Datensicherheit betrifft jeden Einzelnen, sie darf nicht auf bestehende Sicherheitssysteme reduziert werden. Diese können zuweilen ausfallen und selbst dem zuverlässigsten Mitarbeiter unterlaufen manchmal Fehler. Die Folge sind nicht selten Datenpannen und dann ist guter Rat teuer.
Allzu oft wird das Thema Informationssicherheit aus einem rein technischen Blickwinkel betrachtet. „IT-Sicherheit? – Natürlich ist bei uns alles sicher!“, sagen sich viele Kanzleiinhaber, aber auch Geschäftsführer mittelständischer Unternehmen, und verweisen dabei auf die vorhandene und extern betreute Netzwerk-Firewall sowie das installierte Virenschutzprogramm.
Doch es reicht nicht aus, das komplexe Thema Informationssicherheit auf die offensichtlichen Aspekte der IT-Sicherheit zu reduzieren. Weder eine Firewall noch ein Virenschutz, ja nicht einmal die Speicherung von Daten im DATEV-Rechenzentrum können allein eine ausreichende Sicherheit vertraulicher Daten gewährleisten. Das bedeutet nicht, dass derartige Maßnahmen wirkungslos sind – ganz im Gegenteil!
Themen wie Netzwerk- und Systemsicherheit sowie Datensicherung sind unverzichtbar, um ein dem heutigen Stand der Technik angemessenes Sicherheitsniveau zu erreichen. Allein aber reichen diese Maßnahmen nicht aus, um alle kritischen Daten angemessen zu schützen. Dementsprechend sollten die Überlegungen zur Informationssicherheit weiter gefasst werden, um alle möglichen Risiken abzudecken.
Verbindliche Regeln aufstellen
Eine Firewall ist wirkungslos, wenn Viren nicht über das Internet, sondern unbemerkt über USB-Datenträger ins Netzwerk gelangen. Deshalb muss neben einer regelmäßigen Überprüfung der Firewall-Regeln auch der Umgang mit Datenträgern in der Kanzlei festgelegt sein.
Genauso wenig kann die Speicherung vertraulicher Daten im Rechenzentrum einen vollständigen Zugriffsschutz gewährleisten, wenn die Daten zusätzlich lokal auf den Arbeitsplatz-PCs, Notebooks und Handys gespeichert werden.
Sicherheitsmaßnahmen wie Passwortschutz und Verschlüsselung müssen also auch auf mobilen Geräten vorhanden sein, wenn von dort ein Zugriff auf sensible Daten möglich ist. Voraussetzung dafür ist, einen genauen Überblick darüber zu behalten, welche Geräte sich auf welchem Weg mit dem Kanzleinetzwerk verbinden können. Dies erfordert eine zentrale Verwaltung mobiler Geräte.
Die Absicherung von Geräten und Speichersystemen kann jedoch nicht verhindern, dass Daten anschließend über unverschlüsselte
E-Mails mit Mandanten und Geschäftspartnern ausgetauscht werden. Auch hier müssen die für die Daten erforderlichen Sicherheitsmaßnahmen in Form einer Verschlüsselung angewandt werden.
Daten sichern
Die Datensicherung durch das Erstellen von Back-ups ist einer der zentralen Punkte eines IT-Sicherheitskonzepts.
Auch wenn die technische Umsetzung und Durchführung von Datensicherungen oft durch externe Dritte erfolgt, sollte die Kanzlei regelmäßig Informationen über deren Status erhalten. Zudem ist die Mitwirkung der Kanzlei bei regelmäßigen Wiederherstellungstests unerlässlich, denn nur so kann bestätigt werden, dass die Datensicherung im Falle eines Datenverlusts tatsächlich eine vollständige Wiederherstellung in angemessener Zeit ermöglicht.
Mitarbeiter sensibilisieren
Informationssicherheit beginnt bei jeder Person selbst und an jedem Arbeitsplatz und kann nie vollständig delegiert werden.
Nicht selten wird der menschliche Aspekt bei der Datensicherheit stark unterschätzt, obwohl Studien zu diesem Thema belegen, dass für die meisten Sicherheitsvorfälle menschliches Fehlverhalten und keine spektakulären Hacker-Angriffe ursächlich sind.
Informationssicherheit beginnt bei jeder Person selbst und an jedem Arbeitsplatz und kann niemals vollständig delegiert werden. Das bedeutet nicht, dass jeder Einzelne sich mit den Details der Sicherheitsmaßnahmen in der EDV befassen muss.
Entscheidend ist jedoch, stets eine Grundsensibilität beim Umgang mit personenbezogenen Daten zu bewahren und Vorgänge zu hinterfragen, anstatt sich blind auf Aussagen Dritter zur IT-Sicherheit zu verlassen.
