Datenschutz (Browserversion)
Die Datenschutzgrundverordnung (DSGVO) vom 25. Mai 2018 verlangt, dass entsprechende Programme / Verfahren (automatisierte Verarbeitungen), bei denen personenbezogene Daten erhoben, verarbeitet und genutzt werden, entsprechend durch den Verantwortlichen zu dokumentieren sind. Verantwortlicher gemäß Art. 4 Nr. 7 DSGVO ist jede Person oder Stelle, die personenbezogene Daten für sich selbst erhebt, verarbeitet oder nutzt oder dies durch andere im Auftrag vornehmen lässt.
Da das Institut der deutschen Wirtschaft die Anwendung IW-Elan ausschließlich entwickelt sowie online zur Verfügung stellt und keine Verarbeitung von Daten jedweder Art [von Ihnen] vornimmt, sind in diesem Fall Sie im Sinne der Datenschutzgrundverordnung als „Verantwortlicher“ anzusehen.
Bitte beachten Sie, dass Sie als Anwender/in für den Schutz dieser Daten verantwortlich sind und denken Sie daran, den Einsatz von IW-Elan – ebenso wie andere Programme, mit denen Sie personenbezogene Daten verarbeiten – an die innerbetrieblichen beziehungsweise innerbehördlichen Datenschutzbeauftragten zu melden.
Gerne stehen wir Ihnen unterstützend zur Seite, verweisen jedoch im Rahmen der Erstellung des Verzeichnisses von Verarbeitungstätigkeiten, beziehungsweise der Verfahrensbeschreibung, auf die folgenden Informationen, die Ihnen bei der Erhebung und Erstellung hilfreich sind. So sind dort beispielsweise umfassende Informationen zu den Datenfeldern aufgeführt.
Die Anwendung IW-Elan wird als Single Page Application über einen Link in Ihrem Internetbrowser aufgerufen. Als Datenbank wird die IndexedDB verwendet, die vom Browser bereitgestellt und verwaltet wird und die sich im persönlichen Benutzerprofil des Anwenders oder der Anwenderin befindet. (Der Standardpfad lautet z. B. bei Microsoft Edge: C:\Users\[Benutzername]\AppData\Local\Microsoft\Edge\User Data\Default\IndexedDB)
Der Computer, auf dem IW-Elan verwendet wird, muss den grundsätzlichen Anforderungen der IT-Sicherheit entsprechen (Zugangskontrolle, Passwortschutz usw.). So ist gewährleistet, dass nur die berechtigten Personen auf die eingegebenen Daten zugreifen können.
Für die Implementierung und Umsetzung geeigneter technischer und organisatorischer Maßnahmen, so wie sie in Art. 32 DSGVO gefordert werden, ist der Anwender oder die Anwenderin entsprechend verantwortlich.
Allgemeine Hinweise zur IT-Sicherheit finden Sie auf der Homepage des Bundesamt für Sicherheit in der Informationstechnologie (BSI).
- Art und Umfang der Datenverarbeitung:
Der Provider der Seiten erhebt und speichert automatisch Informationen in so genannten Server-Log-Dateien, die Ihr Browser automatisch an uns übermittelt. Dies sind:- Datum und Uhrzeit der Anfrage
- Zeitzonendifferenz zur Greenwich Mean Time (GMT)
- Inhalt der Anforderung (konkrete Seite)
- Zugriffsstatus / http-Statuscode
- jeweils übertragene Datenmenge
- Webseite, von der die Anforderung kommt
- Browser
- Betriebssystem und dessen Oberfläche
- Sprache und Version der Browsersoftware.
- Zweck der Datenverarbeitung:
Der Erfassung der Daten zur Bereitstellung der Website und die Speicherung der Daten in Logfiles ist für den Betrieb der Internetseite zwingend erforderlich. Es besteht folglich seitens des Nutzers keine Widerspruchsmöglichkeit. - Rechtsgrundlage:
Grundlage für die Datenverarbeitung ist Art. 6 Abs. 1 lit. f DSGVO. Die Speicherung von Logfiles erfolgt, um die Funktionsfähigkeit der Website und die Sicherheit unserer Informationstechnischen Systeme sicherzustellen. - Dauer der Speicherung:
Die Daten werden gelöscht, sobald sie für die Erreichung des Zweckes ihrer Erhebung nicht mehr erforderlich sind. Im Falle der Erfassung der Daten zur Bereitstellung der Website ist dies der Fall, wenn die jeweilige Sitzung beendet ist.
