Die Österreicher haben in letzter Sekunde die Kurve bekommen.

Heise: Keine Strafen: Österreich zieht neuem Datenschutz die Zähne 

https://heise.de/-4031217

Wir werden auf die ersten Entscheidungen der Gerichte warten müssen.

Ich möchte hierzu (zum Verweis auf DS-Steckbriefe und Leistungsbeschreibungen der einzelnen Programme) eine konkrete Frage an Datev richten:

Werden sich die jetzt vergebenen Dok.Nr. im Laufe der Zeit ändern?

Sprich wenn ich jetzt nur auf eine Dok.Nr. verweise (ohne alles komplett abzuspeichern, sondern eben nur Verweis), bleibt diese "stabil" und wird und werden die Ausührungen unter der urspr. Nummer aktualisiert oder ändern sich die DS-Steckbriefe und Leistungsbeschreibungen in Ihrer Dok.Nr.?

Werter Herr Müller,

das ist die Meinung des Steuerberaterverbandes Niedersachsen Sachsen-Anhalt (https://www.steuerberater-verband.de/2018/03/29/eu-datenschutzgrundverordnung/)

"Die Auftrags(daten)verarbeitungsverträge (z. B. Kanzleisoftware) müssen an die DSGVO und an die Neufassung der Vorschriften über das Berufsgeheimnis angepasst werden. Bei Auftragsverarbeitern wie auch bei sonstigen Dienstleistern, die mit personenbezogenen Daten in Berührung kommen, müssen die erforderlichen Erklärungen zur Verschwiegenheit dokumentiert sein. Es muss darauf geachtet werden, dass Auftragsverarbeiter und andere Dienstleister nicht mehr als erforderlich Einblick in die personenbezogenen Daten bekommen. Die Tätigkeit des Steuerberaters für seinen Mandanten erfolgt in eigener Verantwortung und ist keine Auftragsverarbeitung. Dies gilt auch für die Lohn- und Gehaltsabrechnung, die der Steuerberater nach dem StBerG eigenverantwortlich ausführt (siehe hierzu auch das Kurzpapier Nr. 13 zur Auftragsverarbeitung der Datenschutzkonferenz – DSK)."

Beste Grüße

H. Heitschmidt

Hallo, der "Anhang B" ist mir auch bereits "über den Weg gelaufen".

Nun habe ich mich persönlich in der Kanzlei zum Datenschutzbeauftragten befördert, aber bin mir nun nicht mehr sicher, ob ich auf Grund des Anhang B überhaupt noch in der Funktion benötigt werde; nun denn, kostet ja nichts.

Kurios wieder mal: Möchte man den DSB online melden, ist dies bspw. für BaWü mal wieder gar nicht möglich ( https://www.baden-wuerttemberg.datenschutz.de/dsb-online-melden/ ).

Insofern stellt sich mir die Frage, welche Maßnahmen nun ab 25.05.2018 für Steuerberater insb. Kleinkanzleien tatsächlich NEU eingeführt werden; von den technischen und softwareseitigen Voraussetzungen mal abgesehen; da erwarte ich natürlich von der DATEV schon ein Lösung ohne mich in seitenlangen Audits zu verlieren. Auf der einen Seite ist der DSB beim Stb auch bei weniger als 10 MA notwendig, auf der anderen Seite steht der Anhang B, der diese Pflcht qua wieder aufhebt.

Zusätzliche Vereinbarungen sind ja dann (nach Anhang B) für Stb nicht notwendig. Wir haben bereits in den AAB neben anderen Passagen zur Geheimhaltung auch den Passus, dass mit Zustimmung auch Dritte mit der Verarbeitung der Daten beauftragt werden dürfen; BAULOHN haben wir bspw. auf ein BackOffice ausgelagert.

Rechtlich dürfte es doch dann (nach Anhang B) ausreichend sein, wenn "der Dritte" ebenso zur Verschwiegenheit verpflichtet wird und dies als Änderung in den AAB mit aufgenommen und kommuniziert wird.

Mir fehlt hier schlicht eine, auf den aktuellen Arbeitspapieren basierende, Checkliste, welche Maßnahmen die Steuerberaterkanzlei konkret durchführen muss. Ferner eine plausible, kategorisierte Übersicht, welche Branche, worunter fällt. Gibt es da bereits Handlungsleitfäden?

Zwei Arbeitsunterlagen aus Seminaren zum Thema beinhalten hier m.E. die tabellarische Darstellung der rechtlichen Lage, aber kein konkreten Check-ups. Hat da schon jemand was an der Hand ggf. auch von der DATEV? Danke.