Datenpanne – und nun?
Ausgehend vom Bundesdatenschutzgesetz (BDSG), das der Gesetzgeber 2009 novelliert hatte, bestehen für Kanzleien bzw. Unternehmen unter gewissen Umständen Informationspflichten, wenn es dann doch einmal zu einer Datenpanne kommt. In einem solchen Fall muss das Unternehmen oder die Kanzlei die zuständige datenschutzrechtliche Aufsichtsbehörde sowie alle von der Panne Betroffenen benachrichtigen.
Verstöße gegen diese Informationspflicht können mit einem Bußgeld bis zu 300.000 Euro geahndet werden. Diese Pflicht trifft alle nicht-öffentlichen Stellen und alle Unternehmen, die dem BDSG unterliegen, also auch Steuerberater, Rechtsanwälte und Wirtschaftsprüfer. Öffentlich-rechtliche Unternehmen oder Körperschaften hingegen nur, wenn für sie das BDSG gilt oder sich in den Landesdatenschutzgesetzen eine ähnliche Regelung findet.
Pflichten kennen
Somit sind Kanzleien und Unternehmen zur Mitteilung verpflichtet, wenn bestimmte personenbezogene Datenarten in unbefugte Hände geraten und dadurch den Betroffenen eine „schwerwiegende Beeinträchtigung ihrer Rechte oder schutzwürdigen Interessen droht“. Hierbei handelt es sich unter anderem um personenbezogene Daten, die einem Berufsgeheimnis unterliegen bzw. die Bank- oder Kreditkartenkonten beinhalten.
Die Aufsichtsbehörden sehen die unberechtigte Kenntnisnahme bereits als erfüllt an, wenn allein die Möglichkeit hierzu besteht, wie bei einem entwendeten USB-Stick. Sollte dieser USB-Stick allerdings mit einer aktuellen Verschlüsselungstechnologie abgesichert sein, kann dieses Tatbestandsmerkmal verneint werden, solange nicht davon auszugehen ist, dass der Unberechtigte auch über die weiteren Zugangsinformationen verfügt.
Jeden kann es treffen
Bereits eine fehlerhaft bzw. irrtümlich versendete E-Mail kann zu einer Informationspflicht führen. Allerdings darf nicht übersehen werden, dass der § 42a BDSG als Tatbestandsmerkmal auch eine positive Prognose über eine schwerwiegende Beeinträchtigung der Rechte der Betroffenen enthält. Bei einem Fehlempfänger, der den vertraulichen Umgang mit den fehlgeleiteten Informationen bestätigt, wird das nicht der Fall sein.
Entsprechendes gilt auch bei Störungen im Zustellbereich der Transportpartner, wie etwa bei einer Verwechslung der Briefkästen oder der versehentlichen Entgegennahme durch unternehmensfremde Personen.
Allerdings unterstellen die Aufsichtsbehörden, dass bei einer Verlustsendung mit Bankverbindungsdaten davon auszugehen ist, dass Unberechtigte diese Informationen missbrauchen können. Diese Befürchtung kann bei DATEV-Entgeltabrechnungen allein durch die Anonymisierung der Bankverbindung entkräftet werden.
Anonym auf Brutto/Netto-Formular (Dok-Nr. 1021472)
Bei einer Anonymisierung wird die Kontonummer grundsätzlich zehnstellig gedruckt, die letzten fünf Stellen der Kontonummer aber mit einem X überschrieben und der Rest, falls erforderlich, mit Nullen aufgefüllt. Eine siebenstellige Kontonummer würde beispielsweise so aussehen: 00056XXXXX.
Damit kann ein Arbeitnehmer immer noch identifizieren, auf welches Konto sein Arbeitslohn überwiesen wurde, ein unbefugter Lastschrifteinzug wird aber verhindert.
In LODAS kann diese Einstellung unter Auswertungssteuerung | Zusatzeinstellungen | Brutto/Netto-Abrechnung sowie in Lohn und Gehalt unter Auswertungsdaten | Gestaltung jeweils auf Mandatsebene getroffen werden. DATEV nutzt die Möglichkeit der Anonymisierung, weil Arbeitnehmer auf diese Weise überprüfen können, auf welches Konto gezahlt wird, andererseits aber eine Missbrauchsmöglichkeit der Bankverbindungsdaten minimiert wird.
Unverzüglich informieren
Die Betroffenen sind erst zu informieren, wenn eine denkbare Datensicherheitslücke vorher geschlossen wurde.
