Datenschutz (Java-Version)
Die neue Datenschutzgrundverordnung (DSGVO) vom 25. Mai 2018 verlangt, dass entsprechende Programme / Verfahren (automatisierte Verarbeitungen), bei denen personenbezogene Daten erhoben, verarbeitet und genutzt werden, entsprechend durch den Verantwortlichen zu dokumentieren sind. Verantwortlicher gemäß Art. 4 Nr. 7 DSGVO ist jede Person oder Stelle, die personenbezogene Daten für sich selbst erhebt, verarbeitet oder nutzt oder dies durch andere im Auftrag vornehmen lässt.
Da das Institut der deutschen Wirtschaft das Programm IW-Elan (frühere Versionen: REHADAT-Elan) ausschließlich entwickelt sowie zum Download zur Verfügung stellt und keine Verarbeitung von Daten jedweder Art [von Ihnen] vornimmt, sind in diesem Fall Sie im Sinne der Datenschutzgrundverordnung als „Verantwortlicher“ anzusehen.
Bitte beachten Sie, dass Sie als Anwender für den Schutz dieser Daten verantwortlich sind und denken Sie daran, den Einsatz von IW-Elan (bzw. REHADAT-Elan) - ebenso wie andere Programme, mit denen Sie personenbezogene Daten verarbeiten - an die innerbetrieblichen beziehungsweise innerbehördlichen Datenschutzbeauftragten zu melden.
Gerne stehen wir Ihnen unterstützend zur Seite, verweisen jedoch im Rahmen der Erstellung des Verzeichnisses von Verarbeitungstätigkeiten, beziehungsweise der Verfahrensbeschreibung, auf die folgenden Informationen, die Ihnen bei der Erhebung und Erstellung hilfreich sind. So sind dort beispielsweise umfassende Informationen zu den Datenfeldern und auch den Installationsmodi aufgeführt.
Bei der Standardinstallation von IW-Elan wird die IW-Elan-Datenbank im persönlichen Benutzerprofil des Anwenders abgelegt. Der Computer, auf dem IW-Elan installiert wird, muss den grundsätzlichen Anforderungen der IT-Sicherheit entsprechen (Zugangskontrolle, Passwortschutz usw.). So ist gewährleistet, dass nur der berechtigte Nutzer auf die eingegebenen Daten zugreifen kann.
Für die Implementierung und Umsetzung geeigneter technischer und organisatorischer Maßnahmen, so wie sie in Art. 32 DSGVO gefordert werden, ist der Anwender entsprechend verantwortlich.
Allgemeine Hinweise zur IT-Sicherheit finden Sie auf der Homepage des Bundesamt für Sicherheit in der Informationstechnologie (BSI).
IW-Elan ist ausschließlich dazu geeignet, die in § 163 SGB IX vorgeschriebene Anzeige zu erstellen (Zweckbindung).
Der Datensatz enthält nur die Daten, die von der Bundesagentur für Arbeit und den Integrations-/Inklusionsämter nach § 163 Abs. 2 SGB IX zur Berechnung des Umfangs der Beschäftigungspflicht, zur Überwachung ihrer Erfüllung und der Ausgleichsabgabe abgefragt werden (Datensparsamkeit, Datenvermeidung).
Darunter befinden sich diejenigen personenbezogenen Daten, die der Arbeitgeber nach § 163 Abs. 1 SGB IX im Verzeichnis der bei ihm beschäftigten "schwerbehinderten, ihnen gleichgestellten behinderten Menschen und sonstigen anrechnungsfähigen Personen" laufend zu führen hat.
Im Einzelnen sind dies:
- Vor- und Nachname
- Geschlecht
- Geburtsdatum
- Geschäftsführer/in einer GmbH (u. a.) ja / nein
- Arbeitszeit pro Woche (über oder unter 18 Stunden)
- Ein- und ggf. Austrittsdatum
- Ggf. Ausbildungsbeginn und -ende
- Personengruppe
sowie für den Nachweis über die Anrechenbarkeit:
- Ausstellende Dienststelle
- Ausweis-Nummer bzw. Aktenzeichen
- Gültigkeitszeitraum
Bitte beachten Sie: In IW-Elan können die eingegebenen Daten nur manuell von der Anwenderin oder dem Anwender gelöscht werden. Eine automatische Löschung der Daten nach dem Versand der Anzeige oder nach einem bestimmten Zeitraum ist nicht vorgesehen!
