Hallo zusammen,
aus der Sicht eines Datenschutzbeauftragten, der ich bin (geprüft, Zertifikat DATEV, TÜV....) habe ich die Datenschutzbestimmungen der finAPI GmbH einmal im groben angeschaut. Vorweg: Ich finde es erschreckend welche Datensammelwut das Unternehmen welches zur SCHUFA gehört an den Tag legt. Ich frage mich zudem warum die DATEV, deren oberste Grundsätze der Datenschutz ist (Die goldenen Regeln der Datenverarbeitung) hängt an jeder Wand bei der DATEV mit einem solchen Anbieter vertragseinig werden kann.
Nach der Markt-Analyse hätte es auch anderer Anbieter gegeben, welche ein ähnliches Leistungsspektrum angeboten hätten, jedoch mehr übrig haben für den Schutz von personenbezogenen Daten. Jetzt kann man sicherlich die Diskussion führen, es geht hier ja meistens um Daten von Unternehmen, jedoch haben auch Unternehmen in ihren Kontobewegungen durchaus erheblichen Personenbezug. Demnach gilt es soweit es geht den Datenschutz aufrecht zu halten. Bisher konnte das die DATEV mit Produkten wie RZ-Bankinfo (gibt es weiterhin) auch gewährleisten. Der Aufgabe PSD2 so "feige" aus dem Weg zu gehen und sich nicht selbst zu zertifizieren verstehe ich nicht. Wer, wenn nicht die DATEV hätte die Möglichkeiten und die Ressourcen hier auch einen Maßstab für ihre Mitglieder und deren Mandanten zu setzten. Es wäre die Chance gewesen, als Kompetenzzentrum aufzutreten. Aber jetzt das. Ich möchte kurz ein paar Auszüge aus den Datenschutzbestimmungen der finAPI GmbH zitieren und versuchen dies für unsere Kanzleien einzuordnen:
Als Quelle der Analyse dient dieses Dokument:
https://www.finapi.io/finapi-nutzung-und-datenschutz.pdf
Dort heißt es in Punkt 6.2:
Der Endnutzer willigt – für die Zukunft jederzeit widerruflich – ein, dass die finAPI
GmbH mit dem ersten Abruf sowie mit allen zukünftigen Abrufen von
Kontoinformationen des Endnutzers bei einem Kontoanbieter die
Kontoinformationen analysiert, verarbeitet, kategorisiert und speichert. Dem
Endnutzer ist bewusst, dass sich aus den Kontoinformationen möglicherweise
Rückschlüsse auf sensible personenbezogene Daten wie religiöse oder
weltanschauliche Überzeugungen, politische Meinung, Herkunft,
Gesundheitsdaten, Daten zum Sexualleben oder zur sexuellen Orientierung
ergeben können und durch die systematische Analyse und Kategorisierung der
Umsätze ein Profil zu seiner Person entsteht.
Fassen wir den Passus einmal zusammen:
Der Endnutzer ist wohl der Mandant für den wir als Sachbearbeiter/Steuerberater die Schnittstelle zum Abwickeln der Zahlungsaufträge einsetzen sollen. Es ist wohl meiner Meinung nach nun zwingend erforderlich, dass all jene, die diese Schnittstelle einsetzen als Ersatz für HBCI sich gegenüber den Mandanten eine Einwilligung holen sollten und auf die angekündigten Begleiterscheinungen hinweisen.
Zwar ist dies berufsständisch nicht zwingend erforderlich (Siehe Kurzpapier 13) jedoch hätte ich eher starke Bauchschmerzen unserem Mandanten erklären zu müssen, dass seine Daten, vorallem bei Einzelunternehmen, jetzt direkt an die Schufa oder einer ihrer Töchter übermittelt wird und er jetzt kräftig analysiert wird.
Es ist mir auch bewusst, dass ein "Man-in-the-middle" was ja die Zahlungsdienstleister sein werden ein Interesse an den Daten hat. Es geht aber auch anders. Andere Anbieter (z.B figo) schreiben in deren Datenschutzbestimmungen, dass die Daten nach der Übermittlung bis auf Protokolle anschließend wieder gelöscht werden. Also nicht analysiert und für die eigenen Zwecke missbraucht. Ich kann mir leider nicht erklären, wie die DATEV zu einer solchen Übereinkunft mit dem Anbieter kommen konnte - war der Preis attraktiv ? Mutmaßungen.... Eventuell wäre es echt besser, es würde auf die HBCI Möglichkeit ganz verzichtet werden.
Hinweisen möchte ich noch auf den Punkt 6.4.:
Einwilligung in die Verarbeitung und Speicherung von Online-
Zugangsdaten
Der Endnutzer willigt – für die Zukunft jederzeit widerruflich – ein, dass die finAPI
GmbH die bislang und zukünftig von seiner Anwendung gespeicherten Online-
Zugangsdaten zum Online-Banking seiner Banken, im Rahmen der nach den
Nutzungsbedingungen der finAPI zu erbringenden Dienste verarbeitet und
speichert.
