DSGVO in der Arztpraxis: Eine Zusammenfassung nach einem halben Jahr

https://www.meyer-wagenfeld.de/blog

Knapp ein halbes Jahr ist die neue Datenschutzgrundverordnung (DSGVO) nun für die gesamte EU gültig – Zeit für einen allgemeinen Rückblick und eine kurze Zusammenfassung darüber, was sich seit Inkrafttreten der neuen Regelungen für die Artpraxis geändert hat.

Bereits im April 2016 wurde die Datenschutzgrundverordnung durch das EU-Parlament verabschiedet. Zwei Jahre später sollen die neuen Regelungen wirksam sein und umgesetzt werden – sicherlich ausreichend Vorlaufzeit, um sich dem Schutz personenbezogener Daten, einem so wichtigen Thema, zu widmen und entsprechende Maßnahmen zur Erfüllung der neuen Forderungen zu ergreifen – so zumindest die Theorie.

Tatsächlich kam der 25. Mai dann doch eher plötzlich. Verunsicherung durch die neuen Gesetzestexte machte sich breit und die Befürchtung, hohe Bußgelder zu erwarten, ließ vielen kleinen und großen Betrieben keine Ruhe. Wie sehr auch Arztpraxen und diverse medizinische Einrichtungen durch dieses Thema verunsichert waren, konnten wir von Meyer-Wagenfeld besonders anhand der uns erreichenden Anrufe und E-Mails unserer Kunden deutlich merken. Nicht nur, dass Gesundheitsdaten zu sehr sensiblen Daten gehören und somit besonders zu schützen sind, auch der mit der DSGVO verbundene Aufwand zur Umsetzung neuer Maßnahmen hat viele Praxen stark beansprucht.

Wie viele bzw. wenige Unternehmen zum Stichtag 25. Mai 2018 tatsächlich alle neuen EU-Datenschutzrichtlinien umgesetzt haben, bleibt nur zu mutmaßen. Fest steht: Die erwartete Abmahnwelle ist mild ausgefallen – eine Chance, um durchzuatmen und dennoch eifrig dort weiterzumachen, wo noch Handlungsbedarf besteht, denn das Thema Datenschutz hat an Wichtigkeit und Brisanz nicht abgenommen.

Was sind nun die wichtigsten Neuerungen, die eine Arztpraxis seit Inkrafttreten der DSGVO betreffen? Welche internen technischen und organisatorischen Maßnahmen müssen in der Praxis vorgenommen werden? Hier als Übersicht eine kleine Checkliste:

  • Benennung eines Datenschutzbeauftragten
    „Benötigt unsere Praxis einen internen oder externen Datenschutzbeauftragten?“ wird wohl in den meisten Praxen eine sehr häufig gestellte Frage gewesen sein. Das Bayerische Landesamt für Datenschutzaufsicht hat hierzu die relevanten Gesetze unter die Lupe genommen und die einzelnen Rechtsbegriffe für die Anwendung in Arztpraxen übersichtlich erklärt.
    Kurzgefasst: Die Benennung eines Datenschutzbeauftragten ist für Praxen dann verpflichtend, wenn mindestens zehn Personen (einschließlich des/der behandelnden Arztes/Ärzte und unabhängig von Voll- oder Teilzeitbeschäftig, Ausbildung oder Leiharbeit) mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Das betrifft alle Personen des Praxisteams, die sich schwerpunktmäßig z. B. um die Verwaltung der Patientendaten für Behandlungs- oder Abrechnungszwecke kümmern.
    Ausnahmen bestätigen bekanntlich die Regel: So gilt auch für Praxen mit weniger als 10 Personen die Bestellpflicht für einen Datenschutzbeauftragten, wenn eine Datenschutz-Folgenabschätzung durchgeführt werden muss (z. B. bei Einsatz von Telemedizin).
    Zusätzlich interessant: Nach Angaben der Kassenärztlichen Vereinigung Bayerns gebe es keine gesetzliche Pflicht, den Datenschutzbeauftragten von externer Stelle zu beziehen. So kann diese Aufgabe intern z. B. an fachkundige und zuverlässige Praxismitarbeiter vergeben werden.
  • Patientenaufklärung und Einverständniserklärungen
    Wie wichtig die transparente und leicht verständliche Aufklärung über den Umgang mit den erhobenen personenbezogenen Daten ist, dürfte sicher längst bekannt sein. Die Patientenaufklärung über den Datenschutz in der Praxis kann mithilfe eines Informationsblattes im Wartezimmer abgedeckt werden. Hier sollten mindestens die Rechtsgrundlage sowie der Zweck der Datenverarbeitung, Rechte der Patienten und ggf. Kontaktdaten des Datenschutzbeauftragten offengelegt werden.
    Wer sicher gehen möchte, dass seine Patienten gut aufgeklärt sind, kombiniert die Datenschutzinformation mit der Patienten-Einverständniserklärung auf einem einzigen Formular (wie z. B. hier erhältlich). So können Patienten nach der Auskunft über den Datenschutz in der Praxis auch ihre Einwilligung für die Weitergabe ihrer Daten z. B. an private Verrechnungsstellen unterzeichnen. Das Formular von Meyer-Wagenfeld ist in Zusammenarbeit mit einem Rechtsanwalt erarbeitet worden und auch bequem mit bereits eingedruckten Praxisdaten erhältlich.
  • Verzeichnisse für Verarbeitungsvorgänge
    Dies wird in den meisten Fällen wohl die umfangreichste Aufgabe im Rahmen der neuen Datenschutzrichtlinie sein. Vor Erstellung der Verzeichnisse für die internen Verarbeitungstätigkeiten in der Arztpraxis ist eine Überprüfung aller elektronischen und auf Papier erfolgenden Datenverarbeitungen notwendig. Wird im Rahmen der Prüfung deutlich, dass Verarbeitungsvorgänge nicht DSGVO-konform sind, sind geeignete Maßnahmen zu ergreifen. Anschließend sind die einzelnen Tätigkeiten, in denen die Praxis personenbezogene Daten verarbeitet, in Verzeichnissen zu dokumentieren (Mustervorlagen finden sich in verschiedenen Formen online), die auf Verlangen der Aufsichtsbehörde vorzulegen sind. In diesen Verzeichnissen müssen alle Tätigkeiten aufgeführt sein, in denen Patientendaten sowie Daten des Personals erhoben, gespeichert, bearbeitet oder weitergeleitet werden. Wird bei der Verzeichniserstellung deutlich, dass bestimmte Datenverarbeitungsvorgänge aufgrund z. B. des Datenumfangs einem hohen Datenschutzrisiko unterliegen, wird ggf. eine Datenschutz-Folgenabschätzung erforderlich.
  • Interne Datenschutzrichtlinie
    Zur Unterstützung eines besseren Bewusstseins über den Datenschutz in der Praxis, ist eine interne Datenschutzrichtlinie nützlich. Datenpannen lassen sich besser vermeiden, wenn in der internen Richtlinie klare Verantwortlichkeiten und Abläufe im Umgang mit den personenbezogenen Daten innerhalb des Teams festgehalten werden.

