Sprungnavigation

Datenschutz (Server-Variante)

Die Datenschutzgrundverordnung (DSGVO) vom 25. Mai 2018 verlangt, dass Programme / Verfahren (automatisierte Verarbeitungen), bei denen personenbezogene Daten erhoben, verarbeitet und genutzt werden, durch den Verantwortlichen zu dokumentieren sind. Verantwortlicher gemäß Art. 4 Nr. 7 DSGVO ist jede Person oder Stelle, die personenbezogene Daten für sich selbst erhebt, verarbeitet oder nutzt oder dies durch andere im Auftrag vornehmen lässt.

Da das Institut der deutschen Wirtschaft die Server-Variante der browserbasierten Anwendung IW-Elan ausschließlich entwickelt sowie zum Download zur Verfügung stellt und keine Verarbeitung von Daten jedweder Art [von Ihnen] vornimmt, sind in diesem Fall Sie im Sinne der Datenschutzgrundverordnung als „Verantwortlicher“ anzusehen.

Bitte beachten Sie, dass Sie als Anwender/in für den Schutz dieser Daten verantwortlich sind und denken Sie daran, den Einsatz von IW-Elan – ebenso wie andere Programme, mit denen Sie personenbezogene Daten verarbeiten – an die innerbetrieblichen beziehungsweise innerbehördlichen Datenschutzbeauftragten zu melden.

Gerne stehen wir Ihnen unterstützend zur Seite, verweisen jedoch im Rahmen der Erstellung des Verzeichnisses von Verarbeitungstätigkeiten, beziehungsweise der Verfahrensbeschreibung, auf die folgenden Informationen, die Sie bei der Erhebung und Erstellung unterstützen. So sind dort beispielsweise umfassende Informationen zu den Datenfeldern und der Installation aufgeführt.

Bei der Installation der Server-Variante wird ein node.js-Server mit einer sqlite-Datenbank eingerichtet, in der die eingegebenen Daten gespeichert werden. Die Anwendung IW-Elan wird als Single Page Application über einen Link in Ihrem Internetbrowser aufgerufen. Der Computer, auf dem die Server-Variante installiert wird, muss den grundsätzlichen Anforderungen der IT-Sicherheit entsprechen (Zugangskontrolle, Passwortschutz usw.). So ist gewährleistet, dass nur die berechtigten Personen auf die eingegebenen Daten zugreifen können.

Für die Implementierung und Umsetzung geeigneter technischer und organisatorischer Maßnahmen, so wie sie in Art. 32 DSGVO gefordert werden, ist der Anwender oder die Anwenderin entsprechend verantwortlich.

Allgemeine Hinweise zur IT-Sicherheit finden Sie auf der Homepage des Bundesamt für Sicherheit in der Informationstechnologie (BSI).

IW-Elan ist ausschließlich dazu geeignet, die in § 163 SGB IX vorgeschriebene Anzeige zu erstellen (Zweckbindung).

Der Datensatz enthält nur die Daten, die von der Bundesagentur für Arbeit und den Integrations-/Inklusionsämtern nach § 163 Abs. 2 SGB IX zur Berechnung des Umfangs der Beschäftigungspflicht, zur Überwachung ihrer Erfüllung und der Ausgleichsabgabe abgefragt werden (Datensparsamkeit, Datenvermeidung).

Darunter befinden sich diejenigen personenbezogenen Daten, die der Arbeitgeber nach § 163 Abs. 1 SGB IX im Verzeichnis der bei ihm beschäftigten "schwerbehinderten, ihnen gleichgestellten behinderten Menschen und sonstigen anrechnungsfähigen Personen" laufend zu führen hat.

Im Einzelnen sind dies:

  • Vor- und Nachname
  • Geschlecht
  • Geburtsdatum
  • Geschäftsführer/in einer GmbH (u. a.) ja / nein
  • Arbeitszeit pro Woche (über oder unter 18 Stunden)
  • Ein- und ggf. Austrittsdatum
  • Ggf. Ausbildungsbeginn und -ende
  • Personengruppe

sowie für den Nachweis über die Anrechenbarkeit:

  • Ausstellende Behörde
  • Ausweis-Nummer bzw. Aktenzeichen
  • Gültigkeitszeitraum

Bitte beachten Sie: In IW-Elan können die eingegebenen Daten nur manuell von der Anwenderin oder dem Anwender gelöscht werden. Eine automatische Löschung der Daten nach dem Versand der Anzeige oder nach einem bestimmten Zeitraum ist nicht vorgesehen!

Sobald ein ganzer Arbeitgeber- oder Nebenbetrieb-Datensatz aus der Anwendung gelöscht wird, werden auch alle ihm zugeordneten Daten gelöscht.

Die gesamte Datenbank der Anwendung kann gelöscht werden

  • über die Anwendung auf der Startseite: „Datenbankverwaltung“ > „Löschen“ oder
  • durch Löschen des Verzeichnisses elan2023_Server/db oder
  • durch Deinstallation der Browserversion elan2023_Server/unins000.exe .

