Wird diese Nachricht nicht richtig dargestellt, klicken Sie bitte hier.

12.12.2019
DSGVO, „privacy by design“, Auftragsdatenverarbeitung... Viele Schlagworte schwirren derzeit durch die Medien und es herrscht bei manch einem Verunsicherung, was da nun auf uns zukommt.

Die europäische Datenschutz-Grundverordnung tritt am 25. Mai 2018 endgültig in Kraft. In den vergangenen Wochen erreichten uns immer mehr Anfragen zu diesem Thema, die Sensibilität in Bezug auf personenbezogene Daten wächst. Für Einsatzleitungen und Stäbe haben wir nun ein Seminar aufgesetzt, das sich mit der Thematik beschäftigt - losgelöst von unserer Commander-Software. Das Angebot richtet sich an alle Verantwortlichen und Mitglieder von Einsatzleitungen und Stäben, die sich im Einsatzfall mit personenbezogenen Daten beschäftigen müssen. Näheres siehe unten.

Das Thema Datenschutz treibt uns natürlich nicht ausschließlich wegen der DSGVO um, Datensicherheit war bei uns seit jeher der Leitgedanke bei der Entwicklung der Software. Selbstverständlich haben wir uns in den letzten Monaten aber intensiv mit dieser Thematik auseinandergesetzt. Neben der Konformitätserklärung, die wir mit dem kommenden Update herausgeben werden, planen wir, eine entsprechende Zertifizierung anzustreben. Mangels die DSGVO einschließenden Zertifikaten ist es momentan schwierig, hier etwas tatsächlich Sinnvolles zu erreichen – wir werden abwarten müssen, wie sich der Markt entwickeln wird und wann entsprechende Zertifikate verfügbar sind. Gleichwohl sind wir davon überzeugt, dass wir den für unseren sensiblen Bereich der personenbezogenen Daten in den BOS hohen Ansprüchen an den Datenschutz gerecht werden.  

Prinzipiell müssen wir beim Commander zwischen Cloud-Hosting und der Software unterscheiden:

Cloud-Hosting

Gelegentlich werden wir von Datenschutzbeauftragten unserer Kunden gebeten, eine Erklärung zur Auftragsdatenverarbeitung nach § 11 BDSG abzugeben. Das können wir derart nicht liefern, da wir keine Auftragsdatenverarbeitung von personenbezogenen Daten im Sinne des Bundesdatenschutzgesetzes vornehmen sondern lediglich die Software verkaufen bzw. vermieten. Wir stellen den Kunden die Software „Commander“ entweder zur Installation auf einem eigenen Server zur Verfügung oder wir stellen den Webspace zur Verfügung und hosten die Software auf von uns angemieteten Cloud-Servern – auf die ebenfalls dann nur der Kunde Zugriff hat. Der Cloud Hoster ist derzeit Amazon AWS. CrisCom Solutions hat ausschließlich Server in Frankfurt beauftragt, die somit deutschem Recht unterliegen. Amazon AWS ist inzwischen einer der Cloud-Anbieter, der sich am meisten mit Datenschutz und DSGVO beschäftigt hat. Amazon hat beispielsweise die BSI C5-Zertifizierung bekommen: 
www.bsi.bund.de/DE/Themen/DigitaleGesellschaft/CloudComputing/Anforderungskatalog/Anforderungskatalog_node.html

Mehr zum Thema Datenschutz bei Amazon findet sich hier: 
aws.amazon.com/de/compliance/eu-data-protection/ 

Software

Die Vorgaben zur Sicherheit der Software und zum Schutz der Daten in der Software sehen etwas anders aus. Der Schutz muss angemessen sein und dem Stand der Technik entsprechen. Wir verwenden SSL um die Browserverbindung zu verschlüsseln. Die Anwendung wurde erst kürzlich einer Sicherheitsprüfung unterzogen. Die Software bietet die entsprechenden Möglichkeiten, die Nutzerrechte derart einzuschränken, dass jede Rolle auch nur die für ihre jeweilige Aufgabenerfüllung notwendigen personenbezogenen Daten sehen kann. Bei der Softwarenutzung als solches sind natürlich insbesondere kundenseitig die erforderlichen organisatorischen und technischen Maßnahmen zu treffen, um Missbrauch zu vermeiden, angefangen bei der dezidierten Rechtevergabe für Nutzer über das Passwortmanagement bis hin zu den geläufigen Datenschutzbelehrungen usw. 

