Datenschutzsoftware - Anforderungen für Unternehmen

Software darf in der EU auch dann verkauft werden, wenn sie nicht mit den Datenschutzbestimmungen konform geht. In der Praxis bedeutet das: Unternehmen und Behörden verlassen sich auf Standard-Programme, die ihren eigenen Sicherheitsanforderungen in keiner Weise gerecht werden. Daher ist es wichtig, dass sich die eingesetzte Software individuell an die Bedürfnisse des Unternehmens anpassen lässt, um sicher und effektiv zu arbeiten.

Welche Anforderungen die Programme in Ihrem Unternehmen erfüllen müssen und wie sich die Anpassungen vornehmen lassen, erklärt Ihnen gern Ihr persönlicher externer Datenschutzbeauftragter. Mit dem Datenschutz-Kit geben wir Ihnen alle Vorschriften und Maßnahmen an die Hand, um Ihren Betrieb datenschutzrechtlich abzusichern.

Compliance-Kit 2.0

Datenschutzsoftware - schützen von Daten

Die Idee des Datenschutzes geht auf das Volkszählungsurteil des Bundesverfassungsgerichts im Jahr 1983 zurück. In diesem wurde das Recht auf informationelle Selbstbestimmung zu einem deutschen Grundrecht erklärt. Das bedeutet, die Verarbeitung personenbezogener Daten ist grundsätzlich verboten. Ausnahmen sind nur in zwei Fällen zulässig:

  • Der Betroffene erteilt seine Einwilligung zur Datenverarbeitung oder
  • die Verarbeitung wird durch eine Rechtsvorschrift legitimiert.

Für Sie und Ihre Mitarbeiter bedeutet das, alle Tätigkeiten im Zusammenhang mit der Erhebung, Veränderung, Speicherung und Löschung von personenbezogenen Daten unterliegen den strengen Regelungen des Bundesdatenschutzgesetzes (BDSG). Das beginnt mit der Abfrage von Namen oder Telefonnummern bis hin zu besonders sensiblen Informationen wie Konto- und Sozialversicherungsnummer oder dem Gesundheitszustand. Jedes Unternehmen ist auf die Verarbeitung solcher Daten angewiesen, ob zur Lohnsteueranmeldung der eigenen Mitarbeiter oder der Bearbeitung von Kundenanfragen.

Moderne Betriebe nutzen zur Abwicklung ihrer Geschäfte spezialisierte Software. Datenschutz spielt auch hier eine bedeutende Rolle. Die Anlage zu § 9 des BDSG regelt die sogenannten technischen und organisatorischen Maßnahmen (TOM), die zur Einhaltung der Datenschutzrichtlinien zu ergreifen sind. Hierzu zählen beispielsweise das Vier-Augen-Prinzip und die konsequente Steuerung von Zugriffsrechten für einzelne Abteilungen oder Mitarbeiter.

Doch bei allen Vorschriften und Anforderungen an die eingesetzte Software gilt auch beim Datenschutz stets das Prinzip der Verhältnismäßigkeit. Demnach müssen Daten so stark wie möglich geschützt werden, ohne eine Unwirtschaftlichkeit der Maßnahmen zu verursachen. Denn ein kleines Dienstleistungs- oder Produktionsunternehmen kann die Datensicherheit aus finanzieller Sicht meist nicht in dem Maße gewähren wie ein Kreditinstitut oder eine staatliche Behörde.

Welche Daten müssen geschützt werden?

Alle Informationen, die Aufschluss zu einer bestimmten Person geben, werden als personenbezogene Daten charakterisiert. Dazu zählen unter anderem Name, Geburtsdatum und Anschrift sowie Gesundheitsverhältnisse, Fotos, Bankdaten u. ä. Laut den geltenden gesetzlichen Bestimmungen müssen alle diese Daten geschützt werden. Ob es im Einzelfall allgemein bekannte oder sehr sensible Informationen sind, ist nicht von Bedeutung.

Auch in Ihrem Unternehmen werden persönliche Daten verarbeitet – von Mitarbeitern, Lieferanten, Kunden, Klienten oder Patienten. Jede Person, mit der Sie in Kontakt treten, gibt personenbezogene Informationen preis. Und sobald diese Daten maschinell verarbeitet werden, treten die TOM-Richtlinien des Datenschutzgesetzes in Kraft. Schulen Sie Ihre Mitarbeiter und spezialisieren Sie Ihre Software, um den Datenschutznormen gerecht zu werden. Denn ein Verstoß kann nicht nur teuer werden, sondern auch strafrechtliche Konsequenzen und eine schlechte Reputation nach sich ziehen.

Warum sollten diese Daten geschützt werden?

Die ständig wachsenden Möglichkeiten der elektronischen Datenverarbeitung erweitern den Spielraum für unbefugte Zugriffe auf persönliche Informationen. Um diesem Szenario vorzubeugen, ist die Auswahl und Anpassung der richtigen Software entscheidend. Datenschutz kann nur funktionieren, wenn alle Arbeitsabläufe und -materialien optimal aufeinander abgestimmt sind. Geben Sie Fremden die Chance, auf firmeninterne Informationen zuzugreifen, kann das die innere Stabilität des Unternehmens sowie die Geschäftsbeziehungen nach außen nachhaltig schädigen. Aus diesem Grund ist Prävention die beste Maßnahme.

Datenschutzsoftware – unbefugte Zugriffe verhindern

Zentrale Elemente, um Datenmissbrauch im eigenen Unternehmen zu verhindern und bestmöglichen Datenschutz im Umgang mit Software zu gewährleisten, sind Zugriffskontrollen und die Einschränkung von Zugriffsrechten. Sichern Sie beispielweise alle Computer, Tablets und Mobiltelefone mit Passwörtern, die folgenden Kriterien entsprechen:

  • Mindestlänge von 8-12 Zeichen
  • Kombination aus Buchstaben, Ziffern und Sonderzeichen
  • maximale Gültigkeitsdauer zwischen 30 und 90 Tagen

Idealerweise sollte jede Software so konfiguriert sein, dass das Passwort nach der Installation bzw. Erstanmeldung vom Benutzer zwingend geändert werden muss. Außerdem lässt sich meist festlegen, dass die letzten 3-12 Passwörter bei Änderungen nicht wiederverwendet werden dürfen. Sind diese Einstellungen festgelegt, ist der Zugriff auf personenbezogene Daten nur noch nach Anmeldung oder Authentifizierung möglich.

Nutzen Sie in Ihrer Software die Möglichkeit zur Einrichtung von Zugriffsberechtigungen, um jedem Mitarbeiter oder jeder Abteilung nur die Daten zur Verfügung zu stellen, die sie für die tägliche Arbeit benötigen. Denn je weniger Personen die Informationen einsehen können, umso besser funktioniert der Datenschutz personenbezogener Merkmale. Häufig bieten Programme auch die Funktion, Berechtigungen zeitlich einzuschränken sowie Daten in verschlüsselter Form zu speichern.

Dank durchdachter Zugriffskontrollen über Chipkarten oder Zertifikate lässt sich die unbefugte Erzeugung, Änderung und Löschung von Informationen verhindern und Ihre Software in Sachen Datenschutz auf den aktuellen Stand bringen. Welche Maßnahmen Sie für Ihre Firma ergreifen sollten und wie Sie diese umsetzen, erläutert Ihnen Ihr persönlicher Datenschutzbeauftragter. Ergänzend erhalten Sie von uns das Datenschutz-Kit mit allen wichtigen Vorschriften und einem Maßnahmenplan zur erfolgreichen Implementierung. Lesen Sie alles in Ruhe nach und sensibilisieren Sie auch Ihre Mitarbeiter und Geschäftspartner für dieses Thema. Denn nur gemeinsam lässt sich Datenschutz in vollem Umfang effektiv umsetzen.

Datenschutzsoftware: Nutzung von Datenbanken

Grundsätzlich werden Datenbanken angelegt, um schnell und einfach Auskunft über alle gespeicherten Daten zu einer Person zu erhalten. Dabei ist es jedoch wichtig, die Informationen durch Verschlüsselungen, Zugangsberechtigungen oder andere Maßnahmen zu schützen. Zusätzlich sollte die Software eine rückstandsfreie Löschung der Daten gewährleisten können.

Werden erstmals personenbezogene Daten erhoben, muss laut Datenschutz in der Software hinterlegt sein, zu welchem Zweck die Speicherung stattfindet und woher die Daten stammen. Bei Kundeninformationen gilt, dass zum Beispiel auch Werbesperrvermerke, Werbewidersprüche oder Werbeeinwilligungen über verschiedene Kanäle wie SMS, E-Mail, Telefon, Fax oder Post gespeichert werden sollten. Führen Sie eine Personaldatenbank, ist es wichtig, die Zugriffsrechte für jedes Feld einzeln festlegen zu können. Denn wozu benötigt die Reisekostenstelle Zugang zu Gesundheits- oder Gehaltsinformationen Ihrer Mitarbeiter?

Führen Sie eine Steuerkanzlei oder haben anderweitig mit steuerrechtlichen Aufbewahrungsfristen zu tun, muss bei jeder Softwareanwendung die Datenintegrität und Unverfälschbarkeit der Dateien gesichert sein. Jede Änderung sollte systemseitig protokolliert werden, sodass absichtliche Manipulationen an vorhandenen Daten oder das unbefugte Einspielen fremder Daten aufgedeckt werden können. Dazu sind in der Regel kryptografische Verfahren notwendig. Erkundigen Sie sich daher bereits vor dem Erwerb eines neuen Programms, ob es über diese Funktionen verfügt. Ist dies der Fall, bietet die Software gute Voraussetzungen für den Datenschutz in Ihrem Unternehmen.

Heikle Themen sind auch die korrekte Archivierung und Löschungen von Informationen auf digitalen Systemen. Definieren Sie dazu im Vorfeld konkrete Vorgaben und setzen sie alle Mitarbeiter darüber in Kenntnis. Auch Ihre Software sollte diese Vorschriften umsetzen können. Lange Aufbewahrungsfristen fordern zum Beispiel eine Sperrung von Daten, sodass nur Befugte sie einsehen, aber nicht mehr verändern können. Nach Ende der Aufbewahrungsfrist sollte eine datenschutzkonforme Lösung gefunden werden, um die betreffenden Informationen dauerhaft und sicher zu löschen. Bei konkreten Fragen sollte Ihr Datenschutzbeauftragter der erste Ansprechpartner sein.

Datenschutzsoftware: Auftragsdatenverarbeitung und Protokolle

Wird die Wartung und der Support Ihrer Software über ein externes Unternehmen durchgeführt, sollten Sie besonderen Wert auf den Datenschutz legen. Denn über die Software ist häufig ein Zugriff auf personenbezogene Daten möglich, der keinesfalls beabsichtigt ist. Schließen Sie gemeinsam mit dem Wartungsvertrag einen Vertrag zur Auftragsdatenverarbeitung nach § 11 BDSG ab. So sind Sie im Bedarfsfall abgesichert und Ihr Dienstleister muss Stillschweigen über persönliche Informationen bewahren.

Eine gute Methode, um Veränderungen und Zugriffe auf personenbezogene Daten zu erkennen, ist die Einrichtung von automatischen Protokollen. Es lässt sich bei vielen Software-Produkten individuell festlegen, welche Eingaben protokolliert werden sollen. Das System zeichnet dann auf, wer wann welche Daten wie verändert hat. Wählen Sie beispielsweise zwischen schreibenden und lesenden Zugriffen, um alles genauer aufzuschlüsseln.

Die anschließende Protokollauswertung trägt entscheidend zum Datenschutz in Ihrer Firma bei – wenn sie korrekt ausgeführt wird. Achten Sie darauf, dass nur berechtigte Personen Zugriff auf die Protokolle haben. Außerdem sollten keine nachträglichen Veränderungen möglich sein. Um wirklich datenschutzkonform zu handeln, muss der Zweck der Protokollierung im Vorfeld zweifelsfrei festgelegt und schriftlich festgehalten werden. Wichtig ist auch das Mitspracherecht des Betriebsrates. Denn dieser kann in den Protokollmaßnahmen möglicherweise eine Leistungs- und Verhaltenskontrolle der Mitarbeiter sehen. Beziehen Sie deshalb alle beteiligten Parteien mit ein, um zu einem Konsens zu kommen.

Mit unserem Datenschutz-Kit können Sie vorsorgen und die vielfältigen Informationsmaterialien in gedruckter und audiovisueller Form intensiv nutzen – auch zur Einrichtung Ihrer Software. Das innovative IITR Connect Handbuch ist ein wertvoller Leitfaden, mit dem Sie Ihre Maßnahmen im eigenen Unternehmen bekannt machen und die Bedeutung derer begründen können. Wir unterstützen Sie und stehen Ihnen bei Fragen rund um den Datenschutz Ihrer Software gern zur Verfügung.

Sebastian Kraska Var2

Über den Autor - Rechtsanwalt Dr. Sebastian Kraska

Herr Dr. Sebastian Kraska gründete die IITR Datenschutz GmbH, die auf den Bereich des betrieblichen Datenschutzes spezialisiert ist und als Anbieter von Datenschutz-Management-Systemen mehr als 2.500 Unternehmen bei der Bewältigung datenschutzrechtlicher Anforderungen unterstützt.

Herr Dr. Kraska selbst ist als Rechtsanwalt ausschließlich im Datenschutzrecht sowie gemeinsam mit Regionalpartnern als externer Datenschutzbeauftragter tätig und betreut dabei Unternehmen und Behörden. Er ist zudem Beirat der Zeitschrift ZD des Beck-Verlages.

Jetzt beraten lassen

Rückrufservice

 

Beratung vereinbaren