Bei der Standardinstallation der Server-Variante von IW-Elan wird die IW-Elan-Datenbank auf der lokalen Festplatte des Rechners im persönlichen Benutzerprofil des Anwenders oder Anwenderin abgelegt. Der Computer, auf dem IW-Elan installiert wird, muss den grundsätzlichen Anforderungen der IT-Sicherheit entsprechen (Zugangskontrolle, Passwortschutz etc.), siehe oben (BSI-Informationen). So ist gewährleistet, dass nur der/die berechtigte Nutzer/in auf die eingegebenen Daten zugreifen kann.

Gemeinsame Nutzung derselben Datenbank durch mehrere Anwender/innen: Der Systemadministrator installiert die IW-Elan-2023_BS.exe auf einem Server und teilt dem/der Anwender/in die zu erreichende IP-Adresse und den Port der Datenbank mit.
Der Anwender ruft die Anwendung über seinen Internetbrowser auf und gibt diese Daten in der Anmeldemaske ein. (Der Server kann zusätzlich mit einem Passwort geschützt werden. Dieses Passwort kann jederzeit vom Systemadministrator ohne Datenverlust geändert werden.) Nur ein/e Anwender/in kann in der Datenbank arbeiten: wenn sich ein/e weitere/r Anwender/in gleichzeitig anmelden will, erscheint ein entsprechender Hinweis.
Die Kommunikation mit dem Datenbankserver kann zusätzlich über das „Secure“-Protokoll gesichert werden. Hierzu sind weitere Schritte vom Arbeitgeber notwendig, da dieser im Idealfall ein eigenes Zertifikat dafür bereitstellen sollte.

Dezentrale Erfassung: Bei dieser Variante kann wie bei der Standardinstallation jede/r Anwender/in nur auf die Daten seiner lokalen IW-Elan-Datenbank zugreifen. So können bei Arbeitgebern mit mehreren Nebenbetrieben eigenständige Verzeichnisse angelegt werden, die nur vom Bearbeiter oder von der Bearbeiterin eingesehen werden können.
Zur Erstellung der Gesamtanzeige müssen diese Daten aus der lokalen Datenbank exportiert (s. u.) und an den/die Ersteller/in der Gesamtanzeige übermittelt werden. Nutzen Sie zur Übermittlung nur gesicherte Übertragungswege!

Datensicherung und Datenexport: Die Daten können auf der Startseite der Anwendung exportiert und gesichert werden – falls vorhanden mit dem Verzeichnis und den WfbM-Aufträgen:

  • einzelne Arbeitgeber-Datensätze als
    ag_[Betriebsnummer]_[Zeitstempel].ag-[Anzeigejahr]-iw-elan
  • einzelne Nebenbetrieb-Datensätze als
    nb_[Betriebsnummer]_[Zeitstempel].nb-[Anzeigejahr]-iw-elan
  • ein Arbeitgeber mit ihm zugeordneten Nebenbetrieb(en) als
    agnb_[Betriebsnummer]_[Zeitstempel].agnb-[Anzeigejahr]-iw-elan
  • die komplette Datenbank als
    datensicherung_[Zeitstempel].db-[Anzeigejahr]-iw-elan

Die Export- und Sicherungsdateien werden im Standard-Downloadverzeichnis des Anwenders oder der Anwenderin abgelegt. Die Dateien sind mit AES-Verschlüsselung und einem nicht editierbaren Passwort geschützt und somit außerhalb der Anwendung IW-Elan nicht lesbar.
Der Export und die Datensicherung geschehen NICHT automatisch. Wir empfehlen, die Datensicherung regelmäßig durchzuführen, um Datenverlust zu vermeiden!

Formularansicht: Die Daten können über das Druckmenü in der Kopfzeile auch in der Formularansicht dargestellt werden. Dazu werden PDF-Dateien erzeugt, die – je nach Browsereinstellung – auch im Standard-Downloadverzeichnis des Anwenders oder der Anwenderin abgelegt werden.

 

Zur Abgabe der Anzeige bietet IW-Elan zwei Möglichkeiten zur Auswahl an:

  1. Elektronischer Versand über eine SSL (Secure Socket Layer) verschlüsselte HTTPS-Verbindung an einen zentralen Empfangsserver der Bundesagentur für Arbeit.
    Dazu muss bei dem verwendeten Internetbrowser eine Verschlüsselungsstärke von mindestens 256Bit vorliegen.
    Die Adresse des Empfangsservers ist von IW-Elan fest vorgegeben und kann vom Anwender nicht geändert werden.
  2. Ausdruck der Anzeige und Abgabe in Papierform auf dem Postweg

Da sich das Bundesdatenschutzgesetz nur an den Anwender oder Anwenderin von Software wendet, kann das Institut der deutschen Wirtschaft Köln als Hersteller der Software IW-Elan keine globale datenschutzrechtliche Freigabe bewirken. Dies muss jeweils vom Anwender oder von der Anwenderin für seine/ihre spezielle Anwendungssituation erfolgen.

