PRZETWARZANIE I OCHRONA DANYCH OSOBOWYCH W ORGANIZACJACH BRANŻY IT OBOWIĄZKI, INCYDENTY, SANKCJE PRAWNE I FINANSOWE W ŚWIETLE REGULACJI RODO

Transkrypt

1

2 PRZETWARZANIE I OCHRONA DANYCH OSOBOWYCH W ORGANIZACJACH BRANŻY IT OBOWIĄZKI, INCYDENTY, SANKCJE PRAWNE I FINANSOWE W ŚWIETLE REGULACJI RODO Prowadzący: dr inż. Jarosław Wąsiński Auditor Jednostki Certyfikującej TÜV Hessen

3 ANKIETA kod:

4 TÜV HESSEN to marka TÜV. To jedna z wiodących, międzynarodowych organizacji z zakresu dostarczania sprawdzonych i innowacyjnych rozwiązań dla branży medycznej oraz sektora usługowego. Jesteśmy zwolennikami filozofii optymalnego wykorzystania technologii, systemów i KNOW-HOW. ISO 9001 ISO PN-N / BS OHSAS ISO/IEC CAF ISO (System Zarządzania Jakością dla Wyrobów Medycznych) HACCP ISO ISO / IEC ISO / EN Systemy zintegrowane

5 Systemy Zarządzania > ISO/IEC > SoA > RODO [ GDPR ] NORMY ISO > > ISO/IEC 27001:2013 ISO/IEC > > > Zarządzanie Bezpieczeństwem Informacji Poprawnie wdrożony i certyfikowany System Zarządzania Bezpieczeństwem Informacji wg ISO/IEC pomaga w ochronie zasobów informacji organizacji. To podstawowy argument, który pokrywa się z licznymi wymaganiami prawnymi, takimi jak; np. Ochrona Danych Osobowych.

6 Systemy Zarządzania > ISO/IEC > SoA > RODO [ GDPR ] > > ISO/IEC 27001:2013 ISO/IEC > > > Zarządzanie Bezpieczeństwem Informacji Ochrona Danych Osobowych NORMY ISO

7 BEZPIECZEŃSTWO INFORMACJI W MAŁYCH FIRMACH Stosowanie wymagań normy ISO/IEC zamieszczonych w załączniku A na podstawie danych z 50 firm Funkcjonowanie wybranych elementów systemu zarządzania bezpieczeństwem informacji wynika ze spełnienia wymagań zamieszczonych w załączniku A (załączniku normatywnym) do normy ISO/IEC Stosowanie się firm do tej grupy wymagań wynika z faktu: > występowania elementów wspólnych stosowanych systemów zarządzania jakością i normy ISO/IEC 27001; > zastosowania wymaganych rozwiązań w momencie wdrażania kupionego oprogramowania lub nabycia usług informatycznych od dostawców.

8 PODSTAWOWE PROBLEMY W OBSZARZE BEZPIECZEŃSTWA INFORMACJI W FIRMACH > brak sformułowanego dokumentu o tytule polityki w zakresie bezpieczeństwa informacji, tym samym prawidłowego jej przeglądu przez kierownictwo pod względem adekwatności, > szczątkowo spisane deklaracje o charakterze polityki, identyfikowane nie w jednym, lecz w różnych dokumentach firmowych, > brak udokumentowania lub niepełny zakres sformułowania odpowiedzialności dotyczącej bezpieczeństwa, > brak niezależnych przeglądów w obszarze bezpieczeństwa,

9 PODSTAWOWE PROBLEMY W OBSZARZE BEZPIECZEŃSTWA INFORMACJI W FIRMACH > brak identyfikacji ryzyk związanych ze stronami zewnętrznymi (np. kontrahentami), > niepełne dyspozycje w zakresie bezpieczeństwa informacji w kontaktach z klientami oraz w umowach ze stronami trzecimi, > brak wymaganych klauzul w zakresie bezpieczeństwa informacji w umowach zawartych z pracownikami, > niewystarczająco określona odpowiedzialność pracownika co do naruszeń bezpieczeństwa danych oraz jego obowiązków w tym zakresie. Najczęściej nie ustanawia się postępowania dyscyplinarnego w przypadku naruszenia bezpieczeństwa,

