Was bedeuten Datenschutz und Datensicherheit?

Bevor du dich für eine Software-Lösung in deiner Buchhaltung entscheidest, solltest du dich zunächst einmal grundlegend mit den Themen Datenschutz und Datensicherheit befassen.

Nur so kannst du beurteilen, ob der Software-Anbieter die rechtlichen Vorgaben, die in Deutschland, der EU und im Übrigen weltweit gelten, ausreichend berücksichtigt. Denn viele aus dem angelsächsischen Wirtschaftsraum stammende Softwaretools mögen genial und kostengünstig sein, aber nicht unbedingt unseren europäischen Vorstellungen vom Datenschutz entsprechen.

Und da DU verantwortlich für dein Geschäft und den Kontakt nach außen bist, bist du es auch für deine mit diesen im Zusammenhang stehenden Entscheidungen in deinem Unternehmen.

Was versteht man unter Datenschutz?

In Wikipedia findet sich der Hinweis, dass Datenschutz ein in der zweiten Hälfte des 20. Jahrhunderts entstandener Begriff ist, der teilweise unterschiedlich definiert und interpretiert wird. Je nach Betrachtungsweise wird Datenschutz verstanden als

• Schutz vor missbräuchlicher Datenverarbeitung,
• Schutz des Rechts auf informationelle Selbstbestimmung,
• Schutz des Persönlichkeitsrechts bei der Datenverarbeitung und auch
• Schutz der Privatsphäre.

Datenschutz wird häufig als Recht verstanden, dass jeder Mensch grundsätzlich selbst darüber entscheiden darf, wem wann welche seiner persönlichen Daten zugänglich sein sollen.

Der Wesenskern eines solchen Datenschutzrechts besteht dabei darin, dass die Machtungleichheit zwischen Organisationen und Einzelpersonen unter Bedingungen gestellt werden kann.

Der Datenschutz soll der in der zunehmend digitalen und vernetzten Informationsgesellschaft bestehenden Tendenz zum sogenannten gläsernen Menschen, dem Ausufern staatlicher Überwachungsmaßnahmen (Überwachungsstaat) und der Entstehung von Datenmonopolen von Privatunternehmen entgegenwirken [1].

Datenschutz-Grundverordnung (DSGVO)

Die Datenschutz-Grundverordnung DSGVO oder DS-GVO, französisch “règlement général sur la protection des données RGPD”, englisch “General Data Protection Regulation GDPR”) ist eine Verordnung der Europäischen Union, mit der die Regeln zur Verarbeitung personenbezogener Daten durch die meisten Verantwortlichen, sowohl private wie öffentliche, EU-weit vereinheitlicht werden.

Dadurch soll einerseits der Schutz personenbezogener Daten innerhalb der Europäischen Union sichergestellt und andererseits der freie Datenverkehr innerhalb des Europäischen Binnenmarktes gewährleistet werden [2].

Die Verordnung ersetzt die aus dem Jahr 1995 stammende Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr.

Zusammen mit der so genannten JI-Richtlinie für den Datenschutz in den Bereichen Polizei und Justiz [3] bildet die DSGVO seit dem 25. Mai 2018 den gemeinsamen Datenschutzrahmen in der Europäischen Union [4]. Sie ist darüber hinaus seit dem 20. Juli 2018 auch in den Nicht-EU-Staaten des Europäischen Wirtschaftsraumes (EWR) Island, Liechtenstein und Norwegen geltendes Recht [5].

In den FAQs des Bundesministeriums für Justiz zur DSGVO können die wesentlichen Rechte für Verbraucher*Innen nachgelesen werden.

Bundesdatenschutzgesetze (BDSG)

In Deutschland regelt das Bundesdatenschutzgesetz (BDSG) den Datenschutz für die Bundesbehörden und den privaten Bereich (d. h. für alle Wirtschaftsunternehmen, Institutionen, Vereine etc. gegenüber natürlichen Personen) [6]

Landesdatenschutzgesetze

Daneben regeln die Datenschutzgesetze der Länder den Datenschutz in Landes- und Kommunalbehörden; das Datenschutzgesetz Nordrhein-Westfalen (DSG NRW) kann hier eingesehen werden.

Weitere datenschutzrechtliche Regelungen

Datenschutzrechtliche Regelungen finden sich darüber hinaus in etlichen weiteren Gesetzen, etwa dem Telekommunikationsgesetz und dem Telemediengesetz, die jeweils für ihren Anwendungsbereich speziellere Regelungen zum Datenschutz enthalten. Diese bereichsspezifischen Regelungen gehen dem Bundesdatenschutzgesetz jeweils vor, das BDSG gilt nur ergänzend [7].

