datenschutz und datensicherheit bei datev · 2017-07-18 · 4 5 persönliche verantwortung...
TRANSCRIPT
Datenschutz und Datensicherheit bei DATEV
Software
Service
Beratung
Wissen
3
DATEV – Datenschutz wird großgeschrieben
Bei DATEV steckt die Datenverarbeitung schon im Namen. Als Dienstleister
für steuer- und rechtsberatende Berufe speichern und verarbeiten wir sensible
personenbezogene und geschäftliche Informationen. Diese zu sichern und vor
unerlaubten Zugriffen zu schützen, hat für uns dabei natürlich oberste Priorität.
Wir geben Ihnen einen Einblick, wie Datenschutz und Datensicherheit bei DATEV
umgesetzt werden. Damit möchten wir Sie nicht nur informieren, sondern Ihnen
auch helfen, die rechtlichen Vorschriften in Sachen Datenschutz einzuhalten.
Denn nach § 11 Absatz 2 Satz 4 des Bundesdatenschutzgesetzes (BDSG) sind
Auftraggeber verpflichtet, sich beim Auslagern der Datenverarbeitung zu
überzeugen, dass der Auftragnehmer die vereinbarten technischen und organi-
satorischen Vorkehrungen für Schutz und Sicherheit dieser Daten getroffen hat.
Inhalt
1 Datenschutz bei DATEV 4
Persönliche Verantwortung 5
Transparente Datenverarbeitung 6
Unterstützung durch DATEV-
Produkte und Dienstleistungen 9
2 Datenverarbeitung
im Auftrag 10
Rechtliche Grundlagen 10
Datengeheimnis 12
Informationssicherheits-
Management 13
Sicherheitsmechanismen
bei DATEV 14
Datensicherungsmaßnahmen 16
3 Testate 18
ISO/IEC 27001 19
DIN SPEC 66399 20
Datenschutzaudit 21
Kurzbericht zum Datenschutz 22
4 5
Persönliche Verantwortung
Transparente Datenverarbeitung
Unterstützung durch DATEV-
Produkte und Dienstleistungen
Datenschutz
bei DATEV 1Sensible Informationen – bei DATEV in guten Händen
1
Als Genossenschaft für mehr als 40.000 Steuerberater, Rechtsanwälte oder Wirtschafts-
prüfer ist DATEV der Experte für sensible Daten. Unsere 6.800 Mitarbeiter erwirtschaften
mehr als 800 Millionen Euro Umsatz jährlich. Damit ist DATEV auch im europäischen
Vergleich einer der größten Dienstleister für Software und Datenverarbeitung.
Umgang mit sensiblen Daten –
unsere Geschäftsgrundlage
Wir wahren nicht nur die berufsständi-
schen Interessen unserer Mitglieder.
Seit 50 Jahren sind Software und IT
unsere Kernkompetenz: Jeden Monat
speichern wir in unserem Rechenzent-
rum die Finanzbuchführung von etwa
2,5 Millionen deutschen Unternehmen.
Mehr als elf Millionen Arbeitnehmer
bekommen von uns erstellte Lohnab-
rechnungen.
Im Auftrag von Kanzleien und Unter-
nehmen übermitteln wir täglich Abrech-
nungsdaten an zahlreiche Institutionen.
Datenschutz und Datensicherheit sind
in unserem Geschäft unverzichtbar.
Compliance – klares Bekenntnis
zum Datenschutz
Unsere Mitarbeiter wissen schon bei
Unterzeichnung des Arbeitsvertrags:
Wer mit vertraulichen personenbe-
zogenen und geschäftlichen Daten
arbeitet, trägt eine große Verantwor-
tung. Hier setzen wir besonders hohe
Standards an. Jeder Mitarbeiter muss
die gesetzlichen Vorschriften und unsere
internen Regeln zum Datenschutz
kennen und umsetzen. Dafür tragen wir
durch regelmäßige Schulungen Sorge.
Auch unsere Geschäftspartner müssen
ihrer Fürsorgepflicht in Sachen Daten-
schutz nachkommen. Unser Verhaltens-
kodex – der Code of Business Conduct
– formuliert weitreichende Ansprüche
an uns selbst und unsere Partner.
„Für DATEV als berufsständischen DV-Dienstleister haben Datensicherheit
und Datenschutz oberste Priorität und sind von grundlegender Bedeutung.
DATEV steht für außergewöhnliche Standards in diesem Bereich.
Dies gilt in besonderer Weise für personenbezogene Daten, aber auch für
Geschäftsdaten. Allen Mitarbeitern obliegt in diesem Zusammenhang eine
besondere Verantwortung. Alle Mitarbeiter wahren die strikte Vertraulichkeit
von Mitglieds- und Mandantendaten, insbesondere von Auftragsdaten.
DATEV verlangt von allen Geschäftspartnern die Einhaltung der Verplich- tungen zum Datenschutz und zur Datensicherheit sowie zur Wahrung der
Vertraulichkeit.“
(Code of Business Conduct, Artikel 2: Datenschutz und Datensicherheit)
6 7
Datenschutz
bei DATEV 1
Unsere Abteilung für IT-Sicherheit berät
und unterstützt dabei, wenn technische
Vorgaben einheitlich umgesetzt werden
müssen. Für Datenschutz und Sicherheit
relevante Fragestellungen werden zudem
in Gremien aus unterschiedlichen Berei-
chen beraten. Sie sorgen dafür, dass
unternehmensweit einheitliche Lösungen
umgesetzt werden.
Alle Mitarbeiter in unserem Datenschutz-
Team sind speziell geschult und verfügen
über den gesetzlich geforderten Fach-
kundenachweis. Durch Fortbildungen
und das aktive Engagement in Fachgre-
mien sind sie in datenschutzrechtlichen
Fragen stets auf dem neuesten Stand.
Insbesondere wirken sie in folgenden
Organisationen mit:
Arbeitsgemeinschaft für wirtschaft-
liche Verwaltung e.V. (AWV)
Bundesverband Informationswirt-
schaft, Telekommunikation und
neue Medien e.V. (bitkom)
Berufsverband der Datenschutzbe-
auftragten Deutschlands (BvD) e.V.
Gesellschaft für Datenschutz und
Datensicherheit e.V. (GDD)
DATEV als verantwortliche Stelle –
vielfältige Schutzmaßnahmen
Der Datenschutzbeauftragte der DATEV
wacht darüber, auf welche Weise
personenbezogene Daten an welcher
Stelle im Unternehmen verarbeitet wer-
den. Nach den Regeln des Bundesdaten-
schutzgesetzes (§§ 4e u. 4g) müssen
ihn die Fachbereiche regelmäßig infor-
mieren, welche Daten zu welchem
Zweck erhoben, verarbeitet und genutzt
werden.
