Datenbeschaffung,
Datenschutz und Datensicherheit
WP/StB Michael Weber - Wirtschaftsprüferkammer
Berlin, 18. Dezember 2019
Übersicht
2
1. Grundlagen der Datenbeschaffung
2. Datenschutz
3. Datensicherheit
4. Ausgewählte Möglichkeiten zur Datenbeschaffung
3
1. Grundlagen der Datenbeschaffung
4
Grundüberlegungen zur Datenbeschaffung
• Zur Prozessautomatisierung in WP/vBP-Praxen müssen die benötigten
Informationen in digitaler Form vorliegen.
• Der Datenaustausch ist die Grundvoraussetzung für eine digitale
Zusammenarbeit mit den Mandanten. Der WP/vBP kann bei diesem Thema
die Richtung vorgeben.
• Die Qualität der Mandantendaten hängt von dessen Digitalisierungsgrad ab.
• Bei der Datenbeschaffung sind datenschutzrechtlichen Vorgaben zwingend
zu beachten.
• Der WP/vBP muss hierfür die Datensicherheit gewährleisten.
5
Möglichkeiten zur Datenbeschaffung
• Papierdokumente
• Datenträger (Festplatte / CD-ROM / USB-Stick)
• Datenaustauschplattformen / Kollaborationsplattformen
• Schnittstellen
6
Notwendigkeit zur Datenarchivierung
• Die erhaltenen Daten sollten strukturiert gespeichert werden. Dabei gilt es,
Redundanzen zu vermeiden.
• Zum Abspeichern kann ein Dateiserver (Fileserver) verwendet werden.
Dieser kann zum Beispiel durch Ordner strukturiert werden.
• Durch den Einsatz eines Dokumentenmanagementsystems (DMS) kann der
kanzleiinterne Informationsfluss optimiert werden. In einem DMS werden die
Daten zudem revisionssicher archiviert, Änderungen sind hierdurch
nachvollziehbar und die Integrität der Daten wird gewährleistet.
• Dokumentenmanagementsysteme können On Premise oder in der Cloud
eingesetzt werden. Verschiedene Cloud-Lösungen sind dabei an eine
Kollaborations-Plattform angebunden.
7
2. Datenschutz
8
Was bedeutet Datenschutz?
• Datenschutz ist das Grundrecht, dass jeder über die Verwendung seiner
Daten entscheiden kann.
• In der Praxis geht es nicht darum, die Daten als solche zu schützen,
sondern selber festzulegen, wem ich wann welche Daten zur Verfügung
stelle.
• Der Datenschutz umfasst personenbezogene Daten von natürlichen
Personen.
• Die relevanten gesetzlichen Regelung sind vor allem die EU Datenschutz-
Grundverordnung (DSGVO) das Bundesdatenschutzgesetz (BDSG-neu)
und das Berufsrecht der Wirtschaftsprüfer und vereidigten Buchprüfer.
9
In welchem Verhältnis stehen diese Regelungen zueinander?
• Die DSGVO ist unmittelbar geltendes europäisches Recht, mit welchem der
Datenschutzstandard europaweit vereinheitlicht werden soll.
• Kollidieren nationale berufsrechtliche Regelungen mit der DSGVO gilt der
Anwendungsvorrang des Europarechts.
• Der deutsche Gesetzgeber hat die vorgesehenen Mitgliedstaatenwahlrechte
für entsprechende Ausnahmeregelungen genutzt. Diese sind im BDSG-neu
geregelt.
• Für WP/vBP wird hierdurch vor allem die berufliche Schweigepflicht
gestärkt, indem die Auskunftsrechte Dritter eingeschränkt werden.
• www.wpk.de/mitglieder/praxishinweise/datenschutz
10
Welche Auswirkungen hat die DSGVO
auf die Leistungserbringung von WP/vBP-Praxen?
Auftragsverarbeitung
• Unter Auftragsverarbeitung wird gem. Art. 29 DSGVO die
weisungsgebundene Datenverarbeitung verstanden.
• Die Tätigkeiten von WP/vBP sind aufgrund der nach § 43 Abs. 1 WPO
geforderten Eigenverantwortlichkeit der Berufsangehörigen in der Regel
keine Auftragsverarbeitung.
• Insofern muss kein schriftlicher Vertrag zur Auftragsverarbeitung zwischen
WP/vBP und Mandant abgeschlossen werden
11
Welche Auswirkungen hat die DSGVO
auf die Leistungserbringung von WP/vBP-Praxen?