Sollte der Fall eintreten, dass eine Informationspflicht zu bejahen ist, muss die verantwortliche Stelle ihre zuständige Datenschutz-Aufsichtsbehörde unverzüglich informieren. Die Betroffenen sind erst zu informieren, wenn sichergestellt ist, dass eine denkbare Datensicherheitslücke vorher geschlossen wurde.
Die Informationen sollten neben der Schilderung des Vorgangs auch Hinweise zum Schutz vor den drohenden Beeinträchtigungen enthalten; beispielsweise, dass die Kontobewegungen regelmäßig zu kontrollieren sind, um Falschbuchungen zurückzurufen. Soweit möglich, sind gegenüber der Aufsichtsbehörde auch Angaben über eingeleitete Schutzmaßnahmen zu machen.
Der Gesetzgeber hat zudem geregelt, dass es unverhältnismäßig erscheint, eine Vielzahl von Betroffenen direkt zu informieren. Hier kann dann das verantwortliche Unternehmen in zwei bundesweit erscheinenden Tageszeitungen jeweils halbseitige Anzeigen schalten. Eine Variante, von der im letzten Jahr im Fall der verschwundenen, unverschlüsselten Archivbänder eines Klinikums tatsächlich auch Gebrauch gemacht wurde.
Berufsrechtliche Besonderheiten
Bei Meldungen von Berufsträgern gegenüber der Aufsichtsbehörde muss der Name des Betroffenen aus Rücksichtnahme auf § 203 Strafgesetzbuch sowie den berufsrechtlichen Verschwiegenheitsregelungen nicht genannt werden.
Dennoch empfiehlt es sich, ihn entsprechend intern zu dokumentieren, um jederzeit auch den Nachweis der Information der Aufsichtsbehörde und des Betroffenen führen zu können.
Die Aufsichtsbehörden kommen in diesen Fällen auch ihrer Beratungsaufgabe aus § 38 Abs. 1 Satz 2 BDSG nach und nehmen zu Anfragen bei unsicherem Sachverhalt oder Einschätzung verbindlich Stellung.
Risiken für Renommee
Zu beachten ist, dass es in allen anderen Bundesländern außer in Baden-Württemberg, Bayern, Hessen, Niedersachsen und Sachsen ein Landesinformationsfreiheitsgesetz gibt, nach dem die Landesbehörden über bestimmte Sachverhalte Auskunft geben müssen. Wer vermeiden möchte, dass eine Anfrage zur Klärung einer Meldepflicht in diesen Bundesländern eines Tages veröffentlicht wird, sollte dies anonym durchführen.
Datenschutzbeauftragte
Die Prüfung der Tatbestandsmerkmale sowie die Umsetzung der Meldung kann eine Aufgabe des Datenschutzbeauftragten sein. Er kann den Sachverhalt fachgerecht bewerten und gemeinsam mit der Unternehmensleitung die weitere Vorgehensweise festlegen.
Der Datenschutzbeauftragte unterstützt nicht nur bei Datenpannen, sondern auch bei der Erfüllung der gesetzlichen Anforderungen. Und er hilft, das Datenschutzniveau des Unternehmens oder der Kanzlei zu steigern. Die Aufgabe des Datenschutzbeauftragten kann sowohl intern an einen Mitarbeiter als auch extern an einen Dienstleister vergeben werden und ist bei mehr als neun Mitarbeitern, die mit EDV-Systemen arbeiten, Pflicht (das Gesetz spricht von automatisierter Datenverarbeitung).
DATEV bietet diese Leistung ebenfalls an und verfügt dabei über umfassende Erfahrung im Berufsstand der Steuerberater, Wirtschaftsprüfer und Rechtsanwälte.
Wenn der Strom ausfällt
Nicht nur technische Aspekte liefern die Motivation für eine regelmäßig durchgeführte Standortausfallübung, sie ist auch gleichzeitig die Voraussetzung für verschiedene Zertifizierungen im Rechenzentrumsumfeld, wie das ISO 27001 Zertifikat (Business Continuity), das bestätigt, dass alle notwendigen Maßnahmen für den gesicherten Betrieb eines Rechenzentrums erfüllt sind.
Mehr dazu
Mehr DAZU
Gerne unterstützen wir Sie beim Aufbau eines Datenschutzmanagementsystems und helfen Ihnen, die technischen und organisatorischen Voraussetzungen für einen dauerhaften und bestmöglichen Datenschutz zu schaffen.
Beratungsangebot unter www.datev.de/consulting | Datenschutz-Beratungen
„Im Dialog mit Ihnen – Themenabend IT-Sicherheit“: im Rahmen der Task Force „IT-Sicherheit in der Wirtschaft“ in Kooperation mit Deutschland sicher im Netz e. V. am 3.12.2013.
Infos zur Veranstaltung unter www.datev.de/chef-seminar | Office-Management