Das öffentliche Verfahrensverzeichnis
der DATEV ist ebenso wie die Daten-
schutzerklärung gemäß § 13 des Tele-
mediengesetzes (TMG) im Internet
unter www.datev.de/datenschutz
einzusehen.
Schutz auch für Daten juristischer
Personen
DATEV schützt nicht nur personenbe-
zogene Daten. Unsere unternehmens-
internen Richtlinien legen fest, dass die
Informationssicherheitsmaßnahmen der
DATEV auch auf Daten über juristische
Personen – wie Unternehmen, Institu-
tionen oder Vereine – anzuwenden sind.
Datenschutzorganisation bei
DATEV – sensibilisieren, beraten,
kontrollieren
Datenschutz ist bei DATEV eine ganz-
heitliche Aufgabe, die das Unternehmen
auf allen Ebenen erfüllt. Der Datenschutz-
beauftragte ist organisatorisch direkt
dem Vorstandsvorsitzenden zugeordnet.
Er wirkt darauf hin, dass die aktuellen
gesetzlichen Regelungen des Bundes-
datenschutzgesetzes (BDSG), des
Telemediengesetzes (TMG) oder des
Telekommunikationsgesetzes (TKG)
stets eingehalten werden.
Unterstützt wird er dabei von seinem
Team, den Bereichsbeauftragten für den
Datenschutz in den Geschäftsbereichen
sowie Ansprechpartnern in den DATEV-
Niederlassungen. Diese machen unsere
Mitarbeiter immer wieder auf ihre Ver-
antwortung aufmerksam und über-
prüfen die Einhaltung von Vorgaben.
Sie geben Hilfestellung, wenn es darum
geht, die hohen Anforderungen an
Schutz und Sicherung der verarbeiteten
Daten in die Praxis umzusetzen.
Sensibilisieren, beraten, kontrollieren –
das sind unsere Handlungsdevisen für die
Umsetzung eines guten Datenschutzes.
Datenschutzmitarbeiter
von DATEV engagieren
sich und arbeiten u. a.
in folgenden Organisa-
tionen aktiv mit:
www.awv-net.de
www.bitkom.org
www.bvdnet.de
www.gdd.de
Persönliche Verantwortung
Transparente Datenverarbeitung
Unterstützung durch DATEV-
Produkte und Dienstleistungen
8 9
Datenschutz
bei DATEV 1
Kundenbetreuung – Produkte und
Services für den Datenschutz
Große Sorgfalt im Umgang mit sen-
siblen Daten schreibt das Gesetz auch
unseren Kunden vor. Mit unseren Er-
fahrungen und unserem Know-how
helfen wir Ihnen, Ihren Pflichten beim
Umgang mit Kunden- und Mandanten-
daten nachzukommen.
Dafür bieten wir verschiedene Produkte
und Dienstleistungen zu Datenschutz
und IT-Sicherheit an, darunter Lösungen
für die sichere Kommunikation (DATEV
E-Mail-Verschlüsselung) und für den
sicheren Internetzugang (DATEVnet).
DATEV SmartCard und DATEV mIDentity
schützen Anwendungen und Daten mit
Signatur und Verschlüsselung sowie als
Datensafe.
DATEV-Consulting berät und schult Sie
zu Datenschutz, Informations- und IT-
Sicherheit, führt Risikoprüfungen und
Audits durch und stellt Ihnen auf
Wunsch auch einen externen Daten-
schutzbeauftragten zur Verfügung.
Persönliche Verantwortung
Transparente Datenverarbeitung
Unterstützung durch DATEV-
Produkte und Dienstleistungen
Klassifizierung des Schutzbedarfs
von Daten
Wie schutzbedürftig Daten sind, richtet
sich nach drei Parametern: Vertraulich-
keit, Verfügbarkeit und Integrität. Name
und Adresse eines Unternehmens zum
Beispiel, die sich im Internet oder Tele-
fonbuch finden lassen, sind längst nicht
so sensibel wie Lohnabrechnungen.
Die Einstufung des Schutzbedarfs be-
stimmter Daten entscheidet über den
Umgang mit ihnen und die erforder-
lichen Schutzmaßnahmen.
Zuständige Aufsichtsbehörde
Das Bayerische Landesamt für Daten-
schutzaufsicht (www.lda.bayern.de)
in Ansbach ist die zuständige Auf-
sichtsbehörde für den Datenschutz
bei DATEV. Es überwacht die Einhaltung
der Datenschutzvorschriften und hilft
mit, dass unsere Sicherheitsvorkeh-
rungen dem hohen Standard entspre-
chen, den der Gesetzgeber und wir
selbst uns auferlegen.
10 11
Datenverarbeitung –DATEV als Auftragnehmer
2Rechtliche Grundlagen
Datengeheimnis
Informationssicherheits-
Management
Sicherheitsmechanismen
bei DATEV
Datensicherungsmaßnahmen
Datenverarbeitung
im Auftrag 2
Einsatz von Subunternehmern
Wenn es sich für die Abwicklung eines
Auftrags empfiehlt, ist DATEV berechtigt,
bestimmte Leistungen von Subunter-
nehmern erbringen zu lassen. Der Sub-
unternehmer übernimmt in diesem Fall
dieselben Verpflichtungen in Bezug auf
Vertraulichkeit, Datenschutz und Infor-
mationssicherheit wie DATEV.
Soweit Daten von Mandanten eines
Mitgliedes, die der beruflichen Ver-
schwiegenheit unterliegen, von DATEV
an Subunternehmer weitergegeben
werden müssen, holen wir gemäß Ziffer
15.5 der Allgemeinen Geschäftsbedin-
gungen in jedem Einzelfall das Einver-
ständnis des Mitglieds ein. Das Mitglied
selbst wiederum sorgt dafür, dass der
betroffene Mandant seine Zustimmung
zur Weitergabe der Daten gegeben hat.
Nebenleistungen wie die Wartung von
Maschinen und Geräten oder Reinigung
gelten nicht als Subunternehmertätig-
keiten. Ebenso wenig gehört dazu die
Einschaltung von Dienstleistern, die dem
Post- und/oder Fernmeldegeheimnis
unterliegen.
Gesetzliche Grundlagen der
Auftragsdatenverarbeitung
Gibt ein Unternehmen personen-
bezogene Daten zur Verarbeitung oder
Nutzung an einen Dienstleister wie
DATEV weiter, ist der Auftraggeber
weiterhin selbst für die Einhaltung der
Datenschutzvorschriften verantwortlich.