Verarbeitung personenbezogener Daten in der Abschlussprüfung
• Der Abschlussprüfer hat nach § 320 HGB bei Abschlussprüfungen ein
Auskunftsrecht gegenüber seinen Mandanten. Bei der Prüfung
personenbezogener Daten kollidiert dieses Auskunftsrecht allerdings mit
dem grundsätzlichen Verbot der DSGVO zur Verarbeitung personen-
bezogener Daten ohne Einwilligung des Betroffenen.
• Dieser Konflikt wird durch Ausnahmen gelöst, welche in Art. 6 DSGVO
abschließend aufgeführt werden. Diese sind:
• Einwilligung,
• Erfüllung eines Vertrags,
• rechtliche Verpflichtung,
• zum Schutz lebenswichtiger Interessen,
• Wahrnehmung einer Aufgabe im öffentlichen Interesse oder öffentliche Gewalt,
• berechtigtes Interesse sowie
• Beschäftigtenverhältnis.
12
Welche Auswirkungen hat die DSGVO
auf die Leistungserbringung von WP/vBP-Praxen?
Verarbeitung personenbezogener Daten in der Abschlussprüfung
• Die gesetzliche Jahresabschlussprüfung ist für den Mandanten nach
§ 316 Abs. 1 Satz 1 HGB eine gesetzliche Verpflichtung. Insofern greift der
gleichlautende Ausnahmetatbestand und das Auskunftsrecht kann
vollumfänglich ausgeübt werden.
• Bei einer freiwilligen Abschlussprüfung und weiteren Leistungen die
personenbezogene Daten betreffen liegt kein gesetzliche Verpflichtung
vor. Allerdings könnte hier der Ausnahmetatbestand des berechtigten
Interesses angeführt werden, wenn
• die Grundrechte und Grundfreiheiten der betroffenen Person nicht
überwiegen und
• die betroffene Person mit einer weiteren Verarbeitung seiner
personenbezogenen Daten rechnen muss.
13
Datenschutz in der WP/vBP-Praxis
• Berufsangehörige haben ihren Beruf unabhängig, gewissenhaft,
verschwiegen und eigenverantwortlich auszuüben (§ 43 Abs. 1 Satz 1
WPO).
• Für Wirtschaftsprüfer und vereidigte Buchprüfer beschränkt sich der
Datenschutz nicht nur auf personenbezogene Daten sondern auf alle
vertraulichen Mandanteninformationen.
• Der Schutz von Unternehmensdaten fällt – sofern die Daten nicht
personenbezogen sind – nicht unter die DSGVO. Es sollten aber die
gleichen Sicherheitsvorkehrungen zugrunde gelegt werden.
14
3. Datensicherheit
15
Was bedeutet Datensicherheit?
• Datensicherheit ist die Sicherstellung des Datenschutzes, d.h. der
Vertraulichkeit, Integrität und Verfügbarkeit der Daten. Zusätzlich sollte die
Authentizität sichergestellt werden.
• Vertraulichkeit Nur befugte Personen habe Zugriff auf die Daten
• Integrität Unversehrtheit der Daten, d.h. Schutz vor Manipulation
• Verfügbarkeit Die Daten stehen bei Bedarf zur Verfügung
• Authentizität Die Identität des Absenders wird bestätigt
• Es gibt keine absolute Sicherheitsgarantie.
16
Welche Maßnahmen zur Datensicherheit gibt es?
Zugangs- und Zugriffsschutz
• Ein Zugangs- und Zugriffsschutz soll Dritte von einem unbefugten Zugriff auf
Daten fernhalten.
• Hierunter fallen
• verschlossene Serverräume und Büros
• Passwortschutz
• Firewalls
• Virenscanner
• Ein Zugangs- und Zugriffsschutz stellt die Vertraulichkeit sicher.
17
Welche Maßnahmen zur Datensicherheit gibt es?
Verschlüsselung
• Eine Verschlüsselung dient dem Schutz der Daten vor unberechtigtem
Mitlesen.
• Die Daten werden hierbei codiert und sind somit nicht mehr lesbar.
• Zum Schlüsseln werden Schlüssel oder Schlüsselpaare benötigt, welche
Sender und Empfänger untereinander austauschen müssen.
• Die Verschlüsselung geht immer auf Kosten der Leistung, d.h. ist
zeitintensiver.
• Verschlüsselung bietet Vertraulichkeit und (mit Einschränkungen)
Integrität.
