Click here to load reader

Datenbeschaffung, Datenschutz und Datensicherheit...Datenschutz und Datensicherheit WP/StB Michael Weber - Wirtschaftsprüferkammer Berlin, 18. Dezember 2019 Übersicht 2 1. Grundlagen

  • View
    0

  • Download
    0

Embed Size (px)

Text of Datenbeschaffung, Datenschutz und Datensicherheit...Datenschutz und Datensicherheit WP/StB Michael...

  • Datenbeschaffung,

    Datenschutz und Datensicherheit

    WP/StB Michael Weber - Wirtschaftsprüferkammer

    Berlin, 18. Dezember 2019

  • Übersicht

    2

    1. Grundlagen der Datenbeschaffung

    2. Datenschutz

    3. Datensicherheit

    4. Ausgewählte Möglichkeiten zur Datenbeschaffung

  • 3

    1. Grundlagen der Datenbeschaffung

  • 4

    Grundüberlegungen zur Datenbeschaffung

    • Zur Prozessautomatisierung in WP/vBP-Praxen müssen die benötigten

    Informationen in digitaler Form vorliegen.

    • Der Datenaustausch ist die Grundvoraussetzung für eine digitale

    Zusammenarbeit mit den Mandanten. Der WP/vBP kann bei diesem Thema

    die Richtung vorgeben.

    • Die Qualität der Mandantendaten hängt von dessen Digitalisierungsgrad ab.

    • Bei der Datenbeschaffung sind datenschutzrechtlichen Vorgaben zwingend

    zu beachten.

    • Der WP/vBP muss hierfür die Datensicherheit gewährleisten.

  • 5

    Möglichkeiten zur Datenbeschaffung

    • Papierdokumente

    • Datenträger (Festplatte / CD-ROM / USB-Stick)

    • E-Mail

    • Datenaustauschplattformen / Kollaborationsplattformen

    • Schnittstellen

  • 6

    Notwendigkeit zur Datenarchivierung

    • Die erhaltenen Daten sollten strukturiert gespeichert werden. Dabei gilt es,

    Redundanzen zu vermeiden.

    • Zum Abspeichern kann ein Dateiserver (Fileserver) verwendet werden.

    Dieser kann zum Beispiel durch Ordner strukturiert werden.

    • Durch den Einsatz eines Dokumentenmanagementsystems (DMS) kann der

    kanzleiinterne Informationsfluss optimiert werden. In einem DMS werden die

    Daten zudem revisionssicher archiviert, Änderungen sind hierdurch

    nachvollziehbar und die Integrität der Daten wird gewährleistet.

    • Dokumentenmanagementsysteme können On Premise oder in der Cloud

    eingesetzt werden. Verschiedene Cloud-Lösungen sind dabei an eine

    Kollaborations-Plattform angebunden.

  • 7

    2. Datenschutz

  • 8

    Was bedeutet Datenschutz?

    • Datenschutz ist das Grundrecht, dass jeder über die Verwendung seiner

    Daten entscheiden kann.

    • In der Praxis geht es nicht darum, die Daten als solche zu schützen,

    sondern selber festzulegen, wem ich wann welche Daten zur Verfügung

    stelle.

    • Der Datenschutz umfasst personenbezogene Daten von natürlichen

    Personen.

    • Die relevanten gesetzlichen Regelung sind vor allem die EU Datenschutz-

    Grundverordnung (DSGVO) das Bundesdatenschutzgesetz (BDSG-neu)

    und das Berufsrecht der Wirtschaftsprüfer und vereidigten Buchprüfer.

  • 9

    In welchem Verhältnis stehen diese Regelungen zueinander?

    • Die DSGVO ist unmittelbar geltendes europäisches Recht, mit welchem der

    Datenschutzstandard europaweit vereinheitlicht werden soll.

    • Kollidieren nationale berufsrechtliche Regelungen mit der DSGVO gilt der

    Anwendungsvorrang des Europarechts.