Der Auftraggeber muss daher seinen
Auftragnehmer sorgfältig auswählen
und schriftlich beauftragen. Die not-
wendigen Inhalte dieser Vereinbarung
regelt ebenfalls § 11 BDSG.
Bei der Auswahl des Dienstleisters hat
der Auftraggeber insbesondere die
Eignung der getroffenen technischen
und organisatorischen Maßnahmen
zum Schutz der dem Auftragnehmer
überlassenen Daten zu prüfen. Zudem
muss sich der Auftraggeber vor Beginn
der Datenverarbeitung und regelmäßig
auch danach von der Einhaltung dieser
Maßnahmen überzeugen und das
Ergebnis dokumentieren.
DATEV möchte ihren Kunden dabei
helfen, sich detailliert zu informieren,
ob ihre Daten bei DATEV in den richtigen
Händen sind. Deshalb prüft ein unabhän-
giges Institut regelmäßig die wirksame
Umsetzung der Datenschutzmaßnahmen
nach § 9a BDSG und das Informations-
sicherheits-Managementsystem nach der
Norm ISO/IEC 27001.
Anhand der Zertifikate – die auch im
Kapitel 3 dieser Broschüre beigefügt
sind – kann der Auftraggeber seinen
Prüfungspflichten nachkommen, ohne
dass eine Kontrolle vor Ort bei DATEV
nötig wäre (das BDSG schreibt eine
solche nicht vor).
Vertragliche Grundlagen
DATEV verpflichtet sich, ihr überlassene
Daten nur im Rahmen der Weisungen
des Auftraggebers zu verarbeiten, sie
durch angemessene Vorkehrungen vor
Verlust, Manipulation und Missbrauch
zu schützen und sie nicht an unbefugte
Dritte weiterzugeben.
Welche Verpflichtungen DATEV und ihr
Auftraggeber in Sachen Datenschutz
einzuhalten haben, insbesondere der
Weisungsrahmen (vgl. § 11 Abs.2 Nr. 9
BDSG), ist in den folgenden vertrags-
relevanten Dokumenten geregelt:
Satzung der Genossenschaft
Allgemeine Geschäftsbedingungen
von DATEV
Vereinbarung zur Auftragsdaten-
verarbeitung
Leistungsbeschreibungen von
Programmen und Dienstleistungen
Individueller Auftrag
Beitrittserklärung (bei Mitgliedern
der Genossenschaft).
Zentrales Vertragsdokument ist die
Vereinbarung zur Auftragsdatenver-
arbeitung. Sie konkretisiert, welche
datenschutzrechtlichen Pflichten
DATEV und ihre Auftraggeber zu
erfüllen haben. Die Vereinbarung findet
Anwendung bei Aufträgen, bei denen
unsere Mitarbeiter oder unsere Sub-
unternehmer mit personenbezogenen
Daten des Auftraggebers in Berührung
kommen können.
Erweiterungen des Weisungsrahmens
über den hier vereinbarten Umfang
hinaus sind nur über einvernehmliche
Vertragsanpassungen möglich. So wie
DATEV bekennt sich auch der Auftrag-
geber in der Vereinbarung zur Auftrags-
datenverarbeitung dazu, die Daten-
schutzgesetze einzuhalten.
Datenverarbeitung im Auftrag ist Vertrauenssache. Der Gesetzgeber gibt mit § 11 BDSG
bei der Erhebung, Verarbeitung oder Nutzung personenbezogener Daten im Auftrag einen
rechtlichen Rahmen vor. Die Nichtbeachtung durch den Auftraggeber kann mit Bußgeld
geahndet werden.
12 13
Datenverarbeitung
im Auftrag 2
Durch Schulungen und Informations-
veranstaltungen tragen wir dafür Sorge,
dass die Mitarbeiter mit den gesetzlichen
Schutzbestimmungen vertraut sind.
Es ist uns wichtig, unsere Mitarbeiter
immer wieder zu erinnern, wie bedeut-
sam diese Diskretion ist. Deshalb sind
regelmäßige Online-Schulungen und
Seminare zum Thema selbstverständlich.
Ganzheitliche Konzepte für
Informationssicherheit
Bei DATEV wird Informationssicherheit
mit System umgesetzt. Weil sich Vor-
schriften, Technik und organisatorische
Rahmenbedingungen ändern können,
arbeiten wir ständig daran, unsere Maß-
nahmen für die Datensicherheit anzu-
passen und zu verbessern.
Wir betreiben ein nach ISO/IEC 27001
zertifiziertes Managementsystem für
Informationssicherheit – das Zertifikat
umfasst das DATEV-Rechenzentrum
sowie das Druck-, Logistik- und Service-
zentrum der DATEV.
Darüber hinaus entwickeln wir unsere
Sicherheitsvorkehrungen in einem
kontinuierlichen Verbesserungsprozess
entsprechend den gesetzlichen, techni-
schen und organisatorischen Anforde-
rungen weiter.
Unser Informationssicherheitskonzept
umfasst bauliche, personelle, organisa-
torische und technische Vorkehrungen,
um die Sicherheit der Objekte und des
Datenbestandes zu gewährleisten. Die
technischen und organisatorischen Maß-
nahmen sollen unbefugte Datenzugriffe
verhindern und einen ordnungsgemäßen
Umgang mit Daten und Datenträgern
sicherstellen.
Die Wirksamkeit dieser Maßnahmen
überprüfen wir durch unabhängige
interne und externe Audits sowie durch
unangekündigte Notfallübungen mit
wechselnden Schwerpunkten. Die Ergeb-
nisse dieser Überprüfungen bilden die
Grundlage für gezielte Verbesserungs-
maßnahmen.
Datenaustausch mit dem DATEV-
Rechenzentrum
DATEV hat verschiedene Lösungen
entwickelt, um die Vertraulichkeit und
Integrität der Daten sowie eine eindeu-
tige Identifikation und Authentifikation
zu gewährleisten. Dazu gehören die
DATEV SmartCard und DATEV mIDentity.
Mit Hilfe dieser Sicherheitsmechanismen
kann der Anwender auf seine Daten im
DATEV-Rechenzentrum zugreifen und
internetbasierte Dienste nutzen.
Auslagern der Datenverarbeitung
Für Kunden, die ihre IT-Infrastruktur
in die Cloud auslagern wollen, bieten
wir die Produkte DATEVasp und DATEV-
SmartIT an. Software und Daten des
Kunden liegen im DATEV-Rechenzentrum,
die Bedienung erfolgt mittels Terminal-
server über das Netz. Die sichere
Kommunikation vom Kunden zum
DATEV-Rechenzentrum wird durch
geeignete, aktuelle Verschlüsselungs-
mechanismen gewährleistet.