18
Was kann verschlüsselt werden?
• Dateien
• Datenträger
• E-Mails
• Internetverkehr
• Cloud-Services
• Verschlüsselungssoftware
• Hardwareunterstützte Verschlüsselungstechnik
• Verschlüsselungssoftware (z.B. BitLocker).
• Transportverschlüsselung (TSL, SSL)
• Ende-zu-Ende Verschlüsselung (S/MIME, PGP)
• HyperText Transfer Protocol Secure (HTTPS)
• Virtual Private Network (VPN)
• Ende-zu-Ende Verschlüsselung
• Verschlüsselter Ordner in der Cloud
19
Welche Maßnahmen zur Datensicherheit gibt es?
Signaturverfahren
• Signaturverfahren dienen der Sicherstellung der Identität einer
Kommunikationspartners.
• Elektronische Dokumente werden hierbei mit einer elektronischen Signatur
versehen, mit welcher man über ein Trustcenter die Identität des Absenders
überprüfen kann.
• Es gibt drei verschiedene Formen der elektronischen Signatur:
• Elektronische Signatur
• Fortgeschrittene elektronische Signatur
• Qualifizierte elektronische Signatur
• Signaturverfahren dienen der Authentizität und Integrität.
20
Unterschied Elektronische Signatur – Elektronisches Siegel
• Die qualifizierte elektronische Signatur bezieht sich auf eine natürliche
Person. Sie ersetzt die handschriftliche Unterschrift und eignet sich für
Dokumente, in denen eine Willenserklärung zum Ausdruck kommt
(Prüfungsbericht, Bestätigungsvermerk).
• Das elektronische Siegel bezieht sich auf eine juristische Person und ist
das Pendant zum Unternehmensstempel. Hierdurch wird sichergestellt, dass
die Dokumente von einer bestimmten Organisation stammen und echt sind.
• Das elektronische Siegel ist kein Siegel im berufsrechtlichen Sinne.
21
Welche Maßnahmen zur Datensicherheit gibt es?
Datensicherung
• Datensicherung ist das Sichern von Daten auf externen Datenträgern für
eine spätere Wiederherstellung.
• Im Falle eines Datenverlustes z. B. durch einen Festplattendefekt, Viren
oder Anwendungsfehler können die Ausfallzeiten durch Wiederherstellung
der letzten Sicherung verringert werden.
• Das Datensicherungskonzept muss sich nach den Bedürfnissen der Praxis
richten. Je digitalisierter eine Praxis, umso häufiger sollte gesichert werden
und umso schneller sollte die Wiederherstellungszeit sein.
• Die Datensicherung stellt die Verfügbarkeit sicher.
22
Risiko: Menschliches Fehlverhalten
• Viele Sicherungsmaßnahmen sind nur wirksam, wenn Nutzer
verantwortungsvoll handeln.
• Beispiele:
• Passwörter und Zugangsdaten dürfen nicht weitergegeben werden.
• E-Mail müssen verschlüsselt versendet werden.
• Dateien dürfen nicht blindlings geöffnet werden.
• Laut BSI gehört menschliches Fehlverhalten zu den Top-Bedrohungen für
Primärangriffe auf IT-Systeme.
23
Maßnahmen gegen menschliches Fehlverhalten
• Regelmäßige Qualifizierungs- und Fortbildungsprogramme (Security-
Awareness) sowie Sensibilisierungsmaßnahmen.
• Geeignete Vorgaben für den Umgang der Mitarbeiter mit den IT-Systemen
(z.B. Passwort-Richtlinien, Kommunikationsverhalten bei E-Mail, Umgang
mit Wechseldatenträgern, Installation individueller Software, usw.)
• Nutzung von technischen Möglichkeiten zur Durchsetzung von Regelungen
(z.B. Device Control, Zutrittskontrolle, automatische Bildschirmschoner,
max. mögliche Abschottung durch Firewalls, Deaktivieren nicht benötigter
Dienste, Monitoring auf ungewöhnliche Verbindungen, usw.)