    • Der deutsche Gesetzgeber hat die vorgesehenen Mitgliedstaatenwahlrechte

    für entsprechende Ausnahmeregelungen genutzt. Diese sind im BDSG-neu

    geregelt.

    • Für WP/vBP wird hierdurch vor allem die berufliche Schweigepflicht

    gestärkt, indem die Auskunftsrechte Dritter eingeschränkt werden.

    • www.wpk.de/mitglieder/praxishinweise/datenschutz

    http://www.wpk.de/mitglieder/praxishinweise/datenschutz

  • 10

    Welche Auswirkungen hat die DSGVO

    auf die Leistungserbringung von WP/vBP-Praxen?

    Auftragsverarbeitung

    • Unter Auftragsverarbeitung wird gem. Art. 29 DSGVO die

    weisungsgebundene Datenverarbeitung verstanden.

    • Die Tätigkeiten von WP/vBP sind aufgrund der nach § 43 Abs. 1 WPO

    geforderten Eigenverantwortlichkeit der Berufsangehörigen in der Regel

    keine Auftragsverarbeitung.

    • Insofern muss kein schriftlicher Vertrag zur Auftragsverarbeitung zwischen

    WP/vBP und Mandant abgeschlossen werden

  • 11

    Welche Auswirkungen hat die DSGVO

    auf die Leistungserbringung von WP/vBP-Praxen?

    Verarbeitung personenbezogener Daten in der Abschlussprüfung

    • Der Abschlussprüfer hat nach § 320 HGB bei Abschlussprüfungen ein

    Auskunftsrecht gegenüber seinen Mandanten. Bei der Prüfung

    personenbezogener Daten kollidiert dieses Auskunftsrecht allerdings mit

    dem grundsätzlichen Verbot der DSGVO zur Verarbeitung personen-

    bezogener Daten ohne Einwilligung des Betroffenen.

    • Dieser Konflikt wird durch Ausnahmen gelöst, welche in Art. 6 DSGVO

    abschließend aufgeführt werden. Diese sind:

    • Einwilligung,

    • Erfüllung eines Vertrags,

    • rechtliche Verpflichtung,

    • zum Schutz lebenswichtiger Interessen,

    • Wahrnehmung einer Aufgabe im öffentlichen Interesse oder öffentliche Gewalt,

    • berechtigtes Interesse sowie

    • Beschäftigtenverhältnis.

  • 12

    Welche Auswirkungen hat die DSGVO

    auf die Leistungserbringung von WP/vBP-Praxen?

    Verarbeitung personenbezogener Daten in der Abschlussprüfung

    • Die gesetzliche Jahresabschlussprüfung ist für den Mandanten nach

    § 316 Abs. 1 Satz 1 HGB eine gesetzliche Verpflichtung. Insofern greift der

    gleichlautende Ausnahmetatbestand und das Auskunftsrecht kann

    vollumfänglich ausgeübt werden.

    • Bei einer freiwilligen Abschlussprüfung und weiteren Leistungen die

    personenbezogene Daten betreffen liegt kein gesetzliche Verpflichtung

    vor. Allerdings könnte hier der Ausnahmetatbestand des berechtigten

    Interesses angeführt werden, wenn

    • die Grundrechte und Grundfreiheiten der betroffenen Person nicht

    überwiegen und

    • die betroffene Person mit einer weiteren Verarbeitung seiner

    personenbezogenen Daten rechnen muss.

  • 13

    Datenschutz in der WP/vBP-Praxis

    • Berufsangehörige haben ihren Beruf unabhängig, gewissenhaft,

    verschwiegen und eigenverantwortlich auszuüben (§ 43 Abs. 1 Satz 1

    WPO).

    • Für Wirtschaftsprüfer und vereidigte Buchprüfer beschränkt sich der

    Datenschutz nicht nur auf personenbezogene Daten sondern auf alle

    vertraulichen Mandanteninformationen.