Man unterscheidet folgende datenschutzrechtliche Regelungen:

1. Bundesdatenschutzgesetz

Das Bundesdatenschutzgesetz gilt für alle Bundesbehörden sowie für alle nichtöffentlichen Stellen (= private Arbeitgeber).

Die Kontrolle der Einhaltung der Bestimmungen des Bundesdatenschutzgesetzes durch nichtöffentliche Stellen ist den Ländern übertragen. Diese haben hierfür entweder gesonderte Landesdatenschutzbeauftragte eingerichtet (z. B. Nordrhein-Westfalen), lassen die Kontrolle durch die Behörden der Innenministerien (Bezirksregierungen bzw. Regierungspräsidenten) ausüben, oder haben eigene Aufsichtsbehörden eingerichtet (z. B. das Landeszentrum für Datenschutz Schleswig-Holstein). Der Bundesbeauftragte für Datenschutz ist damit nur für Bundesbehörden zuständig.

2. Landesdatenschutzgesetz

Die Landesdatenschutzgesetze gelten für die Landesbehörden. Nur wenn ein landeseigenes Datenschutzgesetz nicht existiert, kommt das Bundesdatenschutzgesetz auch für die Behörden dieses Landes zu Anwendung. Soweit ersichtlich, haben aber alle Länder ein eigenes Datenschutzgesetz erlassen.

Bundesdatenschutzgesetz und die Landesdatenschutzgesetze stehen gleichwertig nebeneinander. Welches Gesetz Anwendung findet, richtet sich danach, ob Landesbehörden, Bundesbehörden oder sogenannte nichtöffentliche Stellen vorliegen.

Kontrollmechanismen

Die einzelnen Gesetze sehen unterschiedliche Kontrollmechanismen vor. So muss unterschieden werden zwischen Meldepflicht, Freigabe und Vorabkontrolle.

  1. Wenn eine Meldepflicht besteht (die nur wenige Landesgesetze generell vorsehen und ansonsten nur dann bestehen kann, wenn kein innerbetrieblicher Datenschutzbeauftragter oder keine innerbetriebliche Datenschutzbeauftragte bestellt wurde), muss das Vorhaben des Einsatzes eines automatisierten Datenverarbeitungsprogramms der Aufsichtsbehörde (s.o.) gemeldet werden.
  2. Nach einigen Landesgesetzen dürfen solche Programme erst nach Freigabe durch den behördlichen Datenschutzbeauftragten oder durch die behördliche Datenschutzbeauftragte eingesetzt werden.
  3. Bei der sog. Vorabkontrolle, die das Bundesdatenschutzgesetz und die meisten Landesdatenschutzgesetze vorsehen, muss der beabsichtigte Einsatz eines Programms, das "sensible Daten" verarbeitet (was bei IW-Elan der Fall ist), dem innerbetrieblichen Datenschutzbeauftragen oder der innerbetrieblichen Datenschutzbeauftragten gemeldet werden, dem allerdings kein Genehmigungsrecht zusteht. Vielmehr hat der/die Datenschutzbeauftragte nach Durchführung der Prüfung lediglich eine schriftliche Stellungnahme abzugeben, die den Betrieb nicht bindet.

In manchen Landesdatenschutzgesetzen ist die Vorabkontrolle etwas anders ausgestaltet. Hier wird diese von der das Programm einsetzenden Stelle selbst durchgeführt. Das Ergebnis der Prüfung wird dann dem/der behördlichen Datenschutzbeauftragen gemeldet.

In Zweifelsfällen hat sich der/die Datenschutzbeauftragte dann an die Aufsichtsbehörde zu wenden.

Eine Zertifizierung für unsere Anwendung nach ISO/IEC 270XX oder IDW PS 880 liegt aktuell nicht vor.

Die Firma bits+bytes it-solutions hat im Dezember 2023 einen Penetrationstest der Browserversion von IW-Elan und deren Server-Variante durchgeführt.

Die im Rahmen des Auftrags definierten Ziele wurden somit intensiven Schwachstellentests unterzogen und eventuell aufgedeckte Mängel anschließend beseitigt. Die getesteten Ziele erfüllen alle nötigen Anforderungen, um von bits + bytes it-solutions als BETRIEBSSICHER eingestuft werden zu können.

Der Penetrationstest wurde nach dem BlackBox-Verfahren durchgeführt, bei dem der Auftragnehmer keinerlei vorab Kenntnisse über die zu testenden Ziele hatte. Der Auftragnehmer machte sich dazu Strategien zunutze, die auch potenzielle Angreifer einsetzen würden. Bei der Durchführung des Penetrationstests wurden verschiedene Industriestandards berücksichtigt, um sicherzustellen, dass der Test umfassend und effektiv ist. Prüfmethoden der folgenden Industriestandards wurden bei der Durchführung des Pentests angewendet:

▪ BSI Grundschutz Kataloge

▪ OWASP Top-10

▪ OWASP Testing Guide 4.0

▪ OWASP Application Security Verification Standard 4 (ASVS), Level 1 und 2

▪ NIST SP 800-115 Technical Guide to Information Security Testing and Assessment