Im Falle der Speicherung der Daten in Logfiles ist dies nach spätestens sieben Tagen der Fall, die Backups werden für 14 Tage in verschlüsselter Form aufbewahrt. - Widerspruchs- und Beseitigungsmöglichkeit:
Aufgrund der Tatsache, dass die Erfassung der Daten zur Bereitstellung der Website und die Speicherung der Daten in Logfiles für den Betrieb der Internetseite zwingend erforderlich sind, besteht keine Widerspruchsmöglichkeit des Nutzers gegen die Datenverarbeitung.
IW-Elan ist ausschließlich dazu geeignet, die in § 163 SGB IX vorgeschriebene Anzeige zu erstellen (Zweckbindung).
Der Datensatz enthält nur die Daten, die von der Bundesagentur für Arbeit und den Integrations-/Inklusionsämtern nach § 163 Abs. 2 SGB IX zur Berechnung des Umfangs der Beschäftigungspflicht, zur Überwachung ihrer Erfüllung und der Ausgleichsabgabe abgefragt werden (Datensparsamkeit, Datenvermeidung).
Darunter befinden sich diejenigen personenbezogenen Daten, die der Arbeitgeber nach § 163 Abs. 1 SGB IX im Verzeichnis der bei ihm beschäftigten "schwerbehinderten, ihnen gleichgestellten behinderten Menschen und sonstigen anrechnungsfähigen Personen" laufend zu führen hat.
Im Einzelnen sind dies:
- Vor- und Nachname
- Geschlecht
- Geburtsdatum
- Geschäftsführer/in einer GmbH (u. a.) ja / nein
- Arbeitszeit pro Woche (über oder unter 18 Stunden)
- Ein- und ggf. Austrittsdatum
- Ggf. Ausbildungsbeginn und -ende
- Personengruppe
sowie für den Nachweis über die Anrechenbarkeit:
- Ausstellende Behörde
- Ausweis-Nummer bzw. Aktenzeichen
- Gültigkeitszeitraum
Bitte beachten Sie: In IW-Elan können die eingegebenen Daten nur manuell von der Anwenderin oder dem Anwender gelöscht werden. Eine automatische Löschung der Daten nach dem Versand der Anzeige oder nach einem bestimmten Zeitraum ist nicht vorgesehen!
Sobald ein ganzer Arbeitgeber- oder Nebenbetrieb-Datensatz aus der Anwendung gelöscht wird, werden auch alle ihm zugeordneten Daten gelöscht.
Die gesamte Datenbank der Anwendung kann gelöscht werden
- über die Anwendung auf der Startseite: „Datenbankverwaltung“ > „Löschen“ oder
- durch Löschen der IndexedDB von IW-Elan in der Konsole des Internetbrowsers oder
- durch Löschen der IndexedDB im Windows-Explorer (Datei-Manager). Der Standardpfad lautet z. B. bei Microsoft Edge: C:\Users\[Benutzername]\AppData\Local\Microsoft\Edge\User Data\Default\IndexedDB.
Bei der Verwendung von IW-Elan wird die IW-Elan-Datenbank im Browsercache auf der lokalen Festplatte des Rechners im persönlichen Benutzerprofil des Anwenders oder der Anwenderin abgelegt. Der Computer, auf dem IW-Elan genutzt wird, muss den grundsätzlichen Anforderungen der IT-Sicherheit entsprechen (Zugangskontrolle, Passwortschutz etc.), siehe oben (BSI-Informationen). So ist gewährleistet, dass nur der/die berechtigte Nutzer/in auf die eingegebenen Daten zugreifen kann.