Habe meine AAB geändert (mit fast einer Seite Datenschutzhinweisen), bekommen alle Mandanten (auch die "kleineren", mit denen ich bisher keinen schriftlichen Vertrag hatte - der schriftliche Auftrag ist die Rechtsgrundlage für die Zulässigkeit der Datenverarbeitung nach Art. 6 Abs. 1 S. 1 Buchs. b DS-GCO).

@"Deus Ex": Haben Sie schon die "12 Muster für kleine Unternehmen und Vereine" des

Bayerischen Landesamt für Datenschutzaufsicht gesehen? Zwar auch nur allgemein, aber doch gute Anhaltspunkte, ein Leitfaden zum Durchhangeln und Ausbrüten von Einzelregelungen...

https://www.lda.bayern.de/de/kleine-unternehmen.html

Der Deutsche Steuerberaterverband DStV hat auf seiner Internetseite eine ausführliche Information "Hinweise zum Umgang mit personenbezogenen Daten durch Steuerberater und Steuerberatungsgesellschaften Stand April 2018" veröffentlicht, darin u.a. auch eine Checkliste "Checkliste: Die wichtigsten To-Do‘s zur Umsetzung der DSGVO in Steuerberatungskanzleien".

Zu finden hier https://www.dstv.de/fuer-die-praxis/arbeitshilfen-praxistipps, herunterscrollen zu den Praxistipps.

Fr. Merkel hat gestern in den Medien bekannt geben lassen, dass sie bei der DSGVO Veränderungen andenken will. Ich habe dazu bei uns im Haus nachgefragt, wie denn der aktuelle Status ist, hier die Antwort:

Es gibt jetzt  aktuelle Presseberichte, die Bundesregierung wolle die DS-GVO ändern. Dazu sind uns keine konkreten Umsetzungspläne bekannt. Ein Spielraum der einzelnen Mitgliedsstaaten im nationalen BDSG Änderungen zur DS-GVO einzuführen, ist zudem nicht gegeben. Es können nur Spezifikations- und Regelungsbefugnisse innerhalb der rechtlichen Leitplanken der DS-GVO genutzt werden. Auch der Vorstoß von Axel Voss, EVP, MdEP, vor einigen Wochen (http://www.handelsblatt.com/my/politik/international/datenschutz-grundverordnung-warum-der-neue-eu-datenschutz-zum-rohrkrepierer-werden-koennte/21070006.html?ticket=ST-7059228-DmwF6LegQDZNjKfNj359-ap2 )  , die deutschen Aufsichtsbehörden sollten sich verpflichten, zunächst kein Bußgeld zu verhängen, hat bisher keine Resonanz gefunden. Seine Begründung war die Wettbewerbsverzerrung, weil andere Mitgliedsstaaten in der Umsetzung der Vorgaben für die Aufsichtsbehörden noch nicht so weit seien.

Unsere Empfehlung ist, Unternehmen sollten sich nicht an solche Strohhalme klammern, sondern lieber ihre Energie in die Umsetzung stecken. Die Aufsichtsbehörden werden schon allein aus Ressourcengründen auch die Bemühungen der Umsetzung berücksichtigen und sich zunächst nur auf die Verweigerer konzentrieren können.

Apropos Verweis auf die Datenschutz-Steckbriefe und Leistungsbeschreibungen der Datev im kanzleieigenen Datenschutzleitfaden bzw. der Verfahrensdok:

Die Meldung des BvD e.V. (Bundesverband der Datenschutzbeauftragten) vom 11. April 2018 verstehe ich so, dass ein Verweis auf die Datev-Datenschutz-Steckbriefe und Leistungsbeschreibungen als ausreichend anerkannt würde (also man muss wohl nicht die darin enthaltenen Infos nochmals alle eigens übernehmen):

https://www.bvdnet.de/datenschutz-steckbriefe-der-datev/

Na das wir ja denn ein schönes Austauschen von Halb- und Unwahrheiten im Social Media....

Dieses Forum hier mal ausgenommen!

Danke Frau Knödel für die Recherche!

MfG

A. Hofmeister

Liebe Teilnehmer dieser Diskussion,

so langsam verzweifle ich - wie so viele andere auch - an diesem Bürokratiewahnsinnsmonster Datenschutzgrundverordnung, vor allem aber an den unendlichen Diskussionen über die Verzweiflung. Überall bekommt man tolle Links und Hinweise, aber nichts konkretes.

