(c) HELIUM V IT-Solutions GmbH    

Datenschutzgrundverordnung

Am 4. Mai 2016 wurde die „Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung)“ kundgemacht.

Die Datenschutz-Grundverordnung tritt am 25. Mai 2018 in Geltung. Bis dahin müssen alle Datenanwendungen an die neue Rechtslage angepasst werden.

Um diesen Anforderungen gerecht zu werden raten wir, aus Sicht von HELIUM V, folgende Punkte zu beachten, bzw. dürfen wir Ihnen nachfolgende Informationen dazu geben.

Wir weisen ausdrücklich darauf hin, dass wir weder Rechtsanwälte noch sonstige Unternehmens-Berater sind. Wir übernehmen keine wie immer geartete Verantwortung / Haftung für diese Informationen. Weder auf Vollständigkeit noch auf Richtigkeit oder ähnliches.

Im englischsprachigen Raum wird die DSGVO GDPR genannt.

Für die Beschreibung der Verwendung des DSGVO Moduls siehe bitte dort.


Bitte denken Sie daran, dass die DSGVO für alle Daten Ihres Einflußbereiches / Ihres Verantwortungsbereiches gilt. Egal ob diese in Ihrer IT gespeichert sind, oder ob diese nur ein zeitlich sortierter Papierordner sind. Egal ob diese in Ihren Firmenräumlichkeiten gelagert / gespeichert werden oder ob diese irgendwo in einer externen Cloud abgelegt sind. Sie sind für diese Daten und auch für die Verfügbarkeit der Daten verantwortlich.
Bitte verwenden Sie gute Benutzernamen und qualitativ hochwertige Kennwörter.
Denken Sie daran, dass andere Menschen ev. böswilligen Nutzen aus Ihren Daten ziehen wollen. D.h. jegliche Kommunikation bei der jemand mitlesen könnte, wie z.B. EMail und die kritische Daten enthält / enthalten könnte muss verschlüsselt sein. Sie haften dafür, wenn Ihre Daten von jemanden unerlaubter Weise mitgelesen werden. Es gibt hier mehr Möglichkeiten als uns allen lieb ist.

Parametrierungen in HELIUM V

Um die DSGVO in Ihrem HELIUM V umzusetzen sollten Sie den Parameter ANWESENHEITSLISTE_TELEFON_PRIVAT_ANZEIGEN auf 0 stellen.
Ab der Version 12500 (voraussichtlich) ist diese Parametrierung nicht mehr erforderlich.

Einstellungen der Rechte / Benutzerrollen

Bitte achten Sie darauf, dass möglichst nur eine Person / ein Benutzer das Administratorenrecht Ihres HELIUM V besitzt. Schränken Sie vor allem die Rechte bezüglich Finanzbuchhaltung und Personalverwaltung soweit wie möglich ein. Insbesondere das Recht PERS_DARF_PERSONALDETAILDATEN_SEHEN bewirkt dass auch Geburtsdaten, Stundenabrechnungen, Gehälter und ähnliches angezeigt werden. Gerade in kleinen Unternehmen herrscht die Unsitte vor, dass "wir sind eh alle gleich" alle Administratoren sind.
Unser Tipp: Einigen Sie sich darauf wer für die Personalagenden zuständig ist und nur dieser Benutzer erhält tatsächlich das Recht auf die Personaldetaildaten. Gehen Sie in den Belangen der Finanzbuchhaltung ähnlich vor.
Denken Sie auch daran, dass in den Ausdrucken der Zeiterfassung durchaus DSGVO relevante Daten enthalten sein können. D.h. vergeben Sie nur Rechte für Mitarbeiter die diese Daten auch tatsächlich benötigen und die Sie auf die DSGVO / Geheimhaltung usw. verpflichtet haben. D.h. die Rechte: PERS_ZEITERFASSUNG_MONATSABRECHNUNG_DRUCKEN, PERS_ZEITERFASSUNG_REPORTS_SEHEN, PERS_ZEITERFASSUNG_REPORTS_DRUCKEN bitte neben den anderen Personalrechten mit bedacht vergeben.