Das Support- und Servicenetz für
DATEVasp und DATEV-SmartIT wird
getrennt von der Bürokommunikation
betrieben, um Sicherheit und Vertrau-
lichkeit der Daten zu garantieren.
Die Support-Mitarbeiter sind im Rahmen
des DATEV-Berechtigungskonzepts einer
gesonderten Rollengruppe zugewiesen,
deren Zugriffsrechte und Einstellungen
einer speziellen Aufsicht unterliegen.
Verpflichtung zur Verschwiegen-
heit
DATEV stellt sicher, dass die Mitarbeiter
auf das Datengeheimnis nach § 5 BDSG
verpflichtet sind. Für DATEV gilt zudem –
wie für ihre Mitglieder – eine besondere
Verschwiegenheitspflicht, wenn es um
Mandantendaten geht. Denn DATEV
gilt als anerkannter berufsmäßig tätiger
Gehilfe ihrer Mitglieder. Daher werden
unsere Mitarbeiter auch über diese
berufsrechtlichen Vorschriften belehrt
und darauf verpflichtet.
Zu unserer besonderen Verschwiegen-
heitspflicht bekennen wir uns in Ziffer
16.1 der Allgemeinen Geschäftsbedin-
gungen.
Je nach Aufgabenbereich kommen
ggf. weitere Verschwiegenheitsverpflich-
tungen hinzu. Dies betrifft etwa das
Fernmeldegeheimnis (nach § 88 TKG)
oder das Postgeheimnis (§ 39 PostG).
Das heißt, Inhalte und Umstände von
Kommunikationsvorgängen unserer
Kunden bleiben geheim. Des Weiteren
vergeben wir Berechtigungen für den
Fernzugriff auf DATEV- oder Kunden-
Netzwerke nur an Mitarbeiter, die sich
zur Einhaltung angemessener Schutz-
vorkehrungen verpflichten.
Auch Mitarbeiter mit Administrations-
aufgaben werden auf die damit verbun-
denen Verschwiegenheitsanforderungen
besonders verpflichtet.
Rechtliche Grundlagen
Datengeheimnis
Informationssicherheits-
Management
Sicherheitsmechanismen
bei DATEV
Datensicherungsmaßnahmen
14 15
Datenverarbeitung
im Auftrag 2
Technische und organisatorische
Maßnahmen
DATEV verarbeitet seit ihrer Gründung
1966 Daten im Auftrag von Berufs-
gruppen, die einer berufsrechtlichen
Verschwiegenheit unterliegen. Daten-
sicherheitsmaßnahmen sind für DATEV
nicht bloß Kostenfaktoren, sondern
Geschäftsgrundlage. Alle Leistungen
der DATEV sind darauf ausgerichtet,
optimalen Datenschutz und Datensicher-
heit mit Fokus auf Effektivität und
wirtschaftliche Angemessenheit zu
gewährleisten.
Im Folgenden geben wir einen Überblick
über unsere technischen und organisa-
torischen Maßnahmen gemäß Anlage zu
§ 9 Satz 1 BDSG (hier formuliert der
Gesetzgeber allgemeine Anforderungen
an Rechenzentren, die mit personen-
bezogenen Daten umgehen).
Dieser Überblick entspricht inhaltlich
weitgehend den Vereinbarungen, wie
sie DATEV seit 2009 als Anlage zur
Vereinbarung zur Auftragsdatenverarbei-
tung verwendet. Aus Sicherheitsgründen
können wir die Sicherheitsmaßnahmen
hier nicht detailliert darstellen.
Die Sicherheitsmaßnahmen werden
aber regelmäßig im Rahmen von Daten-
schutz- und ISO/IEC 27001-Auditierun-
gen geprüft.
Zutrittskontrolle (Anlagen und
Betriebsbereiche)
Die Betriebsareale sind bei DATEV in
mehrere Sicherheitsbereiche unterteilt,
für die differenzierte Zutrittsberechti-
gungen gelten. Sie werden rund um
die Uhr durch den Betriebsschutz
überwacht. Die Sicherheitszonen des
DATEV-Rechenzentrums dürfen nur
von wenigen Berechtigten mit codierten
Lichtbildausweisen betreten werden.
Diese Bereiche sind baulich besonders
abgeschottet und werden elektronisch
überwacht.
Zugangskontrolle (Systeme)
Der Zugang zu unseren Datenverar-
beitungssystemen kann nur über ein
Zugangskontrollsystem erfolgen.
Beim elektronischen Datenaustausch
zwischen DATEV-Rechenzentrum und
Kunden wird die Zugangskontrolle über
vielschichtige und komplexe Prüfungen
sichergestellt. Technisch abgesichert
werden die Systeme durch Firewalls und
Proxyserver. Geeignete Verschlüsselungs-
technologien werden eingesetzt, soweit
sie technisch möglich und wirtschaftlich
vertretbar sind.
Zugriffskontrolle (Datenbefugnisse)
Eine Reihe von Hardware- und Software-
Identifikationsmaßnahmen, die
Verschlüsselung der Daten bei der
Übertragung sowie ein mehrstufiges
Zugriffs- und Nutzungskontrollverfahren
schließen unbefugte Zugriffe auf die
gespeicherten Datenbestände und eine
unberechtigte Kenntnisnahme aus.
Jeder Mitarbeiter kann nur auf die für
seine Tätigkeit notwendigen Systeme
und erforderlichen Daten zugreifen.
Geregelt wird dies über individuell zu-
gewiesene Berechtigungen. Auch hierbei
werden geeignete Verschlüsselungstech-
nologien eingesetzt, wenn das technisch
möglich und wirtschaftlich sinnvoll ist.
Weitergabekontrolle (Datenübertra-
gung und Datenträger)
Die Weitergabe von Daten an andere
Stellen wird streng kontrolliert. Beim
elektronischen Datenaustausch kommt
ein Sicherungssystem mit umfassenden
Prüfungen zum Einsatz. Technisch
abgesichert werden die Systeme durch
Firewalls und Proxyserver. Geeignete
Verschlüsselungstechnologien werden
eingesetzt, soweit sie technisch möglich
und wirtschaftlich vertretbar sind.
Im DATEV-Rechenzentrum verhindern
strenge Sicherheitsvorkehrungen,
dass Datenträger unbefugt aus den
Sicherheitsbereichen entfernt werden.
Zu entsorgende Datenträger mit
schutzwürdigem Inhalt werden in
unserer hausinternen Schredderanlage
vernichtet. Die Entsorgung erfolgt
unter hohen Sicherheitsstandards.