Wer eine etwas umfangreichere Übersicht zu den nötigen Schritten im Rahmen der DSGVO wünscht, kann gerne auch unseren Blogartikel Herausforderung DSGVO: Ein Überblick für Arztpraxen und MVZ besuchen.

Welche Maßnahmen hat unser Meyer-Wagenfeld-Team bereits vorgenommen?

  • Anpassung der Datenschutzerklärungen auf Praxishomepages
    Besonders von einer Abmahnung bedroht schienen öffentlich einsehbare Informationen zu sein. So zogen es viele Homepage-Inhaber vor, ihre Webseite vorerst offline zu schalten. Ein radikaler Schritt, um einer Abmahnung aus dem Weg zu gehen, die aus der möglicherweise nicht DSGVO-konformen Datenschutzerklärung resultieren könnte. Auch viele Ärzte, die ihre Praxis online präsentieren, hatten Handlungsbedarf. Arztpraxen, die ihre Homepage von Meyer-Wagenfeld beziehen, brauchten sich hier keine Sorgen zu machen: Als Serviceleistung hat sich ein fleißiges Team an sämtliche Praxishomepages von Meyer-Wagenfeld-Kunden gesetzt, die Datenschutzerklärungen entsprechend der EU-DSGVO aktualisiert und nach Bedarf den Kontakt zum Datenschutzbeauftragten der jeweiligen Praxis eingepflegt.
  • Neu im Sortiment: Datenschutzformular für Patienteninformation
    Neben den vielen zu erledigenden Aufgaben, die durch die DSGVO in den Praxen zu erledigen waren (und immer noch sind), sollte ein praktischer Helfer her, der zumindest die Patientenaufklärung über den Datenschutz in der Praxis erleichtert. Somit haben wir von Meyer-Wagenfeld in Zusammenarbeit mit einem Rechtsanwalt ein hilfreiches Datenschutzformular entwickelt. Das zweiseitige DIN A4-Blatt klärt die Patienten zum einen leicht verständlich über den Umgang mit personenbezogenen Daten in der Arztpraxis auf, während es darüber hinaus auch eine Einverständniserklärung enthält. Mit dieser Erklärung können die Patienten auf dem selbigen Formular in die Datenweitergabe an z. B. Krankenkassen, mitbehandelnde Ärzte oder private Verrechnungsstellen einstimmen. Das ausgefüllte Blatt lässt sich dann bequem archivieren und schafft durch seine einfache Handhabung Zeit für den restlichen Praxisalltag.

Quellen und weiterführende Links:

Originalmeldung direkt auf PresseBox lesen
Mehr von Firma PresseBox

DSGVO und Abmahnungen: Erstes Urteil eines Oberlandesgerichts (OLG)

Nach einer Entscheidung des Landgerichts (LG) Würzburg (Az.: 11 O 1741/18) sind Abmahnungen wegen fehlender Datenschutzerklärungen auf einer Homepage zulässig. Das LG Bochum (Az.: O 85/18) hat jedoch genau das Gegenteil entschieden. Die Gerichte haben mit diesen Entscheidungen juristisches Neuland nach Inkrafttreten der DSGVO am 25. Mai 2018 betreten. Nun gibt es ein Urteil des OLG Hamburg (Az. 3 U 66 / 17), das allerdings nicht die gewünschte Klärung bringt.

Datenschutzverstöße können im Einzelfall abmahnfähig sein

Das OLG nimmt eine vermittelnde Position ein:  Die jeweilige Vorschrift der DSGVO muss daraufhin untersucht werden, ob sie auch ein wettbewerblich relevantes Marktverhalten betrifft. Ist dies der Fall, können Mitbewerber sich auf das Gesetz gegen den unlauteren Wettbewerb (UWG) stützen und Verstöße abmahnen. Das OLG hat im konkreten Fall die datenschutzrechtswidrige Nutzung von personenbezogenen Daten zu Webzwecken als abmahnfähigen Verstoß anerkannt. Diese Rechtsauffassung hat zur Folge, dass nun jede DSGVO Norm auf ihre Marktrelevanz hin überprüft werden müsste, ggf. durch mehrere Gerichtsinstanzen.

Es bleibt abzuwarten, ob andere Gerichte sich dieser Rechtsansicht anschließen oder ob es zu einer gesetzgeberischen Klarstellung kommt.

Originalmeldung direkt auf PresseBox lesen
Mehr von Firma PresseBox

Legal Adressen kaufen trotz DSGVO

Die DSGVO soll Verbraucher vor unrechtmäßiger Nutzung ihrer Daten schützen und für mehr Transparenz beim Datensammeln sorgen. Ganze Branchen wie Adresshändler und Marketingagenturen sehen ihr Geschäftsmodell bedroht, aber machen trotzdem weiter. Die DSGVO selbst bietet die entsprechende Grundlage. 

Die Address-Base GmbH & Co. KG führt unter https://www.address-base.de einen Online-Shop für Firmenadressen. Seit der DSGVO fehlt aber das Listenprivileg, das zuvor als Grundlage für diese Art von Adresshandel galt. Auch Branchenriesen wie die Deutsche Post AG haben den Handel trotz DSGVO nicht abgebrochen. Die DSGVO bietet je nach Auslegung genug Möglichkeiten, um weiterhin legal Handel mit Adressen zu betreiben, besonders mit Firmenadressen. 

