SecureDataService Dipl. Ing. (FH) Nicholas Vollmer
Priorstraße 63
41189 Mönchengladbach
Telefon: 02166/96523-30
www.SecureDataService.de

News

Keine Aufweichung im Datenschutz

von: Nicholas Vollmer, (Kommentare: 0)

Am 05.09.2018 hat die Bundesregierung einen zweites Gesetz zur Anpassung des Datenschutzrechts an die DS-GVO beschlossen. Das über 500-seitige Dokument betrifft im Artikel 12 das Bundesdatenschutzgesetz. Wesentliche Änderungen für die Privatwirtschaft sind nicht erkennbar.

Parallel dazu sollte der Bundesrat am 19.10.2018 auf Initiative von Bayern und Baden-Württemberg die Benennungskriterien des Datenschutzbeauftragten aufweichen.

Dies fand in der gesamten Presse (fast) kein Echo. Allein der BvD hat darüber zeitnah berichtet.

Das dazugehörige Abstimmungs-Papier finden Sie hier.

Es ist erfreulich, dass die Bundesländer dem Vorschlag nicht gefolgt sind. Der betriebliche Datenschutzbeauftragte ist nämlich keine bürokratische Last, sondern eine wichtige Säule dafür, dass die EU Datenschutz-Grundverordnung und das BDSG ordnungsgemäß eingehalten werden.

 

Interessieren Sie sich für solche Themen? Dann werfen Sie einen Blick auf unseren PrivazyPlan®; eine ausführliche Leseprobe wird Sie überzeugen. Die ca. 50 Pflichten der DS-GVO sind machbar!

© Das Urheberrecht dieser Meldung liegt bei Nicholas Vollmer. Sie dürfen diesen Text nicht unverändert übernehmen und bei umfangreichen Zitaten den Urheberrechts-Hinweis nicht entfernen.

Website ohne Unterrichtung ist ein Wettbewerbsverstoß

von: Nicholas Vollmer, (Kommentare: 0)

Einmal mehr zeigt sich, dass das Datenschutzrecht auch eine Markt-Verhaltensregel darstellen kann.

Das Landgericht Würzburg hat am 13.09.2018 entschieden, dass eine Rechtsanwältin gegen das UWG verstößt (Az. 11 O 1741/18 UWG). Der Streitwert betrug 2.000 € und wegen der Dringlichkeit erfolgte keine mündliche Verhandlung.

Im Kern fehlten in einer Datenschutz-Unterrichtung jene Angaben, die durch den Artikel 13 DS-GVO gefordert sind.

Diese Forderung zur ausführlichen Information der betroffenen Personen gemäß Artikel 13 ist in der Pflicht [GVO_013] im Kapitel 2.1 unseres Praxisleitfadens PrivazyPlan® ausführlich beschrieben. Die Leseprobe beschreibt diese Pflicht ausführlich.

Die von uns (in unserer Funktion als externer Datenschutzbeauftragter) betreuten Unternehmen haben wir bereits ganz früh im Jahr 2018 darauf aufmerksam gemacht, dass diese Informationspflicht öffentlichkeitswirksam ist und demnach unbedingt erfüllt werden muss.

 

Interessieren Sie sich für solche Themen? Dann werfen Sie einen Blick auf unseren PrivazyPlan®; eine ausführliche Leseprobe wird Sie überzeugen. Die ca. 50 Pflichten der DS-GVO sind machbar!

© Das Urheberrecht dieser Meldung liegt bei Nicholas Vollmer. Sie dürfen diesen Text nicht unverändert übernehmen und bei umfangreichen Zitaten den Urheberrechts-Hinweis nicht entfernen.

PrivazyPlan® im September 2018

von: Nicholas Vollmer, (Kommentare: 0)

Unser Praxisleitfaden PrivazyPlan® wurde im September 2018 an 18 Stellen aktualisiert und erweitert. Der Umfang beträgt nun 454 Seiten. Die wichtigsten neuen Themen finden Sie hier:

http://www.privacy-regulation.eu/privazyplan/2018_september.htm

 

Interessieren Sie sich für solche Themen? Dann werfen Sie einen Blick auf unseren PrivazyPlan®; eine ausführliche Leseprobe wird Sie überzeugen. Die ca. 50 Pflichten der DS-GVO sind machbar!

