber/innen
Erweiterung der Arbeitsverträge
Direkter Aushang der Datenschutzinformationen im Verkaufsraum, in der Praxis, im Sportstudio, im Hotel, in der Gaststätte, …
Als Handreichung am Empfang (z. B. als Info-Flyer)
Auf der Internetseite, u. v. m.

Wir helfen sehr gerne!

Falls auch Sie Dokumente zur Erfüllung der DSGVO erstellen möchten, unterstützen wir Sie sehr gerne. Profitieren Sie von unserem Know-how und von vielen Checklisten und Mustervorlagen, die wir gemeinsam mit Ihnen schnell und einfach an Ihre individuellen Anforderungen anpassen können!

Ihre Ansprechpartnerin (Dasax GmbH)