Skip to main content
Skip table of contents

DSGVO

Die Beschreibung der Verwendung des Moduls zur Datenschutzgrundverordnung finden Sie im Kapitel DSGVO-Auswertungen.

Am 4. Mai 2016 wurde die „Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung)“ kundgemacht.

Die Datenschutz-Grundverordnung tritt am 25. Mai 2018 in Geltung. Bis dahin müssen alle Datenanwendungen an die neue Rechtslage angepasst werden.

Um diesen Anforderungen gerecht zu werden raten wir, aus Sicht von HELIUM V, folgende Punkte zu beachten. Wir weisen ausdrücklich darauf hin, dass wir weder Rechtsanwälte noch sonstige Unternehmens-Berater sind. Wir übernehmen keine wie immer geartete Verantwortung / Haftung für diese Informationen. Weder auf Vollständigkeit noch auf Richtigkeit oder ähnliches.

Die DSGVO gilt für alle Daten Ihres Einflussbereiches und Ihres Verantwortungsbereiches. Egal ob diese in Ihrer IT gespeichert sind, oder ob diese nur ein zeitlich sortierter Papierordner sind. Egal ob diese in Ihren Firmenräumlichkeiten gelagert / gespeichert werden oder ob diese irgendwo in einer externen Cloud abgelegt sind. Sie sind für diese Daten und auch für die Verfügbarkeit der Daten verantwortlich.

Passwörter und Verschlüsselung

Bitte verwenden Sie gute Benutzernamen und qualitativ hochwertige Kennwörter. Denken Sie daran, dass andere Menschen eventuell böswilligen Nutzen aus Ihren Daten ziehen wollen. Jegliche Kommunikation wie z.B. E-Mail muss verschlüsselt sein, wenn sensible Daten enthalten sind. Sie haften dafür, wenn Ihre Daten von jemanden unerlaubter Weise mitgelesen werden.

Parametrierungen in HELIUM V

Um die DSGVO in Ihrem HELIUM V umzusetzen sollten Sie den Parameter ANWESENHEITSLISTE_TELEFON_PRIVAT_ANZEIGEN auf 0 stellen. Ab der Version 12500 ist diese Parametrierung nicht mehr erforderlich.

Einstellungen der Rechte / Benutzerrollen

Bitte achten Sie darauf, dass möglichst nur eine Person bzw. ein Benutzer das Administratorenrecht Ihres HELIUM V besitzt. Schränken Sie vor allem die Rechte bezüglich Finanzbuchhaltung und Personalverwaltung soweit wie möglich ein. Insbesondere das Recht PERS_DARF_PERSONALDETAILDATEN_SEHEN bewirkt dass auch Geburtsdaten, Stundenabrechnungen, Gehälter und ähnliches angezeigt werden. Gerade in kleinen Unternehmen herrscht die Unsitte vor, dass "wir sind eh alle gleich" alle Administratoren sind.

Einigen Sie sich darauf, wer für die Personalagenden zuständig ist und nur dieser Benutzer erhält tatsächlich das Recht auf die Personaldetaildaten. Gehen Sie in den Belangen der Finanzbuchhaltung ähnlich vor.
Denken Sie auch daran, dass in den Ausdrucken der Zeiterfassung durchaus DSGVO relevante Daten enthalten sein können. D.h. vergeben Sie nur Rechte für Mitarbeiter die diese Daten auch tatsächlich benötigen und die Sie auf die DSGVO / Geheimhaltung usw. verpflichtet haben. D.h. die Rechte: PERS_ZEITERFASSUNG_MONATSABRECHNUNG_DRUCKEN, PERS_ZEITERFASSUNG_REPORTS_SEHEN, PERS_ZEITERFASSUNG_REPORTS_DRUCKEN bitte neben den anderen Personalrechten mit bedacht vergeben.