Zutrittskontrolle
Wir gestatten Unberech-tigten keinen Zutritt zu IT-Systemen und Unterlagen.
Eingabekontrolle
Wir können im gesetzlichenRahmen nachvollziehen, wer personenbezogene Daten in IT-Systemen verändert hat.
Zugangskontrolle
Wir verhindern die Nutzung der IT-Systeme durch Unberechtigte.
Auftragskontrolle
Wir verarbeiten Auftrags-daten ausschließlich ent-sprechend den Weisungen der Auftraggeber.
Zugriffskontrolle
Wir vergeben Zugriffsrechte nur an berechtigte Personen.
Verfügbarkeitskontrolle
Wir schützen Daten und IT-Systeme vor Zerstörung und Verlust.
Weitergabekontrolle
Wir übertragen vertrauliche Daten nur über sichere Kommunikationswege.
Trennungsgebot
Wir verarbeiten Daten nur zu den Zwecken, zu denen sie erhoben wurden.
Technische und organisatorische Maßnahmen bei DATEV
Rechtliche Grundlagen
Datengeheimnis
Informationssicherheits-
Management
Sicherheitsmechanismen
bei DATEV
Datensicherungsmaßnahmen
16 17
Datenverarbeitung
im Auftrag 2
Trennungsgebot
Mit zahlreichen Maßnahmen stellt DATEV
sicher, dass zu unterschiedlichen Zwecken
und für unterschiedliche Ordnungs-
begriffe (zum Beispiel Berater- und Man-
dantennummer) erhobene Daten auch
getrennt verarbeitet werden können.
In allen wichtigen DATEV-Bereichen
besteht das Prinzip der Funktions-
trennung: Abteilungen, die in die
Datenverarbeitung eingebunden sind,
sind funktionell, organisatorisch und
räumlich voneinander getrennt. Auch
innerhalb der Organisationseinheiten
ist das Prinzip der Funktionstrennung
weitgehend verwirklicht.
Auf diese Weise werden schutzwürdige
Informationen unserer Auftraggeber
immer nur einem möglichst kleinen Kreis
zugänglich. Die Daten werden den
Mitarbeitern nur in dem Umfang zur
Verfügung gestellt, wie es zur Erfüllung
ihrer Aufgabe unbedingt erforderlich
ist. Dazu werden den verschiedenen
Funktionsbereichen definierte Berech-
tigungsprofile zugeteilt und zentral
administriert.
Eingabekontrolle (Protokollierung
von Datenveränderungen)
Ein mehrstufiges Protokoll- und
Auditingverfahren sorgt dafür, dass
personenbezogene Daten nicht
unbemerkt eingegeben, verändert
oder gelöscht werden können.
Auftragskontrolle (Verarbeitung
gemäß Weisung)
DATEV achtet streng darauf, dass
die zur Verarbeitung überlassenen
Daten entsprechend den gesetzlichen
Vorschriften nur im Rahmen der Wei-
sungen des jeweiligen Auftraggebers
verarbeitet und insbesondere auch nicht
an unbefugte Dritte weitergegeben
werden (siehe Seite 10, „Vertragliche
Grundlagen“).
Auskünfte im Zusammenhang mit
dem Auftrag erteilt DATEV ausschließ-
lich dem Auftraggeber oder im Rahmen
seiner Weisungen. Ausnahmen vom
konkreten Weisungsrahmen gelten
für technisch bedingte Datenverarbei-
tungen, zum Beispiel für die interne
Datensicherung.
Verfügbarkeitskontrolle (Schutz vor
Datenverlust)
Durch umfassende Datensicherungs-
maßnahmen stellt DATEV sicher,
dass personenbezogene und andere
schützenswerte Daten vor zufälliger
Zerstörung oder Verlust geschützt
werden.
Eine wichtige Rolle nehmen dabei
umfangreiche Brandschutz-, Verlust-
sicherungs- und Katastrophenschutz-
maßnahmen ein. So sind sämtliche EDV-
Räume und deren Umgebung durch
Brandmelde- und stationäre Feuerlösch-
anlagen abgesichert.
Daten werden gleich mehrfach und
an verschiedenen physischen Orten
gesichert. Die Auslagerung der Daten-
sicherungsbestände erfolgt maschinell;
die Bestände sind gegen unbefugten
Zugriff gesichert. Eine Notstromver-
sorgung mit Dieselmotoren gewähr-
leistet eine unterbrechungsfreie
Stromversorgung auch bei Ausfällen.
Im Katastrophenfall kann der 24-
Stunden-Bereitschaftsdienst der
Einsatz- und Evakuierungsleitung
sofort tätig werden.
Rechtliche Grundlagen
Datengeheimnis
Informationssicherheits-
Management
Sicherheitsmechanismen
bei DATEV
Datensicherungsmaßnahmen
18 19
Zertiizierung für Nachweisplichten3 Testate 3
Produktzertifizierungen
DATEV-Produkte und -Dienstleistungen
werden in regelmäßigen Abständen
durch eine Wirtschaftsprüfungsgesell-
schaft geprüft. Damit stellen wir
sicher, dass die DATEV-Programme
den jeweils geltenden Grundsätzen
ordnungsgemäßer Buchführung (GoB)
entsprechen.
Eine Übersicht über die verfügbaren
Prüfungsberichte und Zertifikate gibt es
in der Info-Datenbank unter
www.datev.de/info-db/0908286.
Zertifizierungen gem. ISO/IEC
27001
Die internationale Norm ISO/IEC 27001
spezifiziert die Anforderungen für
Einrichtung, Umsetzung, Betrieb, Über-
wachung, Wartung und fortlaufende
Verbesserung eines dokumentierten
Informationssicherheits-Management-
systems.
Wir haben unser Managementsystem für
Informationssicherheit nach der Norm
ISO/IEC 27001 begutachten lassen. Die
Deutsche Gesellschaft zur Zertifizierung
von Managementsystemen (DQS GmbH)
bestätigte am 12.01.2015 erneut, dass
DATEV ein ISO/IEC 27001-konformes
System eingeführt hat und anwendet.
Das Zertifikat wurde für das Rechen-
zentrum sowie für das Druck-, Logistik-
und Servicezentrum ausgestellt. Es ist
auf der Seite 19 abgedruckt.
Entsorgung von Datenträgern
gemäß DIN SPEC 66399
Die Entsorgung von Test- und Fehl-
drucken aus dem Produktionsbereich
erfolgt über technische Anlagen, die
die Anforderungen von Schutzklasse 3
und Sicherheitsstufe 4 der DIN 66399-1
(sehr hoher Schutzbedarf, besonders
sensible Daten) erfüllen. Das Zertifikat
vom 20.11.2014 ist auf der Seite 20
abgedruckt.