10 PODSTAWOWE PROBLEMY W OBSZARZE BEZPIECZEŃSTWA INFORMACJI W FIRMACH > bardzo rzadko przeprowadzane szkolenia o tematyce bezpieczeństwa informacji lub prowadzone w bardzo wąskim (szczątkowym) zakresie tematycznym, > w nieodpowiedni sposób egzekwowany zwrot aktywów (dokumentów i danych) po zakończeniu codziennej pracy lub w sytuacji zwolnień pracowników. Przedstawiciele organizacji mają trudności z ustaleniem liczby dokumentów tworzonych przez pracowników jako następstwo pracy w domu prowadzonej w nienadzorowany sposób,

11 PODSTAWOWE PROBLEMY W OBSZARZE BEZPIECZEŃSTWA INFORMACJI W FIRMACH > brak lub niepełne dyspozycje w zakresie zapewnienia funkcjonowania organizacji podczas zdarzeń kryzysowych - wstrzymujących jej normalną pracę (np. podczas awarii systemów informatycznych). Użytkowane dokumenty dotyczące postępowania w sytuacjach kryzysowych nie zawierają szczegółowych wytycznych, są trudne do walidacji (testowania i stosowania), a ich skuteczność może być niska.

12 PODSTAWOWE PROBLEMY W OBSZARZE BEZPIECZEŃSTWA INFORMACJI W FIRMACH > delegowanie, przez 98% firm, procesu zarządzanie własną stroną INTERNETOWĄ, specjalistycznym firmom zewnętrznym, > fizyczne umieszczone na serwerach nadzorowanych przez firmy zewnętrzne zawartości strony internetowej przedsiębiorstwa i aplikacji do obsługi procesów, przy czym zaobserwowano, że pracownicy usługodawców, szczególnie w sytuacji częstych rotacji na stanowiskach pracowniczych, posiadają niewielką wiedzą na temat zabezpieczenia znajdujących się tam informacji,

13 PODSTAWOWE PROBLEMY W OBSZARZE BEZPIECZEŃSTWA INFORMACJI W FIRMACH > niska świadomość kierownictwa co do treści umów podpisywanych z dostawcami usług informatycznych. Zarządzający pytani o bezpieczeństwo informacji w Internecie oraz dysków sieciowych obsługiwanych przez serwery zewnętrzne najczęściej odpowiadali, że reguluje to umowa ze specjalistyczną firmą, przy czym zazwyczaj nie byli świadomi znaczenia klauzul umownych.

14 PODSTAWOWE PROBLEMY W OBSZARZE BEZPIECZEŃSTWA INFORMACJI W FIRMACH > brak w umowach z dostawcami usługi serwerowych wielu kryteriów stanowiących podstawę zapewnienia bezpieczeństwa danych, > brak postanowień o bezpieczeństwie danych w sieci w umowach outsourcingu procesów firmom zewnętrznym pracującym na specjalistycznym oprogramowaniu współpracującym z siecią Internet. Aż 63% firm zleca realizację procesu księgowości oraz 50% firm prowadzenie spraw kadrowych firmom zewnętrznym, > niepełne dyspozycje dla elektronicznego obiegu dokumentacji, który w praktyce jest podstawą jest wzorcem dla dokumentu na tradycyjnym (papierowym) nośniku,

15 PODSTAWOWE PROBLEMY W OBSZARZE BEZPIECZEŃSTWA INFORMACJI W FIRMACH > indywidualne (niezatwierdzone systemowo) zasady nadzoru nad dokumentami (taka dokumentacja jest przydatna jedynie dla pracownika danego stanowiska, ponadto trudna do nadzorowania z uwagi na bezpieczeństwo danych), > brak ustalonych zasad posługiwania się nośnikami elektronicznymi. Powszechne jest używanie wielu egzemplarzy i kopi dokumentów elektronicznych umieszczonych na dyskach komputerów, serwerach, w niezależnych aplikacjach (w poczcie elektronicznej, bazach danych, systemie informatycznym, itp.), w wersjach papierowych (w oryginałach i w postaci tzw. kser). Właściwie w żadnym przypadku nie zaobserwowano ustalonych zasad obchodzenia się z nośnikami danych, dyskami zewnętrznymi, natomiast ich użycie przez pracowników jest powszechne,