Welche Standardanwendungen werden durch HELIUM V abgedeckt

Im Sinne der DSGVO sind nachfolgende Standardanwendungen aufgeführt. Von den in der Datenschutz durch Standard- und Musteranwendungen in der Wirtschaft genannten 32 Standardanwendungsfällen sind für die Wirtschaft vor allem folgende von Bedeutung:

  • SA001 "Rechnungswesen und Logistik" behandelt die Verarbeitung und Übermittlung von Daten im Rahmen einer Geschäftsbeziehung mit Kunden und Lieferanten einschließlich automationsunterstützt erstellter und archivierter Textdokumente (z.B. Korrespondenzen) in diesen Angelegenheiten und erfasst folgende Personengruppen:
    Kunden, Lieferanten bzw. Empfänger und Erbringer von Lieferungen oder Leistungen
    Sachbearbeiter/Kontaktpersonen beim Auftraggeber
    an der Geschäftsabwicklung mitwirkende Dritte
    Kontaktpersonen beim Kunden/Lieferanten oder an der Geschäftsabwicklung mitwirkenden Dritten
    bloße Zustell-, Lieferungs-, Rechnungsadressaten und dergleichen
    Fremdkapitalgeber
    Gesellschafter

  • SA002 "Personalverwaltung für privatrechtliche Dienstverhältnisse" befasst sich mit der Verarbeitung und Übermittlung von Daten für Lohn-, Gehalts-,Entgeltsverrechnung, Aufzeichnungs-, Auskunfts- und Meldepflichten aufgrund von Gesetzen oder Kollektivverträgen oder Arbeitsverträgen einschließlich automationsunterstützt erstellter und archivierter Textdokumente (z.B. Korrespondenzen) in diesen Angelegenheiten, wobei als davon betroffene Personengruppe erfasst werden:
    Arbeitnehmer; arbeitnehmerähnliche Personen; Leiharbeiter; freie Dienstnehmer; Volontäre; Lehrlinge; Ferialpraktikanten und ehemalige Beschäftigte
    (aktuelle und ehemalige) Organe (und deren Mitglieder) und
    sonstige Funktionsträger juristischer Personen und Personengemeinschaften.
    Seit der Novelle BGBl II Nr. 105/2011 fallen auch (bestimmte) personenbezogene Daten von Bewerbern unter die SA002, wenn diese vom Betroffenen angegeben wurden.
    Tipp: Erfassen Sie die Religionsbekenntnis des Mitarbeiters nur, wenn er dieses zur Erlangung seines Feiertages (gilt nur für Österreich) tatsächlich angibt.

  • SA003 "Mitgliederverwaltung"

  • SA007 "Verwaltung von Benutzerkennzeichen" wird die Systemzugriffskontrolle und Verwaltung von Benutzerkennzeichen für die Auftraggeber – Datenanwendungen und Verwaltung der Zuteilung von Hard- und Software an die Systembenutzer einschließlich automationsunterstützt erstellter und archivierter Textdokumente (z.B. Korrespondenzen) in diesen Angelegenheiten als Standardfall in der Datenverwendung erklärt. Davon erfasster Personenkreis ist nur die Kategorie der Systembenutzer.

  • SA022 "Kundenbetreuung und Marketing für eigene Zwecke" scheint in der Verordnung als Standardanwendungszweck die Verwendung eigener oder zugekaufter Kunden- und Interessentendaten für die Geschäftsanbahnung betreffend das eigene Lieferungs-oder Leistungsangebot einschließlich automationsunterstützt erstellter und archivierter Textdokumente (z.B. Korrespondenzen) in dieser Angelegenheit auf und erfasst dabei folgende Personengruppen:
    Eigene Kunden;
    Interessenten, die an den Auftraggeber selbst herangetreten sind;
    Kontaktpersonen beim Kunden/Interessenten;
    potenzielle Interessenten, deren Adressen von Adressverlagen zugekauft (gemietet) oder selbst ermittelt wurden

  • SA032 "Videoüberwachung"

  • SA033 "Datenübermittlung im Konzern"

  • SA037 „Melde- und Kontrollsysteme zur Bekämpfung von Geldwäscherei und Terrorismusfinanzierung“

Das bedeutet dass die Verwendung von HELIUM V in die vier markierten Standardanwendungen einzustufen ist. Details dazu siehe bitte auch Modul Personal → unterer Reiter DSGVO → Info → Personenspezifische Merkmale.