    • Der Schutz von Unternehmensdaten fällt – sofern die Daten nicht

    personenbezogen sind – nicht unter die DSGVO. Es sollten aber die

    gleichen Sicherheitsvorkehrungen zugrunde gelegt werden.

  • 14

    3. Datensicherheit

  • 15

    Was bedeutet Datensicherheit?

    • Datensicherheit ist die Sicherstellung des Datenschutzes, d.h. der

    Vertraulichkeit, Integrität und Verfügbarkeit der Daten. Zusätzlich sollte die

    Authentizität sichergestellt werden.

    • Vertraulichkeit Nur befugte Personen habe Zugriff auf die Daten

    • Integrität Unversehrtheit der Daten, d.h. Schutz vor Manipulation

    • Verfügbarkeit Die Daten stehen bei Bedarf zur Verfügung

    • Authentizität Die Identität des Absenders wird bestätigt

    • Es gibt keine absolute Sicherheitsgarantie.

  • 16

    Welche Maßnahmen zur Datensicherheit gibt es?

    Zugangs- und Zugriffsschutz

    • Ein Zugangs- und Zugriffsschutz soll Dritte von einem unbefugten Zugriff auf

    Daten fernhalten.

    • Hierunter fallen

    • verschlossene Serverräume und Büros

    • Passwortschutz

    • Firewalls

    • Virenscanner

    • Ein Zugangs- und Zugriffsschutz stellt die Vertraulichkeit sicher.

  • 17

    Welche Maßnahmen zur Datensicherheit gibt es?

    Verschlüsselung

    • Eine Verschlüsselung dient dem Schutz der Daten vor unberechtigtem

    Mitlesen.

    • Die Daten werden hierbei codiert und sind somit nicht mehr lesbar.

    • Zum Schlüsseln werden Schlüssel oder Schlüsselpaare benötigt, welche

    Sender und Empfänger untereinander austauschen müssen.

    • Die Verschlüsselung geht immer auf Kosten der Leistung, d.h. ist

    zeitintensiver.

    • Verschlüsselung bietet Vertraulichkeit und (mit Einschränkungen)

    Integrität.

  • 18

    Was kann verschlüsselt werden?

    • Dateien

    • Datenträger

    • E-Mails

    • Internetverkehr

    • Cloud-Services

    • Verschlüsselungssoftware

    • Hardwareunterstützte Verschlüsselungstechnik

    • Verschlüsselungssoftware (z.B. BitLocker).

    • Transportverschlüsselung (TSL, SSL)

    • Ende-zu-Ende Verschlüsselung (S/MIME, PGP)

    • HyperText Transfer Protocol Secure (HTTPS)

    • Virtual Private Network (VPN)

    • Ende-zu-Ende Verschlüsselung

    • Verschlüsselter Ordner in der Cloud

  • 19

    Welche Maßnahmen zur Datensicherheit gibt es?

    Signaturverfahren

    • Signaturverfahren dienen der Sicherstellung der Identität einer

    Kommunikationspartners.

    • Elektronische Dokumente werden hierbei mit einer elektronischen Signatur

    versehen, mit welcher man über ein Trustcenter die Identität des Absenders

    überprüfen kann.

    • Es gibt drei verschiedene Formen der elektronischen Signatur:

    • Elektronische Signatur

    • Fortgeschrittene elektronische Signatur

    • Qualifizierte elektronische Signatur

    • Signaturverfahren dienen der Authentizität und Integrität.

  • 20

    Unterschied Elektronische Signatur – Elektronisches Siegel

    • Die qualifizierte elektronische Signatur bezieht sich auf eine natürliche

    Person. Sie ersetzt die handschriftliche Unterschrift und eignet sich für

    Dokumente, in denen eine Willenserklärung zum Ausdruck kommt

    (Prüfungsbericht, Bestätigungsvermerk).

