DSGVO – Kompatibilität

Per 25. Mai 2018 tritt die neue DSGVO in Kraft, die DatenSchutz-GrundVerOrdnung.

Das Gesetz finden Sie hier: https://www.ris.bka.gv.at/Dokumente/BgblAuth/BGBLA_2017_I_120/BGBLA_2017_I_120.pdfsig

Wozu dient die DSGVO?

Das Gesetz ist sehr, sehr umfangreich, der Zweck ist jedoch klar: die personenbezogenen Daten natürlicher Personen (also auch zB von Einzelfirmen!) sollen geschützt werden. Lassen Sie sich bitte nicht von unwissenden “Beratern” in die Irre führen!!  Da derzeit viele selbsternannte Fachleute bezüglich DSGVO aktiv sind und zum Teil haarsträubende Aussagen tätigen, viele schwammige Punkte der DSGVO auch noch vor den Gerichten ausjudiziert werden müssen, können Sie in den nächsten Monaten und Jahren damit rechenen, dass Ihnen laufend mit der DSGVO Angst gemacht werden soll …

Wichtig: was sind personenbezogene Daten? Das sind im Prinzip alle Daten, die sich auf eine konkrete Person beziehen. Also eben NICHT der Name, Adresse, Telefonnummer, Faxnummer und e-Mail-Adresse und bei Firmen die dortigen Kontaktpersonen. Eben all das nicht, was man zB im Telefonbuch findet! Bei personenbezogenen Daten handelt es sich immer um tiefergehende Informationen zu einer konkreten Person bzw sensible Daten, die Rückschlüsse auf eine bestimmte Person zulassen. Schon das Geburtsdatum gehört dazu, Haarfarbe, Augenfarbe, Größe, Positionsdaten der Person (zB der Fahrer bzw. der Fahrzeuge). Und natürlich alle weitergehenden sensiblen Daten (eine eigene Kategorie der personenbezogenen Daten), die es erlauben, Rückschlüsse auf eine konkrete Person zu ziehen.

Dazu definiert der Artikel 4 (Begriffsbestimmungen) der DSGVO “personenbezogene Daten” so:

Im Sinne dieser Verordnung bezeichnet der Ausdruck:

1.

„personenbezogene Daten“ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann;

Was sicher ein bisserl schwer zu lesen ist, aber wenn man es genau liest, dann versteht man auch , was damit gemeint ist:

Max Mustermann … der Name

Mustergasse 14, 1234 Musterhausen … der Standort (kann auch eine Geo-Lokation sein)

mustermann@musterhausen.at bzw IP: 123.123.123.123 bzw. ein Pseudonym auf Foren zB “Franzi” … die online-Kennung

01234/56789 … die Telefon- bzw Faxnummer

IBAN: AT…. , UID: ATU…. e-Card: 9999 180712

Geboren am: 18.7.1912 ( siehe auch https://www.dsb.gv.at/fragen-und-antworten#Geburtsdatum_in_der_Adressierung_von_Behoerdenschreiben_ )

Das alles sind Teile der “Kennung” lt. DSGVO, jedoch keine “personenbezogenen Daten”!!

aber die Beschreibung des Herrn Mustermann:

Größe 1,78 Meter, Gewicht 105 kg, hat Hepatitis, zahlungsunfähig, vorbestraft wegen Diebstahls, leidet an Schizophrenie, hat eine Agoraphobie, ist Alkoholiker, kaufte im online-shop von www.meingemüse.com eine Gurke, besuchte den Web Site www.xyz.com am 17.4.2001 um 14:33, ist schwul, seine Hautfarbe ist grünlich, Augenfarbe knallgelb … das alles sind teils sensible, in allen Fällen jedoch personenbezogene Daten!

Beachten Sie bitte, dass in unseren aktuellen Bäckerei-Programmen KEINE personenbezogenen Daten der Kunden erfasst werden und die Programme und ihre Daten daher auch nicht unter die DSGVO fallen!! (Sollten künftige Programme aus unserem Hause solche Daten erfassen können, so werden wir die p.t. KäuferInnen dieser Programme selbstverständlich darauf aufmerksam machen.)

