SecureDataService Dipl. Ing. (FH) Nicholas Vollmer
Priorstraße 63
41189 Mönchengladbach
Telefon: 02166/96523-30
www.SecureDataService.de

News

Lohn- und Gehaltsabrechnung mit Vertrag

von: Nicholas Vollmer, (Kommentare: 0)

Viele Unternehmen lassen die Lohn- und Gehaltsabrechnung durch den eigenen Steuerberater durchführen.

Bis zum 25.05.2018 war man sich einig: Wenn der Steuerberater diese Arbeiten durchführte UND gleichzeitig auch die "normale" Steuerberatung leistete, dann unterlagen alle Arbeiten dem Steuerberater-Mandat. Insofern handelte es sich NICHT um eine Auftrags(daten)verarbeitung und es bedurfte auch keinerlei spezieller Verträge.

Für die bisherige Rechtsauslegung finden sich viele Belege, wie beispielsweise:

  • Tätigkeitsbericht Brandenburg 2012/2013 Seite 58
  • PinG 02/2014 Seite 77
  • Zeitschrift für Datenschutz 10/2015 Seite 462
  • zahlreiche Quellen genannt im Kapitel 3.3.2 des TOM-Guide®

Diese herrschende Meinung will die Datenschutz-Aufsichtsbehörde in Nordrhein-Westfalen nun kippen. Siehe

https://www.ldi.nrw.de/mainmenu_Aktuelles/Inhalt/Datenverarbeitung-in-der-Steuerberatung/Datenverarbeitung-in-der-Steuerberatung.html

Dort finden wir die folgenden Aussagen:

Bei gemischten Tätigkeiten – eigenverantwortliche Steuerberatung sowie weisungsgebundene Dienstleistungen  – ist zu differenzieren: Im Hinblick auf weisungsgebundene Dienstleistungen ist eine Auftragsverarbeitung  gegeben, im Hinblick auf die Beauftragung mit Tätigkeiten aufgrund steuerberatungsrechtlicher Vorschriften eine Datenverarbeitung in eigener Verantwortung.

Übermittelt zum Beispiel ein Arbeitgeber im Zusammenhang mit der Erstellung des Jahresabschlusses auch Daten zum Zwecke der Lohn- und Gehaltsabrechnung an den Steuerberater, so liegt hinsichtlich dieser untergeordneten Tätigkeit keine Datenverarbeitung in eigener Verantwortung vor.

Mit anderen Worten: Zigtausende Unternehmen müssen nun einen Vertrag zur Auftragsverarbeitung im Sinne des Artikel 28 DS-GVO mit dem Steuerberater abschließen. Ohne diesen Vertrag darf streng genommen schon die kommende Lohn- und Gehaltsabrechnung nicht mehr durchgeführt werden.

Nun ist dieser Vertragsabschluss keine reine Formalität, denn gemäß Erwägungsgrund 81 sollte ein Verantwortlicher, der einen Steuerberater mit Verarbeitungstätigkeiten betrauen will, nur Steuerberater heranziehen, die — insbesondere im Hinblick auf Fachwissen, Zuverlässigkeit und Ressourcen — hinreichende Garantien dafür bieten, dass technische und organisatorische Maßnahmen — auch für die Sicherheit der Verarbeitung — getroffen werden, die den Anforderungen dieser Verordnung genügen.

Diese neue Rechtsauffassung wird seitens der NRW-Aufsichtsbehörde nicht begründet und insofern wird es schwer fallen, die absehbaren Konfrontationen mit den Steuerberatern zu bestehen. Denn garantiert werden die Steuerberater darauf beharren, dass sich an der bestehenden Rechtslage nichts geändert hat. Was soll man dem fundiert entgegensetzen?

Die Einschätzung der NRW-Aufsichtsbehörde schlägt einmal mehr eine schwere Wunde in den betrieblichen Datenschutz.

[Neu am 30.07.2018: Die Aufsichtsbehörde in Bayern hat der obigen Ansicht widersprochen.]