Das deutsche Bundesdatenschutzgesetz (BDSG) ergänzt und präzisiert die Datenschutz-Grundverordnung (DS-GVO) an den Stellen, die nationalen Regelungen der EU-Staaten überlassen sind. Das sind unter anderem die Verarbeitung von Beschäftigtendaten, die Videoüberwachung, die Bestellung von Datenschutzbeauftragten oder die Aufsichtsbehörden. Zudem dient das BDSG der Umsetzung der EU-Datenschutzrichtlinie für Polizei- und Justizbehörden (JI-Richtlinie) [8].

Muster für Datenschutzhinweise

Die Landesbeauftragte für Datenschutz und Informationsfreiheit unterstützt nicht-öffentliche Betreiber*Innen von „einfachen“ Websites mit einem Muster für Datenschutzhinweise.

Was versteht man unter Datensicherheit?

Informationssicherheit dient verschiedenen Schutzzielen

Demgegenüber bezeichnet Daten- oder Informationssicherheit die Eigenschaften von technischen oder nicht-technischen Systemen zur Informationsverarbeitung, -speicherung und -lagerung, die die Schutzziele Vertraulichkeit, Verfügbarkeit und Integrität sicherstellen. Informationssicherheit dient dem Schutz vor Gefahren bzw. Bedrohungen, der Vermeidung von wirtschaftlichen Schäden und der Minimierung von Risiken [9].

Industriestandards und Möglichkeiten von Zertifizierung und Anerkennung

In der Praxis orientiert sich die Informationssicherheit im Rahmen des IT-Sicherheitsmanagements unter anderem an der internationalen ISO/IEC-27000-Reihe. Im deutschsprachigen Raum ist ein Vorgehen nach IT-Grundschutz verbreitet. Im Bereich der Evaluierung und Zertifizierung von IT-Produkten und -systemen findet die Norm ISO/IEC 15408 (Common Criteria) häufig Anwendung.

Die internationale Normenreihe IEC 62443 über „Industrielle Kommunikationsnetze – IT-Sicherheit für Netze und Systeme“. Die Normenreihe ist in verschiedene Bereiche unterteilt und beschreibt sowohl technische als auch prozessorale Aspekte der Industriellen Cybersecurity. Sie unterteilt die Industrie in verschiedene Rollen: den Betreiber, die Integratoren (Dienstleister für Integration und Wartung) sowie die Hersteller. Die verschiedenen Rollen verfolgen jeweils einen risikobasierten Ansatz zur Vermeidung und Behandlung von Sicherheitsrisiken bei ihren Tätigkeiten.

Das Bundesministerium für Sicherheit in der Informationstechnik (BSI) gibt Hinweise, welche Zertifizierung und Anerkennung durch das BSI möglich sind, damit die Digitalisierung in Verwaltung und Wirtschaft mit Informationssicherheit gelingt [10].

Das BSI ist DIE Zertifizierungsstelle in Deutschland, die in Zusammenarbeit mit nationalen internationalen Partnern die Cyber-Sicherheit weltweit voranbringt.

Das BSI-Angebot zur Zertifizierung und Anerkennung von Produkten, Dienstleistungen und Personen soll einen wichtigen Beitrag zur Informationssicherheit in Deutschland leisten. Schau‘ also, mit welcher Zertifizierung dein favorisierter Software-Anbieter wirbt und prüfe, ob dieser dem Industriestandard genügt.

Unternehmer trägt die alleinige Verantwortung für die Datensicherheit

Denn die Finanzverwaltung verweist in ihrem Schreiben vom 28.11.2019 unter Punkt 7. auf deine Verantwortlichkeit für die Datensicherheit [11].

„Der Steuerpflichtige hat sein DV-System gegen Verlust (z. B. Unauffindbarkeit, Vernichtung, Untergang und Diebstahl) zu sichern und gegen unberechtigte Eingaben und Veränderungen (z. B. durch Zugangs- und Zugriffskontrollen) zu schützen. [Tz. 103]

Werden die Daten, Datensätze, elektronischen Dokumente und elektronischen Unterlagen nicht ausreichend geschützt und können deswegen nicht mehr vorgelegt werden, so ist die Buchführung formell nicht mehr ordnungsmäßig. [Tz. 104 mit Beispiel in Tz. 105]

Die Beschreibung der Vorgehensweise zur Datensicherung ist Bestandteil der Verfahrensdokumentation. Die konkrete Ausgestaltung der Beschreibung ist abhängig von der Komplexität und Diversifikation der Geschäftstätigkeit und der Organisationsstruktur sowie des eingesetzten DV-Systems. [TZ. 106]“