Verarbeitung sensibler Daten

Laut DSGVO ist die Verarbeitung von „sensiblen Daten“ untersagt. Dieses Verbot gilt ausschließlich in folgenden Fällen nicht (d.h. die Verarbeitung sensibler Daten ist in folgenden Fällen zulässig):

  • Vorliegen einer ausdrücklichen Einwilligung

  • Vorliegen einer gesetzlichen Grundlageeinschließlich Kollektivverträge und Betriebsvereinbarungen, zur Ausübung von Rechten aus dem Arbeitsrecht, dem Recht der sozialen Sicherheit und des Sozialschutzes

  • Gesundheitsvorsorge, ArbeitsmedizinDa könnte auch ein Hinweis zur Gesundenuntersuchung o.ä. enthalten sein. Denken Sie hier immer positiv und Sie werden einen Grund finden, warum das für Ihre Mitarbeiter wichtig ist.

Im Sinne der DSGVO werden derzeit an sensiblen Daten verarbeitet:

  • Das Religionsbekenntnis für die Bestimmung des gesetzlichen Feiertages. D.h. wenn der Mitarbeiter sein evangelisches Religionsbekenntnis zum Erhalt der / des evangelischen Feiertages freiwillig bekannt gibt, so kann dies unter Religion hinterlegt werden.
    Unser Tipp: Hinterlegen Sie nur wenn der Mitarbeiter darauf besteht sein Religionsbekenntnis und hinterlegen Sie diese Einwilligung in der Dokumentenablage.

  • Das Geburtsdatum des Mitarbeiters für die Lohnabrechnung usw. (gesetzlicher Auftrag)

  • Seine Krank und Pflege-Tage/Stunden (gesetzlicher Auftrag)

  • das Geburtsdatum eines Ansprechpartners / Partners (kein Pflichtfeld)
    Deaktivieren Sie diese Erfassung

Welche Personenspezifische Merkmale werden von HELIUM V gespeichert

Für diese Detailinfos, verweisen wir auf den Ausdruck der Personen spezifischen Merkmale aus dem Modul DSGVO.

Privacy by Design

Die Grundeinstellungen von HELIUM V entsprechen dieser Forderung. Leider verwenden viele, vor allem kleine Unternehmen die Rolle Administrator für alle Benutzer (wir sind alle gleich, jeder darf von den anderen alles wissen). Bitte bedenken Sie, dass es besser ist, wenn jedeR die Rechte bekommt die er/sie für seine/ihre Arbeit benötigt. Das schützt Sie und Ihre Daten und weckt keine zusätzlichen Begehrlichkeiten. Denken Sie auch daran Ihre Arbeitsplatzrechner so einzustellen, dass diese einen automatischen Anmeldeschutz haben.
Von den Datenstrukturen her ist HELIUM V so programmiert, dass für die Erfassung von Personen / Ansprechpartnern, der Name als einziges Merkmal ausreicht.

Detailübersicht der verarbeiteten Personenspezifischen Daten

A: Sie finden im Modul Personal, unterer Reiter DSGVO, im Menüpunkt Journal, Module und personenspezifische Merkmale, eine Aufstellung der von den jeweiligen Modulen verarbeiteten Personenspezifischen Merkmale. Sollten Sie dieses Zusatzmodul nicht besitzen, wenden Sie sich bitte an Ihren HELIUM V Betreuer.