Datenschutzaudit nach § 9a BDSG
Seit 2006 unterziehen wir uns jährlich
freiwilligen Audits durch die DQS GmbH.
Das erstmals 2006 und zuletzt am
29.10.2015 ausgestellte Zertifikat be-
stätigt die Datenschutzkonformität des
Datenschutz-Managementsystems der
DATEV sowie die wirksame Umsetzung
der technischen und organisatorischen
Maßnahmen.
Mitglieder und Kunden können zur
Erfüllung ihrer Prüfpflicht nach § 11 Abs.
2 Satz 4 BDSG auf die vorliegende Zertifi-
zierung zurückgreifen (siehe Seite 21ff.).
Aktualisierungen der Zertifikate können
auch auf www.datev.de/datenschutz
eingesehen werden.
Bei der Verarbeitung personenbezogener Daten bleibt der Auftraggeber für die Einhaltung
angemessener technischer und organisatorischer Maßnahmen auch beim Dienstleister verant-
wortlich. Um sich von der Einhaltung der vereinbarten Schutzmaßnahmen zu überzeugen,
muss keine Vor-Ort Kontrolle stattfinden. Es können auch Testate herangezogen werden.
Zertifikat
Informationssicherheits-
Managementsystem
ISO/IEC 27001
DIN SPEC 66399
Datenschutzaudit
Kurzbericht zum Datenschutz
20 21
Datenträgerentsorgung
Datenschutzaudit
(einschließlich Kurzbericht)
Testate 3
ISO/IEC 27001
DIN SPEC 66399
Datenschutzaudit
Kurzbericht zum Datenschutz
22 23
Testate 3
Datenschutzaudit (Anhang;
einschließlich Kurzbericht)
Detaillierte Begutachtungs-
ergebnisse
Datenschutzbegutachtung
Bundesdatenschutzgesetz (BDSG)
DATEV eG
DATEV-Standorte in Deutschland
1 Erläuterungen zur Begutachtung
1.1 Ausgangslage
Die DATEV eG, Nürnberg, hat sich in
den 49 Jahren seit ihrer Gründung
am 14. Februar 1966 zum führenden
Softwarehaus und IT-Dienstleister für
Steuerberater, Wirtschaftsprüfer und
Rechtsanwälte sowie deren Mandanten
entwickelt. Das Leistungsspektrum um-
fasst vor allem die Bereiche Rechnungs-
wesen, Personalwirtschaft, betriebswirt-
schaftliche Beratung, Steuern, Enterprise
Resource Planning (ERP) sowie Organi-
sation und Planung.
Basierend auf der Satzungsänderung
vom 18. Februar 2005 kann DATEV auf
Wunsch eines Mitgliedes auch unmittel-
bar für dessen Mandanten tätig werden.
Daneben werden einzelne Leistungen
auch für Nicht-Mitglieder erbracht (IT-
Sourcing). Laut Geschäftsbericht 2014
hatte DATEV am 31. Dezember 2014
insgesamt 6.780 Mitarbeiterinnen und
Mitarbeiter sowie 40.393 Mitglieder, für
die u. a. monatlich über 11,5 Mio. Lohn-
und Gehaltsabrechnungskonten sowie
2,5 Mio. Finanzbuchhaltungen deutscher
Unternehmen bearbeitet wurden.
Angesichts von Art und Umfang der
verarbeiteten Daten sind der Schutz
und die Sicherung dieser Daten sowie
der IT-Systeme und eine entsprechende
Gestaltung der Programme, Schulungen
und Beratungsangebote von existentieller
Bedeutung für das Unternehmen; dies
wird auch von den Mitgliedern so einge-
schätzt.
Da bei der Auftragsdatenverarbeitung
die Verantwortung für die verarbeiteten
Daten beim Auftraggeber liegt, ist dieser
gehalten, sich von der Einhaltung der
beim Auftragnehmer getroffenen tech-
nischen und organisatorischen Daten-
schutzmaßnahmen zu überzeugen (§ 11
BDSG). Die Anforderungen für die ver-
tragliche Gestaltung der Auftragsdaten-
verarbeitung (§ 11, insbesondere Abs.
2 BDSG) wurden mit der Novellierung
des Bundesdatenschutzgesetzes von
2009 erhöht. Dazu gehören auch die zu
treffenden technischen und organisatori-
schen Maßnahmen, die Kontrollpflichten
des Auftragnehmers (wie DATEV) und die
Kontrollrechte des Auftraggebers (wie
Mitglied), dessen Weisungsbefugnisse
sowie Regelungen für die Löschung
gespeicherter Daten beim Auftragnehmer.
Zu diesem Zweck stellt die DATEV ihren
Mitgliedern neben dem Vertrag zur
Auftragsdatenverarbeitung mit der
Beschreibung der technischen und
organisatorischen Maßnahmen gemäß
Anlage zu § 9 BDSG auch die Broschüre
„Datenschutz und Datensicherheit bei
DATEV“ zur Verfügung. Diese enthält
eine weitergehende Beschreibung der
bei DATEV getroffenen Datenschutz-
und Datensicherheitsmaßnahmen.
Sie gibt Einblick in die getroffenen
Maßnahmen, erlaubt als solche jedoch
noch nicht die Beurteilung der Gesetzes-
konformität und der Wirksamkeit der
getroffenen Maßnahmen.
DATEV sieht sich also vor die Aufgabe
gestellt, den Mitgliedern eine Einschät-
zung des Datenschutzniveaus zu ermög-
lichen, die möglichst ohne eine individu-
elle Inaugenscheinnahme auskommt.
1.2 Zweck der Begutachtung
In der Vergangenheit konnte dieser
Zweck weitgehend mit dem Verweis auf
die regelmäßigen Prüfungen durch die
Datenschutz-Aufsichtsbehörde erreicht
werden. Im Zuge der Novellierung des
Bundesdatenschutzgesetzes (BDSG)
im Jahr 2001 ist die turnusmäßige Über-
prüfung des Rechenzentrums der DATEV
durch die Aufsichtsbehörde jedoch
entfallen.
Als Ersatz dafür hat DATEV erstmalig im
Jahr 2006 von der im BDSG geschaffe-
nen Möglichkeit Gebrauch gemacht, auf
freiwilliger Basis das Datenschutzkonzept
durch unabhängige und zugelassene
Gutachter prüfen und bewerten zu las-
sen (Datenschutzaudit nach § 9a BDSG).
