Datenschutz BdB at work - betreuung.de€¦ · Als Zusatzoption der BdB atwork Premium rEdition...
Transcript of Datenschutz BdB at work - betreuung.de€¦ · Als Zusatzoption der BdB atwork Premium rEdition...
Seite 1 von 6
Datenschutz & BdB at work Eine Zusammenfassung und Übersicht der wichtigsten Funktionen und Werkzeuge von
BdB at work für die Einhaltung und Durchsetzung datenschutzrechtlicher Vorgaben.
Präambel BdB at work ist eine Software die als Verwaltungs‐ und Abrechnungswerkzeug für rechtliche Betreuer
konzipiert ist. Betreuer erheben, sammeln und verarbeiten mit diesem Werkzeug Daten die
datenschutzrechtlich als hochsensibel und entsprechend schützenswert gelten. Die Berechtigung des
Betreuers diese Daten vollumfänglich zu erheben und zu benutzen ergibt sich aus seiner Bestellung
zum Betreuer. Alle für die Erfüllung im Rahmen der zugeteilten Aufgabenkreise notwendigen Daten
dürfen vom Betreuer erfasst und mithin verarbeitet werden.
BdB at work ist eine Software die gänzlich ohne eine Internetanbindung lauffähig ist. Es findet
keinerlei Übertragung von Daten zur Verarbeitung auf Rechnersysteme Dritter statt. Die Nutzung von
BdB at work impliziert daher keine Auftragsverarbeitung gemäß DSGVO sondern ausschließlich eine
Datenverarbeitung durch oder im Auftrag des Verantwortlichen auf den eigenen Systemen.
Es muss grundsätzlich davon ausgegangen werden, dass in BdB at work stets umfänglich Daten von
unter Betreuung stehenden Personen (Klienten) enthalten sind. Diese Daten sind in Art und Umfang
regelmäßig als besonders schützenswert zu bezeichnen. Nutzer denen Zutritt zu BdB at work gewährt
wird müssen somit grundsätzlich auch berechtigte Zugriffsrechte auf eben diese Daten besitzen.
Allen Personen, die keinen berechtigten Zugriff auf derartige Daten erhalten dürfen, ist grundsätzlich
durch technische und organisatorische Maßnahmen der Zutritt zu einer BdB at work Installation zu
verweigern.
LOGODatensysteme GmbH
LOGO Datensysteme GmbHAm Knie 6 · 27570 Bremerhavenwww.datensysteme.de
Geschäftsführer Andreas Rohmann, Marcel RohmannAG Bremen, HRB 5065 BHVUSt.ID.: DE 248 415 680
Telefon 0471-900 800 0Fax 0471-900 800 [email protected]
Weser-Elbe SparkasseIBAN: DE67 2925 0000 0001 8570 70BIC: BRLADE21BRS
Seite 2 von 6
BdB at work verwaltet Daten und Dokumente aus Betreuungen auf dem System/dem Netzwerk des
Nutzers. Die Zutritts‐ und Rechteverwaltung von BdB at work stellt dabei nicht die erste, sondern die
letzte organisatorische Möglichkeit einer solchen Rechteregelung dar. Durch die verantwortliche
Stelle, d.h. z.B. dem Betreiber des EDV‐Umfelds, sind in diesem Zusammenhang besonders die
organisatorischen und technischen Zugriffsrechte auf die IT‐Infrastruktur wie dem PC, den Servern
aber auch des Filesystems selbst entsprechend zu regulieren und zu gewährleisten. Wir gehen davon
aus, dass BdB at work nur in einer derart abgesicherten Systemumgebung mit den entsprechenden
Zugriffberechtigungen betrieben wird. Eine sichere IT‐Infrastruktur mit entsprechender Rechte‐
verwaltung liegt in der Verantwortung desjenigen der BdB at work auf seinen Systemen betreibt.
Im nachfolgendenden Dokument zeigen wir die von BdB at work vorgehaltenen Werkzeuge und
Möglichkeiten auf, die bei der Fortsetzung einer solchen Zugriffsorganisation innerhalb von BdB at
work dem Verantwortlichen zur Verfügung stehen.
Begriffsdefinition Verantwortlicher – Person oder Stelle die für die Einhaltung und Durchsetzung von Zutritts‐
/Zugriffsrechten die Verantwortung trägt, bzw. diese Rechte ausgestaltet.
Nutzer – Eine Person die das Recht hat sich an BdB at work anzumelden. Je nach
Rechteausgestaltung hat ein Nutzer in BdB at work verschiedene Nutzungsrechte.
Administrator – Eine Person die vom Verantwortlichen mit uneingeschränkten Nutzungsrechten
innerhalb von BdB at work ausgestattet wurde.
