SecureDataService Dipl. Ing. (FH) Nicholas Vollmer
Priorstraße 63
41189 Mönchengladbach
Telefon: 02166/96523-30
www.SecureDataService.de

News

Website ohne Unterrichtung ist ein Wettbewerbsverstoß

von: Nicholas Vollmer, (Kommentare: 0)

Einmal mehr zeigt sich, dass das Datenschutzrecht auch eine Markt-Verhaltensregel darstellen kann.

Das Landgericht Würzburg hat am 13.09.2018 entschieden, dass eine Rechtsanwältin gegen das UWG verstößt (Az. 11 O 1741/18 UWG). Der Streitwert betrug 2.000 € und wegen der Dringlichkeit erfolgte keine mündliche Verhandlung.

Im Kern fehlten in einer Datenschutz-Unterrichtung jene Angaben, die durch den Artikel 13 DS-GVO gefordert sind.

Diese Forderung zur ausführlichen Information der betroffenen Personen gemäß Artikel 13 ist in der Pflicht [GVO_013] im Kapitel 2.1 unseres Praxisleitfadens PrivazyPlan® ausführlich beschrieben. Die Leseprobe beschreibt diese Pflicht ausführlich.

Die von uns (in unserer Funktion als externer Datenschutzbeauftragter) betreuten Unternehmen haben wir bereits ganz früh im Jahr 2018 darauf aufmerksam gemacht, dass diese Informationspflicht öffentlichkeitswirksam ist und demnach unbedingt erfüllt werden muss.

 

Interessieren Sie sich für solche Themen? Dann werfen Sie einen Blick auf unseren PrivazyPlan®; eine ausführliche Leseprobe wird Sie überzeugen. Die ca. 50 Pflichten der DS-GVO sind machbar!

© Das Urheberrecht dieser Meldung liegt bei Nicholas Vollmer. Sie dürfen diesen Text nicht unverändert übernehmen und bei umfangreichen Zitaten den Urheberrechts-Hinweis nicht entfernen.

PrivazyPlan® im September 2018

von: Nicholas Vollmer, (Kommentare: 0)

Unser Praxisleitfaden PrivazyPlan® wurde im September 2018 an 18 Stellen aktualisiert und erweitert. Der Umfang beträgt nun 454 Seiten. Die wichtigsten neuen Themen finden Sie hier:

http://www.privacy-regulation.eu/privazyplan/2018_september.htm

 

Interessieren Sie sich für solche Themen? Dann werfen Sie einen Blick auf unseren PrivazyPlan®; eine ausführliche Leseprobe wird Sie überzeugen. Die ca. 50 Pflichten der DS-GVO sind machbar!

© Das Urheberrecht dieser Meldung liegt bei Nicholas Vollmer. Sie dürfen diesen Text nicht unverändert übernehmen und bei umfangreichen Zitaten den Urheberrechts-Hinweis nicht entfernen.

Lohn- und Gehaltsabrechnung mit Vertrag

von: Nicholas Vollmer, (Kommentare: 0)

Viele Unternehmen lassen die Lohn- und Gehaltsabrechnung durch den eigenen Steuerberater durchführen.

Bis zum 25.05.2018 war man sich einig: Wenn der Steuerberater diese Arbeiten durchführte UND gleichzeitig auch die "normale" Steuerberatung leistete, dann unterlagen alle Arbeiten dem Steuerberater-Mandat. Insofern handelte es sich NICHT um eine Auftrags(daten)verarbeitung und es bedurfte auch keinerlei spezieller Verträge.

Für die bisherige Rechtsauslegung finden sich viele Belege, wie beispielsweise:

  • Tätigkeitsbericht Brandenburg 2012/2013 Seite 58
  • PinG 02/2014 Seite 77
  • Zeitschrift für Datenschutz 10/2015 Seite 462
  • zahlreiche Quellen genannt im Kapitel 3.3.2 des TOM-Guide®

Diese herrschende Meinung will die Datenschutz-Aufsichtsbehörde in Nordrhein-Westfalen nun kippen. Siehe

https://www.ldi.nrw.de/mainmenu_Aktuelles/Inhalt/Datenverarbeitung-in-der-Steuerberatung/Datenverarbeitung-in-der-Steuerberatung.html

Dort finden wir die folgenden Aussagen:

Bei gemischten Tätigkeiten – eigenverantwortliche Steuerberatung sowie weisungsgebundene Dienstleistungen  – ist zu differenzieren: Im Hinblick auf weisungsgebundene Dienstleistungen ist eine Auftragsverarbeitung  gegeben, im Hinblick auf die Beauftragung mit Tätigkeiten aufgrund steuerberatungsrechtlicher Vorschriften eine Datenverarbeitung in eigener Verantwortung.