    • Das elektronische Siegel bezieht sich auf eine juristische Person und ist

    das Pendant zum Unternehmensstempel. Hierdurch wird sichergestellt, dass

    die Dokumente von einer bestimmten Organisation stammen und echt sind.

    • Das elektronische Siegel ist kein Siegel im berufsrechtlichen Sinne.

  • 21

    Welche Maßnahmen zur Datensicherheit gibt es?

    Datensicherung

    • Datensicherung ist das Sichern von Daten auf externen Datenträgern für

    eine spätere Wiederherstellung.

    • Im Falle eines Datenverlustes z. B. durch einen Festplattendefekt, Viren

    oder Anwendungsfehler können die Ausfallzeiten durch Wiederherstellung

    der letzten Sicherung verringert werden.

    • Das Datensicherungskonzept muss sich nach den Bedürfnissen der Praxis

    richten. Je digitalisierter eine Praxis, umso häufiger sollte gesichert werden

    und umso schneller sollte die Wiederherstellungszeit sein.

    • Die Datensicherung stellt die Verfügbarkeit sicher.

  • 22

    Risiko: Menschliches Fehlverhalten

    • Viele Sicherungsmaßnahmen sind nur wirksam, wenn Nutzer

    verantwortungsvoll handeln.

    • Beispiele:

    • Passwörter und Zugangsdaten dürfen nicht weitergegeben werden.

    • E-Mail müssen verschlüsselt versendet werden.

    • Dateien dürfen nicht blindlings geöffnet werden.

    • Laut BSI gehört menschliches Fehlverhalten zu den Top-Bedrohungen für

    Primärangriffe auf IT-Systeme.

  • 23

    Maßnahmen gegen menschliches Fehlverhalten

    • Regelmäßige Qualifizierungs- und Fortbildungsprogramme (Security-

    Awareness) sowie Sensibilisierungsmaßnahmen.

    • Geeignete Vorgaben für den Umgang der Mitarbeiter mit den IT-Systemen

    (z.B. Passwort-Richtlinien, Kommunikationsverhalten bei E-Mail, Umgang

    mit Wechseldatenträgern, Installation individueller Software, usw.)

    • Nutzung von technischen Möglichkeiten zur Durchsetzung von Regelungen

    (z.B. Device Control, Zutrittskontrolle, automatische Bildschirmschoner,

    max. mögliche Abschottung durch Firewalls, Deaktivieren nicht benötigter

    Dienste, Monitoring auf ungewöhnliche Verbindungen, usw.)

    • Maßnahmen gegen menschliches Fehlverhalten unterstützen dabei, die

    Vertraulichkeit, Integrität und die Verfügbarkeit sicherzustellen

  • 24

    4. Ausgewählte Möglichkeiten zur Datenbeschaffung

    E-Mail

    Datenaustauschplattform

  • 25

    E-Mail Versand

    • E-Mails sind die gängigste Möglichkeit, um Informationen auszutauschen. In

    2018 wurden in Deutschland 848,1 Milliarden E-Mails versendet und

    empfangen. Spam E-Mail sind hierbei nicht berücksichtigt. www.statista.de

    • Der Versand einer E-Mail ist vergleichbar mit dem einer Postkarte. Jeder, der

    eine E-Mail zu Gesicht bekommt, kann ihren Inhalt lesen. Damit sind E-Mails

    grundsätzlich für den Versand vertraulicher Daten ungeeignet.