PC, PC‐System, Rechnerumgebung u.ä. steht synonym für die Windows‐Installation auf dem BdB at
work installiert wurde. Dies kann sowohl der Einzelplatz ohne Netzwerk‐Nutzung wie auch die
komplexe Serverumgebung nebst RDP‐basierten Terminalserver‐Dienst sein.
BdB at work Rechteverwaltung Für den Zutritt eines Nutzers zu BdB at work ist grundsätzlich eine Benutzeranmeldung auf
individuellem Nutzernamen und Passwort notwendig. Eine Abschaltung der Benutzeranmeldung ist
auch bei Betrieb mit nur einem Benutzer nicht möglich.
In der Benutzerverwaltung werden alle Nutzer angelegt und verwaltet. Mit Administrator‐Rechten
ausgestattete Nutzer können Nutzer anlegen sowie deren Rechte verändern/einschränken. Es muss
mindestens ein Nutzer mit Administrator‐Rechten ausgestattet sein.
Die Nutzerrechte sind in die folgenden Hauptbereiche/Zutrittsbereiche unterteilt:
1. Fallverwaltung
Einschränkungen beim Zugriff auf Falldaten
2. Verwaltungsaufgaben
3. Auswertungen
4. Administrative Aufgaben
5. Weitere Funktionen / Fenster
LOGODatensysteme GmbH
LOGO Datensysteme GmbHAm Knie 6 · 27570 Bremerhavenwww.datensysteme.de
Geschäftsführer Andreas Rohmann, Marcel RohmannAG Bremen, HRB 5065 BHVUSt.ID.: DE 248 415 680
Telefon 0471-900 800 0Fax 0471-900 800 [email protected]
Weser-Elbe SparkasseIBAN: DE67 2925 0000 0001 8570 70BIC: BRLADE21BRS
Seite 3 von 6
Rechte der Fallverwaltung
Fallverwaltung benutzen
Dieses Recht wird benötigt um überhaupt die Fallverwaltung betreten zu dürfen. Ohne
dieses Recht kann der Nutzer nicht die Falldaten der Klienten öffnen.
Neue Fälle anlegen
Mit diesem Recht kann der Nutzer neue Fälle anlegen.
Fallarten bearbeiten
Dieses Recht erlaubt es dem Nutzer die Fallart eines Klienten zu verändern.
Beziehungen verwalten
Aktennotizen verwalten
Wiedervorlagen verwalten
Beschlüsse verwalten
Vermögen verwalten
Korrespondenz verwalten
Abrechnungen erstellen
Fallsteuerung bearbeiten
Steuerungskreisläufe anlegen
Einschränkungen beim Zugriff auf Falldaten
Zugang nur zu eignen oder in Vertretung betreuten Klienten
Klienten ohne Betreuer als nicht‐eigene Klienten einordnen
Verwaltungsaufgaben
Büroverwaltung benutzen
Korrespondenz verwalten
Konten & Finanzen verwalten
Rechnungsarchiv verwalten
Auswertungen ausführen
Firmendaten bearbeiten
Programmeinstellungen bearbeiten
Berichtsdateien (Reports) bearbeiten
Auswertungen
Terminkalender nutzen
Leistungserfassung & ControlCenter nutzen
Gesetze und Entscheidungen einsehen
Formularsammlung benutzen
Kontaktadressen verwalten
Administrative Aufgaben
Benutzerstammdaten bearbeiten
Datenexport & Datenimport ausführen
Datensicherung ausführen
LOGODatensysteme GmbH
LOGO Datensysteme GmbHAm Knie 6 · 27570 Bremerhavenwww.datensysteme.de
Geschäftsführer Andreas Rohmann, Marcel RohmannAG Bremen, HRB 5065 BHVUSt.ID.: DE 248 415 680
Telefon 0471-900 800 0Fax 0471-900 800 [email protected]
Weser-Elbe SparkasseIBAN: DE67 2925 0000 0001 8570 70BIC: BRLADE21BRS
Seite 4 von 6
Profilumschaltung & Synchronisation ausführen
Firmenprofile wechseln
Falldaten ausgliedern / archivieren
Leistungsstamm & ‐Kombinationen bearbeiten
Abrechnungsvorgaben bearbeiten
Vorgaben Vermögensverzeichnis bearbeiten
Schnittstellen und Lagerorte für Daten & Dokumente BdB at work ist ein Verwaltungswerkzeug das bei der Organisation und Nutzung vorhandener
Informationen und Dateien hilft. BdB at work ist kein Datentresor mit umfänglicher Zugangs‐
reglementierung und kann eine solche Rolle auch nicht einnehmen, da viele der verwalteten
Informationen im Dateisystem des PC‐Systems hinterlegt. Es ist daher wichtig zu verstehen, welche
Schnittstellen zwischen gespeicherten Daten und dem Benutzer als „offen“ zu bezeichnen sind und
die je nach Anforderung entsprechend mit systemseitigen Maßnahmen ebenfalls reglementiert
werden müssen. Die nachfolgenden Punkte dienen somit zum Erkennen derartiger Stellen und zum
besseren Verständnis welche Absicherungsmaßnahmen durch BdB at work und welche durch den
Verantwortlichen zu übernehmen sind.