ISO/IEC 27001
DIN SPEC 66399
Datenschutzaudit
Kurzbericht zum Datenschutz
24 25
Die Begutachtung der Standorte wird
im so genannten Matrixverfahren durch-
geführt, bei dem jeweils aus den noch
nicht begutachteten Standorten eine
geeignete Stichprobe ausgewählt wird.
1.4 Geltungsbereich der Begutachtung
Das freiwillige Datenschutzaudit betrifft
alle Standorte der DATEV in Deutschland,
d. h.
die zentralen Standorte in Nürnberg
und
die zum Prüfungszeitpunkt
bestehenden 25 DATEV-Nieder-
lassungen, wobei das vormalige
DATEV-Informationszentrum Nürnberg
in der Zentrale aufgegangen und
damit als eigener Standort weg-
gefallen ist.
Das erteilte Zertifikat gilt drei Jahre lang,
sofern es durch jährliche Förderbegutach-
tungen aufrechterhalten wird.
1.5 Gegenstand der Begutachtung
Prüfungsschwerpunkte waren folgende
Themen des Bundesdatenschutzgesetzes:
Schutzbereich
Datenschutzmanagement
– Betrieblicher Datenschutz-
beauftragter (DSB) und andere
Datenschutzorgane
– Verantwortung der Leitung
– Überwachung und Verbesserung
– Änderungsmanagement zur
Berücksichtigung gesetzlicher
Neuerungen, insbesondere die
Umsetzung der BDSG-Novelle II
Vereinbarung zur Auftragsdaten-
verarbeitung
wirksame und angemessene
Umsetzung der vereinbarten
technischen und organisatorischen
Maßnahmen, z. B. Auftragskontrolle
Zulässigkeit des Umgangs mit
personenbezogenen Daten
Verpflichtung auf das Datengeheimnis
und die berufliche Verschwiegenheit
Schulung der Mitarbeiter
Rechte Betroffener
Allgemeine Datensicherungs-
maßnahmen
Besondere Formen des Umgangs mit
personenbezogenen Daten
Datenschutz in besonderen Bereichen
– Generelle Zutrittskontrolle
– Produktentwicklung
– Produktion
– Wahrung des Berufsgeheimnisses
bei ASP/NSM und anderen DATEV-
Produkten
– DATEV-Niederlassungen
– Anwenderservice und Vertrieb
– Trustcenter-Dienstleistungen
1.6 Durchführung und Kriterien der
Begutachtung
Die Begutachtung erfolgte vom
07.09. bis 10.09.2015 in vier DATEV-
Niederlassungen und vom 12.10. bis
15.10.2015 in den Räumen der DATEV-
Zentrale in Nürnberg. Im Rahmen
dieser Prüfungshandlungen wurden
von Seiten der DATEV die relevanten
Mit diesem freiwilligen Datenschutzaudit
nach § 9a BDSG möchte DATEV für alle
Mitglieder und weiteren Kunden einheit-
lich und übergreifend darlegen, dass die
getroffenen Datenschutzmaßnahmen die
gesetzlichen Forderungen erfüllen und
angemessen und wirksam umgesetzt sind.
Als Nachweis hierzu stellt DATEV den
Mitgliedern, den weiteren Kunden und
der Öffentlichkeit das jeweils gültige
Zertifikat bereit, das bei Bedarf durch den
zugehörigen Audit-Bericht belegt werden
kann. Insbesondere wird durch das
Zertifikat auch bestätigt, dass die in der
Vereinbarung zur Auftragsdatenverarbei-
tung und in der Broschüre „Datenschutz
und Datensicherheit“ beschriebenen Maß-
nahmen wirksam und angemessen sind.
Damit versetzt DATEV ihre Mitglieder
und Kunden in die Lage, der geforderten
Kontrollpflicht auf einfache und wirksame
Weise nachkommen und auch etwaige
Dokumentationspflichten gegenüber
externen Stellen und Kontrollorganen
erfüllen zu können.
1.3 Rahmen der Begutachtung
Da die in § 9a BDSG angekündigte
gesetzliche Regelung der näheren Anfor-
derungen eines solchen Datenschutzau-
dits nach wie vor aussteht, ist die Auswahl
eines geeigneten Zertifizierungsverfahrens
für die Aussagekraft des Zertifikates von
entscheidender Bedeutung. Dabei sind
sowohl die Reputation der Zertifizierungs-
gesellschaft als auch die zugrunde
gelegten Verfahrensweisen wesentlich.
Mit der Durchführung des freiwilligen
Datenschutzaudits hat DATEV daher die
DQS GmbH Deutsche Gesellschaft zur
Zertifizierung von Managementsystemen
betraut. Die DQS GmbH ist auf dem
Gebiet der Zertifizierung von Qualitäts-
und Managementsystemen einer der
Marktführer und für zahlreiche Regel-
werke nach der ISO/IEC 17021
akkreditiert.1)
Nachdem für den Bereich Datenschutz
keine Akkreditierung vorgesehen ist, führt
die DQS die Zertifizierung in Anlehnung
an das akkreditierte Verfahren zur
Begutachtung von Informationssicher-
heits-Managementsystemen nach ISO/IEC
27001 (früher BS 7799) durch, so dass
ein angemessenes Begutachtungsniveau
gewährleistet ist. Nach dieser Norm hat
DATEV außerdem im Jahr 2010 ihr Infor-
mationssicherheits-Managementsystem
(ISMS) für das Rechenzentrum zertifizieren
lassen. Das verliehene Zertifikat wurde
im Januar 2015 erneuert. Darüber hinaus
wurde im Juli 2015 das Druck-, Logistik-
und Servicezentrum erfolgreich nach
ISO 20000-1 (Service Management)
und ISO 9001 (Qualitätsmanagement)
zertifiziert. Die Zertifizierung des Entsor-
gungsprozesses nach der DIN SPEC 66399
wurde im November 2014 erfolgreich
abgeschlossen. Das Zertifikat bestätigt die
ordnungsgemäße Entsorgung von Test-
und Fehldrucken aus dem Produktions-
bereich gemäß den Anforderungen von
Schutzklasse 3 und Sicherheitsstufe 4 der
DIN SPEC 66399-1 (sehr hoher Schutz-
bedarf, besonders sensible Daten).
Aus diesen durch die DQS GmbH durch-
geführten Zertifizierungen ergeben sich
insbesondere bei der Begutachtung der
nach § 9 BDSG zu treffenden Datensicher-
heitsmaßnahmen erhebliche Synergien.
Im Rahmen des freiwilligen Datenschutz-
audits soll das gesamte Datenschutz-
Managementsystem der DATEV auf
seine gesetzeskonforme und effektive
Gestaltung hin überprüft werden.
Dabei sollen gegebenenfalls bestehende
Optimierungspotentiale aufgedeckt und
genutzt werden.