Deshalb presche ich jetzt mal vor:

Erfreulicherweise hat die Steuerberaterkammer München verkündet, sie hätte ein Muster für ein verzeichnis der Verarbeitungstätigkeiten im Downloadbereich für Mitglieder hinterlegt.

Was ist es dann wirklich? Das Formular der Bundessteuerberaterkammer, beispielhaft ausgefüllt für die Fibu. Schlagartig war die StBK bei mir in der Beliebtheitsskala wieder da, wo sie vorher auch schon war - nämich bei 0.

Also habe ich tatsächlich beschlossen, das Rad für mich neu zu erfinden.

Ich werfe gern meinen Stand hier in die Diskussion, aber nicht als rechtlich verbindliches Komplettsystem, sondern als Diskussionsgrundlage.

Grundlage meiner Überlegungen/Tätigkeit war:

1. Steuerberater sind tatsächlich keine Aufttragsverarbeiter, solange sie Tätigkeiten ausüben, die zum Berufbild des Steuerberaters gehören. Speziell für meine Kanzlei gilt, dass wir für eine Stiftung, die bei uns Mandant ist, die Spendenquittungen erstellen und verschicken undfür eine befreundete Kanzlei die Lohnbuchhaltung für deren Mandanten übernommen haben. Also 2 Tätigkeiten, für die wir als Auftragsverarbeiter eingestuft werden.
2. Zentraler Dreh- und Angelpunkt ist das Verzeichnis der Verarbeitungstätigkeiten. Was aber sind denn nun Verarbeitungstätigkeiten? Wann verarbeiten wir denn welche personenbezogenen Daten?
   
   Geholfen hat mir, die Frage umzudrehen: Würde ich personenbezogene Daten speichern oder verarbeiten, wenn ich dafür kein Honorar erhalte? Antwort: Im Regelfall Nein, also alle Tätigkeiten, die wir abrechnen sind Verarbeitungstätigkeiten.
   
   Nächste Frage: wofür erhalte ich denn ein Honorar? Bei der Antwort hat die Datev geholfen: Alles wofür wir einen Auftrag haben vgl. Datev-Auftragsverwaltung.
   
   Und gibt es vielleicht doch Verarbeitungstätigkeiten, für die wir kein Honorar erhalten? Antwort: Ja, z. B. die Identitätsprüfung nach dem Geldwäschegesetz (ist meine persönliche Meinung)
   
   Welche Daten müssen in dem Verzeichnis erfasst werden? Hier hilft jetzt tasächlich die StBK. Das Formular besteht nämlich aus 3 Bereichen ein Vorblatt mit allgemeinen Angaben zur Kanzlei, die eigentliche Beschreibung der Verarbeitungstätigkeit sowie eine empfohlene Ergänzung.

Auf der Grundlage der vorstehenden Überlegungen haben wir 20 Verarbeitungstätigkeiten für uns identifiziert. Schließlich habe wir ein Procheck Prozessmodul entwickelt, das mit den allgemeinen Daten zur Kanzlei (Vorblatt im Muster der StBK München)beginnt, dann für jede Verarbeitungstätigkeit die erforderlichen Angaben als eigenen Unterpunkt enthält (Abschnitt 2 im Muster der StBK München) und schließlich die empfohlenen Ergänzungen (Abschnitt 3 ders Musters der StBK Müchen - noch nicht umgesetzt).

Abschnitt 1 ist fertig (war aber auch nicht schwierig), Abschnitt 2 wird voraussichtlich am Mittwoch fertig. Abschnitt 3 gehen wir dann in Ruhe an.

Ich behaupte jetzt nicht, dass unser Prozessmodell perfekt ist oder einer rechtlichen Überprüfung standhalten wird, aber zumindest ist es ein Anfang.

Deshalb stelle ich es gern allen interessierten Kolleginnen und Kollegen in diesem Forum als unverbindliche Diskussionsgrundlage zur Verfügung.

Wie gesagt, das Modell ist sicher noch verbesserungsfähig, aber rumreden und jammern, dass es nix gibt, bringt uns auch nicht weiter. Es sind schließlich nur rd. 2 Wochen bis zum 25. Mai.

Beste Grüße

D. Probst

alt 👴 aber doch nicht tot ☠️ - Happy Birthday 🎂 DSGVO zum 3 Jährigen!

Heise online hat dazu mit drei Personen drüber gequatscht: #heiseshow: 3 Jahre DSGVO – Wo es jetzt klappt mit dem Datenschutz und wo nicht - Twitch

Ganz interessant zu sehen, warum wir Deutschen im Gegensatz zu anderen EU Ländern eher versagen 😇.

GDPR Enforcement Tracker - list of GDPR fines