Datenschutz in Vereinen

Es gibt in Deutschland sehr viele als Verein strukturierte Organisationen. Sie reichen von kleinen lokalen Vereinen mit einem Vorstand bis zu Großorganisationen mit vielen Beschäftigten auf einer hauptamtlichen Geschäftsstelle. Losgelöst von deren Größe und Organisation ist allen Vereinen die Verpflichtung gemein, die neuen Bestimmungen der europäischen Datenschutzgrundverordnung einzuhalten. Denn es gibt keine Befreiung für kleine Organisationen. Was ist dabei zu beachten?

Weiterlesen

Noch einmal: Datenschutz-Grundverordnung und GoBD-Revisionssicherheit

In schöner Regelmäßigkeit lege ich gegenüber der Finanzverwaltung den Finger in die Wunde bezüglich des Themas: Wie stehen die GoBD zur Datenschutz-Grundverordnung? Zur Erinnerung: Die GoBD verlangen an mehreren Stellen die Unveränderbarkeit der einmal erhobenen Daten (so genannte Revisionssicherheit). Dabei wird nicht nur die Unveränderbarkeit des eigentlichen Buchführungswerks, sondern auch der eingesetzten Vorsysteme verlangt. Beispielsweise gilt die Voraussetzung der Unveränderbarkeit auch für Warenwirtschaftssysteme.  Auch Stammdaten dürfen nicht gelöscht werden. Nach § 35 BDSG bzw. Art. 17 EU-DSVGO müssen personenbezogene Daten aber in bestimmten Fällen gelöscht werden. In der Praxis bedeutet dies, dass zumindest bestimmte Programme, die bei Mandanten im Einsatz sind, die Möglichkeit der Löschung von personenbezogenen Daten sogar zwingend vorsehen müssen.

Weiterlesen

“Facebook-Urteil” des EuGH

Mit Entscheidung vom 5. Juni 2018 hat der Europäische Gerichtshof eine für die Praxis bedeutsame Entscheidung im Datenschutzrecht gefällt, welche zwar noch zur alten Rechtslage und damit zur Auslegung der Datenschutzrichtlinie in Europa ergangen ist, jedoch in den die Entscheidung tragenden Gründen auch im neuen Recht Bestand haben dürfte.

Um was geht es?
Eine in Schleswig Holstein ansässige Organisation hat eine so genannte Fanpage bei Facebook betrieben. Diese beinhaltete ein Benutzungsverhältnis über die kostenfreie Bereitstellung dieser Fanpage durch Facebook und die Berechtigung von Facebook, bestimmte Daten der Nutzer zu sammeln und diese anonymisiert als statistische Daten dem Betreiber der Fanpageseite, also der in Schleswig Holstein ansässigen Organisation, zur Verfügung zu stellen. Facebook hat diese Daten der Nutzer der Fanpage über so genannte Cookies erhalten, die Facebook bei Betreten der Fanpage gesetzt hat. Weder über die Tatsache der Cookies noch über die Speicherung personenbezogener Daten haben Facebook oder die Schleswig-Holsteinische Organisation informiert.

Die Datenschutzaufsichtsbehörde hat dann am 3. November 2011 eine Untersagungsverfügung hinsichtlich des Betriebes der Fanpage erlassen. Die Untersagungsverfügung wurde mit der datenschutzrechtlichen Bewertung begründet, auch die schleswig-holsteinische Organisation sei Verantwortlicher im Sinne des Datenschutzrechtes und müsse damit eigenständig datenschutzrechtliche Pflichten gegenüber den Nutzern der Fanpage erfüllen.

Weiterlesen

Wie hoch ist der volkswirtschaftliche Schaden der EU-DSGVO?

Wahrscheinlich ist es mir in den vergangenen Wochen wie den meisten Steuerberatern ergangen: Die EU-DSGVO musste umgesetzt werden. Ich habe bei befreundeten Kanzleien einmal nachgefragt, wie hoch sie ihren Arbeitsaufwand für die Umsetzung beziffern würden. Im Schnitt kam man auf etwa fünf Arbeitstage. Da in vielen Kanzleien zusätzlich die neuen rechtlichen Rahmenbedingungen zur Verhinderung der Geldwäsche und zuweilen noch Verfahrensdokumentationen erstellt worden sind, betrug der rein administrative Aufwand für diese drei Tätigkeiten zusammen rund 10 Tage.

Weiterlesen

Noch 10 Tage bis zur Geltung der DSGVO – die Zeit ist noch nicht abgelaufen!