Übermittelt zum Beispiel ein Arbeitgeber im Zusammenhang mit der Erstellung des Jahresabschlusses auch Daten zum Zwecke der Lohn- und Gehaltsabrechnung an den Steuerberater, so liegt hinsichtlich dieser untergeordneten Tätigkeit keine Datenverarbeitung in eigener Verantwortung vor.

Mit anderen Worten: Zigtausende Unternehmen müssen nun einen Vertrag zur Auftragsverarbeitung im Sinne des Artikel 28 DS-GVO mit dem Steuerberater abschließen. Ohne diesen Vertrag darf streng genommen schon die kommende Lohn- und Gehaltsabrechnung nicht mehr durchgeführt werden.

Nun ist dieser Vertragsabschluss keine reine Formalität, denn gemäß Erwägungsgrund 81 sollte ein Verantwortlicher, der einen Steuerberater mit Verarbeitungstätigkeiten betrauen will, nur Steuerberater heranziehen, die — insbesondere im Hinblick auf Fachwissen, Zuverlässigkeit und Ressourcen — hinreichende Garantien dafür bieten, dass technische und organisatorische Maßnahmen — auch für die Sicherheit der Verarbeitung — getroffen werden, die den Anforderungen dieser Verordnung genügen.

Diese neue Rechtsauffassung wird seitens der NRW-Aufsichtsbehörde nicht begründet und insofern wird es schwer fallen, die absehbaren Konfrontationen mit den Steuerberatern zu bestehen. Denn garantiert werden die Steuerberater darauf beharren, dass sich an der bestehenden Rechtslage nichts geändert hat. Was soll man dem fundiert entgegensetzen?

Die Einschätzung der NRW-Aufsichtsbehörde schlägt einmal mehr eine schwere Wunde in den betrieblichen Datenschutz.

[Neu am 30.07.2018: Die Aufsichtsbehörde in Bayern hat der obigen Ansicht widersprochen.]

[Neu am 14.09.2018: Die Fachzeitschrift Datenschutz-Berater Ausgabe 9/2018 berichtet auf Seite 182-183. Demnach sei die Zulassung des Steuerberaters in Gefahr, wenn er eine Auftragsverabeitung unterschreiben würde! Seine Leistungen wären dann als gewerbliche Tätigkeit zu werten, weil er nicht mehr weisungsfrei wäre.]

Die Steuerberater geben zu bedenken, dass auch im Rahmen der Lohn- und Gehaltsrechnung natürlich eine intensive fachliche Beratung stattfindet. Dieses Thema ist sehr viel umfassender als eine rein mechanische Eingabe (und Weiterverarbeitung) von Daten. Das leuchtet absolut ein. Insofern würde es sich NICHT um eine rein weisungsgebundene Tätigkeit handeln.

Welche Möglichkeiten hat der Verantwortliche?

  1. Ignorieren. Man könnte diese Mitteilung der NRW-Aufsichtsbehörde als eine abweichende Einzelmeinung ansehen und erstmal warten. Ganz sicher wird sich die Bundessteuerberaterkammer bald zu Wort melden. Man könnte abwarten, zu welchem Ergebnis der Schlagabtausch kommen mag. Allerdings muss man in der Zwischenzeit damit rechnen, dass man in den Fokus der NRW-Aufsichtsbehörde gerät und möglicherweise ein Bußgeld droht.

  2. Handeln. Der Steuerberater wird gebeten einen Datenschutzvertrag zu liefern und seine technisch-organisatorischen Maßnahmen nachzuweisen. Möglicherweise werden die Steuerberaterkammern entsprechende Vorlagen liefern. Allerdings ist es mit der reinen Vertragsformalität allein nicht getan. Der Verantwortliche muss nachweisen können, dass sein Steuerberater die ca. 50 datenschutzrechtlichen Pflichten wirklich einhält. Das alles muss sehr zügig vonstatten gehen.