Sobald ein ganzer Arbeitgeber- oder Nebenbetriebsdatensatz aus der Anwendung gelöscht wird, werden auch alle ihm zugeordneten Daten gelöscht.
Die gesamte Datenbank der Anwendung kann gelöscht werden über die Anwendung im Menü „Extras“ > „Datenbank löschen“ oder über den Dateimanager durch das Löschen des Arbeitsverzeichnisses elan[Anzeigejahr] bzw. den Unterordner elan[Anzeigejahr]/ElanLokal[Anzeigejahr].
Bei der Standardinstallation von IW-Elan wird die IW-Elan-Datenbank auf der lokalen Festplatte des Rechners bzw. im persönlichen Benutzerprofil des Anwenders abgelegt. Der Computer, auf dem IW-Elan installiert wird, muss den grundsätzlichen Anforderungen der IT-Sicherheit entsprechen (Zugangskontrolle, Passwortschutz etc.), siehe oben (BSI-Informationen). So ist gewährleistet, dass nur der/die berechtigte Nutzer/in auf die eingegebenen Daten zugreifen kann.
Wenn IW-Elan durch mehrere Mitarbeiter/innen genutzt werden soll, ist das auf zwei Arten möglich:
1. Dezentrale Erfassung: Mehrere Anwender nutzen gesonderte IW-Elan-Datenbanken
(Die Vorgehensweise ist in der IW-Elan-Gesamthilfe, Kapitel "IW-Elan Vorgehensweise / Verzeichnisse von Nebenbetrieben / Dienststellen werden an unterschiedlichen Arbeitsplätzen bearbeitet" genauer beschrieben.)
Bei dieser Variante kann wie bei der Standardinstallation jede/r Anwender/in nur auf die Daten seiner lokalen IW-Elan-Datenbank zugreifen. So können bei Arbeitgebern mit mehreren Nebenbetrieben eigenständige Verzeichnisse angelegt werden, die nur vom Bearbeiter eingesehen werden können.
Zur Erstellung der Gesamtanzeige müssen diese Daten aus der lokalen Datenbank exportiert und an den Bearbeiter der Gesamtanzeige übermittelt werden. Nutzen Sie zur Übermittlung nur gesicherte Übertragungswege.
Achtung: Pro Betriebsnummer kann nur ein Datensatz angelegt werden. Die Zusammenführung mehrerer Datensätze mit der gleichen Betriebsnummer ist nicht möglich!
2. Nutzung der Option "Arbeitsverzeichnis wechseln" zur gemeinsamen Nutzung der IW-Elan-Datenbank durch mehrere Anwender/innen
(Weitere Informationen dazu finden Sie in der IW-Elan-Gesamthilfe)
Diese Vorgehensweise empfiehlt sich, wenn mehrere Mitarbeiter/innen Datensätze mit der gleichen Betriebsnummer pflegen oder prüfen sollen. Dabei können alle zugewiesenen Anwender/innen auf alle Daten zugreifen, die in dieser Datenbank eingegeben wurden. Wenn in der gemeinsamen Datenbank mehrere Arbeitgeber oder Nebenbetriebe angelegt werden, muss sichergestellt sein, dass alle zugewiesenen Mitarbeiter/innen zum Zugriff auf die gesamten Daten befugt sind.
Achtung: Auf das Verzeichnis, das als neuer Datenpfad bzw. Arbeitsverzeichnis gewählt wird, dürfen nur die berechtigten Anwender/innen Zugriff haben. Die dort abgelegte Datenbank kann sonst von jedem Arbeitsplatz aus geöffnet werden, an dem IW-Elan installiert ist!
Zur Abgabe der Anzeige bietet IW-Elan zwei Möglichkeiten zur Auswahl an:
- Ausdruck der Anzeige, Abgabe in Papierform auf dem Postweg
- Elektronischer Versand über eine SSL (Secure Socket Layer) verschlüsselte HTTPS-Verbindung an einen zentralen Empfangsserver der Bundesagentur für Arbeit.