Die Steuerberater geben zu bedenken, dass auch im Rahmen der Lohn- und Gehaltsrechnung natürlich eine intensive fachliche Beratung stattfindet. Dieses Thema ist sehr viel umfassender als eine rein mechanische Eingabe (und Weiterverarbeitung) von Daten. Das leuchtet absolut ein. Insofern würde es sich NICHT um eine rein weisungsgebundene Tätigkeit handeln.

Welche Möglichkeiten hat der Verantwortliche?

  1. Ignorieren. Man könnte diese Mitteilung der NRW-Aufsichtsbehörde als eine abweichende Einzelmeinung ansehen und erstmal warten. Ganz sicher wird sich die Bundessteuerberaterkammer bald zu Wort melden. Man könnte abwarten, zu welchem Ergebnis der Schlagabtausch kommen mag. Allerdings muss man in der Zwischenzeit damit rechnen, dass man in den Fokus der NRW-Aufsichtsbehörde gerät und möglicherweise ein Bußgeld droht.

  2. Handeln. Der Steuerberater wird gebeten einen Datenschutzvertrag zu liefern und seine technisch-organisatorischen Maßnahmen nachzuweisen. Möglicherweise werden die Steuerberaterkammern entsprechende Vorlagen liefern. Allerdings ist es mit der reinen Vertragsformalität allein nicht getan. Der Verantwortliche muss nachweisen können, dass sein Steuerberater die ca. 50 datenschutzrechtlichen Pflichten wirklich einhält. Das alles muss sehr zügig vonstatten gehen.

Fazit: Einmal mehr machen es die Aufsichtsbehörden spannend. Ohne konkrete Herleitungen wird die herrschende Meinung in Frage gestellt. Das stellt die Verantwortlichen vor zusätzliche Probleme.

Interessieren Sie sich für solche Themen? Dann werfen Sie einen Blick auf unseren PrivazyPlan®; eine ausführliche Leseprobe wird Sie überzeugen. Die ca. 50 Pflichten der DS-GVO sind machbar!

© Das Urheberrecht dieser Meldung liegt bei Nicholas Vollmer. Sie dürfen diesen Text nicht unverändert übernehmen und bei umfangreichen Zitaten den Urheberrechts-Hinweis nicht entfernen.

EU-Leitfaden zum Thema "Einwilligung"

von: Nicholas Vollmer, (Kommentare: 0)

Für ein besseres Verständnis der EU Datenschutz-Grundverordnung (DS-GVO) bzw. der EU-einheitlichen Anwendung veröffentlicht die Artikel-29-Datenschutzgruppe eine Vielzahl an Leitlinien.

Die interessantesten Dokumente haben wir Ihnen zusammengestellt unter www.privazyplan.eu/article29.

Speziell zum Thema "Einwilligung" gemäß Artikel 7 wurde die Leitlinie am 07.06.2018 nun auch in Deutsch übersetzt. Das erleichtert das Verständnis ganz enorm. Die 37 Seiten auf Englisch waren wirklich nicht leicht verständlich.

Trotzdem bleibt es dabei: Die formellen und inhaltlichen Anforderungen an Einwilligungen sind sehr hoch!

 

Interessieren Sie sich für solche Themen? Dann werfen Sie einen Blick auf unseren PrivazyPlan®; eine ausführliche Leseprobe wird Sie überzeugen. Die ca. 50 Pflichten der DS-GVO sind machbar!

© Das Urheberrecht dieser Meldung liegt bei Nicholas Vollmer. Sie dürfen diesen Text nicht unverändert übernehmen und bei umfangreichen Zitaten den Urheberrechts-Hinweis nicht entfernen.

Betriebliche Nutzung von WhatsApp ist illegal

von: Nicholas Vollmer, (Kommentare: 0)

Der US-amerikanische Messanger WhatsApp ist ein sehr beliebtes Mittel, um mit anderen Personen über das Smartphone in Kontakt zu bleiben.

Doch es gibt datenschutzrechtliche Probleme, weil WhatsApp in aller Regel die gespeicherten "Kontakte" zwangsläufig ausliest und an die US-amerikanische Firma sendet. Kritisch ist dies in Bezug auf jene Personen in den "Kontakten", die selbst keine WhatsApp-Nutzer sind und mit dem Konzern vielleicht bewusst nichts zu tun haben wollen. Ja, solche Menschen soll es geben!

