Die Datenschutzgrundverordnung (DSGVO) der EU gilt für Unternehmen aller Branchen und Größen. Hier erfahren Sie, welche der neuen Regelungen für Ihre Lexware Produkte wichtig sind und wie sie konkret umgesetzt werden. Details zur Umsetzung der Vorgaben in den einzelnen Programmen finden Sie in der jeweiligen Produkt-Hilfe. Natürlich müssen Sie bei der Umsetzung der DSGVO in Ihrem Unternehmen weitere Punkte beachten. Einen allgemeinen Überblick darüber und viele nützliche Hilfsmittel erhalten Sie unter www.lexware.de/dsgvo.
 

Ein wichtiger Aspekt der DSGVO sind die Rechte von Betroffenen, also der Personen, deren Daten Sie in Ihrem Unternehmen verarbeiten. Egal ob Kunde, Interessent, Lieferant oder Mitarbeiter – jeder hat künftig das Recht, Auskunft von Ihnen darüber zu erhalten, ob Sie personenbezogene Daten von ihm verarbeiten, und wenn ja, welche das sind und wofür die Daten verwendet werden. Die Reaktion auf eine Auskunftsanfrage muss gemäß DSGVO „unverzüglich“ erfolgen, d.h. so schnell wie möglich, spätestens aber innerhalb eines Monats. Damit Sie hierbei keine Zeit verlieren, bieten Ihre Lexware Produkte Ihnen die Möglichkeit, alle über eine Person im Programm gesammelten personenbezogenen Daten als RTF-Datei zu speichern und dem Betroffenen zu übermitteln.

Personenbezogene Daten, die der Betroffene Ihnen von sich aus (z.B. im Rahmen einer Bestellung) zur Verfügung gestellt hat, müssen ihm gemäß DSGVO in einem „strukturierten, gängigen und maschinenlesbaren Format“ zur Verfügung gestellt werden, wenn er dies wünscht. Voraussetzung dafür ist unter anderem, dass die Verarbeitung der Daten auf Basis einer Einwilligung oder eines Vertrages mit der betroffenen Person erfolgt. Der Betroffene hat außerdem das Recht, die von Ihnen erhaltenen Daten an einen Dritten zu übermitteln (z.B. einen anderen Dienstleister). Er kann zudem verlangen, dass Sie selbst die Übermittlung der Daten an den Dritten übernehmen, sofern dies technisch und betriebswirtschaftlich für Sie möglich ist. In Ihren Lexware Produkten können Sie dem Betroffenen seine Daten sehr einfach in maschinell lesbarer Form zur Verfügung stellen – oder einem Dritten, falls dies gewünscht wird.

Ein weiteres zentrales Recht, welches dem Betroffenen laut DSGVO zusteht, ist das sogenannte „Recht auf Vergessenwerden“, das auch oft verkürzt als „Recht auf Vergessen“ bezeichnet wird. Dieses Recht erlaubt es der betroffenen Person, von Ihnen die Löschung aller personenbezogenen Daten zu verlangen, die Sie von ihr gesammelt haben. Diese Daten müssen Sie auch löschen, wenn sie für die Zwecke, zu denen sie erhoben wurden, nicht mehr benötigt werden oder wenn der Betroffene eine zuvor abgegebene Einwilligung widerruft oder Widerspruch gegen die Verarbeitung einlegt. Ihre Lexware Programme bieten Ihnen diese Möglichkeit.

Neu an der Regelung ist, dass Sie nicht nur die Daten löschen müssen, sondern auch Dritte über die Löschung informieren müssen, falls Sie die Daten weitergegeben haben. Der beteiligte Dritte muss dann ebenfalls die personenbezogenen Daten des Betroffenen sowie alle Kopien und Links darauf löschen. Durch diese Regelung soll dem Recht auf Vergessenwerden besonders im Internet (z.B. bei Suchmaschinen) mehr Geltung verschafft werden.

Stehen einer Löschung die gesetzlichen Aufbewahrungspflichten entgegen (z.B. bei einer Rechnung), dann müssen Sie die Daten nicht löschen. Bis zum Ablauf der Fristen sind die zu löschenden Daten für weitere Verwendungen allerdings zu sperren. Die Anwender dürfen also nicht mehr darauf zugreifen können. Diese Sperrung ist in Ihren Lexware Produkten nun möglich.