Dazu muss auf dem Computer des Anwenders ein Browser mit einer Verschlüsselungsstärke von mindestens 256-bit vorliegen. Diese Versandform wird von IW-Elan erst im Anschluss an die Überprüfung der Verschlüsselungsstärke angeboten. Die Adresse des Empfangsservers ist vom System fest vorgegeben und kann vom Anwender nicht geändert werden.
Da sich das Bundesdatenschutzgesetz nur an den Anwender von Software wendet, kann das Institut der deutschen Wirtschaft Köln als Hersteller der Software IW-Elan keine globale datenschutzrechtliche Freigabe bewirken. Dies muss jeweils vom Anwender oder von der Anwenderin für seine spezielle Anwendungssituation erfolgen.
Man unterscheidet folgende datenschutzrechtliche Regelungen:
1. Bundesdatenschutzgesetz
Das Bundesdatenschutzgesetz gilt für alle Bundesbehörden sowie für alle nichtöffentlichen Stellen (= private Arbeitgeber).
Die Kontrolle der Einhaltung der Bestimmungen des Bundesdatenschutzgesetzes durch nichtöffentliche Stellen ist den Ländern übertragen. Diese haben hierfür entweder gesonderte Landesdatenschutzbeauftragte eingerichtet (z. B. Nordrhein-Westfalen), lassen die Kontrolle durch die Behörden der Innenministerien (Bezirksregierungen bzw. Regierungspräsidenten) ausüben, oder haben eigene Aufsichtsbehörden eingerichtet (z. B. das Landeszentrum für Datenschutz Schleswig Holstein). Der Bundesbeauftragte für Datenschutz ist damit nur für Bundesbehörden zuständig.
2. Landesdatenschutzgesetz
Die Landesdatenschutzgesetze gelten für die Landesbehörden. Nur wenn ein landeseigenes Datenschutzgesetz nicht existiert, kommt das Bundesdatenschutzgesetz auch für die Behörden dieses Landes zu Anwendung. Soweit ersichtlich, haben aber alle Länder ein eigenes Datenschutzgesetz erlassen.
Bundesdatenschutzgesetz und die Landesdatenschutzgesetze stehen gleichwertig nebeneinander. Welches Gesetz Anwendung findet, richtet sich danach, ob Landesbehörden, Bundesbehörden oder sogenannte nichtöffentliche Stellen vorliegen.
Kontrollmechanismen
Die einzelnen Gesetze sehen unterschiedliche Kontrollmechanismen vor. So muss unterschieden werden zwischen Meldepflicht, Freigabe und Vorabkontrolle.
- Wenn eine Meldepflicht besteht (die nur wenige Landesgesetze generell vorsehen und ansonsten nur dann bestehen kann, wenn kein innerbetrieblicher Datenschutzbeauftragter oder keine innerbetriebliche Datenschutzbeauftragte bestellt wurde), muss das Vorhaben des Einsatzes eines automatisierten Datenverarbeitungsprogramms der Aufsichtsbehörde (s.o.) gemeldet werden.
- Nach einigen Landesgesetzen dürfen solche Programme erst nach Freigabe durch den behördlichen Datenschutzbeauftragten oder durch die behördliche Datenschutzbeauftragte eingesetzt werden.
- Bei der sog. Vorabkontrolle , die das Bundesdatenschutzgesetz und die meisten Landesdatenschutzgesetze vorsehen, muss der beabsichtigte Einsatz eines Programms, das "sensible Daten" verarbeitet (was bei IW-Elan der Fall ist), dem innerbetrieblichen Datenschutzbeauftragen oder der innerbetrieblichen Datenschutzbeauftragten gemeldet werden, dem allerdings kein Genehmigungsrecht zusteht. Vielmehr hat der/die Datenschutzbeauftragte nach Durchführung der Prüfung lediglich eine schriftliche Stellungnahme abzugeben, die den Betrieb nicht bindet.
In manchen Landesdatenschutzgesetzen ist die Vorabkontrolle etwas anders ausgestaltet. Hier wird diese von der das Programm einsetzenden Stelle selbst durchgeführt. Das Ergebnis der Prüfung wird dann dem/der behördlichen Datenschutzbeauftragen gemeldet.
In Zweifelsfällen hat sich der/die Datenschutzbeauftragte dann an die Aufsichtsbehörde zu wenden.