Diese Problematik wurde spätestens am 15.05.2017 klar, wo eine Mutter verklagt wurde (AG Bad Hersfeld, 15.05.2017 - F 120/17 EASO).

Gut ein Jahr später hat nun die Landesdatenschutz-Aufsichtsbehörde in Niedersachsen im Juli 2018 ganz ausführlich Stellung genommen und begründet, warum die betriebliche WhatsApp-Nutzung gegen Artikel 25 (1) DS-GVO verstößt:

http://www.lfd.niedersachsen.de/download/132861/Merkblatt_fuer_die_Nutzung_von_WhatsApp_in_Unternehmen.pdf

Dieser Verstoß kann gemäß Artikel 83 (4a) DS-GVO ein Bußgeld nach sich ziehen. Interessanterweise weist die Aufsichtsbehörde nicht auf diese Tatsache hin.

Schlussendlich muss man die "typische" betriebliche Nutzung von WhatsApp wohl als illegal einstufen. Weil das Auslesen der Smartphone-Kontakte wiederholt stattfindet, stellt jede weitergehende Nutzung wohl einen fortlaufenden Datenschutzverstoß dar.

Analog zu den Facebook-Fanpages kann man wohl auch hier bei WhatsApp eine "gemeinsame Verantwortlichkeit" im Sinne des Artikel 26 sehen, denn jeder einzelne WhatsApp-Nutzer kann selbst bestimmen, ob er den Zugriff auf die "Kontakte" seines Smartphones erlaubt. Insofern kann die Aufsichtsbehörde auch in dieser Hinsicht gegen jeden einzelnen Nutzer vorgehen. (Auch auf diesen Aspekt hat die Aufsichtsbehörde nicht hingewiesen.)

Es wird wohl nicht lange dauern, bis die Aufsichtsbehörden offiziell mit Bußgeldern drohen. In der Zwischenzeit wäre es auch denkbar, dass Anwälte gezielt Abmahnungen schreiben, weil sich ein Unternehmen einen Wettbewerbsvorteil verschafft, indem es gegen Datenschutzbestimmungen verstößt.

Was kann man tun?

  1. WhatsApp deinstallieren. Auf einen anderen Messanger ausweichen (Signal, Threema, ...).

  2. Alle Personen, die in den "Kontakten" des Smartphones gespeichert sind um Einwilligung bitten. Dabei sind die hohen Anforderungen des Artikel 7 DS-GVO zu erfüllen sind. Wenn auch nur eine einzige Person dies verweigert oder widerruft, dann steht man wieder am Anfang.

  3. Ein separates Smartphone verwenden, wo nur jene Personen in den "Kontakten" gespeichert werden, die selbst auch WhatsApp-Nutzer sind. Das ist natürlich sehr umständlich. Außerdem ist fraglich, wie man reagieren soll, wenn jene Personen die Nutzung beendet haben und dies nicht vorab per WhatsApp mitteilen (damit alle anderen den Eintrag in den "Kontakten" löschen können).

  4. Kontakte im verschlüsselten Container isolieren. Nicht wenige Unternehmen setzen ein "mobile device management" (MDM) ein, um die betrieblichen und privaten Daten voneinander zu trennen. Siehe Kapitel 11.5.5 im Praxishandbuch TOM-Guide®. Beispiele hierfür sind MS-Intune, SecurePIM, Android for work, Samsung Knox und viele mehr. Bei korrekter Konfiguration wäre dann gewährleistet, dass WhatsApp keine Kontaktdaten von unbeteiligten Dritten ausliest und nutzt. [Diese Option wurde am 06.07.2018 hinzugefügt.]

  5. Die Rechtslage ignorieren und hoffen, dass WhatsApp möglichst schnell nachbessert und den pauschalen Zugriffs-Zwang auf die "Kontakte" abschaltet. Programmiertechnisch wäre dies ein Leichtes. Die Frage ist wohl nur, ob sich WhatsApp rechtskonform verhalten möchte. Dem Aktienkurs sollte eine solche Maßnahme eigentlich zuträglich sein.