Datensicherung und Datenexport: Die Daten können auf der Startseite der Anwendung exportiert und gesichert werden – falls vorhanden mit dem Verzeichnis und den WfbM-Aufträgen:
- einzelne Arbeitgeber-Datensätze als
ag_[Betriebsnummer]_[Zeitstempel].ag-[Anzeigejahr]-iw-elan - einzelne Nebenbetrieb-Datensätze als
nb_[Betriebsnummer]_[Zeitstempel].nb-[Anzeigejahr]-iw-elan - ein Arbeitgeber mit ihm zugeordneten Nebenbetrieb(en) als
agnb_[Betriebsnummer]_[Zeitstempel].agnb-[Anzeigejahr]-iw-elan - die komplette Datenbank als
datensicherung_[Zeitstempel].db-[Anzeigejahr]-iw-elan
Die Export- und Sicherungsdateien werden im Standard-Downloadverzeichnis des Anwenders oder der Anwenderin abgelegt. Die Dateien sind mit AES-Verschlüsselung und einem nicht editierbaren Passwort geschützt und somit außerhalb der Anwendung IW-Elan nicht lesbar.
Der Export und die Datensicherung geschehen NICHT automatisch. Wir empfehlen, die Datensicherung regelmäßig durchzuführen, um Datenverlust zu vermeiden!
Formularansicht: Die Daten können über das Druckmenü in der Kopfzeile auch in der Formularansicht dargestellt werden. Dazu werden PDF-Dateien erzeugt, die – je nach Browsereinstellung – auch im Standard-Downloadverzeichnis des Anwenders oder der Anwenderin abgelegt werden.
Dezentrale Erfassung: Bei dieser Variante kann wie bei der Standardinstallation jede/r Anwender/in nur auf die Daten seiner lokalen IW-Elan-Datenbank zugreifen. So können bei Arbeitgebern mit mehreren Nebenbetrieben eigenständige Verzeichnisse angelegt werden, die nur vom Bearbeiter oder von der Bearbeiterin eingesehen werden können.
Zur Erstellung der Gesamtanzeige müssen diese Daten aus der lokalen Datenbank exportiert (s. o.) und an den/die Ersteller/in der Gesamtanzeige übermittelt werden. Nutzen Sie zur Übermittlung nur gesicherte Übertragungswege!
Zur Abgabe der Anzeige bietet IW-Elan zwei Möglichkeiten zur Auswahl an:
- Elektronischer Versand über eine SSL (Secure Socket Layer) verschlüsselte HTTPS-Verbindung an einen zentralen Empfangsserver der Bundesagentur für Arbeit.
Dazu muss bei dem verwendeten Internetbrowser eine Verschlüsselungsstärke von mindestens 256Bit vorliegen.
Die Adresse des Empfangsservers ist von IW-Elan fest vorgegeben und kann vom Anwender nicht geändert werden. - Ausdruck der Anzeige und Abgabe in Papierform auf dem Postweg
Da sich das Bundesdatenschutzgesetz nur an den Anwender oder die Anwenderin von Software wendet, kann das Institut der deutschen Wirtschaft Köln als Hersteller der Software IW-Elan keine globale datenschutzrechtliche Freigabe bewirken. Dies muss jeweils vom Anwender oder von der Anwenderin für seine/ihre spezielle Anwendungssituation erfolgen.
Man unterscheidet folgende datenschutzrechtliche Regelungen:
1. Bundesdatenschutzgesetz
Das Bundesdatenschutzgesetz gilt für alle Bundesbehörden sowie für alle nichtöffentlichen Stellen (= private Arbeitgeber).
Die Kontrolle der Einhaltung der Bestimmungen des Bundesdatenschutzgesetzes durch nichtöffentliche Stellen ist den Ländern übertragen. Diese haben hierfür entweder gesonderte Landesdatenschutzbeauftragte eingerichtet (z. B. Nordrhein-Westfalen), lassen die Kontrolle durch die Behörden der Innenministerien (Bezirksregierungen bzw. Regierungspräsidenten) ausüben, oder haben eigene Aufsichtsbehörden eingerichtet (z. B. das Landeszentrum für Datenschutz Schleswig-Holstein). Der Bundesbeauftragte für Datenschutz ist damit nur für Bundesbehörden zuständig.
2. Landesdatenschutzgesetz
Die Landesdatenschutzgesetze gelten für die Landesbehörden. Nur wenn ein landeseigenes Datenschutzgesetz nicht existiert, kommt das Bundesdatenschutzgesetz auch für die Behörden dieses Landes zu Anwendung. Soweit ersichtlich, haben aber alle Länder ein eigenes Datenschutzgesetz erlassen.