Beachten Sie bitte auch, dass Sie die Daten Ihrer “betrieblichen Aufzeichnungen” nicht verändern oder gar löschen dürfen. Diese können sich auch nur auf Datenträger/n befinden und unterliegen der zumindest 7-jährigen Aufbewahrungsfrist! Es kann nicht sein, dass der Betriebsprüfer des Finanzamts Namen und Adresse eines Kunden im Lieferschein-Fenster nicht sehen kann, nur weil der Sie aufgefordert hat, ihn “lt. DSGVO” zu “vergessen”! So läuft das nicht …

Der / die Datenschutzbeauftragte/r

Wegen der aktuellen Programme Bäckerei 2003 und Bäckerei Plus! ist also kein Datenschutzbeauftragter zu benennen. Ob das wegen anderer, in Ihrem Hause laufender Programme (zB der Arbeitszeit-Erfassung, Positions-Erfassung der Fahrzeuge, Mailing-Programm usw.) dennoch nötig wäre, müssen Sie selbst oder deren Hersteller wissen.

Weil wir schon dabei sind …

und die Öffentlichkeit diesem Thema weiterhin große Aufmerksamkeit schenken und viele “fake news” in Umlauf sein werden, haben wir uns überlegt, welche begleitenden Massnahmen wir setzen können, um Ihnen zusätzliche Sicherheit zu verschaffen. Eine direkte Verbindung zur DSGVO ist dabei aber nicht gegeben.

1 – Schutz der Daten vor Einsicht durch Unbefugte – die Groupware in Bäckerei Plus! V3

Bäckerei Plus! v1 und V2 waren bisher von jedermann zu starten und jedermann konnte Einsicht in die Kundendatei nehmen – vorausgesetzt, der Computer war schon  gestartet bzw. es gab kein Windows-Log-in.  Für Interessierte werden wir in Kürze ein neues Programm namens Bäckerei Plus! V3 anbieten, das unter vielen anderen Neuigkeiten den Zutritt Unbefugter zu Ihren Daten verhindert – wenn der Computer gestartet ist und der/die Benutzer anderweitig beschäftigt sind.

Wichtige Informationen dazu: Wenn der Computer eingeschaltet ist und der Bildschirm zB der Lieferschein-Erfassung aktiv ist und Sie den Computer wegen anderweitiger Tätigkeiten verlassen müssen, so könnten Betriebsfremde mit Zutritt zum laufenden Computer sich über Ihre Kunden, Artikel und Preise “informieren”. Das können Sie verhindern, indem Sie  sich entweder bei Windows abmelden oder in Windows einen Bildschirmschoner aktivieren, der sich nach zB 5 Minuten Untätigkeit einschaltet und zum Wiedereinstieg ein Windows Log-in verlangt.

a) Die Groupware von Bäckerei Plus! V3 beinhaltet die Möglichkeit, den Zutritt Unbefugter zum Programm durch ein Log-in-Fenster auf befugte Personen per Log-in-Name und Passwort zu beschränken. In einer Datei der Benutzer des Programmes wird zwischen Anwendern und Administratoren unterschieden. Nur Administratoren können neue Benutzer anlegen, die Berechtigung der Anwender zum Aufruf von von allen Teilprogrammen sperren oder erlauben usw. Jeder Benutzer (also die Anwender und die Administratoren) kann sein Passwort zu jedem beliebigen Zeitpunkt ändern – wenn ihm/ihr das in den Benutzer-Grunddaten erlaubt wurde. Vergessene Passwörter können vom Administrator neu vergeben bzw dem Benutzer die Selbsteingabe ermöglicht werden. Administratoren können in ihren Rechten nicht beschränkt werden. Benutzergruppen ermöglichen die gemeinsame Vergabe von Berechtigungen an eine Gruppe von Benutzern.

Berechtigungen. Die Groupware beinhaltet die Möglichkeit, dass nur ein Administrator die Berechtigung von Anwendergruppen zum Aufruf bestimmter Teilprogramme von Bäckerei Plus! V3 festlegen kann. Grundsätzlich kann damit der Aufruf jedes im Hauptmenü aufrufbaren Programmes unterbunden werden. Sensible Programme sind durch ein getrenntes Administrator-Log-in geschützt, dazu gehören die Teilprogramme der Groupware und der Unternehmens-Stamm.

