Hallo zusammen, aus der Sicht eines Datenschutzbeauftragten, der ich bin (geprüft, Zertifikat DATEV, TÜV....) habe ich die Datenschutzbestimmungen der finAPI GmbH einmal im groben angeschaut. Vorweg: Ich finde es erschreckend welche Datensammelwut das Unternehmen welches zur SCHUFA gehört an den Tag legt. Ich frage mich zudem warum die DATEV, deren oberste Grundsätze der Datenschutz ist (Die goldenen Regeln der Datenverarbeitung) hängt an jeder Wand bei der DATEV mit einem solchen Anbieter vertragseinig werden kann. Nach der Markt-Analyse hätte es auch anderer Anbieter gegeben, welche ein ähnliches Leistungsspektrum angeboten hätten, jedoch mehr übrig haben für den Schutz von personenbezogenen Daten. Jetzt kann man sicherlich die Diskussion führen, es geht hier ja meistens um Daten von Unternehmen, jedoch haben auch Unternehmen in ihren Kontobewegungen durchaus erheblichen Personenbezug. Demnach gilt es soweit es geht den Datenschutz aufrecht zu halten. Bisher konnte das die DATEV mit Produkten wie RZ-Bankinfo (gibt es weiterhin) auch gewährleisten. Der Aufgabe PSD2 so "feige" aus dem Weg zu gehen und sich nicht selbst zu zertifizieren verstehe ich nicht. Wer, wenn nicht die DATEV hätte die Möglichkeiten und die Ressourcen hier auch einen Maßstab für ihre Mitglieder und deren Mandanten zu setzten. Es wäre die Chance gewesen, als Kompetenzzentrum aufzutreten. Aber jetzt das. Ich möchte kurz ein paar Auszüge aus den Datenschutzbestimmungen der finAPI GmbH zitieren und versuchen dies für unsere Kanzleien einzuordnen: Als Quelle der Analyse dient dieses Dokument: https://www.finapi.io/finapi-nutzung-und-datenschutz.pdf Dort heißt es in Punkt 6.2: Der Endnutzer willigt – für die Zukunft jederzeit widerruflich – ein, dass die finAPI GmbH mit dem ersten Abruf sowie mit allen zukünftigen Abrufen von Kontoinformationen des Endnutzers bei einem Kontoanbieter die Kontoinformationen analysiert, verarbeitet, kategorisiert und speichert. Dem Endnutzer ist bewusst, dass sich aus den Kontoinformationen möglicherweise Rückschlüsse auf sensible personenbezogene Daten wie religiöse oder weltanschauliche Überzeugungen, politische Meinung, Herkunft, Gesundheitsdaten, Daten zum Sexualleben oder zur sexuellen Orientierung ergeben können und durch die systematische Analyse und Kategorisierung der Umsätze ein Profil zu seiner Person entsteht. Fassen wir den Passus einmal zusammen: Der Endnutzer ist wohl der Mandant für den wir als Sachbearbeiter/Steuerberater die Schnittstelle zum Abwickeln der Zahlungsaufträge einsetzen sollen. Es ist wohl meiner Meinung nach nun zwingend erforderlich, dass all jene, die diese Schnittstelle einsetzen als Ersatz für HBCI sich gegenüber den Mandanten eine Einwilligung holen sollten und auf die angekündigten Begleiterscheinungen hinweisen. Zwar ist dies berufsständisch nicht zwingend erforderlich (Siehe Kurzpapier 13) jedoch hätte ich eher starke Bauchschmerzen unserem Mandanten erklären zu müssen, dass seine Daten, vorallem bei Einzelunternehmen, jetzt direkt an die Schufa oder einer ihrer Töchter übermittelt wird und er jetzt kräftig analysiert wird. Es ist mir auch bewusst, dass ein "Man-in-the-middle" was ja die Zahlungsdienstleister sein werden ein Interesse an den Daten hat. Es geht aber auch anders. Andere Anbieter (z.B figo) schreiben in deren Datenschutzbestimmungen, dass die Daten nach der Übermittlung bis auf Protokolle anschließend wieder gelöscht werden. Also nicht analysiert und für die eigenen Zwecke missbraucht. Ich kann mir leider nicht erklären, wie die DATEV zu einer solchen Übereinkunft mit dem Anbieter kommen konnte - war der Preis attraktiv ? Mutmaßungen.... Eventuell wäre es echt besser, es würde auf die HBCI Möglichkeit ganz verzichtet werden. Hinweisen möchte ich noch auf den Punkt 6.4.: Einwilligung in die Verarbeitung und Speicherung von Online- Zugangsdaten Der Endnutzer willigt – für die Zukunft jederzeit widerruflich – ein, dass die finAPI GmbH die bislang und zukünftig von seiner Anwendung gespeicherten Online- Zugangsdaten zum Online-Banking seiner Banken, im Rahmen der nach den Nutzungsbedingungen der finAPI zu erbringenden Dienste verarbeitet und speichert. Widerruf der Einwilligung zur Speicherung von Online-Zugangsdaten: Endkunden können ihre Einwilligung in die Verarbeitung und Speicherung der PIN durch Widerruf jederzeit selbstständig in der Anwendung des jeweiligen Dienst-Anbieters durch Löschen der PIN oder Deaktivierung der PIN-Speicherfunktion für die jeweilige Bank mit Wirkung für die Zukunft auch gegenüber finAPI aussprechen. Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Meine Interpretation ist, dass zwar die Speicherung der PIN und die zukünftigen Abrufe unterbunden sind, das Unternehmen finAPI GmbH jedoch weiter auf die bestehenden Daten zugreift. Ein gesonderter Widerruf dürfte hier wohl die Folge sein um auch die Nutzung der vorherigen Daten zu unterbinden. Fazit: Es wird meiner Meinung nach schwierig sein das Produkt finapi ohne explizite Einwilligung des Mandanten mit einer ausgedehnten Mitteilung über die Praktiken der finapi einzusetzen. Falls der Mandant damals zu Zeiten der direkten Verarbeitung über den Zahlungsverkehr seine Einwilligung gab, handelt es sich jetzt um einen neuen Auftragsdatenverarbeiter. Ferner ist dringend zu prüfen ob die Kanzleien mit finapi einen Vertag zur Auftragsdatenverarbeitung schließen sollten, da sich die DATEV so wie es scheint aus weitestgehend heraushält und das Produkt als Option Anbietet. Mit der Datev wäre zu klären ob finapi in der Rangfolge ein Auftragsdatenverarbeiter von DATEV ist oder ob durch die Eingabe der Zugangsdaten seitens der Kanzlei hier das ADV entsteht. Als Folge wären seitens der TOMs Kanzleiseitig Maßnahmen zu treffen.
... Mehr anzeigen