In seinem NWB Experten Blog-Beitrag EU-Datenschutz-Grundverordnung – die Zeit läuft! vom 04. Januar 2018 riet Alexander Hamminger zu Recht, die Zeit bis zum Eintritt der DSGVO nicht zu unterschätzen und zu nutzen. Nun könnte man meinen, die Zeit ist nahezu abgelaufen und damit ohnehin „alles zu spät“. Dem ist nicht so bzw. dem darf natürlich nicht so sein. Denn in 10 Tagen, ab dem 25. Mai 2018, sind die Anforderungen der DSGVO und des BDSG neu durch den Steuerberater zu erfüllen – und zwar vollumfänglich! Bei der Umsetzung ist praxisorientiert und priorisiert vorzugehen, gerade im Hinblick auf die nur knappe Zeit die verbleibt.

Ausgangslage: Datenschutzrechtliche Grundlagen

Als Grundlage sollte ein fokussierter aber fundierter datenschutzrechtlicher Wissensstand aufgebaut werden. Es empfiehlt sich eine berufsspezifische Aufbereitung der Thematik. Ausufernde Darstellungen, ohne berufsbezogene Schwerpunktsetzung, helfen nicht nur nicht weiter, sondern führen zur Überforderung.

Weiterlesen

Noch einmal: Datenschutz und Revisionssicherheit

Kürzlich hatte ich darauf hingewiesen, dass die Forderung nach einer Revisionssicherheit laut GoBD meines Erachtens gegen die EU-Datenschutzgrundverordnung (EU-DSVGO) und auch gegen das Bundesdatenschutzgesetz verstößt. Denn einerseits muss jedes Programm, das personenbezogene Daten verarbeitet, rein technisch die Löschung (nicht nur Sperrung!) von Daten vorsehen können. Denn Personen haben in bestimmten Fällen das „Recht auf Vergessen ihrer Daten“.

Andererseits fordern die GoBD die Revisionssicherheit; Stammdaten (von Kunden) dürfen danach nicht gelöscht werden. (siehe „Aufreger des Monats Oktober: Datenschutz-Grundverordnung – das Aus für die GoBD-Revisionssicherheit?“). Ich möchte hierzu zwei Beispiele bringen: Weiterlesen

Verstoßen die GoBD gegen das Bundesdatenschutzgesetz?

Die GoBD verlangen an mehreren Stellen die Unveränderbarkeit der einmal erhobenen Daten. Dabei wird nicht nur die Unveränderbarkeit des eigentlichen Buchführungswerks, sondern auch der eingesetzten Vorsysteme verlangt. Beispielsweise gilt die Voraussetzung der Unveränderbarkeit auch für Warenwirtschaftssysteme.  Auch Stammdaten dürfen nicht gelöscht werden. Nun stelle ich mir allerdings die Frage, inwieweit die Anforderungen der Finanzverwaltung mit dem Bundesdatenschutzgesetz (BDSG) in Einklang gebracht werden können. Denn nach § 35 BDSG müssen personenbezogene Daten in bestimmten Fällen gelöscht werden. Zudem heißt es in Absatz 2 der Vorschrift, dass personenbezogene Daten – von Ausnahmen abgesehen – jederzeit gelöscht werden können. Weiterlesen

BEPS und die Datensammelwut der Finanzverwaltung

Deutschland hat mit Australien, Frankreich, Großbritannien, Japan und Kanada (E6-Staaten) im Rahmen des BEPS-Aktionsplans der OECD einen weitreichenden Informationsaustausch über verschiedene Unternehmen der digitalen Wirtschaft vereinbart (u.a. den „Aktionsplan zur Verstärkung der Bekämpfung von Steuerbetrug und Steuerhinterziehung“ vom 6.12.2012). Um die gesetzlichen Ursachen für die niedrige effektive Steuerbelastung bestimmter multinationaler Unternehmen zu klären, sollen ohne Anonymisierung und unabhängig von der konkreten Besteuerung der einzelnen Gesellschaften Informationen zu Strukturen und Geschäftsmodellen ausgetauscht werden. Das FG Köln hat dem BZSt nunmehr im Wege einer einstweiligen Anordnung (vorläufig) untersagt, entsprechende Informationen zu erteilen oder einzuholen (Beschluss vom 7.9.2015, 2 V 1375/15). Der zwischen den “E6-Staaten” vereinbarte Informationsaustausch verstößt nach Auffassung des Senats gegen das Steuergeheimnis und ist deshalb unzulässig. Weiterlesen

Datenschutz in Betriebsprüfungen – Rechte der Steuerpflichtigen gestärkt

Der BFH hat offenbar Bedenken, dass Daten, die ein Betriebsprüfer während seiner Prüfungshandlungen sammelt und auf seinem Notebook speichert, in fremde Händen gelangen könnten. Daher hat er mit Urteil vom 16.12.2014 (VIII R 52/12) entschieden, dass die Finanzverwaltung nicht das Recht hat, die ihr im Rahmen einer Außenprüfung in digitaler Form überlassenen Daten über den Zeitraum der Prüfung hinaus auf Rechnern außerhalb der behördlichen Diensträume zu speichern. Zudem dürfen Daten nur vor Ort beim Steuerpflichtigen oder in den Diensträumen des Finanzamts erhoben und verwertet werden. Weiterlesen