 

[Nachtrag m 06.08.2018: Alternativen zu WhatsApp werden hier verglichen.]

Interessieren Sie sich für solche Themen? Dann werfen Sie einen Blick auf unseren PrivazyPlan®; eine ausführliche Leseprobe wird Sie überzeugen. Die ca. 50 Pflichten der DS-GVO sind machbar!

© Das Urheberrecht dieser Meldung liegt bei Nicholas Vollmer. Sie dürfen diesen Text nicht unverändert übernehmen und bei umfangreichen Zitaten den Urheberrechts-Hinweis nicht entfernen.

Neuer Vertrag mit Google Analytics

von: Nicholas Vollmer, (Kommentare: 0)

Viele Unternehmen analysieren die Nutzung ihrer Website mittels spezieller Programme.

Eines davon ist Google Analytics.

Die Fachzeitschrift "Datenschutz PRAXIS" berichtet in der Ausgabe 07/2018 über den datenschutzkonformen Einsatz von Google Analytics. Mittlerweile bietet google einen neuen Vertrag an, den alle Kunden wohl zeitnah "unterschreiben" sollten.

Und das geht so:

  1. Loggen Sie sich in Ihr Benutzerkonto ein
  2. Klicken Sie auf "Verwaltung"
  3. Klicken Sie auf "Kontoeinstellungen"
  4. Scrollen Sie bis "Zusatz zur Datenverarbeitung"
    - Klicken Sie auf "Zusatz anzeigen"
    - Es öffnet sich ein Fenster; lesen Sie den Inhalt; klicken Sie auf "Fertig"
    - Klicken Sie auf "Details zum Zusatz verwalten"
    - Geben Sie die Details zu Ihrem Unternehmen und Ihren Kontaktpersonen an.
    - Klicken Sie auf "Speichern"

Damit ist der neue Vertrag abgeschlossen. Wie das Endergebnis aussieht, können wir an dieser Stelle nicht sagen, weil wir keinen Google Analytics Account haben.

Außerdem hat Google Analytics auch eine neue Einstellung hinsichtlich der Löschung der Daten: Unter "Verwaltung / Tracking Informationen / Datenaufbewahrung" können Sie die Daten z.B. nach 14 Monaten löschen lassen.

Übrigens: Das Thema "Nutzungsstatistiken" ist seit April 2018 besonders schwierig, weil die deutschen Aufsichtsbehörden ein sehr "interessantes" Positionspapier veröffentlicht hatten.

 

Interessieren Sie sich für solche Themen? Dann werfen Sie einen Blick auf unseren PrivazyPlan®; eine ausführliche Leseprobe wird Sie überzeugen. Die ca. 50 Pflichten der DS-GVO sind machbar!

© Das Urheberrecht dieser Meldung liegt bei Nicholas Vollmer. Sie dürfen diesen Text nicht unverändert übernehmen und bei umfangreichen Zitaten den Urheberrechts-Hinweis nicht entfernen.

PrivazyPlan® im Mai 2018

von: Nicholas Vollmer, (Kommentare: 0)

Unser Praxisleitfaden PrivazyPlan® wurde im Mai 2018 an 56 Stellen aktualisiert und erweitert. Der Umfang beträgt nun 416 Seiten. Die wichtigsten neuen Themen finden Sie hier:

http://www.privacy-regulation.eu/privazyplan/2018_mai.htm

In 2 Wochen wird die EU-Datenschutz-Grundverordnung wirksam! Der 25. Mai 2018 rückt näher

 

Interessieren Sie sich für solche Themen? Dann werfen Sie einen Blick auf unseren PrivazyPlan®; eine ausführliche Leseprobe wird Sie überzeugen. Die ca. 50 Pflichten der DS-GVO sind machbar!

© Das Urheberrecht dieser Meldung liegt bei Nicholas Vollmer. Sie dürfen diesen Text nicht unverändert übernehmen und bei umfangreichen Zitaten den Urheberrechts-Hinweis nicht entfernen.