Im Erwägungsgrund 14 schließt die DSGVO Juristische Personen explizit von ihrem Schutz aus. Das gilt auch für personenbezogene Daten, die als Kontaktinformationen Juristischer Personen dienen. Unternehmensformen wie zum Beispiel AGs oder GmbHs sind also nicht durch die DSGVO geschützt. 

Die Unternehmensadressen von Selbständigen sind hingegen Natürliche Personen und damit durch die DSGVO geschützt. Nun gibt es aber den Erwägungsgrund 47, der Direktmarketing als berechtigtes Interesse benennt, in Kombination mit dem Artikel 6 Absatz f), der die Verarbeitung personenbezogener Adressen gewährt, wenn ein berechtigtes Interesse das schützenswerte Interesse des Betroffenen überwiegt.

Hier muss vom Verantwortlichen eine Interessenabwägung vorgenommen werden. In diese Interessenabwägung kann der Umstand einfließen, dass Artikel 9 Absatz 2 e) die Verarbeitung von sensiblen Daten erlaubt, die der Betroffene öffentlich gemacht hat. Für weniger sensible Daten sollte dasselbe gelten.

Da Adresshandel in der Regel nur mit Daten betrieben wird, die öffentlich zur Verfügung stehen – zum Beispiel in Telefonbüchern oder vergleichbaren Online-Portalen, wird das schützenswerte Interesse des Betroffenen in der Interessenabwägung der Datenhändler geringer eingestuft als das eigene und das der Kunden Direktmarketing zu betreiben.

Laut DSGVO besteht gegenüber dem Betroffenen zudem eine Informationspflicht über die Tatsache der Datenspeicherung sowie über den Zweck und den Umfang selbiger. Laut Artikel 14 Absatz 3 b) kann dieser Pflicht aber bei der ersten Kontaktaufnahme nachgekommen werden, wenn die Daten lediglich zur Kommunikation dienen. Außerdem gibt es noch den Artikel 14 Absatz 5 b), der die Informationspflicht aussetzt, wenn diese sich als unmöglich erweist oder mit unverhältnismäßig großem Aufwand verbunden ist.

Da zu diesen Themen noch kein Gerichtsurteil vorliegt, können zu diesem Zeitpunkt keine verbindlichen Aussagen getroffen werden. Viele Branchen warten aktuell auf ein entsprechendes Grundsatzurteil, weil der Ankauf für Adressen zur Neukundeakquise für zahlreiche Unternehmen in der Werbeindustrie eine große Rolle spielt.

Originalmeldung direkt auf PresseBox lesen
Mehr von Firma PresseBox

Wenn sensible Daten in Geiselhaft geraten

Ransomware ist nach wie vor ein beliebtes Mittel der Cyberkriminalität. Wem drohen rechtliche Konsequenzen aus dem entstandenen Schaden? Sophos klärt auf.

Verschlüsselung von Daten ist für die Sicherheit von sensiblen und personenbezogenen Informationen die beste Lösung zum Schutz. Im Falle eines zunehmend beliebten und ganz perfiden Cyberkriminellen-Szenarios ist sie dagegen die Bedrohung: Ransomware. Von Cyberkriminellen perfide ins Unternehmen geschleust, entfaltet Ransomware seine schädliche Wirkung. Sofort beginnt die Ransomware Dateien auf dem Rechner oder Server inklusive der vorhandenen Backups zu verschlüsseln. Die Unternehmensdaten werden quasi in Geiselhaft genommen. Gegen die Zahlung eines Lösegelds versprechen die Kriminellen, die Daten wieder zu entschlüsseln. Der Schaden für den Zeitraum, in dem die Daten nicht zugänglich sind, kann je nachdem, um welche Branche und Art der Daten es sich handelt, verheerend sein: Prozesse könnten eingefroren werden, Termine und Lieferungen platzen, Löhne nicht ausgezahlt, lebenswichtige Behandlungen nicht fortgeführt werden. Die Liste ließe sich endlos weiterführen.

Aus technischer Sicht sind die nächsten Schritte in einem solchen Fall klar: Aufgrund der eingeschleusten Ransomware müssen die betroffenen Systeme isoliert und im nächsten Schritt gesäubert werden. Im folgenden Schritt gilt es, die Daten wieder verfügbar zu machen. Rechtlich mag es komplizierter aussehen. Ein Kunde kann grundsätzlich etwa wegen nicht eingehaltener Liefertermine vom Vertrag zurücktreten und im Voraus gezahlte Beträge zurückfordern. Zudem kann er Schadensersatz wegen Nichterfüllung der vereinbarten Leistung verlangen. Dies gilt insbesondere dann, wenn der Kunde durch die späte Lieferung selbst einen Schaden nachweisen kann.

Und nicht nur das Unternehmen, durch das der Schaden ausgelöst wird, sondern auch der Unglücksrabe aus der Belegschaft, der beispielsweise eine schadhafte E-Mail geöffnet hat, kann unter Umständen mit Haftungsansprüchen konfrontiert werden.

Die Rechtslage: Konsequenzen für den Arbeitgeber und den Mitarbeiter

Schäden durch Ransomware (Verzögerungen in der Lieferung etc.) können sowohl für das verursachende Unternehmen als auch für den einzelnen Mitarbeiter, der etwa fahrlässig (was der Arbeitgeber im Bestreitensfall nachweisen muss) eine E-Mail geöffnet und damit den Schaden für seinen Arbeitgeber verursacht hat, erhebliche rechtliche Folgen haben. Können geschädigte Kunden den Eintritt des Schadens beweisen und dessen Höhe beziffern und wurde vertraglich nicht etwas Abweichendes vereinbart, dann sind sie in der Lage, vom schädigenden Unternehmen Schadensersatz zu fordern. Auch dem verursachenden Mitarbeiter drohen dann erhebliche Haftungsrisiken.