DSGVO - Umsetzung in Version 2018.V2

Für Nervosität vor dem Inkrafttreten der DSGVO besteht jedenfalls beim Commander kein Anlass. Auch wenn der Commander prinzipiell in der Vergangenheit bereits den Grundsätzen des „privacy by design“ folgte, haben wir mit der kommenden Version 2018.V2 an einigen Stellschrauben gedreht, die es den Nutzern nahezu unmöglich machen, „nicht datenschutzkonform“ zu arbeiten. Auf einige Neuerungen wollen wir in diesem Newsletter hinweisen:

1. lokale Installationen
Bereits seit langer Zeit besteht die Möglichkeit, die lokalen Installationen mittels https:// zu betreiben. Ab der Version 2108.V2 ist eine Datenübertragung auch bei geschlossenen Netzwerken per http:// nicht mehr zulässig und lauffähig, zum Update wird ein entsprechendes Zertifikat benötigt.

2. Administration
Die Administration folgt nun stringent dem Grundsatz „privacy by default“, insbesondere bei der Rollen- und Rechtevergabe der User. „Administrator“ als solcher ist nun keine zu einem User zuzuordnende Rolle mehr, es gibt nur noch den User „admin“ mit beschränkten Datenzugriffsrechten (z.B. kein Zugriff auf Patientendaten durch User „admin“).

3. Passwortmanagement
User werden nun nach vom Administrator definierten Zeiträumen aufgefordert, ein neues Passwort zu wählen. Der Administrator kann verschiedene Passwortklassen definieren, d.h. er kann einfachere oder auch deutlich komplexere Passwörter fordern.

4. Datenintegrität, Nachvollziehbarkeit der Zugriffe
Für die Verifizierbarkeit der Zugriffe auf das System bzw. auf Daten soll sich ein einzelner User nun nur noch einmal im System anmelden können, nichtpersonalisierte Standard-/Sammeluser sind nicht mehr vorgesehen.

5. Rechtevergabe
Leserechte auf personenbezogene Daten können noch einfacher und weiterführender als bisher reglementiert werden. 

Auf die konkreten weiteren Veränderungen in Bezug auf die DSGVO gehen wir in einem gesonderten PIN-Letter (Product Information News) an die Kunden vor dem Release der Commander-Version 2018.V2 ein. Selbstverständlich wurden auch weitere Themen aus dem Bereich „Wünsch-Dir-Was“ der Kunden realisiert, der Commander "lebt" und wird beständig weiterentwickelt!

Wer die nächsten Tage also noch nichts vor hat, ist bei uns am Stand auf der RETTmobil in Fulda herzlich willkommen, oder Ende des Monats bei der VfdB-Tagung in Duisburg! 

Seminar "Datenschutz (BDSG/DSGVO) in Einsatzleitungen und Stäben"

Wir wurden von Kunden gebeten, eine Weiterbildung zum Thema „Datenschutz (BDSG/DSGVO) in Einsatzleitungen und Stäben“ zu entwickeln. In Zusammenarbeit mit unserem Juristen Björn Schmidt, ausgewiesener Experte in Sachen Datenschutz, haben wir ein Seminar aufgelegt, das wir am Standort unseres Partner TCRH Mosbach anbieten. Die ersten Termine hierzu sind 24.06., 07.07. und 28.07.2018. Nähere Informationen finden Sie in unserer Academy.

RETTmobil 2018
16.-18.05.2018

Kein Scherz: Wer sich auf der RETTmobil beim Wettbewerb anschauen möchte, was sie alles nicht können - der darf sich gerne vorher bei uns eine Tüte Popcorn abholen! Gerne führen wir in die Neuerungen der Version 2018.V2 ein und beantworten Ihre Fragen zum Commander und zur DSGVO.

Sie finden uns am Stand F52 zwischen den Hallen G und H - wir freuen uns auf Ihren Besuch und viele interessante Gespräche!

Jahresprogramm CrisCom Solutions, TCRH, FIRMITAS und
Commander-Academy
Abschließend möchten wir auf unser Jahresbildungsprogramm des Instituts FIRMITAS, TCRH und CrisCom Solutions hinweisen. Stabsschulungen und -trainings, Vorbereitungsseminare LÜKEX u.v.m.: >>pdf-Donwload<<

U
nsere weiteren Termine finden Sie wie gehabt unter www.criscom.de/academy.

Beste Grüße aus Pleidelsheim,

Ihr Commander-Team



Wenn Sie diesen Newsletter nicht mehr empfangen möchten,
können Sie sich hier abmelden.

 

CrisCom Solutions GmbH
Stuifenstraße 48
74385 Pleidelsheim
Deutschland

07144/1603150
Mail@CrisCom.de
www.criscom.de
CEO: Björn Vetter
Register: HRB 759777
Tax ID: DE 287177507