16 PODSTAWOWE PROBLEMY W OBSZARZE BEZPIECZEŃSTWA INFORMACJI W FIRMACH > stosowanie oprogramowania antywirusowego i zabezpieczeń przed złośliwym oprogramowaniem, ocenianych w gronie ekspertów jako średniej skuteczności, > brak ustalonych zasad dotyczących wykorzystywania poczty elektronicznej do przesyłania informacji ważnych dla organizacji, > brak ustalonego priorytetu ważności, pilności sprawy, tym samym priorytetu bezpieczeństwa przekazywanej informacji jeśli dokument - informacja na nośniku, dla danego działu jest ważny, pilny, to dla innego, w którym dokument przebywa, może nie być tak istotny.

17 PODSTAWOWE PROBLEMY W OBSZARZE BEZPIECZEŃSTWA INFORMACJI W FIRMACH > przyzwoicie funkcjonujące zabezpieczenia dostępu jak: kontrola dostępu do sieci, kontrola dostępu do systemów operacyjnych, kontrola dostępu do aplikacji skutkująca posługiwaniem się hasłami dostępu do komputera i koniecznością logowania do zakładowego systemu. Jednak pomimo stosowanych zabezpieczeń znaczna część pracowników nie ma nawyku wygaszania systemu przy opuszczaniu stanowisk pracy tzw. polityki czystego ekranu monitora, toteż dostęp do komputera innych osób jest w tym momencie nieograniczony.

18 PODSTAWOWE AKTY PRAWNE W OBSZARZE OCHRONY DANYCH OSOBOWYCH > Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (t.j. Dz. U. z 2016 r., poz. 922 z późn. zm.) > Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024) > Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 11 grudnia 2008 r. w sprawie wzoru zgłoszenia zbioru danych do rejestracji Generalnemu Inspektorowi Danych Osobowych (Dz. U. Nr 229, poz. 1536)

19 PODSTAWOWE AKTY PRAWNE W OBSZARZE OCHRONY DANYCH OSOBOWYCH > Rozporządzenie Rady Ministrów z dnia 29 maja 2012 r. w sprawie środków bezpieczeństwa fizycznego stosowanych do zabezpieczenia informacji niejawnych (Dz. U. z 2012 r., poz. 683) > Rozporządzenie Ministra Administracji i Cyfryzacji z dnia 10 grudnia 2014 r. w sprawie wzorów zgłoszeń powołania i odwołania administratora bezpieczeństwa informacji (Dz. U. z 2014 r., poz. 1934) > Rozporządzenie Ministra Administracji i Cyfryzacji z dnia 11 maja 2015 r. W sprawie trybu i sposobu realizacji zadań w celu zapewnienia przestrzegania przepisów o ochronie danych osobowych przez administratora bezpieczeństwa informacji (Dz. U. z 2015 r., poz. 745)

20 ROZPORZĄDZENIE PARLAMENTU EUROPEJSKIEGO I RADY (UE) 2016/679 z dnia 27 kwietnia 2016r.) w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) 25 maja 2018r. START

21 ROZPORZĄDZENIE PARLAMENTU EUROPEJSKIEGO I RADY (UE) 2016/679 Kryteria nowych regulacji w zakresie bezpieczeństwa danych osobowych: > Jednolite klauzule prawne > Wymagania adekwatne do rodzaju przedsiębiorstwa > Sankcje karne większa skuteczność respektowania prawa > Składanie skarg do GIODO (ułatwienia) > Ochrona prywatności działania zamierzone > Inspektor Ochrony Danych (zastępstwo dla ABI)