War der betreffende Mitarbeiter zuvor durch seinen Arbeitgeber nachweislich und hinreichend über die Gefahren sowie den Umgang mit den Daten belehrt worden, könnte ihm folgende Situation drohen: Im Rahmen des sogenannten innerbetrieblichen Schadensausgleichs kann sich der Arbeitgeber den Betrag des Schadensersatzes, den er an einen geschädigten Kunden zu zahlen hatte, von seinem Mitarbeiter zurückfordern. Dies gilt aber nach gefestigter Rechtsprechung des Bundesarbeitsgerichts uneingeschränkt dann, wenn der Mitarbeiter vorsätzlich oder grob fahrlässig gehandelt hat. Im Falle der sogenannten mittleren Fahrlässigkeit setzt das Gericht im Streitfall eine sogenannte Haftungsquote nach billigem Ermessen fest, nach der bestimmt wird, zu welchen Anteilen der Arbeitnehmer und der Arbeitgeber den Schaden tragen müssen. Hierbei werden sämtliche Umstände des Einzelfalles, wie etwa das Maß des Verschuldens, als auch das Einkommen aufseiten des Arbeitnehmers, berücksichtigt.

Damit trägt der Arbeitgeber letztlich dennoch das Hauptrisiko, denn selbst, wenn das Gericht den Mitarbeiter wegen vorsätzlicher oder grob fahrlässiger Schädigung verurteilt, seinem Arbeitgeber den Schadensbetrag zurückzuzahlen, ist kaum davon auszugehen, dass dieser die volle Summe erhalten wird.

„Ein Schadenfall in Millionenhöhe wird von einem Arbeitnehmer mit durchschnittlichem Verdienst kaum realisierbar sein. Da hilft auch ein gerichtlich erwirkter Titel nicht weiter,“ so Rechtsanwalt Sebastian Müller aus Magdeburg. Dennoch wird ein Fehlverhalten sicher nicht ohne weitere Konsequenzen für den Mitarbeiter bleiben, da neben finanziellen Haftungsrisiken auch arbeitsrechtliche Konsequenzen, wie Abmahnung und Kündigung drohen.“

Sensibilisierung und Eigenverantwortung auch von Mitarbeitern

Unternehmen stehen in der Pflicht, ihre eigenen Daten wie auch die Daten von Dritten zu schützen. Dies gilt seit der Datenschutz-Grundverordnung (EU-DSGVO) umso mehr. Unternehmen müssen in jedem Fall sogenannte technische und organisatorische Maßnahmen (TOMs) zur Gewährleistung des Schutzes personenbezogener Daten durchführen. Entsprechende technische Lösungen für die Datensicherheit sind daher obligatorisch. Zu den organisatorischen Maßnahmen gehört hingegen das Schulen von Mitarbeitern und Implementieren von Sicherheitsrichtlinien innerhalb des Unternehmens.

Viele Unternehmer sind sich auch nach Inkrafttreten der EU-DSGVO ihrer Rolle als verantwortliche Stelle für die Datenverarbeitung nicht bewusst. Ein Schadensfall, bei dem Daten unrechtmäßig verarbeitet werden, indem sie insbesondere in Hände von Kriminellen kommen, stellt eine Verletzung des Grundsatzes der Datenintegrität dar und kann mit empfindlichen Bußgeldern in Höhe von bis zu 20 Millionen Euro oder 4 Prozent des weltweit erzielten Umsatzes im vorangegangenen Geschäftsjahr sanktioniert werden. Hierbei ist auch zu beachten, dass der Unternehmer auch für das Verschulden seiner eigenen Arbeitnehmer haftet, da er insoweit die verantwortliche Stelle im Sinne der EU-DSGVO darstellt.

Es ist daher unerlässlich, auch an die Mitarbeiter zu appellieren: Lieber einmal mehr nachfragen, Schulungen einfordern und wahrnehmen und sich vielleicht auch zusätzlich zu informieren kann jedem Einzelnen dabei helfen, die Gefahr eines Fehlers und die Haftbarkeit aller Beteiligten auf ein vertretbares Minimum zu reduzieren.

Originalmeldung direkt auf PresseBox lesen
Mehr von Firma PresseBox

Mautic: Marketing-Automation geht auch DSGVO-konform

Die Einführung der europäischen Datenschutz-Grundverordnung, kurz DSGVO, war für nicht wenige US-Softwareanbieter eine Herausforderung. Nutzer der Open-Source Software für Marketing-Automation, Mautic, konnten diesem Datum gelassen entgegensehen, denn Mautic erfüllt alle Voraussetzungen für eine DSGVO-konforme Anwendung.

Da die DSGVO als neue europäische Verordnung, die den Schutz und die Zugänglichkeit personenbezogener Daten für alle europäischen Bürger durchsetzen soll, am 25. Mai 2018 in Kraft trat, müssen Dienstleister sicherstellen, dass die vier grundlegenden in der DSGVO definierten Benutzerrechte gewährleistet werden:

  • Die Datensammlung erfolgt erst nach Zustimmung
  • Der Nutzer hat das Recht, die gesammelten Daten einzusehen
  • Der Nutzer hat das Recht, Daten übertragen zu können
  • Der Nutzer hat das Recht "vergessen" zu werden (Löschung von Daten)

Diese neue Verordnung gilt für europäische Bürger, unabhängig davon, wo sie sich zu irgendeinem Zeitpunkt befinden. Somit müssen auch US-amerikanische Unternehmen diese Richtlinien für alle Kunden, Kontakte und Konten der Europäischen Union einhalten.

Von vornherein war klar, dass eine Software-Lösung wie Mautic direkt von der Einführung dieser Verordnung betroffen sein würde. Die Mautic-Community ist proaktiv an die Umsetzung dieser neuen Richtlinien herangegangen.

Mautic wurde nun dahingehend angepasst, die oben genannten vier Ziele mittels Optionen in der Konfiguration der Software sicherzustellen. So besteht nun beispielsweise die Möglichkeit, die in Formularen erforderlichen Bestätigungsfelder automatisch hinzuzufügen. Durch solche und weitere Konfigurationsmöglichkeiten wird die Einhaltung der einzelnen Vorschriften der DSGVO sichergestellt. Mit Mautic erhalten Insignio-Kunden ein leistungsstarkes Tool zur Umsetzung ihrer Online-Marketing-Strategie.