Beauskunftung

A: Sie finden im Modul Personal, unterer Reiter DSGVO, eine Liste aller Partner welche in Ihrem HELIUM V angelegt sind.
Info: Die Partner-Adressen haben keine spezifische Mandantenzuordnung, d.h. Sie finden hier alle in Ihrer Datenbank angelegten Adressen.
Für eine Beauskunftung wählen Sie den gewünschten Partner aus und gehen im Menü auf Info, Beauskunftung.
Hier stehen zwei Auswertungen zur Verfügung:

  • Kompakte Info, mit der Liste in welchen Modulen Daten dieses Partners gespeichert sind

  • umfassende Auswertung, mit einer Detailaufstellung in welchen Modul-Datensätzen Daten gespeichert sind. Also z.B. bei welchem Angebot der Partner als Ansprechpartner hinterlegt ist.

Q: Brauche ich neben der Beauskunftung aus HELIUM V auch noch ein Verarbeitungsverzeichnis?

A: Selbstverständlich. Auch wenn eine großen Anzahl an Daten und Prozessen in HELIUM V abgebildet sind. Wir haben bisher keinen Anwender kennengelernt, der nicht in irgend einer Form noch zusätzliche strukturierte Daten aufbewahrt hat. Egal ob dies nun Kundenordner, Personalakten, XLS oder odt Dateien sind. All diese Dateien sind zu beurteilen, im Verarbeitungsverzeichnis aufzulisten und in ihrer Datenrelevanz einzuschätzen.

Massendaten / personenspezifische Daten

A: Diese Unterscheidung ist für das Zutreffen der DSGVO relevant.
Z.B. Wenn Sie nur Ihre Saldenliste an Ihren Unternehmensberater senden, so sind das anonymisierte Massendaten. Im Sinne der DSGVO sind diese nicht schützenswert. Natürlich sollten Sie dies aber trotzdem nur verschlüsselt übertragen, man kann da ja einiges herauslesen.
Andererseits, wenn Sie Ihre Buchhaltung, auch in Papierform, Ihrem Steuerberater übergeben, so sind darin auch die Debitorenkonten enthalten. Das sind strukturierte Daten. Also vom Grundgedanken her personifizerte Daten, weil Sie ja auch an Privatpersonen bzw. Einzelfirmen liefern könnten. Dies geht soweit, wenn Namen auch in GmbH Firmenwortlauten enthalten sind und daraus eindeutig auf eine Person rückgeschlossen werden kann, sind das personifizierte Daten.
ABER: Es gibt die gesetzliche Buchführungs- und Aufbewahrungspflicht. Diese ist höherwertig als die DSGVO. D.h. ja Sie müssen das verarbeiten. Jedoch können Sie aus dem Titel der Buchhaltung keine Begrüundung ableiten, warum Sie das Geburtsdatum benötigen. Einzig wenn Sie Geschäfte mit Minderjährigen machen, könnte dies ein Thema sein. Sollte dies für Sie zutreffen, so setzen Sie sich bitte sehr intensiv mit den Rechten dieser sehr schützenswerten Personengruppe auseinander.
Zu beachten: Natürlich ist es selbstverständlich, dass die Lohnverrechnung personenspezifische Daten verarbeitet. Daraus ergibt sich auch, dass jegliche Kommunikation mit Ihrem Auftragsverarbeiter (Steuerberater der die Lohnverrechnung macht), über geschützte Kanäle erfolgt. Also Personendaten nur per verschlüsseltem EMail usw.
Gilt das auch für Bilanzen? Im ersten Blick würde man sagen, nein, das sind ja Massendaten, aber: da werden natürlich auch die Organe der Geschäftsführung angeführt. Also verschlüsselt sowieso und bei der Beauskunftung berücksichtigen.

Oberste Regel:
Alle Daten die Ihre Mitarbeiter auf Geräten in Ihrer Einflußsphäre speichern sind Daten des Unternehmens. Das Speichern privater Daten ist ausdrücklich verboten.
Warum? Private Daten dürfen Sie nicht einsehen. Nun hat der Mitarbeiter in seinem EMail Postfach aber Kunden und Private Daten gemischt. Sie haben keine Chance eine Beauskunftung nach DSGVO zu machen, weil Sie die Daten nicht einsehen dürfen.

Tipp: Stellen Sie diese Punkte, neben den vielen anderen, z.B. Geheimhaltung, in einem Dokument zusammen und lassen Sie sich die Einhaltung dieser Punkte / Regeln jedes Jahr von Ihren Mitarbeitern unterschreiben.
Will ein Mitarbeiter Ihre Regeln nicht akzeptieren, so überlegen Sie sich, wer die arbeitsrechtlichen Strafen bezahlt.
Info: Es haftet am Schluss immer der Geschäftsführer mit seinem Privatvermögen.

Wann sind Daten zu löschen?

A: Das kommt darauf an. D.h. wenn:

  • ein anderes Recht dies verlangt, z.B. Buchhaltungs Aufbewahrungsfristen, das gilt auch für die Dokumente der vorvertraglichen Phase

  • Wenn zu einem Vorgang Kosten entstanden sind.
    So verursacht z.B. eine Beauskunftung Kosten. Egal ob diese weiterverrechnet wurden oder nicht. Aufgrund dieser Tatsache können Sie der Ansicht sein, dass auch hier die Buchhaltärischen Aufbewahrungsfristen gelten.

so dürfen diese Daten nicht gelöscht werden. D.h. prüfen Sie vor dem Löschen / Anonymisieren immer ob hier andere, höherwertige Rechte diesen Vorgang verbieten. Erst nachdem Sie sicher sind, dass es keinerlei Recht gibt, welches Ihnen die Aufbewahrung der Daten vorschreibt, müssen Sie löschen / anonymisieren.
Aus diesem Grunde ist das anonymisieren in HELIUM V auch im DSGVO Modul, für welches entsprechende Rechte erforderlich sind, angesiedelt.

Können in HELIUM V Daten gelöscht werden ?

Theoretisch ja, aber wenn diese mit anderen Dokumenten verknüpft sind, ist ein Löschen, also eine physikalische Entfernung aus der Datenbank nicht mehr möglich. Verwenden Sie stattdessen anonymisieren.
Hinweis: Im Falle dass eine Datensicherung eingespielt werden muss, müssen bereits gelöschte / anonymisierte Daten nachgelöscht/nachanonymisiert werden.
Wir raten daher, die Daten nur zu anonymisieren, da beim Löschen die Daten nicht nachgelöscht werden können.
Denken Sie daran, dass die Protokolldatei der Anonymisierung zusätzlich auf einem völlig anderen Backupmedium gespeichert werden muss. Hier ist eine zweite Datensicherungsstrategie anzuwenden.

Was passiert mit den Daten des Testsystemes ?

Bitte beachten Sie, dass von der DSGVO natürlich auch die Daten in Ihren Testsystemen betroffen sind / betroffen sein können. D.h. löschen / anonymisieren / beauskunften Sie bitte auch diesen Datenbestand.

Was ist den so grundsätzlich zu beachten ?

Es geht darum dass personenbezogene Daten nicht falsch verwendet werden / nicht in falsche Hände gelangen. Denken Sie an den gerade (April 2018) aufgeflogenen Facebook Daten Skandal.
D.h. im wesentlichen sollten Sie immer Herr/Frau Ihrer Daten sein.
Nun ist das Verständnis vieler Menschen welche Daten denn wo durch die Gegend gesandt werden oft nur sehr rudimentär oder überhaupt nicht vorhanden.
Auch wird die kriminelle Energie mit der manche Zeitgenossen versuchen Daten zu stehlen von uns allen unterschätzt.
D.h. Sie müssen Maßnahmen ergreifen dass die Daten grundsätzlich nicht wegkommen, bzw. dass Sie merken wenn Daten weggekommen sind.
Dazu werden folgende Maßnahmen eingesetzt:

  • Alles was an Daten Mobil unterwegs ist sollte durch ein Kennwort geschützt sein. Also alles was Sie auf Notebooks, Handys, Tablets, USB-Sticks, Datensicherungen, usw. gespeichert haben.