22 ROZPORZĄDZENIE PARLAMENTU EUROPEJSKIEGO I RADY (UE) 2016/679 Kryteria nowych regulacji w zakresie bezpieczeństwa danych osobowych: > Ocena skutków przetwarzania > Nowe obowiązki i ograniczenia dla podwykonawców (procesorów) > Administratorzy i grupy organizacji > Sprawozdania do GIODO w następstwie naruszeń > Dane wrażliwe dane szczególnych kategorii > Działania związane z profilowaniem

23 ROZPORZĄDZENIE PARLAMENTU EUROPEJSKIEGO I RADY (UE) 2016/679 Kryteria nowych regulacji w zakresie bezpieczeństwa danych osobowych: > Obowiązki informacyjne wobec osób fizycznych > Przetwarzanie danych osobowych dzieci

24 SANKCJE KARNE WIĘKSZA SKUTECZNOŚĆ RESPEKTOWANIA PRAWA > Rozporządzenie wprowadza nowe sankcje za naruszanie przepisów. > Obecnie kary za nieprzestrzeganie przepisów są względnie niskie ich egzekwowanie jest mało skuteczne grzywna ma zastosowanie za permanentne uchylanie się od usuwania niezgodności (niska szkodliwość społeczna zachęcała do nieprzestrzegania prawa). > Rozporządzenie RODO przewiduje maksymalne kary do 20 mln EURO (do 4% rocznego światowego obrotu dla firmy zastosowanie ma kwota wyższa) za naruszenie istotnych przepisów ochrony danych osobowych > Rozporządzenie RODO przewiduje kary do 10 mln EURO (do 2% rocznego światowego obrotu dla firmy zastosowanie ma kwota wyższa) za naruszenie przepisów mniejszej rangi.

25 SANKCJE KARNE WIĘKSZA SKUTECZNOŚĆ RESPEKTOWANIA PRAWA > Każdy przypadek naruszenia będzie rozpatrywany indywidualnie przez GIODO przy uwzględnieniu: - skali naruszenia przepisu, - przesłanek wskazujących na umyślność działania, - działań podjętych celem ograniczenia negatywnych skutków względem osób, których dane dotyczą, - częstotliwości naruszania przez organizację przepisów, rodzaju danych osobowych, - warunków współpracy organizacji z GIODO.

26 OCHRONA PRYWATNOŚCI DZIAŁANIA ZAMIERZONE > Ochrona danych ma być atrybutem wpisywanym w systemy już na etapie projektowania. > Powinna być właściwością domyślną bez konieczności inicjowania działań przez osoby, których dane dotyczą. > Działania związane ze spełnieniem wymagań prawnych można wykazać między innymi poprzez wprowadzenie zatwierdzonego mechanizmu certyfikacji. > Za nieprzestrzeganie przepisów na etapie projektowania Rozporządzenie RODO przewiduje kary do 10 mln EURO (do 2% rocznego światowego obrotu dla firmy zastosowanie ma kwota wyższa).

27 INSPEKTOR OCHRONY DANYCH > Zamiast ABI powołuje się IOD IOD należy wyznaczyć gdy: - przetwarzania dokonują organ lub podmiot publiczny,(z wyłączeniem sądów); - podstawowa działalność administratora lub podmiotu przetwarzającego dotyczy operacji przetwarzania, a charakter, zakres danych lub cele działań wymagają regularnego monitorowania podmiotów danych na dużą skalę; - podstawowa działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę danych osobowych szczególnych kategorii np.: danych wrażliwych.

28 INSPEKTOR OCHRONY DANYCH > Wyznaczenie IOD, w niektórych przypadkach będzie dotyczyć również podwykonawców (procesorów). > IOD kontaktuje się z osobami, których dane dotyczą. > IOD podlega zarządowi Administratora lub jednostki przetwarzającej. > Grupa podmiotów może powołać wspólnego IOD. > Za niepowołanie IOD przewiduje się kary do 10 mln EURO (do 2% rocznego światowego obrotu dla firmy zastosowanie ma kwota wyższa). > Administrator i procesor musi zagwarantować procesorowi zasoby niezbędne do utrzymania jego wiedzy fachowej.