Bundesdatenschutzgesetz und die Landesdatenschutzgesetze stehen gleichwertig nebeneinander. Welches Gesetz Anwendung findet, richtet sich danach, ob Landesbehörden, Bundesbehörden oder sogenannte nichtöffentliche Stellen vorliegen.
Kontrollmechanismen
Die einzelnen Gesetze sehen unterschiedliche Kontrollmechanismen vor. So muss unterschieden werden zwischen Meldepflicht, Freigabe und Vorabkontrolle.
- Wenn eine Meldepflicht besteht (die nur wenige Landesgesetze generell vorsehen und ansonsten nur dann bestehen kann, wenn kein innerbetrieblicher Datenschutzbeauftragter oder keine innerbetriebliche Datenschutzbeauftragte bestellt wurde), muss das Vorhaben des Einsatzes eines automatisierten Datenverarbeitungsprogramms der Aufsichtsbehörde (s.o.) gemeldet werden.
- Nach einigen Landesgesetzen dürfen solche Programme erst nach Freigabe durch den behördlichen Datenschutzbeauftragten oder durch die behördliche Datenschutzbeauftragte eingesetzt werden.
- Bei der sog. Vorabkontrolle, die das Bundesdatenschutzgesetz und die meisten Landesdatenschutzgesetze vorsehen, muss der beabsichtigte Einsatz eines Programms, das "sensible Daten" verarbeitet (was bei IW-Elan der Fall ist), dem innerbetrieblichen Datenschutzbeauftragen oder der innerbetrieblichen Datenschutzbeauftragten gemeldet werden, dem allerdings kein Genehmigungsrecht zusteht. Vielmehr hat der/die Datenschutzbeauftragte nach Durchführung der Prüfung lediglich eine schriftliche Stellungnahme abzugeben, die den Betrieb nicht bindet.
In manchen Landesdatenschutzgesetzen ist die Vorabkontrolle etwas anders ausgestaltet. Hier wird diese von der das Programm einsetzenden Stelle selbst durchgeführt. Das Ergebnis der Prüfung wird dann dem/der behördlichen Datenschutzbeauftragen gemeldet.
In Zweifelsfällen hat sich der/die Datenschutzbeauftragte dann an die Aufsichtsbehörde zu wenden.
Eine Zertifizierung für unsere Anwendung nach ISO/IEC 270XX oder IDW PS 880 liegt aktuell nicht vor.
Die Firma bits+bytes it-solutions hat im Dezember 2023 einen Penetrationstest der Browserversion von IW-Elan und deren Server-Variante durchgeführt.
Die im Rahmen des Auftrags definierten Ziele wurden somit intensiven Schwachstellentests unterzogen und eventuell aufgedeckte Mängel anschließend beseitigt. Die getesteten Ziele erfüllen alle nötigen Anforderungen, um von bits + bytes it-solutions als BETRIEBSSICHER eingestuft werden zu können.
Der Penetrationstest wurde nach dem BlackBox-Verfahren durchgeführt, bei dem der Auftragnehmer keinerlei vorab Kenntnisse über die zu testenden Ziele hatte. Der Auftragnehmer machte sich dazu Strategien zunutze, die auch potenzielle Angreifer einsetzen würden. Bei der Durchführung des Penetrationstests wurden verschiedene Industriestandards berücksichtigt, um sicherzustellen, dass der Test umfassend und effektiv ist. Prüfmethoden der folgenden Industriestandards wurden bei der Durchführung des Pentests angewendet:
▪ BSI Grundschutz Kataloge
▪ OWASP Top-10
▪ OWASP Testing Guide 4.0
▪ OWASP Application Security Verification Standard 4 (ASVS), Level 1 und 2
▪ NIST SP 800-115 Technical Guide to Information Security Testing and Assessment
Weitere Datenschutzinformationen:
-
Zertifikat des Penetrationstests von IW-Elan (12/2023)
nicht barrierefreies PDF | 374 KB - Datenschutzrechtliche Hinweise der Bundesagentur für Arbeit
- Datenschutzrechtliche Hinweise der Integrations-/Inklusionsämter
- siehe auch: Aufbewahrungsfrist
- siehe auch: Datenschutz (Java-Version)
- siehe auch: Datenschutz (Server-Variante)