Darüber hinaus weist Ihre Software Sie künftig darauf hin, wenn durch das Durchführen einer Rücksicherung (Backup) möglicherweise zuvor im Programm gelöschte oder gesperrte Daten jetzt wieder verfügbar sind.

Um sensible Daten noch besser zu schützen, verlangt die DSGVO wirkungsvolle Vorkehrungen für Softwarelösungen, die personenbezogene Daten verarbeiten. Durch sogenannte technisch-organisatorische Maßnahmen (TOM), die sich nach dem aktuellen Stand der Technik richten müssen, haben Sie „eine angemessene Sicherheit“ zu gewährleisten. Dabei muss ausgeschlossen werden, dass unbefugte Personen Zugriff auf die personenbezogenen Daten erhalten. Bei den Lexware Programmen, die Sie im Netzwerk betreiben, ist dies unter anderem durch die Vergabe von Passwörtern, durch die Prüfung der Passwortqualität sowie durch entsprechende Warnhinweise bei einem versuchten Fremdzugriff sichergestellt. Bei den Lexware Produkten, die Sie als Einzelplatzlösung einsetzen, wird dieser Schutz durch die Windows-eigenen Sicherheitsmaßnahmen gewährleistet.

Wichtig für den Schutz personenbezogener Daten in einer Softwarelösung ist neben dem Passwortschutz außerdem die Möglichkeit, bestimmte Benutzerrechte zu vergeben. Anhand dieser Rechte lässt sich genau definieren, welcher Anwender welche Daten einsehen und welche Aktionen er durchführen kann.

In Ihren Lexware Produkten, die über eine Benutzerverwaltung verfügen, können Sie deshalb nun bestimmen, dass nur die dazu berechtigten Benutzer personenbezogene Daten exportieren, gesperrte Personen entsperren oder ein Protokoll der Verarbeitungstätigkeiten erstellen können. Alle anderen können diese Aktionen dann nicht durchführen oder bekommen die personenbezogenen Daten gar nicht erst angezeigt. Für zusätzliche Sicherheit sorgen Warnhinweise, wenn jemand versucht, ohne eine Berechtigung auf sensible Daten zuzugreifen.

In den Lexware Programmen ohne eine spezielle Benutzerverwaltung wird es künftig Warnhinweise geben, wenn ein Anwender eine der oben genannten Aktionen durchführt. Sofern in diesen Programmen ein Passwortschutz eingerichtet wurde, können diese Aktionen außerdem nur durchgeführt werden, wenn der Anwender Vollzugriff auf das Programm hat.

Um die Sicherheit der personenbezogenen Daten zusätzlich zu gewährleisten, findet in Ihren Lexware Programmen der Datentransfer zwischen Applikation und Datenbank ab sofort verschlüsselt statt. So kann sichergestellt werden, dass von außen nicht auf diese Daten zugegriffen werden kann, um diese zu lesen, zu kopieren, zu verändern oder zu entfernen. Durch diese technisch-organisatorische Maßnahme wird ein unerlaubter Datenzugriff zusätzlich erschwert.

Um die größtmögliche Transparenz im Umgang mit den personenbezogenen Daten zu gewährleisten, muss die Verwendung von personenbezogenen Daten in einer Softwarelösung protokolliert werden. Hierbei müssen Sie zum einen festhalten, welche Aktionen (lesend oder schreibend) mit den Daten durchgeführt wurden. Darüber hinaus muss genau protokolliert werden, welcher Benutzer die jeweilige Aktion durchgeführt hat und wann er dies getan hat (Datum, Uhrzeit). Auch diese Anforderung der DSGVO ist in Ihren Lexware Produkten umgesetzt.

Zu den allgemeinen Grundsätzen der DSGVO für die Verarbeitung von personenbezogenen Daten gehört unter anderem das Prinzip der Datenminimierung. Nach diesem Grundsatz dürfen Sie nur diejenigen personenbezogenen Daten von Ihren Kunden erheben, nutzen und verarbeiten, die für die Erfüllung des jeweiligen Zwecks tatsächlich benötigt werden. Um dies zu gewährleisten, sollten Sie durch technische Voreinstellungen in Ihren Softwarelösungen sicherstellen, dass grundsätzlich auch nur diese Daten verarbeitet werden. Das ist in Ihren Lexware Programmen durch eine entsprechende Kennzeichnung von Pflichtangaben und optionalen Angaben in den Erfassungsmasken gelöst.