© Das Urheberrecht dieser Meldung liegt bei Nicholas Vollmer. Sie dürfen diesen Text nicht unverändert übernehmen und bei umfangreichen Zitaten den Urheberrechts-Hinweis nicht entfernen.

Lohn- und Gehaltsabrechnung mit Vertrag

von: Nicholas Vollmer, (Kommentare: 0)

Viele Unternehmen lassen die Lohn- und Gehaltsabrechnung durch den eigenen Steuerberater durchführen.

Bis zum 25.05.2018 war man sich einig: Wenn der Steuerberater diese Arbeiten durchführte UND gleichzeitig auch die "normale" Steuerberatung leistete, dann unterlagen alle Arbeiten dem Steuerberater-Mandat. Insofern handelte es sich NICHT um eine Auftrags(daten)verarbeitung und es bedurfte auch keinerlei spezieller Verträge.

Für die bisherige Rechtsauslegung finden sich viele Belege, wie beispielsweise:

  • Tätigkeitsbericht Brandenburg 2012/2013 Seite 58
  • PinG 02/2014 Seite 77
  • Zeitschrift für Datenschutz 10/2015 Seite 462
  • zahlreiche Quellen genannt im Kapitel 3.3.2 des TOM-Guide®

Diese herrschende Meinung will die Datenschutz-Aufsichtsbehörde in Nordrhein-Westfalen nun kippen. Siehe

https://www.ldi.nrw.de/mainmenu_Aktuelles/Inhalt/Datenverarbeitung-in-der-Steuerberatung/Datenverarbeitung-in-der-Steuerberatung.html

Dort finden wir die folgenden Aussagen:

Bei gemischten Tätigkeiten – eigenverantwortliche Steuerberatung sowie weisungsgebundene Dienstleistungen  – ist zu differenzieren: Im Hinblick auf weisungsgebundene Dienstleistungen ist eine Auftragsverarbeitung  gegeben, im Hinblick auf die Beauftragung mit Tätigkeiten aufgrund steuerberatungsrechtlicher Vorschriften eine Datenverarbeitung in eigener Verantwortung.

Übermittelt zum Beispiel ein Arbeitgeber im Zusammenhang mit der Erstellung des Jahresabschlusses auch Daten zum Zwecke der Lohn- und Gehaltsabrechnung an den Steuerberater, so liegt hinsichtlich dieser untergeordneten Tätigkeit keine Datenverarbeitung in eigener Verantwortung vor.

Mit anderen Worten: Zigtausende Unternehmen müssen nun einen Vertrag zur Auftragsverarbeitung im Sinne des Artikel 28 DS-GVO mit dem Steuerberater abschließen. Ohne diesen Vertrag darf streng genommen schon die kommende Lohn- und Gehaltsabrechnung nicht mehr durchgeführt werden.

Nun ist dieser Vertragsabschluss keine reine Formalität, denn gemäß Erwägungsgrund 81 sollte ein Verantwortlicher, der einen Steuerberater mit Verarbeitungstätigkeiten betrauen will, nur Steuerberater heranziehen, die — insbesondere im Hinblick auf Fachwissen, Zuverlässigkeit und Ressourcen — hinreichende Garantien dafür bieten, dass technische und organisatorische Maßnahmen — auch für die Sicherheit der Verarbeitung — getroffen werden, die den Anforderungen dieser Verordnung genügen.

Diese neue Rechtsauffassung wird seitens der NRW-Aufsichtsbehörde nicht begründet und insofern wird es schwer fallen, die absehbaren Konfrontationen mit den Steuerberatern zu bestehen. Denn garantiert werden die Steuerberater darauf beharren, dass sich an der bestehenden Rechtslage nichts geändert hat. Was soll man dem fundiert entgegensetzen?

Die Einschätzung der NRW-Aufsichtsbehörde schlägt einmal mehr eine schwere Wunde in den betrieblichen Datenschutz.

[Neu am 30.07.2018: Die Aufsichtsbehörde in Bayern hat der obigen Ansicht widersprochen.]

[Neu am 14.09.2018: Die Fachzeitschrift Datenschutz-Berater Ausgabe 9/2018 berichtet auf Seite 182-183. Demnach sei die Zulassung des Steuerberaters in Gefahr, wenn er eine Auftragsverabeitung unterschreiben würde! Seine Leistungen wären dann als gewerbliche Tätigkeit zu werten, weil er nicht mehr weisungsfrei wäre.]

Die Steuerberater geben zu bedenken, dass auch im Rahmen der Lohn- und Gehaltsrechnung natürlich eine intensive fachliche Beratung stattfindet. Dieses Thema ist sehr viel umfassender als eine rein mechanische Eingabe (und Weiterverarbeitung) von Daten. Das leuchtet absolut ein. Insofern würde es sich NICHT um eine rein weisungsgebundene Tätigkeit handeln.

Welche Möglichkeiten hat der Verantwortliche?

  1. Ignorieren. Man könnte diese Mitteilung der NRW-Aufsichtsbehörde als eine abweichende Einzelmeinung ansehen und erstmal warten. Ganz sicher wird sich die Bundessteuerberaterkammer bald zu Wort melden. Man könnte abwarten, zu welchem Ergebnis der Schlagabtausch kommen mag. Allerdings muss man in der Zwischenzeit damit rechnen, dass man in den Fokus der NRW-Aufsichtsbehörde gerät und möglicherweise ein Bußgeld droht.

  2. Handeln. Der Steuerberater wird gebeten einen Datenschutzvertrag zu liefern und seine technisch-organisatorischen Maßnahmen nachzuweisen. Möglicherweise werden die Steuerberaterkammern entsprechende Vorlagen liefern. Allerdings ist es mit der reinen Vertragsformalität allein nicht getan. Der Verantwortliche muss nachweisen können, dass sein Steuerberater die ca. 50 datenschutzrechtlichen Pflichten wirklich einhält. Das alles muss sehr zügig vonstatten gehen.

Fazit: Einmal mehr machen es die Aufsichtsbehörden spannend. Ohne konkrete Herleitungen wird die herrschende Meinung in Frage gestellt. Das stellt die Verantwortlichen vor zusätzliche Probleme.

Interessieren Sie sich für solche Themen? Dann werfen Sie einen Blick auf unseren PrivazyPlan®; eine ausführliche Leseprobe wird Sie überzeugen. Die ca. 50 Pflichten der DS-GVO sind machbar!

© Das Urheberrecht dieser Meldung liegt bei Nicholas Vollmer. Sie dürfen diesen Text nicht unverändert übernehmen und bei umfangreichen Zitaten den Urheberrechts-Hinweis nicht entfernen.

EU-Leitfaden zum Thema "Einwilligung"

von: Nicholas Vollmer, (Kommentare: 0)

Für ein besseres Verständnis der EU Datenschutz-Grundverordnung (DS-GVO) bzw. der EU-einheitlichen Anwendung veröffentlicht die Artikel-29-Datenschutzgruppe eine Vielzahl an Leitlinien.

Die interessantesten Dokumente haben wir Ihnen zusammengestellt unter www.privazyplan.eu/article29.

Speziell zum Thema "Einwilligung" gemäß Artikel 7 wurde die Leitlinie am 07.06.2018 nun auch in Deutsch übersetzt. Das erleichtert das Verständnis ganz enorm. Die 37 Seiten auf Englisch waren wirklich nicht leicht verständlich.

Trotzdem bleibt es dabei: Die formellen und inhaltlichen Anforderungen an Einwilligungen sind sehr hoch!

 

Interessieren Sie sich für solche Themen? Dann werfen Sie einen Blick auf unseren PrivazyPlan®; eine ausführliche Leseprobe wird Sie überzeugen. Die ca. 50 Pflichten der DS-GVO sind machbar!

© Das Urheberrecht dieser Meldung liegt bei Nicholas Vollmer. Sie dürfen diesen Text nicht unverändert übernehmen und bei umfangreichen Zitaten den Urheberrechts-Hinweis nicht entfernen.