Welche Standardanwendungen werden durch HELIUM V abgedeckt

Im Sinne der DSGVO sind nachfolgende Standardanwendungen aufgeführt. Siehe dazu bitte auch.
Von den in der Datenschutz durch Standard- und Musteranwendungen in der Wirtschaft genannten 32 Standardanwendungsfällen sind für die Wirtschaft vor allem folgende von Bedeutung:

Das bedeutet dass die Verwendung von HELIUM V in die vier markierten Standardanwendungen einzustufen ist.
Details dazu siehe bitte auch Modul DSGVO, Info, Personen spezifische Merkmale.

Q: Werden sensible Daten verarbeitet?

A: Laut DSGVO ist die Verarbeitung von „sensiblen Daten“ untersagt.
Dieses Verbot gilt ausschließlich in folgenden Fällen nicht (d.h. die Verarbeitung sensibler Daten ist in folgenden Fällen zulässig):

Im Sinne der DSGVO werden derzeit an sensiblen Daten verarbeitet:

Q: Kann Teamviewer im Sinne der DSGVO eingesetzt werden?

A: Auch wenn die Firma Teamviewer natürlich ihr Produkt verteidigt, sehen wir folgende Punkte als problematisch an:
Teamviewer erlaubt jederzeit eine Rückverfolgung zu den handelnden Personen(merkmalen). Die Kette stellt sich wie folgt dar:

Leider haben wir auf eine Anfrage bei Teamviewer zu deren Ansicht bzgl. DSGVO nur die Info bekommen, dass wir rechtzeitig über deren Status dazu informiert werden. Dies ist bis heute (2018-03-09) nicht geschehen. Bitte beachten Sie auch die Arbeitsschutzrechtliche Situation beim Einsatz dieses Werkzeugs.
Bedenken Sie bitte auch, wie leicht ein Mitarbeiter hiermit alle ihre Geheimhaltungsbestimmungen umgehen kann.

Hinweis: Auch wir setzen Teamviewer ein. Insbesondere sind unsere Zeiterfassungsterminals auf Windows-Basis für die Betreuung mit Teamviewer mit einem konfigurierten Fernwartungszugriff ausgestattet. Von uns werden die Terminals in der Regel so ausgeliefert, dass diese mit Ihrem HELIUM V Server kommunizieren und dass der verwendete Benutzer KEINEN Zugriff in Ihr Firmennetzwerk hat.

Q: Welche Personenspezifische Merkmale werden von HELIUM V gespeichert

A: Für diese Detailinfos, verweisen wir auf den Ausdruck der Personen spezifischen Merkmale aus dem Modul DSGVO

Q: Privacy by Design

A: Die Grundeinstellungen von HELIUM V entsprechen dieser Forderung. Leider verwenden viele, vor allem kleine Unternehmen die Rolle Administrator für alle Benutzer (wir sind alle gleich, jeder darf von den anderen alles wissen). Bitte bedenken Sie, dass es besser ist, wenn jedeR die Rechte bekommt die er/sie für seine/ihre Arbeit benötigt. Das schützt Sie und Ihre Daten und weckt keine zusätzlichen Begehrlichkeiten. Denken Sie auch daran Ihre Arbeitsplatzrechner so einzustellen, dass diese einen automatischen Anmeldeschutz haben.
Von den Datenstrukturen her ist HELIUM V so programmiert, dass für die Erfassung von Personen / Ansprechpartnern, der Name als einziges Merkmal ausreicht.

Q: Detailübersicht der verarbeiteten Personenspezifischen Daten

A: Sie finden im Modul Personal, unterer Reiter DSGVO, im Menüpunkt Journal, Module und personenspezifische Merkmale, eine Aufstellung der von den jeweiligen Modulen verarbeiteten Personenspezifischen Merkmale. Sollten Sie dieses Zusatzmodul nicht besitzen, wenden Sie sich bitte an Ihren HELIUM V Betreuer.

Q: Beauskunftung

A: Sie finden im Modul Personal, unterer Reiter DSGVO, eine Liste aller Partner welche in Ihrem HELIUM V angelegt sind.
Info: Die Partner-Adressen haben keine spezifische Mandantenzuordnung, d.h. Sie finden hier alle in Ihrer Datenbank angelegten Adressen.
Für eine Beauskunftung wählen Sie den gewünschten Partner aus und gehen im Menü auf Info, Beauskunftung.
Hier stehen zwei Auswertungen zur Verfügung:
- Kompakte Info, mit der Liste in welchen Modulen Daten dieses Partners gespeichert sind
- umfassende Auswertung, mit einer Detailaufstellung in welchen Modul-Datensätzen Daten gespeichert sind. Also z.B. bei welchem Angebot der Partner als Ansprechpartner hinterlegt ist.

Q: Brauche ich neben der Beauskunftung aus HELIUM V auch noch ein Verarbeitungsverzeichnis?

A: Selbstverständlich. Auch wenn eine großen Anzahl an Daten und Prozessen in HELIUM V abgebildet sind. Wir haben bisher keinen Anwender kennengelernt, der nicht in irgend einer Form noch zusätzliche strukturierte Daten aufbewahrt hat. Egal ob dies nun Kundenordner, Personalakten, XLS oder odt Dateien sind. All diese Dateien sind zu beurteilen, im Verarbeitungsverzeichnis aufzulisten und in ihrer Datenrelevanz einzuschätzen.

Q: Massendaten / personenspezifische Daten

A: Diese Unterscheidung ist für das Zutreffen der DSGVO relevant.
Z.B. Wenn Sie nur Ihre Saldenliste an Ihren Unternehmensberater senden, so sind das anonymisierte Massendaten. Im Sinne der DSGVO sind diese nicht schützenswert. Natürlich sollten Sie dies aber trotzdem nur verschlüsselt übertragen, man kann da ja einiges herauslesen.
Andererseits, wenn Sie Ihre Buchhaltung, auch in Papierform, Ihrem Steuerberater übergeben, so sind darin auch die Debitorenkonten enthalten. Das sind strukturierte Daten. Also vom Grundgedanken her personifizerte Daten, weil Sie ja auch an Privatpersonen bzw. Einzelfirmen liefern könnten. Dies geht soweit, wenn Namen auch in GmbH Firmenwortlauten enthalten sind und daraus eindeutig auf eine Person rückgeschlossen werden kann, sind das personifizierte Daten.
ABER:
Es gibt die gesetzliche Buchführungs- und Aufbewahrungspflicht. Diese ist höherwertig als die DSGVO. D.h. ja Sie müssen das verarbeiten. Jedoch können Sie aus dem Titel der Buchhaltung keine Begrüundung ableiten, warum Sie das Geburtsdatum benötigen. Einzig wenn Sie Geschäfte mit Minderjährigen machen, könnte dies ein Thema sein. Sollte dies für Sie zutreffen, so setzen Sie sich bitte sehr intensiv mit den Rechten dieser sehr schützenswerten Personengruppe auseinander.
Zu beachten:
Natürlich ist es selbstverständlich, dass die Lohnverrechnung personenspezifische Daten verarbeitet. Daraus ergibt sich auch, dass jegliche Kommunikation mit Ihrem Auftragsverarbeiter (Steuerberater der die Lohnverrechnung macht), über geschützte Kanäle erfolgt. Also Personendaten nur per verschlüsseltem EMail usw.
Gilt das auch für Bilanzen?
Im ersten Blick würde man sagen, nein, das sind ja Massendaten, aber: da werden natürlich auch die Organe der Geschäftsführung angeführt. Also verschlüsselt sowieso und bei der Beauskunftung berücksichtigen.

Q: Darf ich meinen Partnern / Kunden EMails senden?

A: Wenn Sie in laufenden Geschäftsbeziehungen sind, so ist die normale EMail Kommunikation Teil Ihres Geschäftes / Business-Use-cases. Das bedeutet, solange Sie hier "normale" Daten wie Angebote, technische Details oder ähnliches austauschen, ist das legal. Kritisch wird es, wenn es um persönliche Daten wie Geburtsdatum, das letzte Strafmandat, ist schon seit xx Wochen Krank, geht. Diese sensiblen Daten sollten Sie weder mit anderen austauschen und schon gar nicht speichern.
So ist auch die Information über das Leistungsangebot Ihres Unternehmens unter vorvertragliche Phase einzustufen (Geschäftsanbahnung) das dürfen Sie jederzeit machen, wenn der Partner Sie um Information gebeten hat. Dass er Sie um Information gebeten hat, sollten Sie nachweisen können.

Q: Wie geht man mit Daten die von den Mitarbeitern erzeugt / abgelegt werden um?

A: In Zusammenhang mit den Daten, die von Mitarbeitern in Ihrem Unternehmen an- und abgelegt bzw. erzeugt werden gibt es einige Dinge zu beachten.
Nachfolgend eine, sicherlich nicht vollständige Sammlung, unserer Empfehlungen / Erfahrungen.

Bitte beachten Sie, dass hier sowohl Datenschutzrechtliche als auch Arbeitsrechtliche Gesetze und Regeln zur Anwendung kommen. Wir verweisen auch hier darauf, dass wir weder Steuerberater, noch Jurist, noch ein Unternehmensberater sind. Rechtsverbindliche Auskünfte holen Sie sich bitte bei den entsprechenden Stellen.

Oberste Regel:
Alle Daten die Ihre Mitarbeiter auf Geräten in Ihrer Einflußsphäre speichern sind Daten des Unternehmens. Das Speichern privater Daten ist ausdrücklich verboten.
Warum? Private Daten dürfen Sie nicht einsehen. Nun hat der Mitarbeiter in seinem EMail Postfach aber Kunden und Private Daten gemischt. Sie haben keine Chance eine Beauskunftung nach DSGVO zu machen, weil Sie die Daten nicht einsehen dürfen.



Tipp:
Stellen Sie diese Punkte, neben den vielen anderen, z.B. Geheimhaltung, in einem Dokument zusammen und lassen Sie sich die Einhaltung dieser Punkte / Regeln jedes Jahr von Ihren Mitarbeitern unterschreiben.
Will ein Mitarbeiter Ihre Regeln nicht akzeptieren, so überlegen Sie sich, wer die arbeitsrechtlichen Strafen bezahlt.
Info:
Es haftet am Schluss immer der Geschäftsführer mit seinem Privatvermögen.

Q: Wann sind Daten zu löschen ?

A: Das kommt darauf an. D.h. wenn:

so dürfen diese Daten nicht gelöscht werden. D.h. prüfen Sie vor dem Löschen / Anonymisieren immer ob hier andere, höherwertige Rechte diesen Vorgang verbieten. Erst nachdem Sie sicher sind, dass es keinerlei Recht gibt, welches Ihnen die Aufbewahrung der Daten vorschreibt, müssen Sie löschen / anonymisieren.
Aus diesem Grunde ist das anonymisieren in HELIUM V auch im DSGVO Modul, für welches entsprechende Rechte erforderlich sind, angesiedelt.

Q: Können in HELIUM V Daten gelöscht werden ?

A: Theoretisch ja, aber wenn diese mit anderen Dokumenten verknüpft sind, ist ein Löschen, also eine physikalische Entfernung aus der Datenbank nicht mehr möglich. Verwenden Sie stattdessen anonymisieren.
Hinweis: Im Falle dass eine Datensicherung eingespielt werden muss, müssen bereits gelöschte / anonymisierte Daten nachgelöscht/nachanonymisiert werden.
Wir raten daher, die Daten nur zu anonymisieren, da beim Löschen die Daten nicht nachgelöscht werden können.
Denken Sie daran, dass die Protokolldatei der Anonymisierung zusätzlich auf einem völlig anderen Backupmedium gespeichert werden muss. Hier ist eine zweite Datensicherungsstrategie anzuwenden.

Q: Was passiert mit den Daten des Testsystemes ?

A: Bitte beachten Sie, dass von der DSGVO natürlich auch die Daten in Ihren Testsystemen betroffen sind / betroffen sein können. D.h. löschen / anonymisieren / beauskunften Sie bitte auch diesen Datenbestand.

Q: Was ist den so grundsätzlich zu beachten ?