Insignio – Ihr kompetenter Mautic-Dienstleister

Insignio CRM hat als Elite-Partner von SugarCRM Inc. bereits eine Open-Source-Anwendung für Customer Relationship Management erfolgreich im deutschen Markt etabliert. Mit Mautic können Geschäftsprozesse im Bereich Marketing noch effizienter organisiert werden. „Wir arbeiten mittlerweile mit einem großen Team an internationalen, teilkomplexen und zukunftsfähigen Weblösungen für unsere Kunden. Um das zu meistern, benötigen wir auch für die Online-Marketingprozesse ein flexibles System zur Unterstützung. Dadurch können wir individuell im Rahmen von Best Practices agieren“, erklärt Insignio CRM-Geschäftsführer Mirco Müller. Als Deutschland-Partner ist Insignio spezialisiert auf die Entwicklung, Planung und Bereitstellung, sowie Schulung und Hosting von Mautic. Wenn Sie mehr über das Kampagnen- und Lead-Management mit Mautic erfahren möchten, besuchen Sie uns auf unserer Webseite: https://www.insignio-digital.de/produkte/mautic/funktionen/.

Originalmeldung direkt auf PresseBox lesen
Mehr von Firma PresseBox

„Wie verkaufe ich einen gebrauchten Server?“

Regelmäßig stellt sich bezogen auf die Unternehmens IT die Frage, wie mit alter, nicht mehr zu nutzender Hardware, etwa einem gebrauchten Server, zu verfahren ist, was man beim Verkauf beachten sollte und welche Preise überhaupt noch realistisch erzielt werden können.  Mahr EDV trägt im Folgenden allgemeine Informationen für eine erste Orientierung zusammen. Sie mögen dabei helfen, den Aufwand der Verwertung im Vorhinein einzuschätzen, wird erwogen, einen gebrauchten Server zu verkaufen.

Einen gebrauchten Server verkaufen – Eckdaten zur Wertbestimmung

Bei der Wertbestimmung für einen gebrauchten Server gilt grundsätzlich die Faustregel, dass ein Server pro Tag ab Lieferung ca. 1/1000 des Kaufwertes verliert. Nach ungefähr 3 Jahren (1.000/365 = 2,74 Jahren) wäre dieser demnach wertlos. Davon abweichend kann ein höherer Zeitwert bestehen, wenn eine Garantieverlängerung auf bspw. 5 Jahre abgeschlossen wurde.

Die besten Preise werden erfahrungsgemäß auf Ebay erzielt. Professionelle Ankäufer eines gebrauchten Server werden zwar weniger zahlen, aber es entsteht im Vergleich zum Selbstverkauf bei bspw. Ebay weniger Aufwand.

Datenschutzbestimmungen beachten

Besonders wichtig ist jedoch, den Datenschutz zu beachten, insbesondere nach der neuen DSGVO. Insofern auf dem gebrauchten Server personenbezogene Daten gespeichert wurden, wovon bei jedem Server auszugehen ist, der in Betrieb war, kann die rechtliche Verpflichtung bestehen, die Festplatten vor der Weitergabe des Gerätes an Dritte zertifiziert löschen zu lassen. Diesbezüglich findet man hier eine entsprechende Information des Bundesamtes für Sicherheit in der Informationstechnik (BSI). Es gibt eine Vielzahl von Anbietern für die professionelle Datenlöschung. Je nach individuellem Bedarf, weiß Mahr EDV aus Erfahrung, welche Anbieter besonders empfehlenswert sind.

Professionelle Festplattenlöschung

Auch Mahr EDV selbst kann einen IT Administratoren zur Verfügung stellen, der vor Ort die Löschung der Festplatten vornimmt, um den gebrauchten Server überhaupt verkaufsfähig zu machen. Wenn keine Pauschale vereinbart wird, richten sich die Kosten nach Zeitaufwand und den bestehenden Vereinbarungen bzw. ersatzweise der Mahr EDV Preisliste, die unter https://www.mahr-edv.de/informationen abrufbar ist.

Selbstverständlich könnte auch ein IT affiner Mitarbeiter des entsprechenden Unternehmens die Löschung der Festplatten vornehmen. Der oben genannte Artikel des BSI verlinkt auf entsprechende Software, die dazu genutzt werden kann.

Diese Kalkulationsparameter machen deutlich, dass ein Weiterverkauf nicht zwingend die wirtschaftlichste Lösung ist, veraltete Hardware zu entsorgen. Je größer der Bestand nicht mehr zu nutzender IT Komponenten, desto sinnvoller könnte es sein, sich professionell dahingehend beraten zu lassen, was die optimalste Lösung ist.

Originalmeldung direkt auf PresseBox lesen
Mehr von Firma PresseBox

GUTcert Neujahrstagung 2019: Zertifizierung als Antrieb für die Unternehmensentwicklung

Die Neujahrstagung gehört seit Jahren fest zum Kalender unserer Partner und Kunden: am 18. Januar 2019 geht sie in die nächste Runde. Mit dabei sind wie immer Experten und Anwender aus vielen Fachgebieten, die gemeinsam mit den Teilnehmern einen Blick auf die wichtigsten Fragestellungen der kommenden Monate werfen (zum Rückblick 2018).

Ein zentrales Thema wird der omnipräsente Datenschutz – Karsten Bartels, Fachmann für IT-Recht und Partner bei der Kanzlei HK2 Rechtsanwälte, ist mit einem Update zur Anwendung und Auslegung der neuen DSGVO-Regelungen dabei.

Separate Themenräume am Nachmittag 

Nach den Plenumsvorträgen zur Rolle agiler Strategieentwicklung und zum Datenschutz können sich die Teilnehmer wieder ein individuelles Programm aus den thematisch gruppierten Präsentationen am Nachmittag zusammenstellen. Zu den Gebieten „Managementsysteme“, „IT-Sicherheit“ und „AZAV“ sowie „Emissionshandel“ werden erfahrene Branchenvertreter und Experten ihre Analysen vorstellen und für Fragen zur Verfügung stehen.

Early Bird-Rabatt bis Mitte November – jetzt buchen

Die Anmeldung ist über unsere Website möglich, bis 22. November erhalten Sie auf die Buchung einen Frühbucherrabatt von 30 EUR netto.

Das vorläufige Programm ist ab sofort abrufbar und wird stetig aktualisiert. Auf dem neuesten Stand halten Sie neben dem Newsletter „GUT zu wissen“ auch unsere Twitter– und XING-Seiten.

Übrigens: Am Vorabend bieten wir Ihnen erneut die Möglichkeit, im Rahmen eines Get-Togethers unseren Standort in Berlin-Treptow zu besichtigen und in entspannter Atmosphäre neue Kontakte zu knüpfen. Vermerken Sie Ihre Teilnahme einfach im Buchungsformular.