    • Abhilfe kann die Verschlüsselung der E-Mail verschaffen. Sie bietet durch

    Codierung einen Schutz vor unberechtigtem Mitlesen. Eine Verschlüsselung

    ist über verschiedene Verfahren realisierbar.

    http://www.statista.de/

  • 26

    E-Mail Verschlüsselung

    • Die gängigen Verfahren zur E-Mail Verschlüsselung sind:

    • Transportverschlüsselung (TLS, SSL)

    • Ende-zu-Ende Verschlüsselung (S/MIME, PGP)

    • E-Mail Gateway

    • Die Transportverschlüsselung ist serverseitig einzurichten, der Anwender

    muss nichts weiter zum Verschlüsseln unternehmen. Die E-Mail ist aber nur

    während des Transports verschlüsselt. Auf allen Servern liegt sie in

    Klarschrift.

    • Bei der Ende-zu-Ende Verschlüsselung muss der Nutzer eventuell selbst

    aktiv werden. Außerdem müssen Sender und Empfänger ihre Schlüssel

    austauschen. Dafür die E-Mail während des gesamten Transportweges

    verschlüsselt.

  • 27

    E-Mail Verschlüsselung

    Nur die Ende-zu-Ende-Verschlüsselung garantiert einen Komplettschutz der

    übertragenden Datenpakete und erfüllt drei wichtige Ziele der Datensicherheit:

    • Schutz der Vertraulichkeit: Die Nachrichten oder Daten sind nur für

    denjenigen im Klartext zu lesen oder deutlich zu hören, für den sie bestimmt

    ist.

    • Schutz der Authentizität: Die Echtheit des Absenders wird verifiziert. Der

    Absender ist wirklich die Person, die als Absender angegeben wird.

    • Schutz der Integrität: Die Nachricht kann auf dem Weg vom Absender zum

    Empfänger nicht unbemerkt durch Dritte verändert werde

  • 28

    E-Mail Verschlüsselung

    „Wie verhalte ich mich, wenn mein Mandant keine verschlüsselten

    E-Mails erhalten möchte?“

    • Die WPK rät hiervon ab!

    • Aber: Der Mandant ist Herr des Geheimnisses!

    • Liegt eine schriftliche Einverständniserklärung für einen unverschlüsselten

    E-Mail Versand vor, ist dieser berufsrechtlich unbedenklich.

    • Die datenschutzrechtlichen Konsequenzen können aktuell noch nicht

    beurteilt werden und bergen ein Risiko!

  • 29

    E-Mail Empfang

    • Spam-Mails sind der Hauptgrund für die Infizierung von Computern durch

    Schadprogramme. Laut BSI haben sich 75% der von Ransomware

    betroffenen Unternehmen durch schadhafte Mail-Anhänge infiziert.

    • Grund hierfür ist, dass E-Mail-Empfänger ihre elektronische Post zu

    unbedacht öffnen.

    • Das BSI rät daher zu einem 3-Sekunden-Sicherheitscheck, um die Risiken

    zu mindern. Dieser umfasst die kritischen Punkte Absender, Betreff und

    Anhang:

    • Kenne ich den Absender?

    • Ist der Betreff sinnvoll?

    • Erwarte ich einen Anhang?

  • 30

    Datenaustauschplattformen / Kollaborationsplattformen

    • Datenaustauschplattformen ermöglichen eine sichere Datenübertragung

    durch die Verschlüsselung der Daten und der Transportwege.

    • Eine Nutzung ist On Premise oder in der Cloud möglich.

    • Datenaustauschplattformen optimieren den Datenfluss.

    • Sie ermöglichen die zeitgleiche Kommunikation mehrerer Beteiligter zu

    einem Thema, Dokument oder Projekt.

  • 31

    Cloud Computing

    Ansatzpunkte zur Auswahl eines Cloud-Anbieters

    • Standort des Cloud-Anbieters und der Server

    • Regelungen zu Zugriffen von Sub-Unternehmern

    • Zertifikat/Testat

    • ISO/IEC 27001

    • TÜV-Prüfzeichen

    • EuroCloud-SaaS-Zertifizierung

    • Kompetenznetzwerk“ Trusted Cloud“ (www.trusted-cloud.de)

    • Prüfkatalog C5 des BSI

    http://www.trusted-cloud.de