Widerruf der Einwilligung zur Speicherung von Online-Zugangsdaten:
Endkunden können ihre Einwilligung in die Verarbeitung und Speicherung der PIN durch
Widerruf jederzeit selbstständig in der Anwendung des jeweiligen Dienst-Anbieters durch
Löschen der PIN oder Deaktivierung der PIN-Speicherfunktion für die jeweilige Bank mit
Wirkung für die Zukunft auch gegenüber finAPI aussprechen. Durch den Widerruf der
Einwilligung wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf
erfolgten Verarbeitung nicht berührt.
Meine Interpretation ist, dass zwar die Speicherung der PIN und die zukünftigen Abrufe unterbunden sind, das Unternehmen finAPI GmbH jedoch weiter auf die bestehenden Daten zugreift. Ein gesonderter Widerruf dürfte hier wohl die Folge sein um auch die Nutzung der vorherigen Daten zu unterbinden.
Fazit:
Es wird meiner Meinung nach schwierig sein das Produkt finapi ohne explizite Einwilligung des Mandanten mit einer ausgedehnten Mitteilung über die Praktiken der finapi einzusetzen. Falls der Mandant damals zu Zeiten der direkten Verarbeitung über den Zahlungsverkehr seine Einwilligung gab, handelt es sich jetzt um einen neuen Auftragsdatenverarbeiter. Ferner ist dringend zu prüfen ob die Kanzleien mit finapi einen Vertag zur Auftragsdatenverarbeitung schließen sollten, da sich die DATEV so wie es scheint aus weitestgehend heraushält und das Produkt als Option Anbietet. Mit der Datev wäre zu klären ob finapi in der Rangfolge ein Auftragsdatenverarbeiter von DATEV ist oder ob durch die Eingabe der Zugangsdaten seitens der Kanzlei hier das ADV entsteht. Als Folge wären seitens der TOMs Kanzleiseitig Maßnahmen zu treffen.
Vorweg: Ich finde es erschreckend welche Datensammelwut das Unternehmen welches zur SCHUFA gehört an den Tag legt.
Mit Verlaub aber dann leben Sie nicht in der Realität oder einer anderen. Zumal mich bei der SCHUFA nichts mehr wundert, die nicht mal Personen korrekt identifizieren können, weil es tatsächlich Menschen mit gleichem Vor- und Nachnamen gibt und man diese nur anhand des Geburtsortes unterscheiden kann. Warum finden Datenschützer es immer wieder erschreckend und warum gehen IT-Techniker, zumindest ich, immer vom Worst Case aus? Im Grunde genommen sollte Sie das alles nicht mehr erschreckend oder verwundern. Das sollte Ihr Alltag sein. Das war allgemein gesprochen ohne jeden DATEV Bezug.
Und auch immer neue Windows Versionen, die kostenlos sind, kommen ja nicht von ungefähr. Ganz vermeiden kann man es in Windows 10 nicht mehr. Sonst funktioniert Windows 10 nicht mehr richtig oder man muss einen Hampelmann für bestimmte Dinge tun.
Tatsächlich war ich bei meinem Zahnarzt verwundert, der mit einer Abrechnungsstelle zusammenarbeitet und auch dort musste ich unterschreiben, dass die Abrechnungsstelle meine Daten an 10 oder mehr Tochterunternehmen weitergibt. Und was soll ich da tun? "Herr Doktor, das möchte ich aber nicht", "Gut, dann bekommen Sie keinen Zahnarzt und wir müssen den Zahn ziehen". Toll.
Es ist ja schön, wenn sich jemand Gedanken dazu macht aber wenn es nicht mit dem Gesetz und der DATEV vereinbar wäre, würde DATEV nicht mit finAPI zusammenarbeiten. Dazu gab es ja schon einen Thread hier. Und wenn ich mich erinnere, taucht vor der Einrichtug mit finAPI ja ein Dialog auf, wo man AGBs und Co. nachlesen kann - was natürlich niemand tut, weil das einfach zu funktionieren hat und man nicht erst mit einem 3. Programm die Umsätze holt, um sie dann in DATEV einzuspielen.
In dem Beitrag habe ich nicht behauptet dass es nicht rechtmäßig ist. Wenn Sie intensiv gelesen haben kann man erkennen, dass ich mir Gedanken über die neu entstehenden Rechtsbeziehungen zwischen den Akteuren mache. Ausser, dass ich anscheinend noch an gute alte Zeiten zurückdenke und realitätsfremd bin kann ich wenig mit Ansagen anfangen welche mit der speziellen Thematik nichts zu tun haben.
Der Dialog ist mir ebenso bekannt. Die Frage der Akteure und Personen die hier in Zukunft Verträge abschließen und Daten verarbeiten sollte jede Kanzlei bedenken damit eine Haftung für die Kanzlei nicht entsteht. Ich bin mir ganz sicher dass die Datev sich hier abgesichert hat und eine Haftung ihrerseits ausgeschlossen ist. Darum geht's mir aber nicht. Es geht mir darum welche Nachwirkungen in der Beziehung Kanzlei und Mandant entstehen.