29 OCENA SKUTKÓW PRZETWARZANIA > Rozporządzenia określa, że jeżeli dany rodzaj przetwarzania z uwagi na charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia prawa, administrator dokonuje oceny skutków przetwarzania. > Oceny skutków należy zawsze dokonywać, gdy: - stosuje się profilowanie, - przetwarza się dane wrażliwe na dużą skalę, - monitoruje się na dużą skalę miejsca publiczne, - przetwarza się dane określone przez GIODO podlegające koniczności oceny skutków naruszenia danych.

30 OCENA SKUTKÓW PRZETWARZANIA > Na ocenę skutków składa się: - opis planowanych operacji przetwarzania i ich celów, - ocena adekwatności operacji przetwarzania w stosunku do celów, - ocena zagrożenia dla prawa i wolności osób, - ocenę środków ograniczających zagrożenia i mających chronić dane osobowe. > Ocena skutków często wymaga wiedzy eksperckiej, ponieważ w przypadku wątpliwości administrator powinien skonsultować się z GIODO. > Za naruszenie obowiązku oceny skutków przewiduje się kary do 10 mln EURO (do 2% rocznego światowego obrotu dla firmy - zastosowania ma kwota wyższa).

31 NOWE OBOWIĄZKI I OGRANICZENIA DLA PODWYKONAWCÓW (PROCESORÓW) > Zakaz podzlecania podwykonawcom przetwarzania danych osobowych bez zgody administratora. > Procesor rejestruje wszystkie kategorie czynności przetwarzania danych osobowych dokonywanych w imieniu administratora (rejestr czynności). > Obowiązek informowania administratora przez procesora w przypadku naruszenia bezpieczeństwa. > Obowiązek podpisania umowy administratora z procesorem przed przekazaniem uprawnień.

32 ADMINISTRATORZY I GRUPY ORGANIZACJI > Administratorzy ustalający wspólne cele współadministratorzy. > Osoba, której dane dotyczą może egzekwować prawa od każdego z administratorów i przeciwko każdemu z nich. > Grupa przedsiębiorstwa przedsiębiorstwa kontrolujące i kontrolowane. > Współadministratorzy mogą dzielić odpowiedzialność i uprawnienia. > Grupa przedsiębiorstw może wyznaczyć jednego IOD.

33 SPRAWOZDANIA DO GIODO W NASTĘPSTWIE NARUSZEŃ > Naruszenie ochrony danych osobowych skutkujące prawdopodobnym ryzykiem naruszenia praw lub wolności osób fizycznych zgłasza się do GIODO bez zbędnej zwłoki ale nie później niż w ciągu 72 godzin (3 dni). > Jeśli ryzyko jest duże, należy informować również właściciela danych wysoki koszt procedury i ryzyko utraty wizerunku. > Jeśli ADO nie ma obowiązku poinformowania GIODO o naruszeniu to i tak musi prowadzić rejestr naruszeń. > Sposób informowania o naruszeniu ma wpływ na wysokość kary. > Konieczne w tym przypadku będzie tworzenie planów awaryjnych ciągłość działania (ISO/IEC 27001).

34 DANE WRAŻLIWE DANE SZCZEGÓLNYCH KATEGORII > Zabrania się przetwarzania danych osobowych ujawniających: - pochodzenie rasowe lub etniczne, - poglądy polityczne, - przekonania religijne lub światopoglądowe, - przynależność do związków zawodowych,

35 DANE WRAŻLIWE DANE SZCZEGÓLNYCH KATEGORII > Zabrania się przetwarzania danych osobowych ujawniających: - danych genetycznych, - danych biometrycznych (nowość) w tym: a) geometria (kształt) twarzy, rozkład punktów charakterystycznych (oczy, usta) lub temperatur na twarzy, b) geometria (kształt) ucha, c) kształt linii zgięcia wnętrza dłoni, d) kształt twarzy, rozkład punktów charakterystycznych (oczy, usta) lub temperatur na twarzy, e) geometria (kształt) ucha, f) układ naczyń krwionośnych na dłoni lub przegubie ręki,

36 DZIAŁANIA ZWIĄZANE Z PROFILOWANIEM > Profilowanie - dowolna forma zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu tych danych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się.