Dateien ‐ Daten & Dateien Alle von BdB at work erfassten Daten sowie alle von BdB at work erfassten, erstellten und
verwalteten Dokumente, d.h. alle Dateien die in die Klienten‐ bzw. Büro‐Dokumentenablage von BdB
at work eingefügt wurden, werden im Dateisystem des Computersystems gespeichert. Grundsätzlich
sind dabei der Speicherort für Daten und der Speicherort für Dokumente getrennt voneinander
individuell festlegbar.
Die getrennten Speicherorte sind unabhängig vom Rechner auf dem die jeweilige BdB at work
Installation ausgeführt wird und können beliebig festgelegt werden. Einzige Voraussetzung ist, dass
diese Speicherorte per regulärem Filesystemzugriff von BdB at work erreichbar sind. Die notwendige
Pfadbestimmung kann per UNC Angabe erfolgen und so auch unabhängig von der individuellen
Laufwerkszuweisung ausgestaltet werden. Ob die Lagerung auf einem peer‐to‐peer verbundenen
weiteren PC, einem Windows‐basierten Fileserver oder einem NAS‐System erfolgt spielt dabei keine
Rolle.
Die Nutzung von Cloudbasierten und in das lokale Filesystem eingehängten Pfaden ist ausdrücklich
nicht erlaubt und wird von BdB at work auch nicht unterstützt. Alle Speicherorte müssen im eigenen
lokalen Netzwerk liegen.
Durch Zugriffsreglementierungen zu den durch BdB at work genutzten Speicherpfaden ist hier durch
den Verantwortlichen sicherzustellen, dass ausschließlich berechtige Personen Zugriff auf diese
Verzeichnisse erhalten. Der Zugriff muss deshalb grundsätzlich auf den Personenkreis beschränkt
sein, der sowieso auf alle Inhalte in BdB at work berechtigten Zugriff hat.
LOGODatensysteme GmbH
LOGO Datensysteme GmbHAm Knie 6 · 27570 Bremerhavenwww.datensysteme.de
Geschäftsführer Andreas Rohmann, Marcel RohmannAG Bremen, HRB 5065 BHVUSt.ID.: DE 248 415 680
Telefon 0471-900 800 0Fax 0471-900 800 [email protected]
Weser-Elbe SparkasseIBAN: DE67 2925 0000 0001 8570 70BIC: BRLADE21BRS
Seite 5 von 6
Besonders in Serverumgebungen ist ein passendes Rechtesystem, z.B. mittels Active‐Directory Group
Policies, leicht umzusetzen.
Unabhängig davon für welche Konstellation der Datenlage sich entschieden wird, hat der
Verantwortliche dafür Sorge zu tragen, dass entweder durch Zugangsreglementierungen (Zugang
zum Server o.ä.) oder im Fall von mobilen Endgeräten wie Laptops aber auch USB‐Festplatten eine
entsprechende Verschlüsselung der Speicherorte/hardware (z.B. via Bitlocker o.ä.), ein
unberechtigter Zugriff auf die gespeicherten Informationen unterbunden wird.
Import, Export und Internet/Cloud‐Verbindungen BdB at work nutzt ausschließlich die von Ihnen bereitgestellten Verzeichnisse und PC‐Ressourcen.
Eine Übertragung gespeicherter Daten oder Dokumente bei deren Nutzung auf Rechner Dritter über
das Internet (z.B. als Cloud‐Verarbeitung) findet nicht statt. Bei der Nutzung der gesondert zu
installierenden Zusatzoption BdB at work mobile sind gesonderte Hinweise zu beachten.
Der Export der Daten kann als reiner Export, d.h. dem umfänglichen Speichern aller in BdB at work
hinterlegten Daten und Dokumente, durchgeführt werden. Die Speicherung erfolgt dann in
unverschlüsselter Form und dient ausschließlich dem Administrator oder Verantwortlichen für
Verwaltungsaufgaben im Kontext der PC‐Wartung. Der Import ist dabei das Gegenstück dieser
Möglichkeit und erlaubt ausschließlich den Import von zuvor per Export gespeicherter
Informationen. Als Alternative zum Export gibt es die Ausgliederung von Daten. Im Unterschied zum
Export wird ein ausgegliederter Datensatz nach erfolgreicher Ausgliederung vom Quellsystem
gelöscht.