Geschichte der Log-ins. Die Groupware zeichnet das Log-in jedes Benutzers mit Log-in-Name, Datum und exakter Uhrzeit auf, beim Beenden des Programmes wird eingetragen, wann das Log-out erfolgte. Damit kann in einer Tabelle nachverfolgt werden, wer zu einem bestimmten Zeitpunkt das Programm benutzte, welcher Computer das war und wann die Nutzung beendet wurde. Die Daten dieser Tabelle sind auch druckbar.

Verschlüsselung der Groupware-Daten. Damit niemand Unbefugter die Log-in-Daten auslesen bzw verändern kann, werden die Groupware-Daten auf der Festplatte verschlüsselt abgelegt.

Abschalten der Groupware. Falls Sie überzeugt sind, die Groupware von Bäckerei Plus! V3 nicht zu benötigen, dann ist es – auf eigenes Risiko – möglich, die Groupware auch abzuschalten.

 

2 – Speicherung der Daten mit Bäckerei Plus! V3

a) Speicherung der Daten. Damit der Schutz der Daten vor unbefugten Eindringlingen (“Hackern”) sichergestellt wird, werden die Adressdaten im Kundensatz verschlüsselt abgelegt.

b) Die Datensicherung. Bäckerei Plus! V3 beinhaltet ein Datensicherungsprogramm, die Verschlüsselung der personenbezogenen Daten bleibt in den gesicherten Dateien erhalten – auch wenn Sie die Datensicherung durch ein externes Programm vornehmen.

3 – Die Rechte der Personen, deren Daten in den Dateien von Bäckerei Plus! V3 gespeichert sind

1) Das Recht auf Datenauskunft. Jede natürlichr Person hat das Recht, ihre bei Ihnen gespeicherten Daten abzufragen. Bäckerei Plus! V3 druckt eine derartige Datenauskunft automatisch für Sie aus oder versendet sie auch auf Wunsch per e-mail. Diese Auskunft muss kostenfrei gegeben werden, alle darüber hinausgehenden Auskünfte sind, entsprechend dem Aufwand, kostenpflichtig. Auch eine Leerauskunft im Sinne von “wir haben keine Daten zu Ihrer Person gespeichert!” ist möglich.

2) Das Recht auf Datenänderung. Jede natürliche Person hat das Recht, eine Änderung ihrer bei Ihnen gespeicherten Daten zu verlangen. Das mit der Datenauskunft erzeugte Dokument enthält die Möglichkeit, die Daten zu korrigieren und an Ihren Betrieb zurückzuschicken. Sie können dann die gewünschten Änderungen vornehmen und eine neuerliche Datenauskunft als Beleg für die erfolgte Änderung versenden.

3) Das Recht auf Vergessen. Sie können die die Adress-Daten eines Kunden in allen Versionen von Bäckerei Plus! auf “inaktiv” stellen – mehr nicht! Bäckerei Plus! V3 enthält darüber hinaus die Möglichkeit, den Kunden-Datensatz per Knopfdruck auf “inaktiv” zu stellen und eine entsprechende Mitteilung an den Kunden zu drucken und zu versenden. Ein Löschen von Name + Adresse (das sind keine personenbezogenen Daten, siehe oben!) ist nicht möglich, denn diese Daten werden Sie bei einer Steuerprüfung benötigen. Das alles wird auf dem Formular stehen, das Sie dem Kunden zukommen lassen.

4 – Was bleibt von einem ehem. Kunden in allen Versionen von Bäckerei Plus! gespeichert?

Für Zwecke der Steuerprüfung bleiben der Kundendatensatz, die Rechnungen und Lieferscheine für die betroffene Kundennummer über die gesetzliche Aufbewahrungspflicht (7 Jahre) hin erhalten. Das Fakturenjournal enthält weiterhin Name/Adresse jenes Kunden, an den eine Rechnung oder ein LS=Rechnung erstellt wurde. Auch die zuvor erstellten Datensicherungen enthalten weiterhin die vollen Kundendaten – allerdings in verschlüsselter Form. Alle erstellten Rechnungs-PDF bleiben erhalten und dürfen nicht gelöscht werden.