Fragen zur Neujahrstagung beantwortet Ihnen das Team der Akademie gerne per E-Mail oder Telefon unter +49 30 2332021-21.

Originalmeldung direkt auf PresseBox lesen
Mehr von Firma PresseBox

JBFOne 2018 – Die Bank von Morgen gestalten

Vom 20.-21. November treffen sich erneut IT-Entscheider der Finanzbranche auf der JBFOne, dem IT-Kongress der Fiducia & GAD IT AG in Unterschleißheim bei München, um über Trends, Visionen und Strategien im IT-Umfeld der Banken zu diskutieren. it‑economics ist auch in diesem Jahr als Platinsponsor dabei und mit mehreren Vorträgen auf der Konferenz prominent vertreten.

Die Bankenbranche ist auf dem Weg in die Digitalisierung. Online Banking, Mobile Apps, alternative Bezahlverfahren, das sind die für Kunden deutlichsten Veränderungen im Umgang mit ihrer Bank. Im Hintergrund müssen Banken lernen, den vorhandenen Datenbestand abzubilden und im Zeitalter von Big Data nutzbar zu machen. Aber auch das regulatorische Umfeld verändert sich: Mit PSD2 müssen Banken auf Kundenwunsch anderen Dienstleistern ihre Daten übermitteln, mit Inkrafttreten der DSGVO sind die Datenschutzanforderungen gestiegen, und auch das Thema IT-Security nimmt mit der zunehmenden Digitalisierung einen immer wichtigen Platz ein.

Auf der JBFOne 2018, dem IT-Kongress der Fiducia & GAD IT AG treffen sich rund 1.000 IT-Verantwortliche aus der Bankenbranche vom 20.-21. November im Infinity Hotel & Conference Resort in Unterschleißheim bei München, um sich über diese und weitere Themen zu informieren und auszutauschen. Das Vortragsprogramm umfasst rund 70 Vorträge, Talks, Case Studies und Showcases sowie ein breites inhaltliches Spektrum: Von Innovationsthemen, Big Data, Blockchain und IT-Security bis hin zu agilen Arbeitsweisen. Darüber hinaus werden Case Studies und Showcases vorgestellt. it-economics bringt in mehreren Vorträgen seine Expertise aus zahlreichen Digitalisierungs- und Agilisierungsprojekten ein und zeigt, wie technische und organisatorische Herausforderungen gemeistert werden können.

Effektiver und innovativer durch agile Organisation

Alle Welt redet von digitaler Transformation, aber was heißt das eigentlich genau? Vor welchen Herausforderungen stehen Organisationen vor dem Hintergrund zunehmender Unsicherheit und Komplexität (VUCA)? Innovationszyklen werden immer kürzer? Welche Handlungsfelder gibt es und wie geht eine IT-Beratung wie it-economics mit diesen Herausforderungen um? In seinem Vortrag „Digitalisierung, Automatisierung, Dematerialisierung – wie können sich Unternehmen fit machen für die neue Zeit?“ gibt David Brotzer, Senior Solution Architect bei it-economics, einen Überblick und Entscheidungshilfen zu den wichtigsten Fragen.

Agile Arbeitsmodelle wie Scrum werden gerne in der Softwarentwicklung eingesetzt. Doch gerade für große Unternehmen stellt sich das Problem, dass Scrum für Teams mit wenigen Mitarbeitern konzipiert ist. Für Projekte, die deutlich mehr Manpower brauchen, muss das ursprüngliche Modell adaptiert werden. Das „Scale Agile Framework“, kurz SAFe, ist eines der am weitesten verbreiteten agilen Organisationsmodelle für große Unternehmen. Sabine Mehlstäubl, Managerin bei it-economics, und Oliver Fischer, Agile Evangelist der Fiducia und GAD IT AG, stellen in ihrem Vortrag „PI Planning – Chaos mit Ordnung“ die Besonderheiten und Erfolgsfaktoren von SAFe und insbesondere dessen zentralen Elements, des „PI Plannings“, vor und sprechen über Projekterfahrungen.

Neben agilen Arbeits- und Organisationsmodellen brauchen Unternehmen vor allem eine Unternehmenskultur, die offenen ist für Innovationen, aber auch für Fehler. Als Atlassian Solution Partner präsentiert it-economics den Vortrag „Eine Geschichte über erfolgreiche Fehler und eine permanente Innovationskultur – und warum Scheitern nicht das Gegenteil von Erfolg ist“, gehalten von Robert Panholzer, Atlassian Botschafter und Channel-Manager bei Atlassian. Er geht darauf ein, was ein Team von einer Gruppe unterscheidet, an welchen fünf Fehlfunktionen erfolgreiche Teamarbeit oft scheitert und was das für das Change-Management bedeutet.

Technologie für agiles Arbeiten

Neben dem Wandel der Unternehmenskultur und der Adaption agiler Arbeitsformen brauchen Unternehmen aber auch das richtige Handwerkszeug, um dem Wettbewerb voraus zu sein. Für den Bereich Softwareentwicklung zeigen zwei Vorträge von it-economics, was auf Architekturebene und Entwicklungsebene getan werden kann, damit Teams Software schneller und effizienter entwickeln können.

Domain Driven Design (DDD) unterstützt Teams bei der Entwicklung einer Ubiquitous Language und bietet richtig eingesetzt eine Kollaborationssprache zwischen Fach- und Domänenexperten sowie anderen Teams im Kontext des funktionalen Domänenmodells. Dies ist ein guter Ausgangspunkt für den Aufbau wartungsfreundlicher Microservice-Architekturen, die den Kernbereich eines Unternehmens darstellen. Steffen Kleeberg, Application Architekt, bietet in seinem Vortrag „Domain Driven Design Explained“ einen Überblick über die Ursprünge und Grundprinzipien von DDD. Dabei wird der Fokus auf das Strategische Design gelegt, da dies gegenüber dem Taktischen Design in Praxisprojekten oft zu kurz kommt.