Fazit: Einmal mehr machen es die Aufsichtsbehörden spannend. Ohne konkrete Herleitungen wird die herrschende Meinung in Frage gestellt. Das stellt die Verantwortlichen vor zusätzliche Probleme.

Interessieren Sie sich für solche Themen? Dann werfen Sie einen Blick auf unseren PrivazyPlan®; eine ausführliche Leseprobe wird Sie überzeugen. Die ca. 50 Pflichten der DS-GVO sind machbar!

© Das Urheberrecht dieser Meldung liegt bei Nicholas Vollmer. Sie dürfen diesen Text nicht unverändert übernehmen und bei umfangreichen Zitaten den Urheberrechts-Hinweis nicht entfernen.

EU-Leitfaden zum Thema "Einwilligung"

von: Nicholas Vollmer, (Kommentare: 0)

Für ein besseres Verständnis der EU Datenschutz-Grundverordnung (DS-GVO) bzw. der EU-einheitlichen Anwendung veröffentlicht die Artikel-29-Datenschutzgruppe eine Vielzahl an Leitlinien.

Die interessantesten Dokumente haben wir Ihnen zusammengestellt unter www.privazyplan.eu/article29.

Speziell zum Thema "Einwilligung" gemäß Artikel 7 wurde die Leitlinie am 07.06.2018 nun auch in Deutsch übersetzt. Das erleichtert das Verständnis ganz enorm. Die 37 Seiten auf Englisch waren wirklich nicht leicht verständlich.

Trotzdem bleibt es dabei: Die formellen und inhaltlichen Anforderungen an Einwilligungen sind sehr hoch!

 

Interessieren Sie sich für solche Themen? Dann werfen Sie einen Blick auf unseren PrivazyPlan®; eine ausführliche Leseprobe wird Sie überzeugen. Die ca. 50 Pflichten der DS-GVO sind machbar!

© Das Urheberrecht dieser Meldung liegt bei Nicholas Vollmer. Sie dürfen diesen Text nicht unverändert übernehmen und bei umfangreichen Zitaten den Urheberrechts-Hinweis nicht entfernen.

Betriebliche Nutzung von WhatsApp ist illegal

von: Nicholas Vollmer, (Kommentare: 0)

Der US-amerikanische Messanger WhatsApp ist ein sehr beliebtes Mittel, um mit anderen Personen über das Smartphone in Kontakt zu bleiben.

Doch es gibt datenschutzrechtliche Probleme, weil WhatsApp in aller Regel die gespeicherten "Kontakte" zwangsläufig ausliest und an die US-amerikanische Firma sendet. Kritisch ist dies in Bezug auf jene Personen in den "Kontakten", die selbst keine WhatsApp-Nutzer sind und mit dem Konzern vielleicht bewusst nichts zu tun haben wollen. Ja, solche Menschen soll es geben!

Diese Problematik wurde spätestens am 15.05.2017 klar, wo eine Mutter verklagt wurde (AG Bad Hersfeld, 15.05.2017 - F 120/17 EASO).

Gut ein Jahr später hat nun die Landesdatenschutz-Aufsichtsbehörde in Niedersachsen im Juli 2018 ganz ausführlich Stellung genommen und begründet, warum die betriebliche WhatsApp-Nutzung gegen Artikel 25 (1) DS-GVO verstößt:

http://www.lfd.niedersachsen.de/download/132861/Merkblatt_fuer_die_Nutzung_von_WhatsApp_in_Unternehmen.pdf

Dieser Verstoß kann gemäß Artikel 83 (4a) DS-GVO ein Bußgeld nach sich ziehen. Interessanterweise weist die Aufsichtsbehörde nicht auf diese Tatsache hin.

Schlussendlich muss man die "typische" betriebliche Nutzung von WhatsApp wohl als illegal einstufen. Weil das Auslesen der Smartphone-Kontakte wiederholt stattfindet, stellt jede weitergehende Nutzung wohl einen fortlaufenden Datenschutzverstoß dar.