Zusätzlich gibt es bei Verwendung der Premium‐Edition noch die Möglichkeit des Exports
ausgesuchter, bzw. gefilterter Daten in das Microsoft Excel‐Format bzw. in das CSV‐Format (Datev).
Dies erlaubt den Export und die Weitergabe bestimmter Informationen wie z.B.
Abrechnungsinformationen für die Nutzung in einer nachgeschalteten Buchhaltungssoftware.
Alle mit diesen verschiedenen Möglichkeiten „exportierten“ Daten bzw. Dokumente sind nicht
verschlüsselt und dienen ausdrücklich nicht der Weitergabe an Dritte. Alle Funktionen oder
Möglichkeiten sind über die Nutzer‐Rechteverwaltung jedem einzelnen Benutzer individuell zu
gewähren oder zu entziehen.
BdB at work mobile Als Zusatzoption der BdB at work Premium‐Edition steht mit BdB at work mobile eine
Programmfunktion zur Verfügung die den gesicherten Zugriff über das Internet auf einen Teil der
hinterlegten Daten erlaubt. Der dafür notwendige Dienst ist gesondert zu installieren und ist nicht
Bestandteil einer normalen BdB at work Installation.
BdB at work mobile ist ein gesondert laufender Dienst der in Form eines gesicherten Webservers mit
einer unveränderbaren Nutzerführung Zugriff auf die in BdB at work hinterlegten Daten gibt. Die
Transportabsicherung erfolgt verschlüsselt per TLS1.2 mit einem nur zu diesem Zweck genutzten
Sicherheitszertifikat. Wie in BdB at work ist die Nutzung selbst ausschließlich mit einer Anmeldung
mittels Nutzernamen und Passwort möglich.
LOGODatensysteme GmbH
LOGO Datensysteme GmbHAm Knie 6 · 27570 Bremerhavenwww.datensysteme.de
Geschäftsführer Andreas Rohmann, Marcel RohmannAG Bremen, HRB 5065 BHVUSt.ID.: DE 248 415 680
Telefon 0471-900 800 0Fax 0471-900 800 [email protected]
Weser-Elbe SparkasseIBAN: DE67 2925 0000 0001 8570 70BIC: BRLADE21BRS
Seite 6 von 6
Ist BdB at work mobile installiert kann auch diese Nutzung, d.h. der Zugriff auf die Daten und
Informationen individuell pro Benutzer reglementiert werden. Sie können so für jeden einzelnen
Nutzer entscheiden, ob und in welchem Umfang der Zugriff über das Internet via BdB at work mobile
überhaupt gewährt wird.
Datensicherung Für die Datensicherung aller in BdB at work vorliegenden Daten und Dokumente hat BdB at work
eine passende Funktionen integriert die die Sicherung aller Inhalte und Dokumente gewährleisten
kann. In Mehrplatz‐ oder Serverumgebungen empfehlen wir allerdings die Datensicherung in die
regelmäßige serverseitige Sicherung zu integrieren, um ein einheitliches Sicherungskonzept für die
gesamte IT‐Umgebung zu erhalten und die damit verbundenen organisatorischen
Verantwortlichkeiten entsprechend zu bündeln.
Zugriff auf Daten & Programm durch LOGO Datensysteme Es gibt keine Programmschnittstelle über die Mitarbeiter von LOGO Datensysteme auf das bei Ihnen
installierte BdB at work und den dort verwalteten Daten zugreifen kann.
Wenn es während des Betriebs der Software zu einer Situation kommt bei der Sie per Fernwartung
Unterstützung durch den LOGO Kundenservice benötigen, so wird dies datenschutzkonform per
TeamViewer Software durchgeführt. Hierzu muss für jeden Einzelfall ein Berechtigter diesem Zugriff
aktiv zustimmen und dazu die notwendige Software auf dem zu wartenden System manuell starten
und während des gesamten Wartungsvorgangs als Verantwortlicher bzw. dessen Stellvertreter den
Vorgang begleiten. Eine solche Fernwartung unterliegt dann den Vorschriften für
Auftragsverarbeitung gemäß DSGVO.
LOGODatensysteme GmbH
LOGO Datensysteme GmbHAm Knie 6 · 27570 Bremerhavenwww.datensysteme.de
Geschäftsführer Andreas Rohmann, Marcel RohmannAG Bremen, HRB 5065 BHVUSt.ID.: DE 248 415 680
Telefon 0471-900 800 0Fax 0471-900 800 [email protected]
Weser-Elbe SparkasseIBAN: DE67 2925 0000 0001 8570 70BIC: BRLADE21BRS