Auf Entwicklungsebene besteht bei klassischen Softwareprojekten oft die Herausforderung, dass in langen Zyklen entwickelt wird. Was aber, wenn erst kurz vor Projektende in Tests kritische Fehler ausgemacht werden oder das fertige Produkt womöglich gar nicht die Bedürfnisse der Nutzer trifft? Um dies zu verhindern, wird Continuos Integration (CI) und Continuos Delivery (CD) in agilen Softwareprojekte genutzt und damit verbunden ist ein passendes Versions-Kontroll-System sinnvoll. In ihrem Vortrag stellt Matthias Görs, Senior Developer bei it-economics, gemeinsam mit einem mobile Softwareentwickler der Fiducia & GAD IT AG das Arbeiten mit Git vor. Im Vergleich zu Subversion (SVN) ist Git ein verteiltes Versions-Kontroll-System und hat seine Stärken im Branchen und Mergen. Unterstützt durch einsprechendes Tooling (z.B. GitLab, GitHub oder Bitbucket) kann Git effektiv die Zusammenarbeit im Team erleichtern und damit zur Verbesserung der Code-Qualität beitragen.

it-economics unterstützt „Share the Meal“

Auch in diesem Jahr unterstützt it-economics als Sponsor der JBFOne wieder die Initiative „Share The Meal“ des UN World Food Programme (WFP) zur Bekämpfung von Hunger weltweit. Ein Stand für gebrannte Mandeln versorgt die Konferenzteilnehmer mit süßen Energieboostern und unterstützt pro Tüte gebrannter Mandeln „ShareTheMeal“ mit einer gespendeten Schulmahlzeit an Brennpunkten der Welt. Mit der erfolgreichen App konnte bereits vielen Kindern in Not mit einer warmen Mahlzeit geholfen werden.

Weitere Informationen zur JBFOne und das gesamte Konferenzprogramm unter: www.jbfone.de

 

Über die Fiducia & GAD IT AG
Die Fiducia & GAD IT AG ist der Dienstleister für Informationstechnologie der genossenschaftlichen FinanzGruppe. Das Unternehmen mit Verwaltungssitz in Karlsruhe und Münster sowie Niederlassungen in München, Frankfurt und Berlin beschäftigt in der Unternehmensgruppe gegenwärtig mehr als 6.600 Mitarbeiter, die gemeinsam einen Jahresumsatz von rund 1,5 Milliarden Euro erwirtschaften. Zum Kundenkreis der Fiducia & GAD zählen alle rund 1.000 Volksbanken und Raiffeisenbanken in Deutschland, die Unternehmen der genossenschaftlichen FinanzGruppe sowie zahlreiche Privatbanken und Unternehmen anderer Branchen, darunter auch der ADAC. Die Fiducia & GAD betreut 169.000 Bankarbeitsplätze, verwaltet knapp 82 Millionen Kundenkonten und stellt mit bundesweit gut 34.000 eigenen Selbstbedienungsgeräten flächendeckend auch die reibungslose Bargeldversorgung sicher. In ihren vier Hochsicherheitsrechenzentren betreibt die Fiducia & GAD derzeit die beiden Bankverfahren agree21 und bank21.

Originalmeldung direkt auf PresseBox lesen
Mehr von Firma PresseBox

Der neue Smartstore.net CMS-PageBuilder – erschaffen Sie Einkaufswelten in Echtzeit!

In Zusammenarbeit mit Händlern und Agenturen wurde der Smartstore.net CMS-PageBuilder Seiten-Generator entwickelt, um Kunden ein einzigartiges Einkaufserlebnis zu ermöglichen. Gestalten Sie auch ohne HTML-Kenntnisse fantastische Einkaufswelten schnell und einfach, und das ohne fremde Plattformen oder Systeme nutzen zu müssen. Direkt per Drag and Drop aus Ihrem Backend heraus.

Der Smartstore.net CMS-PageBuilder ist…

  • Schneller als andere: Kein lästiges Ziehen, Fallenlassen und Warten mehr. Mit dem Smartstore.net CMS-PageBuilder können Sie kinderleicht und in Echtzeit bessere Ergebnisse erzielen.
  • Easy zu verwenden: Jede Steuerung wurde bewusst so ausgewählt, um die optimale Benutzererfahrung zu bieten und Ihnen eine Rekordgeschwindigkeit zu ermöglichen.
  • Ohne Codierung: Erreichen Sie High-End-Designs, ganz ohne Codierung. Das Ergebnis: Der Seitencode ist kompakt und für jedes Gerät und jeden Bildschirm optimiert.

Erschaffen Sie echte Einkaufswelten für Ihre Kunden. Sie können die Seiten in Ihrem Shop einfach im Backend kreieren und responsiv erstellen. Wie ein Online-Katalog erschaffen Sie so einladende Einkaufswelten ganz einfach nach Ihrem Geschmack. So designen Sie im Handumdrehen für Ihre Kunden einzigartige Produktpräsentationen, die einfach Lust auf mehr machen.

Übrigens: Der Smartstore.net CMS-PageBuilder nutzt auf dem Endgerät das geniale CSS Grid Layout Feature, das von über 90 % aller Browser nativ unterstützt wird. Im Vergleich zu einem proprietären Grid-System bietet CSS Grid Layout erhebliche Performance- UND Design-Vorteile.

Sie kontrollieren mit wenigen Klicks Höhe und Breite, Position, Spaltenzahl und Platzierung von Content. So einfach und schnell konnten Sie noch nie Ihren Shop gestalten und noch attraktiver für Ihre Kunden machen. Erleben Sie eine neue Dimension der Online-Shop Gestaltung. Alles lässt sich per Drag & Drop in Sekundenschnelle einfügen – ob Texte, Fotos, Videos, Banner oder Slider. So wird Ihr Design wirklich individuell und Sie sprechen Ihre Kunden emotional und effektiv an.

Machen Sie Ihren Online-Shop JETZT noch benutzerfreundlicher, noch attraktiver und noch magischer: mit dem neuen Smartstore.net CMS-PageBuilder.

Originalmeldung direkt auf PresseBox lesen
Mehr von Firma PresseBox

DSGVO-Verstoß: 400.000 € Bußgeld für KMU Unternehmen

Lange Zeit war es nach anfänglich großer Sorge der KMU-Unternehmen dann doch sehr ruhig geworden um das Thema Bußgelder im Zusammenhang mit der EU-DSGVO. Kürzlich dann erhitzte ein Gerichtsurteil aus Österreich die Gemüter. Darin ging es um Mieter-Klingelschilder, die aufgrund des Datenschutzes entfernt werden müssten. Zunächst gab es konkrete Handlungsempfehlungen einer größeren Grundbesitzervereinigung, dann das Dementi der obersten Datenschützerin in Deutschland. Andere Datenschutz-Landesvorsteher blieben der Meinung treu, dass namentliche Klingelschilder der Vergangenheit angehören.