A: Es geht darum dass personenbezogene Daten nicht falsch verwendet werden / nicht in falsche Hände gelangen. Denken Sie an den gerade (April 2018) aufgeflogenen Facebook Daten Skandal.
D.h. im wesentlichen sollten Sie immer Herr/Frau Ihrer Daten sein.
Nun ist das Verständnis vieler Menschen welche Daten denn wo durch die Gegend gesandt werden oft nur sehr rudimentär oder überhaupt nicht vorhanden.
Auch wird die kriminelle Energie mit der manche Zeitgenossen versuchen Daten zu stehlen von uns allen unterschätzt.
D.h. Sie müssen Maßnahmen ergreifen dass die Daten grundsätzlich nicht wegkommen, bzw. dass Sie merken wenn Daten weggekommen sind.
Dazu werden folgende Maßnahmen eingesetzt:
- Alles was an Daten Mobil unterwegs ist sollte durch ein Kennwort geschützt sein. Also alles was Sie auf Notebooks, Handys, Tablets, USB-Sticks, Datensicherungen, usw. gespeichert haben.
- Alles was elektronisch über ungeschützte Kanäle unterwegs ist muss geschützt sein. Bedenken Sie bitte dass ein EMail wie eine Postkarte ist. JedeR kann mitlesen.
- Es sollte niemand unerlaubt Zutritt zu Ihren Standgeräten bekommen. D.h. die Serverräume sind verschlossen und die Client/Arbeitsplatzrechner gehen nach sehr kurzer Zeit in einen Modus über, sodass man nur mit Passwörtern weiter kommt.

Oder in anderen Worten:
In der DSGVO sind unter anderem sechs Grundsätze für die Verarbeitung personenbezogener Daten geregelt:

Laut der DSGVO darf nur gespeichert werden, was für die aktuelle Datenverarbeitungstätigkeit tatsächlich notwendig ist. Zusätzlich muss ein Verarbeitungsverzeichnis geführt werden, es sei denn:

Bitte beachten Sie, dass Ihre Webseiten bzw. elektronische Kommunikation / EMail, Newsletter besonders im Augenmerk liegen. Siehe dazu auch.

Q: Verarbeiten wir Ihre Daten im Sinne eines Auftragsverarbeiters, wie im Artikel 28 ausgeführt ?

A: Nein. Es wird von Seiten HELIUM V im Sinne des Artikels 28 keine Auftragsdatenverarbeitung vorgenommen. Wir benötigen Ihre Daten im Anlassfalle zwar um verschiedene Problemlösungen zu erarbeiten, z.B. zur Fehlerbehebung oder zur Entwicklung neuer Module bzw. Funktionalitäten. Die eigentliche Datenverarbeitung erfolgt aber immer auf den von Ihnen verwendeten Servern. D.h. liegt Ihre HELIUM V Installation auf einem Server dessen Hardware bei Ihnen im Hause steht, so erfolgt die Verarbeitung auf diesem Rechner und Sie müssen bei einer Beauskunftung / Löschung diesen Rechner und seine Daten mit berücksichtigen (siehe dazu gerne auch das zusätzliche DSGVO Modul, welches Sie bei der Beauskunftung dramatisch unterstützt). Liegt Ihre HELIUM V Installation in einer Cloud oder ähnlichen Struktur, so muss sichergestellt sein, dass die Behandlung Ihres Servers ebenfalls der DSGVO entspricht. In diesem Falle müssen Sie mit Ihrem Provider entsprechende Verträge abschließen.
Selbstverständlich unterliegen wir schon immer der Geheimhaltung und unser gesamtes Team ist angewiesen nur die Daten welche zur Erfüllung der Aufgaben erforderlich sind zu verwenden. Sie können beruhigt davon ausgehen, dass wir auch unsere Hausaufgaben bezüglich der technischen und organisatorischen Maßnahmen zur Sicherheit der uns anvertrauten Daten unternommen haben. Wir bittem um Verständnis, dass diese nicht offengelegt werden. Sollten Sie dazu ausführlichen Bedarf haben, können wir Ihnen diese gerne, nach Unterzeichnung einer entsprechenden Vertraulichkeitsvereinbarung, zusenden.

Creative Commons Lizenzvertrag


HELIUM V das Open Source ERP System für das erfolgreiche KMU

Autor:
Ing. Werner Hehenwarter