Analog zu den Facebook-Fanpages kann man wohl auch hier bei WhatsApp eine "gemeinsame Verantwortlichkeit" im Sinne des Artikel 26 sehen, denn jeder einzelne WhatsApp-Nutzer kann selbst bestimmen, ob er den Zugriff auf die "Kontakte" seines Smartphones erlaubt. Insofern kann die Aufsichtsbehörde auch in dieser Hinsicht gegen jeden einzelnen Nutzer vorgehen. (Auch auf diesen Aspekt hat die Aufsichtsbehörde nicht hingewiesen.)

Es wird wohl nicht lange dauern, bis die Aufsichtsbehörden offiziell mit Bußgeldern drohen. In der Zwischenzeit wäre es auch denkbar, dass Anwälte gezielt Abmahnungen schreiben, weil sich ein Unternehmen einen Wettbewerbsvorteil verschafft, indem es gegen Datenschutzbestimmungen verstößt.

Was kann man tun?

  1. WhatsApp deinstallieren. Auf einen anderen Messanger ausweichen (Signal, Threema, ...).

  2. Alle Personen, die in den "Kontakten" des Smartphones gespeichert sind um Einwilligung bitten. Dabei sind die hohen Anforderungen des Artikel 7 DS-GVO zu erfüllen sind. Wenn auch nur eine einzige Person dies verweigert oder widerruft, dann steht man wieder am Anfang.

  3. Ein separates Smartphone verwenden, wo nur jene Personen in den "Kontakten" gespeichert werden, die selbst auch WhatsApp-Nutzer sind. Das ist natürlich sehr umständlich. Außerdem ist fraglich, wie man reagieren soll, wenn jene Personen die Nutzung beendet haben und dies nicht vorab per WhatsApp mitteilen (damit alle anderen den Eintrag in den "Kontakten" löschen können).

  4. Neu im September 2018: WhatsApp den Zugriff auf die Kontakte pauschal verweigern. Dann kann man aber keine anderen Personen zum Chat einladen, sondern muss von denen eingeladen werden. Gruppen-Chats kann man generell nicht starten. Das größte Manko aber ist: Die Namen der Chat-Teilnehmer werden nicht angezeigt. Daher sieht man immer nur die Telefonnummern und die (sich ständig ändernden) Profilbilder. Das kann schnell unübersichtlich werden.

  5. Kontakte im verschlüsselten Container isolieren. Nicht wenige Unternehmen setzen ein "mobile device management" (MDM) ein, um die betrieblichen und privaten Daten voneinander zu trennen. Siehe Kapitel 11.5.5 im Praxishandbuch TOM-Guide®. Beispiele hierfür sind MS-Intune, SecurePIM, Android for work, Samsung Knox und viele mehr. Bei korrekter Konfiguration wäre dann gewährleistet, dass WhatsApp keine Kontaktdaten von unbeteiligten Dritten ausliest und nutzt. [Diese Option wurde am 06.07.2018 hinzugefügt.]

  6. Neu im September 2018: Die Android-App Whatsbox kapselt WhatsApp ab und schützt vor dem pauschalen Zugriff auf die Kontakt-Informationen. Nach der Installation kann man auswählen, auf welche Kontakte WhatsApp zugreift. Das funktioniert sehr gut. Allerdings muss man das eventuell bereits installierte WhatsApp deinstallieren; seitens WhatsBox wird dies dann wieder innerhalb des Containers installiert und bestehende Chats wiederhergestellt. Die App kostet 5,99 € und ist derzeit wohl nur für Android verfügbar.

  7. Die Rechtslage ignorieren und hoffen, dass WhatsApp möglichst schnell nachbessert und den pauschalen Zugriffs-Zwang auf die "Kontakte" abschaltet. Programmiertechnisch wäre dies ein Leichtes. Die Frage ist wohl nur, ob sich WhatsApp rechtskonform verhalten möchte. Dem Aktienkurs sollte eine solche Maßnahme eigentlich zuträglich sein.

 

[Nachtrag m 06.08.2018: Alternativen zu WhatsApp werden hier verglichen.]

Interessieren Sie sich für solche Themen? Dann werfen Sie einen Blick auf unseren PrivazyPlan®; eine ausführliche Leseprobe wird Sie überzeugen. Die ca. 50 Pflichten der DS-GVO sind machbar!

© Das Urheberrecht dieser Meldung liegt bei Nicholas Vollmer. Sie dürfen diesen Text nicht unverändert übernehmen und bei umfangreichen Zitaten den Urheberrechts-Hinweis nicht entfernen.