Auch Praxen setzten die neuen DSGVO-Richtlinien nur halbherzig um. Noch immer sind Patientenakten bei der Anmeldung teilweise einsehbar. Nur in wenigen Fällen wird auf das namentliche Aufrufen von Patienten verzichtet.

Hohes Bußgeld für portugiesisches Krankenhaus

Nun ist vom EU-Nachbarland Portugal zu hören, dass ein 400.000 € Bußgeld gegen ein KMU-Unternehmen verhängt worden sei, das knapp 300 Ärzte beschäftige. Laut Público habe die Datenschutzbehörde CNPD (Comissão Nacional de Protecção de Dados) dieses Bußgeld gegen das Krankenhaus Barreiro Montijo sowie weitere 100.000€ für andere Vorkommnisse verhängt.

Der Vorwurf: Man habe es mit den Benutzerberechtigungen nicht genau genug genommen. Es seien dreimal mehr Zugänge für Patientendaten eingerichtet gewesen als Ärzte angestellt waren. Eine „kleine Schlamperei“, wie sie in vielen Unternehmen vorkommt, die keine klaren und kontrollierten Prozesses zur Schließung von Benutzerkonten beim Ausscheiden von Mitarbeitern etabliert haben. Zudem hätten Techniker-Zugänge bestanden, die unnötiger Weise ebenfalls auf Patientendaten Zugriff gehabt hätten. Auch dies ist ein typischer Fehler: Administratoren mehr Zugänge zu geben als notwendig oder eben die Techniker einfach machen zu lassen, weil man möchte, dass die IT einfach nur läuft.

Allgemeine praktische Probleme

Zwar kann ein hochrangiger Admin sich selbst auf fast alle Daten Zugang gewähren, doch diese Berechtigungsänderungen werden in der Regel protokolliert. Datenzugriffe für IT Admins sind überdies oft notwendig, denn wie sonst soll dieser beispielsweise eine beschädigte Datei reparieren. Doch dürfen solche Zugänge nicht ohne Konzept und Kontrolle vergeben werden; Wildwuchs ist unbedingt zu vermeiden. Überhöhte Berechtigungen schleichen sich ein, weil und insofern alle Anwender inkl. der Admins häufig genervt davon sind, zahlreiche verschiedene Passwörter nutzen oder mühsam Berechtigungsfreigaben einholen zu müssen, kostet dies schließlich wertvolle Arbeitszeit – so die Empfindung.

Vielen Unternehmensverantwortlichen ist noch nicht bewusst, dass im Industrie 4.0 Zeitalter zwar vieles schneller geht und schnelllebiger geworden ist, doch eben auch größere Risiken bestehen als im Papierzeitalter: Früher war es gar nicht so leicht, einen Aktenordner mitgehen zu lassen, denn das große schwere Ding musste am Pförtner vorbei, Kollegen konnten einen beim Transport auf dem Flur beobachten usw. Die Daten aller Patienten zu entwenden, war so fast unmöglich. Einen USB-Stick in der Manteltasche dahingegen sieht niemand, findet kaum ein Metalldetektor – und dieser winzige Stick kann alle Patientendaten enthalten.

Gestiegene Risiken des Datenmissbrauchs

Die Risiken für Datenmissbrauch sind ergo immens gestiegen. Nicht nur die Arbeit ist im Zeichen der Digitalisierung einfacher geworden, auch illegitime Machenschaften sind es. Daher sollte jedem Unternehmen bewusst werden, dass u.a. Berechtigungskonzepte und Kontrollen unumgänglich sind – und zwar unabhängig von aller Kritik an der DSGVO.

Selbstverständlich entstehen für Konzepte und Kontrollen Kosten. Diese sind jedoch weit geringer als die durch modernes Arbeiten im Sinne der Industrie 4.0 erzielten Einsparungen und Effizienzsteigerungen. Günstiger als 400.000€ Bußgelder ist die Etablierung geeigneter Maßnahmen zumindest für den Mittelstandsunternehmer allemal.

Empfohlene Maßnahmen

Die Erstellung eines simplen Berechtigungskonzepts kann mittels einer Excel-Tabelle erfolgen, die sämtliche Zugänge für die verschiedenen Datenlaufwerke und Anwendungen auflistet. In einem weiteren Tabellenblatt werden die Benutzergruppen, deren Berechtigungsstufe dem jeweiligen Zugang zugeordnet. Das dritte Tabellenblatt führt dann alle Benutzer auf, die den jeweiligen Gruppen zugeordnet sind.

Dieses beispielsweise von der Personalabteilung gepflegte Berechtigungskonzept kann sodann der internen oder externen IT-Abteilung zur Umsetzung oder regelmäßigen Kontrolle übergeben werden. Weiterhin eignen sich Stichproben, ob und welche Benutzerzugänge für ausgeschiedene Zugungsberechtigte ggf. noch bestehen.

Das Mahr EDV Systemhaus hilft gerne bei der Umsetzung von Berechtigungskonzepten und der Implementierung von Kontrollsystemen. Weiterhin steht die Mahr EDV Checkliste zur DSGVO einschließlich zahlreichen Vorlagen zum kostenfreien Abruf bereit.

Die Mahr EDV Checkliste zur DSGVO stellt zwar keine Rechtsberatung dar und erhebt auch keinen Anspruch auf Vollständigkeit, ist aber eine ziemlich umfangreiche Unterstützung für viele Unternehmen. Das Barreiro Montijo Krankenhaus könnte dieser Checkliste beispielsweise entnehmen, dass für deren Webseite eine Verschlüsselung (https) eine sinnvolle Maßnahme ist, die diese noch nicht umgesetzt haben (www.chbm.min-saude.pt). Die https-Verschlüsselung ist im Hinblick auf die EU-DSGVO zumindest dann zwingend erforderlich, wenn durch Kontaktformulare Daten der Nutzer übertragen werden.

Originalmeldung direkt auf PresseBox lesen
Mehr von Firma PresseBox