37 DZIAŁANIA ZWIĄZANE Z PROFILOWANIEM > Osoba, której dane dotyczą ma prawo by nie podlegać decyzji opartej na podstawie czynności związanej z profilowaniem jeśli wywiera skutki prawne lub wpływa na nią. > Powyższe nie ma zastosowania, jeśli jest to niezbędne do podpisania umowy lub osoba wyraziła na to zgodę. > Zakaz wykorzystywania do profilowania danych wrażliwych chyba, że osoba wyraziła zgodę, lub działania wpływają na ważny interes publiczny.

38 DZIAŁANIA ZWIĄZANE Z PROFILOWANIEM > Osoba, której dane dotyczą ma prawo by nie podlegać decyzji opartej na podstawie czynności związanej z profilowaniem jeśli wywiera skutki prawne lub wpływa na nią. > Powyższe nie ma zastosowania, jeśli jest to niezbędne do podpisania umowy lub osoba wyraziła na to zgodę. > Zakaz wykorzystywania do profilowania danych wrażliwych chyba, że osoba wyraziła zgodę, lub działania wpływają na ważny interes publiczny. O profilowaniu informujemy na etapie zbierania danych osobowych oraz na wniosek osoby.

39 OBOWIĄZKI INFORMACYJNE WOBEC OSÓB FIZYCZNYCH Dodatkowe kryteria: >Informacja o inspektorze ochrony danych (IOD), > Nazwa i dane kontaktowe przedstawiciela (jeżeli ma zastosowanie), > Prawne podstawy przetwarzania, > Uzasadnienie interesu administratora jeśli stanowi podstawę przetwarzania, > Dane państwa trzeciego jeżeli ma zastosowanie, > Okres przechowywania danych (kryteria ustalenia długości okresu),

40 OBOWIĄZKI INFORMACYJNE WOBEC OSÓB FIZYCZNYCH Dodatkowe kryteria: > Informacja o działaniach związanych z profilowaniem, > Informacja o prawie złożenia skargi do organu nadzorczego, > Podanie skutków niepodania danych jeśli istnieje obowiązek ujawnienia danych,

41 OBOWIĄZKI INFORMACYJNE WOBEC OSÓB FIZYCZNYCH Dodatkowe kryteria: > Prawa osoby, której dane dotyczą, w tym: - usunięcia danych, - ograniczenia przetwarzania, - prawo przenoszenia danych, - prawo do cofnięcia zgody (jeśli wcześniej wyraziła zgodę na przetwarzanie danych).

42 PRZETWARZANIE DANYCH OSOBOWYCH DZIECI > Zgodę może wyrazić dziecko, które ukończyło 16 lat. > Konieczna weryfikacja - czy zgodę wyraziło dziecko, rodzic lub prawny opiekun wymagane wdrożenie racjonalnych rozwiązań weryfikacyjnych. > Zgoda nie jest konieczna w przypadku informacji profilaktycznych, czy doradczych oferowanych bezpośrednio dziecku. > Komunikaty muszą być napisane prostym językiem.

43 Systemy Zarządzania > ISO/IEC 2700 NORMY ISO CERTYFIKACJA ISO/IEC 2700 > > > > MOCNY DOWÓD NA WYKAZANIE NALEŻYTEJ STARANNOŚCI > > W ODPOWIEDZIALNOŚCI KARNEJ

44 Dziękuję za uwagę dr inż. Jarosław Wąsiński Auditor TÜV Hessen

45 ZAPRASZAMY DO WSPÓŁPRACY T:

46 HRS SPÓŁKA Z OGRANICZONĄ ODPOWIEDZIALNOŚCIĄ Partner Jednostki Certyfikującej TÜV Technische Überwachung Hessen GmbH BIURO Wrocław Telefon: Fax: info@hrs-cert.com BIURO Warszawa Telefon: Fax: warszawa@hrs-cert.com BIURO Szczecin Telefon: Fax: szczecin@hrs-cert.com TÜV Technische Überwachung Hessen GmbH BIURO Darmstadt Telefon: Fax: