Maßnahmen zur Datensicherheit in der Kanzlei

Der Kanzleiinhaber sollte aus den genannten Gründen unter Berücksichtigung des Stands der Technik, der Implementierungskosten sowie der Art, der Umstände und Zweck der Datenverarbeitung, aber auch der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die persönlichen Rechte und Freiheiten alle geeigneten technischen und organisatorischen Maßnahmen einsetzen, um die Datensicherheit zu gewährleisten.

Risiken frühzeitig erkennen

Je komplexer die Datenverarbeitungssysteme werden, desto wichtiger ist es, frühzeitig Datenschutzrisiken zu erkennen, technische und organisatorische Maßnahmen vorzusehen, die eine für den Betroffenen einfache und effiziente Möglichkeit zum Selbstschutz bieten, und Anreize zu schaffen, Datenschutz möglichst frühzeitig in technische Systeme zu integrieren.

 

Hier herunterladen: Spezialreport DSGVO 2018

Gratis-Spezialreport hier anfordern

Jetzt heißt es handeln: Was Sie  tun können, um Ihre Kanzlei optimal auf die neuen Anforderungen durch die EU-DSGVO 2018 vorzubereiten, erfahren Sie in diesem Report!

Hier klicken und jetzt gratis anfordern!

 

Schon bei der Konzeption von IT-Systemen müssen Belange des Datenschutzes gewährleistet werden („Privacy by Design“). Dabei geht es in erster Linie darum, den Umfang der erhobenen und verarbeiteten personenbezogenen Daten auf ein Minimum zu beschränken.

Zu einer datenschutzgerechten Technikgestaltung gehören auch entsprechende Voreinstellungen von IT-Systemen und elektronischen Diensten („Privacy by Default“).


» Hier Blick ins Online-Modul werfen

Das komplette Angebot: Machen Sie Ihre Kanzlei in nur 5 Wochen fit für die DSGVO. Mit umfassenden Checklisten, Mustern und Erläuterungen für Sie als Steuerberater. Von den Datenschutzexperten RA Christian Sitter und RA Christian Solmecke!

» Hier klicken und Online-Modul nutzen!


Mögliche Lösung: das „Datenschutzaudit“

Mit einem „Datenschutzaudit“ können Anbieter von Datenverarbeitungssystemen und -programmen als auch verantwortliche Stellen ihre Datenschutzkonzepte sowie ihre technischen Einrichtungen mit einem datenschutzrechtlichen Gütesiegel versehen lassen und damit werben. Die Prüfung sollte durch unabhängige und zugelassene Gutachter erfolgen.

Besondere Bedeutung kommt auch der  Pflicht zur Information bei Datenschutzpannen zu. Danach müssen Kanzleien im Falle des Verlusts von als besonders gefährdet eingestuften Daten die Betroffenen sowie die Aufsichtsbehörde informieren. Unterbleibt  diese Information oder ist sie nicht richtig, nicht vollständig oder nicht rechtzeitig, droht ein Bußgeld.

DSGVO 2018: Verschärfte Nachweispflichten

Die Datenschutzgrundverordnung sieht für Verantwortliche und Auftragsverarbeiter deutlich erweiterte Nachweispflichten vor (sog. „accountability“). So wird vorgeschrieben, dass der für die Verarbeitung Verantwortliche die Einhaltung der Datenschutzgrundsätze nachweisen kann.

Folgende Prozesse und Dokumente sollte eine Kanzlei prüfen und vorhalten:

  • Einführung eines Berechtigungsmanagements (mit der Regelung, wer unter welchen Voraussetzungen Zugriff auf bestimmte personenbezogene Daten erhält),
  • Dokumentation der Datenverarbeitungsprozesse in der Kanzlei,
  • Datenschutzerklärungen (Erweiterung der Informationspflichten)
  • Einwilligungserklärungen (Verschärfung der formalen Vorgaben),
  • Prozess für den Widerruf der Einwilligung,
  • Anpassung der Betriebsvereinbarungen an die DSGVO,
  • Prozesse zur Umsetzung von Widersprüchen,
  • Vereinbarungen zur Auftragsverarbeitung (Haftungsregelung, Dokumentation),
  • Überarbeitung des Prozesses bei Datenpannen, entsprechend der neuen Vorgaben,
  • Verfahren, um Daten in einem gängigen elektronischen Format übertragen zu können,
  • Durchführung von zielgruppengerechten Schulungen zu den Neuerungen der DSGVO und den eigenen Prozessen,
  • Durchführung einer Risiko-Analyse zur Festlegung geeigneter technisch-organisatorischer Maßnahmen,
  • Vornahme einer Datenschutz-Folgenabschätzung,
  • Monitoring nationaler Gesetzgebung und Fortbildung,
  • Implementierung eines Backup-Managements (d.h. eine organisierte Erstellung von Datensicherungen auf Medien, die nicht zum eigentlichen Kanzleinetzwerk gehören)
  • Maßnahmen zur Zugangserschwernis bzw. Zugangsverwehrung (d.h. Vornahme von Schutzmaßnahmen für die eigenen Kanzleiräumlichkeiten, um Unbefugten den Zutritt physikalisch zu erschweren bzw. ihn zu verhindern).

Hinweis: Eine Kanzlei sollte über ein effektives Datenschutzmanagement–System mit den oben aufgeführten Prozessen verfügen und vor allem die einzelnen Schutzmaßnahmen dokumentieren, sodass auch gegenüber einer Aufsichtsbehörde der Nachweis geführt werden kann, dass geeignete Strategien und Maßnahmen ergriffen worden sind.

Verschlüsselung zur Sicherung der Datenverarbeitung

Als geeignete Maßnahme zur Sicherheit der Datenverarbeitung führt Art. 32 Abs. 1a DSGVO die Verschlüsselung auf. Folgende Verschlüsselungsverfahren lassen sich in der Praxis meist problemlos umzusetzen und entfalten zugleich eine sehr große Wirkung:

Dateien, Dokumente und Nachrichten: Mit geringem Aufwand lassen sich bei Dateien mit Hilfe von Zip-VerschIüsselungen schützen. Ähnliches gilt für E-Mails, die sich entweder per Zip-Verschlüsselung oder mit Hilfe etablierter Lösungen wie PGP oder S/MIME verschlüsseln lassen. Eine Verschlüsselung empfiehlt sich auch bei der Verwendung von Cloud-Diensten.

Einwahllösungen: Für Besuche bei Mandanten benötigen Kanzleimitarbeiter gelegentlich Zugriff auf das eigene Kanzleinetzwerk. Es empfiehlt sich, mittels VPN einen Daten über sicheren Kanal auszutauschen.

E-Mail-Server: Die Einstellungen STARTTLS und Perfect Forward Secrecy ermöglichen eine Transportverschlüsselung nach dem Stand der Technik. Auf diese Weise werden E-Mail-Nachrichten zwischen den beteiligten Mailservern im Idealfall durchgängig verschlüsselt, weshalb ein Mitlesen von Unbefugten auf dem Transport nicht möglich ist.

Mobile Geräte: Beim Einsatz von mobilen Geräten (Smartphones, Tablets oder klassische Notebooks), ist es notwendig, diese neben dem Kennwort zum Entsperren des  Nutzer-Accounts („Windows-Passwort“) auch mit einer Datenträgerverschlüsselung auszustatten.   

Website: Wenn personenbezogene Daten auf einer Website verarbeitet werden (z.B. über ein Kontaktformular auf der Kanzlei-Website), gilt HTTPS als Transportverschlüsselung als eine erforderliche Sicherheitsmaßnahme.

WLAN-Netze: Wenn Kanzleien WLAN-Netze zur Verfügung stellen, ist zwingend darauf zu achten, dass diese ausreichend vor unbefugten Zugriffen geschützt  werden (u.a. Verwendung von Passwörtern beim WLAN-Netz selbst und auch beim Zugriff auf  den WLAN-Router). Voreingestellte Passwörter  zur Konfiguration des WLAN-Routers sollten umgehend geändert werden.

Jetzt heißt es handeln: Was Sie tun können, um ihre Kanzlei optimal auf die neuen Anforderungen durch die EU-DSGVO 2018 vorzubereiten, erfahren Sie in diesem Report!

» Jetzt gratis anfordern

Von RA Christian Sitter und RA Christian Solmecke

Machen Sie Ihre Kanzlei in nur 5 Wochen fit für die DSGVO. Mit umfassenden Checklisten, Mustern und Erläuterungen.

» Jetzt hier bestellen!