Hier findest Du weitere Informationen zu Datenschutz, Datensicherheit, möglichen Zertifizierungen und technischen Richtlinien (Stand 28.02.2022): Datenschutz (nrw.de)

Auch der Arbeitskreis Datenschutz des Bitkom hat zudem mehrere Leitfäden für die Umsetzung von Datenschutz-Vorgaben im Unternehmen erarbeitet und an die Vorgaben der EU-Datenschutz-Grundverordnung angepasst. Die Leitfäden sollen den für Datenschutz Verantwortlichen im Unternehmen Orientierung bieten, wie die gesetzlichen Anforderungen zu verstehen sind und wie sie in Unternehmensprozesse übersetzt werden können. Dabei haben die Autoren, die allesamt aus der Unternehmens- oder anwaltlichen Praxis kommen, besonderes Augenmerk auf die praktische Umsetzbarkeit der Anforderungen gelegt. Die Leitfäden finden Sie hier zum Download.

IT-Grundschutz als Voraussetzung für eine erfolgreiche Digitalisierung

Das BSI nennt Informationssicherheit als die Voraussetzung für eine erfolgreiche Digitalisierung. Der IT-Grundschutz liefert hierfür ein solides fachliches Fundament und ein umfangreiches Arbeitswerkzeug.

Er ist Methode, Anleitung, Empfehlung und Hilfe zur Selbsthilfe für Behörden, Unternehmen und Institutionen, die sich mit der Absicherung ihrer Daten, Systeme und Informationen befassen wollen. Zentral ist dabei ein ganzheitlicher Ansatz zur Informationssicherheit: Neben technischen Aspekten werden auch infrastrukturelle, organisatorische und personelle Themen betrachtet.

Dies ermöglicht ein systematisches Vorgehen, um notwendige Sicherheitsmaßnahmen zu identifizieren und umzusetzen.

Die BSI-Standards liefern hierzu bewährte Vorgehensweisen, das IT-Grundschutz-Kompendium konkrete Anforderungen. Auf Basis der drei Vorgehensweisen Basis-, Standard- und Kern-Absicherung kann in einer Institution ein Managementsystem für Informationssicherheit (ISMS) implementiert werden. [12]

IT-Grundschutz hebt das Niveau der Informationssicherheit in einer Institution

Der IT-Grundschutz hilft dabei, das Niveau der Informationssicherheit in einer Institution anzuheben und aufrechtzuerhalten. Er ist der bewährte Standard zum Aufbau eines ISMS. Mit einem ISO 27001-Zertifikat auf der Basis des IT-Grundschutzes kann eine Institution belegen, dass die umgesetzten Maßnahmen zur Informationssicherheit anerkannten internationalen Standards entsprechen und dadurch zusätzliches Vertrauen bei Kunden und Partnern schaffen.

IT-Grundschutz nicht für alle Anwender geeignet?

Der IT-Grundschutz richtet sich an unterschiedliche Anwendergruppen: Zuständige für Informationssicherheit, ob Einsteiger oder Profi, ob im behördlichen oder Unternehmensumfeld. Sie alle können mit den Angeboten des IT-Grundschutzes das Sicherheitsniveau in ihrer Institution realistisch einschätzen und die notwendigen Maßnahmen zur Absicherung umsetzen.

Das IT-Grundschutz-Kompendium und die IT-Grundschutz-Profile eignen sich besonders für den Aufbau eines ISMS in kleinen und mittleren Unternehmen (KMU), die einen eigenständigen IT-Betrieb haben. Für kleine und Kleinstunternehmen (KKU) sind der Aufbau und Betrieb eines vollwertigen ISMS nach IT-Grundschutz in der Regel nicht geeignet. In diesen Unternehmen sollten daher ein auf die jeweilige Unternehmensgröße angepasstes Informationssicherheitssystem eingerichtet werden. Hierzu werde ich weiter recherchieren und berichten, wenn ich mehr in Erfahrung gebracht habe.

Dieser Beitrag …

gehört zu der Serie „Buchführung in 15 Minuten„. In dieser Reihe weise ich auf die Wichtigkeit von Datenschutz und Datensicherheit bei der Auswahl von Software in deiner Buchhaltung hin, gehe der Frage nach, wie du eine geeignete Software für deine Buchhaltung findest, für wen die Grundsätze ordnungsmäßiger Buchführung (GoB) gelten und warum du die Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff (GoBD) kennen solltest. Außerdem beschreibe ich drei mögliche Stufen der Zusammenarbeit mit deinem Steuerberater.