  • Alles was elektronisch über ungeschützte Kanäle unterwegs ist muss geschützt sein. Bedenken Sie bitte dass ein EMail wie eine Postkarte ist. JedeR kann mitlesen.

  • Es sollte niemand unerlaubt Zutritt zu Ihren Standgeräten bekommen. D.h. die Serverräume sind verschlossen und die Client/Arbeitsplatzrechner gehen nach sehr kurzer Zeit in einen Modus über, sodass man nur mit Passwörtern weiter kommt.

Oder in anderen Worten:
In der DSGVO sind unter anderem sechs Grundsätze für die Verarbeitung personenbezogener Daten geregelt:

  • Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz

  • Zweckbindung (Verarbeitung nur für festgelegte, eindeutige und legitime Zwecke)

  • Datenminimierung („dem Zweck angemessen und erheblich sowie auf das […] notwendige Maß beschränkt“)

  • Richtigkeit („es sind alle angemessenen Maßnahmen zu treffen, damit [unrichtige] personenbezogene Daten unverzüglich gelöscht oder berichtigt werden“)

  • Speicherbegrenzung (Daten müssen „in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es […] erforderlich ist“)

  • Integrität und Vertraulichkeit („angemessene Sicherheit der personenbezogenen Daten […], einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung“)

Laut der DSGVO darf nur gespeichert werden, was für die aktuelle Datenverarbeitungstätigkeit tatsächlich notwendig ist. Zusätzlich muss ein Verarbeitungsverzeichnis geführt werden, es sei denn:

  • die Datenverarbeitung birgt kein Risiko für die Rechte und Freiheiten der betroffenen Personen

  • die Verarbeitung erfolgt nur gelegentlich

  • es werden keine sensiblen Daten verarbeitet

Bitte beachten Sie, dass Ihre Webseiten bzw. elektronische Kommunikation / EMail, Newsletter besonders im Augenmerk liegen.

Verarbeiten wir Ihre Daten im Sinne eines Auftragsverarbeiters, wie im Artikel 28 ausgeführt ?

Nein. Es wird von Seiten HELIUM V im Sinne des Artikels 28 keine Auftragsdatenverarbeitung vorgenommen. Wir benötigen Ihre Daten im Anlassfalle zwar um verschiedene Problemlösungen zu erarbeiten, z.B. zur Fehlerbehebung oder zur Entwicklung neuer Module bzw. Funktionalitäten. Die eigentliche Datenverarbeitung erfolgt aber immer auf den von Ihnen verwendeten Servern. D.h. liegt Ihre HELIUM V Installation auf einem Server dessen Hardware bei Ihnen im Hause steht, so erfolgt die Verarbeitung auf diesem Rechner und Sie müssen bei einer Beauskunftung / Löschung diesen Rechner und seine Daten mit berücksichtigen. Liegt Ihre HELIUM V Installation in einer Cloud oder ähnlichen Struktur, so muss sichergestellt sein, dass die Behandlung Ihres Servers ebenfalls der DSGVO entspricht. In diesem Falle müssen Sie mit Ihrem Provider entsprechende Verträge abschließen.
Selbstverständlich unterliegen wir schon immer der Geheimhaltung und unser gesamtes Team ist angewiesen nur die Daten welche zur Erfüllung der Aufgaben erforderlich sind zu verwenden. Sie können beruhigt davon ausgehen, dass wir auch unsere Hausaufgaben bezüglich der technischen und organisatorischen Maßnahmen zur Sicherheit der uns anvertrauten Daten unternommen haben. Wir bitten um Verständnis, dass diese nicht offengelegt werden. Sollten Sie dazu ausführlichen Bedarf haben, können wir Ihnen diese gerne, nach Unterzeichnung einer entsprechenden Vertraulichkeitsvereinbarung, zusenden.

JavaScript errors detected

Please note, these errors can depend on your browser setup.

If this problem persists, please contact our support.

Contact Support Close