Die Erstzertifizierung wurde im Herbst
2006 erfolgreich durchgeführt und durch
Förderbegutachtungen in den beiden
folgenden Jahren bestätigt. Gemäß
den Regularien für die Zertifizierung
ist nach drei Jahren eine Wiederholung
der Zertifizierung im vollen Umfang er-
forderlich. Der im Jahr 2012 begonnene
dritte Zyklus wurde ebenfalls erfolgreich
durchgeführt.
Mit der erfolgreichen Wiederholungs-
begutachtung im Jahr 2015 beginnt also
nun der vierte Zyklus zur Begutachtung
der gesetzeskonformen Umsetzung des
Datenschutzes und der Überprüfung und
Bestätigung der wirksamen Umsetzung
der vertraglich vereinbarten technischen
und organisatorischen Maßnahmen
zum Schutz der Auftragsdaten, dessen
Ergebnisse hier berichtet werden.
Testate 3
organisatorischen Regelungen, Prozesse
und Verfahren vorgestellt und anhand der
zugehörigen Regelungen und Nachweise
begutachtet. Die Begutachtung erfolgte
auf folgender Grundlage:
Bundesdatenschutzgesetz (BDSG) in
der Fassung vom 14. August 2009
sowie weitere bereichsspezifische
Datenschutz-Rechtsvorschriften
(z. B. Telegesetze);
Interne Vorgabedokumente der DATEV
zum Datenschutz und zur IT-Sicherheit.
1) Übersicht unter https://de.dqs-ul.com/ueber-uns/
akkreditierungen.html.
ISO/IEC 27001
DIN SPEC 66399
Datenschutzaudit
Kurzbericht zum Datenschutz
26 27
1.7 Nutzung der Begutachtungs-
ergebnisse
Mit der erneuten Begutachtung des
Datenschutzes im Jahr 2015 hat DATEV
wieder einen wirksamen Kontrollnachweis
für ihre Mitglieder und sonstigen Kunden
durch einen unabhängigen Gutachter
erbracht.
Das Datenschutz-Zertifikat ist auf der
Website der DQS in der frei zugäng-
lichen Kundendatenbank veröffentlicht
(https://de.dqs-ul.com/kunden/
kundendatenbank.html).
Das Datenschutz-Zertifikat der DQS
in Verbindung mit der eigenen
Prüfung des Audit-Berichts kann für
die Dokumentation der gesetzlichen
regelmäßigen Kontrollpflicht verwendet
werden.
Auch können diese Testate an die
Mandanten weitergegeben werden, falls
diese wiederum eine eigene Kontroll-
pflicht wahrnehmen möchten. Dafür
werden im Internet unter www.datev.de/
datenschutz folgende Dokumente zur
Verfügung gestellt:
1. Datenschutz-Zertifikat.
2. Kurzfassung des vorliegenden
Berichtes, also ohne den Abschnitt 3
„Anhang: Einzelergebnisse der Begut-
achtung“. Die Langfassung kann auf
Anfrage vom Datenschutzbeauftragten
zur Verfügung gestellt werden.
3. DATEV-eigene Ergänzungen, insbeson-
dere die Broschüre „Datenschutz und
Datensicherheit bei DATEV“.
Anhand dieser Testate können sich die
Auftraggeber wie bisher schon von der
Einhaltung der technischen und organi-
satorischen Maßnahmen durch DATEV
überzeugen.
2 Gesamtergebnis der
Begutachtung
Die Begutachtung hat ergeben, dass der
DATEV uneingeschränkt die Datenschutz-
konformität bescheinigt werden kann.
Insbesondere hat die Begutachtung
ergeben, dass bei DATEV sehr vielfältige,
umfassende und komplexe Datenschutz-
und Datensicherheitsmaßnahmen
bestehen, die die Anforderungen des
Bundesdatenschutzgesetzes in vollem
Umfang erfüllen und insbesondere auch
einen hohen Vorsorgestand und einen
sicheren Datenverarbeitungsbetrieb
gewährleisten.
DATEV überprüft laufend die techni-
schen und organisatorischen Maßnah-
men in Form von regelmäßigen internen
Kontrollen auf ihre Angemessenheit
und Wirksamkeit und dokumentiert
die Ergebnisse in einer Checkliste
bzw. in den dazugehörigen internen
Datenschutzkontrollberichten. Diese
Überprüfungen wurden ihrerseits im
durchgeführten Wiederholungs-Audit
anhand von Stichproben nachvollzogen.
Auf dieser Grundlage wird die wirksame
und angemessene Erfüllung der in der
Vereinbarung zur Auftragsdatenverar-
beitung festgelegten technischen und
organisatorischen Maßnahmen (TOM)
bestätigt.
Damit können Mitglieder und Kunden
zur Erfüllung ihrer Prüfpflicht nach
§ 11 (2) Satz 4 BDSG auf die vorliegende
Zertifizierung zurückgreifen.
Hohe Synergien für den wirksamen
Nachweis und die Kontrolle der
technischen und organisatorischen
Maßnahmen ergeben sich darüber
hinaus bei der erfolgreichen Begut-
achtung und Zertifizierung des ISMS
(Informationssicherheits-Management-
system) nach ISO/IEC 27001 für das
Rechenzentrum und nach ISO 20000-1/
ISO 9001 für den Bereich des Druck-,
Logistik- und Servicezentrums sowie
für die Entsorgung besonders sensibler
Daten gemäß DIN SPEC 66399-1.
Frankfurt am Main,
29. Oktober 2015
DQS GmbH
Jetzt aktiv werden!
Datenschutz und Daten-
sicherheit sind existenzielle
Geschäftsgrundlagen – und
damit Chefsache. Sprechen
Sie uns bei Fragen einfach an.
Wir unterstützen Sie dabei,
die für Sie besten Lösungen
zu finden.
Testate 3
ISO/IEC 27001
DIN SPEC 66399
Datenschutzaudit
Kurzbericht zum Datenschutz
Art
.-N
r. 1
1992
20
16-0
2-01
©
DA
TEV
eG
201
6,
alle
Rec
hte
vo
rbeh
alte
n
Partnerschaftliche Zusammenarbeit
Wenn Sie Fragen haben, wenden Sie sich bitte an den Datenschutzbeauftragten
der DATEV, Herrn Rudolf Berthold Gerhard. Sie erreichen ihn unter dieser E-Mail-
Adresse: [email protected].
DATEV eG
90329 Nürnberg
Telefon +49 911 319-0
Telefax +49 911 319-3196
E-Mail [email protected]
Internet www.datev.de
Paumgartnerstraße 6–14