• Maßnahmen gegen menschliches Fehlverhalten unterstützen dabei, die
Vertraulichkeit, Integrität und die Verfügbarkeit sicherzustellen
24
4. Ausgewählte Möglichkeiten zur Datenbeschaffung
Datenaustauschplattform
25
E-Mail Versand
• E-Mails sind die gängigste Möglichkeit, um Informationen auszutauschen. In
2018 wurden in Deutschland 848,1 Milliarden E-Mails versendet und
empfangen. Spam E-Mail sind hierbei nicht berücksichtigt. www.statista.de
• Der Versand einer E-Mail ist vergleichbar mit dem einer Postkarte. Jeder, der
eine E-Mail zu Gesicht bekommt, kann ihren Inhalt lesen. Damit sind E-Mails
grundsätzlich für den Versand vertraulicher Daten ungeeignet.
• Abhilfe kann die Verschlüsselung der E-Mail verschaffen. Sie bietet durch
Codierung einen Schutz vor unberechtigtem Mitlesen. Eine Verschlüsselung
ist über verschiedene Verfahren realisierbar.
26
E-Mail Verschlüsselung
• Die gängigen Verfahren zur E-Mail Verschlüsselung sind:
• Transportverschlüsselung (TLS, SSL)
• Ende-zu-Ende Verschlüsselung (S/MIME, PGP)
• E-Mail Gateway
• Die Transportverschlüsselung ist serverseitig einzurichten, der Anwender
muss nichts weiter zum Verschlüsseln unternehmen. Die E-Mail ist aber nur
während des Transports verschlüsselt. Auf allen Servern liegt sie in
Klarschrift.
• Bei der Ende-zu-Ende Verschlüsselung muss der Nutzer eventuell selbst
aktiv werden. Außerdem müssen Sender und Empfänger ihre Schlüssel
austauschen. Dafür die E-Mail während des gesamten Transportweges
verschlüsselt.
27
E-Mail Verschlüsselung
Nur die Ende-zu-Ende-Verschlüsselung garantiert einen Komplettschutz der
übertragenden Datenpakete und erfüllt drei wichtige Ziele der Datensicherheit:
• Schutz der Vertraulichkeit: Die Nachrichten oder Daten sind nur für
denjenigen im Klartext zu lesen oder deutlich zu hören, für den sie bestimmt
ist.
• Schutz der Authentizität: Die Echtheit des Absenders wird verifiziert. Der
Absender ist wirklich die Person, die als Absender angegeben wird.
• Schutz der Integrität: Die Nachricht kann auf dem Weg vom Absender zum
Empfänger nicht unbemerkt durch Dritte verändert werde
28
E-Mail Verschlüsselung
„Wie verhalte ich mich, wenn mein Mandant keine verschlüsselten
E-Mails erhalten möchte?“
• Die WPK rät hiervon ab!
• Aber: Der Mandant ist Herr des Geheimnisses!
• Liegt eine schriftliche Einverständniserklärung für einen unverschlüsselten
E-Mail Versand vor, ist dieser berufsrechtlich unbedenklich.
• Die datenschutzrechtlichen Konsequenzen können aktuell noch nicht
beurteilt werden und bergen ein Risiko!
29
E-Mail Empfang
• Spam-Mails sind der Hauptgrund für die Infizierung von Computern durch
Schadprogramme. Laut BSI haben sich 75% der von Ransomware
betroffenen Unternehmen durch schadhafte Mail-Anhänge infiziert.
• Grund hierfür ist, dass E-Mail-Empfänger ihre elektronische Post zu
unbedacht öffnen.
• Das BSI rät daher zu einem 3-Sekunden-Sicherheitscheck, um die Risiken
zu mindern. Dieser umfasst die kritischen Punkte Absender, Betreff und
Anhang:
• Kenne ich den Absender?
• Ist der Betreff sinnvoll?
• Erwarte ich einen Anhang?
30
Datenaustauschplattformen / Kollaborationsplattformen
• Datenaustauschplattformen ermöglichen eine sichere Datenübertragung
durch die Verschlüsselung der Daten und der Transportwege.
• Eine Nutzung ist On Premise oder in der Cloud möglich.
• Datenaustauschplattformen optimieren den Datenfluss.
• Sie ermöglichen die zeitgleiche Kommunikation mehrerer Beteiligter zu
einem Thema, Dokument oder Projekt.
31
Cloud Computing
Ansatzpunkte zur Auswahl eines Cloud-Anbieters
• Standort des Cloud-Anbieters und der Server
• Regelungen zu Zugriffen von Sub-Unternehmern
• Zertifikat/Testat
• ISO/IEC 27001
• TÜV-Prüfzeichen
• EuroCloud-SaaS-Zertifizierung
• Kompetenznetzwerk“ Trusted Cloud“ (www.trusted-cloud.de)
• Prüfkatalog C5 des BSI