Man kann es so machen und sagen sollen sie halt die AGB lesen, aber die Daten geben die Kanzleien ein und treten damit die Verarbeitung los. Wenn Sie Mandanten Daten ohne Einwilligung des Mandanten an die Schufa Tochter senden möchten, und ihren Mandanten nicht Informieren möchten können Sie das tun, dann sitzt der Mandant sicher bei der Einrichtung der Schnittstelle am Arbeitsplatz neben Ihnen und gibt seine Zugangsdaten selbst ein. Das glaub ich kaum.
Hallo Herr Ziegler,
als Datenschutzbeauftragter haben Sie möglicherweise bessere Informationen und Quellen, wie man diversen 'untergeschobenen' AGB und Zustimmungen widersprechen kann und wie man Auskünfte über die gespeicherten Daten verlangen kann.
Ich hatte mal vor einiger Zeit bei Google sämtliche Daten angefordert, die von mir dort gespeichert sind. Da kam Einiges zusammen.
Bei der Schufa und anderen Datenverarbeitern kann man auch Auskunft verlangen. Ob die Daten allerdings vollständig sind, kann man nie wissen. Die Schufa weigert sich ja auch, den Scoring-Algorithmus offen zu legen.
Ich habe bisher aus Datenschutzgründen bei fast allen Mandanten vermieden, auf die finAPI-Schiene zu gehen. Bei mehreren Mandanten funktionierte aber nur dieser Weg.
VG
Michael Vogtsburger
edit: Orthographie
Hallo Herr Vogtsburger,
gezwungenermaßen beschäftigen wir uns in der Kanzlei mit dem Thema Datenschutz als solches schon lange und jetzt natürlich intensiver denn je seit der DSGVO. Unser DSB und ich als KOB arbeiten eng an diesen Themen.
Grundsätzlich ist ja erstmal jede Datenverarbeitung verboten, außer der Gesetzgeber erlaubt sie (Artikel 6 ff... DSGVO). Die Rechtsgrundlage auf der mit der finapi zusammengearbeitet werden soll basiert nur auf dem Grundsatz der Einwilligung (Artikel 6 Abs. 1 Buchstabe a), dieses Instrument ist ein mächtiges gibt man doch eine, zwar widerrufbare, Einwilligung ab aber man willigt wissentlich ein, aber wer willigt denn ein ?
Wahrscheinlich die Kanzlei - weil der Sachbearbeiter am Rechner ist und vom Mandanten die Zugangsdaten zur HBCI schon hatte oder bekommen hat. Nur hat der Mandant selbst wahrscheinlich keine Kenntnis über die Inhalte der AGB, weil er bei der Einrichtung nicht anwesend ist. Ferner sollte dem Mandanten bekannt gemacht werden, welche Folgen durch die Verarbeitung durch die finAPI für Ihn vielleicht persönlich entstehen. Dies würde ich mir als Absicherung vom Mandanten geben lassen. Ob dieser dann eher Absand nimmt, ist dann tatsächlich das erste mal seine Entscheidung.
Hallo Herr Ziegler,
wir haben Ihren Beitrag hier gelesen. Sie beziehen sich dabei jedoch auf Nutzungsbedingungen, die seit dem 09.08.2019 durch eine neue Fassung abgelöst wurden. Die neue Fassung wird seit ihrer Einführung überall dort eingesetzt, wo der Kunde die Erklärung rechtswirksam dargestellt bekommt. Maßgeblich für die Vertragsbeziehung ist immer die in unserer Software angezeigte Fassung.
Leider ist uns die Aktualisierung der betreffenden Informationsseite im Internet durchgegangen. Das bitten wir zu entschuldigen. Der Link zeigt nun die aktuelle Fassung.
Beste Grüße
Ihre finAPI GmbH
Hallo Herr Haagen,
die jetzige Fassung werde ich mir demnächst auch noch genauer betrachten. Auf den ersten Blick wirkt dies als doch deutlich "entschärfte" Fassung. Es ist erfreulich, dass auch die finAPI nun verstärkt auf den Schutz von personenbezogenen Daten eingeht. Nachdem Sie ja den Beitrag jetzt kennen, wäre es schön, wenn Sie der Community noch anfallende Fragen erläutern würden. Diese werde ich sobald es meine Zeit zulässt hier noch einmal zusammenfassend formulieren.
Viele Grüße
Christian Ziegler
Hallo zusammen,
gerne möchte ich an dieser Stelle auch auf meinen Thread zu diesem Thema verweisen, in dem ich einige Punkte der Datenschutzvereinbarung für die Nutzung der finAPi Schnittstelle kritisch hinterfrage. Diese lässt einige recht offen formulierte Verwendungen der Daten zu.
finApi Datenschutz - Umfang der Datennutzung, Rechtsgrundlage für Datenweitergabe an Dritte
Diese Datenschutzerklärung hat sich in den fraglichen Punkten vom vorherigen "veralteten" Stand der Bedingungen nicht verändert. Sie sind zu finden unter: