Bei der Migration eines HBCI Benutzers zu finApi werden die Vertrags- und Datenschutzbestimmungen angezeigt und sind zu akzeptieren.
Die Datenschutzbestimmungen enthalten u. a. den unten genannten Abschnitt. Hier bitte ich um Antwort von DATEV in welchem Umfang die Kontodaten von Seiten der finAPI genutzt werden.
Die Kontodaten von uns als Unternehmen enthalten auch Daten unserer Kunden. Auf welcher Rechtsgrundlage kann hier eine Datenweitergabe an Dritte erfolgen? Allgemein wäre es interessant wie die Datenschutzbeziehungen zwischen Unternehmen / Steuerberater / DATEV / Drittfirmen aussehen und auf welcher Rechtsgrundlage diese stattfinden.
Am Rande sei erwähnt: Mehrheits-Eigentümer der finApi ist die Schufa Holding AG.
Auffällige Punkte in der Datenschutzerklärung:
- "Darüber hinaus kann auch eine Verarbeitung zur Wahrung berechtigter Interessen von finAPI stattfinden, beispielsweise [...] zu Zwecken des Forderungsmanagements, [...] oder der Direktwerbung für eigene Dienstleistungen (z.B. Newsletter) [...]"
____________________________________________
Auszug aus "Datenschutzerklärung der finAPI GmbH für die Nutzung von finAPI-Diensten - Version 1.1 12.06.2018" - Abgerufen am 28.08.2019 11:17 Uhr unter https://p12090.finapi.io/agb?version=v1.3
II. Allgemeines zur Datenverarbeitung
finAPI verarbeitet personenbezogene Daten im Einklang mit geltendem Recht, insbesondere der Verordnung (EU) 2016/679 des europäischen Parlaments und des Rates vom 27.04.2016 („Datenschutz-Grundverordnung“, DSGVO) und des Bundesdatenschutzgesetzes (BDSG). finAPI verwendet alle Kunden-, Endnutzer- bzw. Interessentendaten (nachfolgend „Kundendaten“) grundsätzlich nur
Darüber hinaus kann auch eine Verarbeitung zur Wahrung berechtigter Interessen von finAPI stattfinden, beispielsweise die Erstellung anonymisierter Auswertungen zur Verbesserung oder Erweiterung der Services für Kunden, zu Zwecken des Forderungsmanagements, der Rechtsverteidigung oder der Direktwerbung für eigene Dienstleistungen (z.B. Newsletter), soweit nicht überwiegende Interessen, Grundrechte oder Grundfreiheiten des Kunden entgegenstehen (Art. 6 Abs. 1 lit. f) DSGVO); insoweit steht dem Kunden ein Widerspruchsrecht zu.
Grundsätzlich gibt finAPI keine Kundendaten an Dritte weiter. Zu den oben genannten Zwecken gibt finAPI ausnahmsweise Kundendaten an vertraglich zu Datenschutz und Datensicherheit verpflichtete Dritte (z.B. finAPI Mitarbeiter, externe Dienstleister wie z.B. IT-Dienstleister, Betreiber von Endnutzer-Anwendungen auf Basis von finAPI Diensten), sowie an Konto- und Depotführende Institute weiter. Die Weitergabe von Kundendaten ist jeweils auf das erforderliche Maß zur Zweckerfüllung beschränkt.
Eine Verarbeitung von Kundendaten und/oder deren Weitergabe an Dritte zu anderen als den oben genannten Zwecken erfolgt nur auf Grundlage ordnungsgemäßer Einwilligung des Kunden (Art. 6 Abs. 1 lit. a) DSGVO).
finAPI speichert und verarbeitet personenbezogene Kundendaten, solange es für die Erfüllung ihrer vertraglichen und gesetzlichen Pflichten erforderlich ist. Dabei ist zu beachten, dass die Geschäftsbeziehung zu den Kunden auf Dauer angelegt ist. Sobald der Kunde finAPI personenbezogene Daten mitgeteilt und finAPI auf dieser Grundlage ein Vertragsverhältnis (z.B. Vertrag über die Erbringung von finAPI KontoInformationsDiensten/ZahlungsAuslöseDiensten) mit ihm begründet und solche Dienstleistungen erbracht hat, bestehen handels-, steuerrechtliche und aufsichtsrechtliche Archivierungs-, Dokumentations- und Auskunftspflichten, an die finAPI gebunden ist und die auch Kundendaten umfassen. Solche Fristen betragen zwei bis zehn Jahre.
Sind die Daten für die Erfüllung vertraglicher oder gesetzlicher Pflichten nicht mehr erforderlich, werden diese regelmäßig gelöscht, es sei denn, ihre (befristete) Weiterverarbeitung ist für die Erhaltung von Beweismitteln im Rahmen der Verjährungsfristen (bis zu 30 Jahre) erforderlich, soweit seitens finAPI für diese Speicherung über die gesetzlichen Aufbewahrungsfristen hinaus ein überwiegendes berechtigtes Interesse gemäß Art. 6 Abs. 1 lit. f) DSGVO besteht.
Guten Tag,
ich wollte gerne das Thema nochmal in Erinnerung rufen und anfragen, ob nach über eine Woche hier von DATEV noch eine Antwort zu erwarten ist.
Vielen Dank.
Fragen zu den Datenschutzbestimmungen von finAPI sollten Sie aus meiner Sicht an finAPI richten und nicht an die DATEV.
@liane_sawatzki,
ja, aber es würde mich überraschen, wenn von finAPI mehr käme als der Verweis auf die AGB und die Datenschutzerklärung.
Mich würde insbesondere interessieren, ob und welche Vorschriften, Klauseln und Erlaubnisse es gibt bezüglich der Auswertung, Verwertung und Weitergabe der durch die Konteninformations- und Zahlungsauslösedienste gewonnenen Daten, z.B. die Weitergabe solcher Daten an Marketing-Unternehmen oder an Wirtschaftsauskunfteien
VG
Michael Vogtsburger
Hallo Community,
entschuldigen Sie bitte die verspätete Rückmeldung zu Ihrem Post.
Wir können unseren Kunden in Bezug auf diese Fragestellung versichern, dass Bestandteil der vertraglichen Vereinbarungen zwischen DATEV und finAPI ist, dass keine Daten, die durch finAPI verarbeitet werden, an deren Muttergesellschaft oder sonstige Dritte fließen dürfen.
Das ist sowohl in den Nutzungsbedingungen sichtbar, als auch im Datenschutzhinweis dokumentiert. finAPI wird von der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) überwacht, d.h. das Unternehmen unterliegt einer sehr strengen aufsichtsrechtlichen Kontrolle.
Es gibt unsererseits keinen Grund daran zu zweifeln, dass finAPI sich an Recht und Gesetz sowie die vertraglichen Vereinbarungen hält; dies gilt im Übrigen auch für die finAPI-Muttergesellschaft.
Mit freundlichen Grüßen
Michelle Eichner
Hallo Frau Eichner,
na ja, also die SCHUFA sieht das offensichtlich etwas anders:
"SCHUFA-Lösungsportfolio wird perfekt ergänzt
Mit finAPI investiert die SCHUFA in ein Unternehmen, dessen Angebot das aktuelle SCHUFA-Lösungsportfolio perfekt ergänzt. finAPI ist sehr gut geführt und kann eine erfolgreiche Entwicklung vorweisen, die nun nochmals gestärkt wird. finAPI verfügt zudem über hochkompetente Mitarbeiter sowie die Motivation, die eigene Marktstellung weiter auszubauen.
Die Kooperation ist ein klares Signal für die Zukunftsausrichtung der SCHUFA und ihre konsequente Entwicklung als Lösungsanbieter in den Bereichen Bonität, Identität und Betrugsabwehr für Unternehmen und Privatkunden."
Quelle: Schufa - Fit für die Zukunft: SCHUFA erwirbt Mehrheitsanteil an der finAPI GmbH
Auch die von apoduo zitierte Datenschutzerklärung finde ich etwas komisch:
"Darüber hinaus kann auch eine Verarbeitung zur Wahrung berechtigter Interessen von finAPI stattfinden, beispielsweise die Erstellung anonymisierter Auswertungen zur Verbesserung oder Erweiterung der Services für Kunden, zu Zwecken des Forderungsmanagements, der Rechtsverteidigung oder der Direktwerbung für eigene Dienstleistungen (z.B. Newsletter), soweit nicht überwiegende Interessen, Grundrechte oder Grundfreiheiten des Kunden entgegenstehen (Art. 6 Abs. 1 lit. f) DSGVO); insoweit steht dem Kunden ein Widerspruchsrecht zu."
Ich konnte bei der Migration nicht feststellen wo ich mein Widerspruchsrecht hätte ausüben können.
Gehen denn die Vereinbarungen zwischen DATEV und finAPI weiter?
Hallo Frau Eichner,
vielen Dank für das Statement.
Sie sagen, dass es sowohl in den Nutzungsbedingungen als auch im Datenschutzhinweis dokumentiert sei, dass eine Verarbeitung oder Weitergabe an Dritte seitens der finAPI nicht erfolgt.
Hier muss ich widersprechen. Wie oben bereits aufgezeigt, eröffnen diese Datenschutzhinweise eben eindeutig die Möglichkeit für folgende Punkte:
Gerade die letzten beiden Punkte lassen mit etwas Phantasie viele Verwendungsmöglichkeiten zu.
Wenn finAPI die Daten tatsächlich nur im von Ihnen beschriebenen Umfang nutzt, warum werden dann für diesen Vertrag nicht eindeutige Datenschutzbedingungen verwendet, die diese Verwendungszwecke nicht eröffnen?
Weiter ist der von Ihnen erwähnte Vertrag zwischen Datev und finAPI sicher vorhanden. Dennoch entsteht in diesem Fall das Vertragsverhältnis für die Datenweitergabe zwischen Unternehmen und finAPI und der Vertrag mit der DATEV hat hier ja keinerlei Wirkung.
Folgende Frage ist weiterhin noch offen geblieben:
Auf welcher rechtlichen Grundlage im Sinne des Datenschutzrechts kann sich die Datenweitergabe Unternehmen an finApi erfolgen?
In unserem Fall, einer Apotheke, enthalten die Kontodaten auch Daten unserer Kunden. Im ungünstigsten Falle sogar Gesundheitsdaten, also besonders schützenswerte Daten im Sinne der DSGVO. Eine Weitergabe dieser Daten ist im Regelfall nur mit ausdrücklicher Zustimmung der Kunden oder im Rahmen einer Auftragsdatenverarbeitung (ADV) möglich. Beides liegt in diesem Fall in meinen Augen nicht vor.
Ich freue mich über Ihre Rückmeldung. Vielen Dank.
Hallo Herr Holleitner,
zum Thema Datenschutz in der Zusammenarbeit mit finAPI gibt es auch einen weiteren Community Thread, auf diesen hat finAPI direkt zu den Nutzungsbedingungen Stellung bezogen:
Erhebliche Datenschutzbedenken gegen finAPI
Aus dem Thread:
"wir haben Ihren Beitrag hier gelesen. Sie beziehen sich dabei jedoch auf Nutzungsbedingungen, die seit dem 09.08.2019 durch eine neue Fassung abgelöst wurden. Die neue Fassung wird seit ihrer Einführung überall dort eingesetzt, wo der Kunde die Erklärung rechtswirksam dargestellt bekommt. Maßgeblich für die Vertragsbeziehung ist immer die in unserer Software angezeigte Fassung.
Leider ist uns die Aktualisierung der betreffenden Informationsseite im Internet durchgegangen. Das bitten wir zu entschuldigen. Der Link zeigt nun die aktuelle Fassung.
Beste Grüße
Ihre finAPI GmbH"
Ich hoffe das hilft Ihnen weiter.
Mit freundlichen Grüßen aus Nürnberg
Michelle Eichner
Produktmanagement Zahlungsprozesse
Hallo Frau Eichner,
schön, dass sich finAPI in anderen Thread geäußert hat. Aber haben Sie sich die "neuen" Datenschutzbedingungen einmal durchgelesen? Diese entsprechen denen, die ich oben verlinkt hatte. Die hinterfragten Passagen sind genau so enthalten.
Daher bitte ich weiterhin um Stellungnahme zu meinen oben gestellten Fragen.
Dass finAPI und DATEV beim Testder finAPI Integration die Verwendung von falschen Nutzungs- und Datenschutzbedingungen nicht auffällt ist ebenso erstaunlich. Es ist somit ja zu einem Vertragsschluss aufgrund falscher Bedingungen gekommen. Werden die Nutzer jetzt bei der Verwendung der finAPI Schnittstelle auf die geänderten Bedingungen hingewiesen? Ich kann dieses leider nicht testen, da wir die Schnittstelle aufgrund der Bedenken nicht eingerichtet haben.
Ich freue mich weiterhin, wenn Sie auf meine Fragen eingehen würden. Vielen Dank.
Hallo Herr/Frau apoduo,
sie haben aus meiner Sicht richtig gehandelt. Wenn ich mit Bestimmungen eInes potenziellen Vertragspartners nicht einverstanden bin, gehe ich mit diesem auch keine Vertragsbeziehung ein.
Jedoch verstehe ich nicht, was es da jetzt noch zu diskutieren gibt. Jeder, der aus welchen Gründen auch immer gegen finAPI Bedenken hat, kann sich aus freien Stücken heraus nach Alternativverfahren umsehen und diese auch nutzen. Niemand ist gezwungen, etwas zu akzeptieren, was er nicht möchte.
Es besteht für niemanden ein Zwang - für mich ist damit jede Diskussion hinfällig.
Guten Tag Frau Sawatzki,
die Diskussion ist nicht hinfällig.
1.) In unserem Unternehmen haben wir die Funktion des Bankdatenabrufes und der Freigabe von Zahlungen und Gehältern bisher genutzt gehabt und unsere Prozesse darauf eingestellt. Gerne hätte ich es uns und unserer Steuerkanzlei erspart die Prozesse zu ändern und würde gerne auch zukünftig zum alten Verfahren zurückkehren.
2.) Nur dadurch, dass ich das Verfahren nicht nutze wird der Sachverhalt und das Verfahren ja nicht besser.
Andere Nutzer haben die Bedingungen vielleicht akzeptiert ohne sich der Konsequenzen bewusst zu sein. Es ist doch sinnvoll auch anderen die Möglichkeit zu geben, dieses zu durchdenken.
Wenn für Sie das Thema Datenschutz nicht wichtig ist, dann steht es Ihnen frei die Diskussion nicht weiter zu verfolgen.
Hallo Herr/Frau apoduo,
selbstverständlich ist mir das Thema Datenschutz wichtig. Nur sehe ich hier jeden Einzelnen in der Pflicht, seine Betroffenheit zu prüfen.
Wenn sich gesetzliche Rahmenbedingungen ändern, müssen eben manchmal auch Prozesse geändert werden.
Vielleicht bedankt sich ja tatsächlich jemand bei Ihnen, der die Nutzungsbedingungen, ohne sich der Konsequenzen bewusst zu sein, akzeptiert hat bei Ihnen dafür, dass Sie sich der Sache ohne eigene Betroffenheit annehmen. Die Chance hierauf würde sich ggf. erhöhen, wenn Sie einmal konkret darlegen, von welchen Konsequenzen Sie sprechen.
Ich stimme eliansawatzki zu.
greifen Sie doch zu einer anderen technischen Lösung, Stichwort EBICS, dann ändert sich für Sie auch nichts im Vergleich zum vorherigen Prozess vor PSD2.
Den einzigen Fehler, den die DATEV aus meiner Sicht gemacht hat ist, dass Sie eine Lösung über HBCI weiterhin anbieten wollte ohne eine Zertifizierung der BAFIN zu haben. Sobald dies klar war, dass zusammen mit der BAFIN kein Weg besteht, hätte man die Konsequenzen ziehen sollen. Aber hinterher lässt sichs leicht reden...
Der Misstand, dass Banken weiterhin flächendeckend für Firmen HBCI-Zugänge "verkaufen", obwohl ein ordentlicher Firmenzugang aus meiner Sicht über EBICS zu erfolgen hat, muss von den Banken übernommen werden. Gute Banken haben dies erkannt und bieten auch attraktive Preismodelle für EBICS an. Andere Banken kassieren hier ab...
Ich kann nur allen finAPI-Nutzern empfehlen sich mit den Alternativen zu beschäftigen. Die Lösung ist aus meiner Sicht nur für kleinste und kleine Unternehmen sinnvoll. Dies sollte aber auch jedem klar geworden sein, der sich mit den Einschränkungen beschäftigt hat, die die Schnittstelle im Austausch mit den Banken und vor allem für die nachgelagerten Buchhaltungsprozesse mit sich bringt oder bringen kann.
Eine grundsätzliche datenschutzrechtliche Prüfung des Einsatzes von finAPI obliegt jedem Unternehmen selbst. Das jedes Unternehmen gerne Klauseln hineinschreibt, um mehr mit den Daten machen zu können ist nicht selten.
Ich kann mir nicht vorstellen, dass Ihre grundsätzlichen datenschutzrechtlichen Bedenken hier über die Community gelöst werden können. Hierzu ist eine Anfrage direkt bei finAPI zielführender. Nutzen Sie doch zusätzlich Ihre Rechte die Ihnen nach DSGVO/BDSG zur Verfügung stehen. Dann sollten Sie genaueren Einblick erhalten über Ihre Daten und den Umgang damit!
MfG
Tobias Ettl
Sie sehen die "Weitergabe der Daten an Konto- und Depotführende Institute" datenschutzrechtlich kritisch? Echt jetzt?
Wie soll denn bitte die Bank einen Zahlungsauftrag ausführen, wenn sie keine Daten bekommt? Die Weitergabe dieser Daten ist essentieller Zweck der Anwendung.
Korrigieren Sie mich gerne, wenn ich da was falsch verstanden habe.
Hallo,
als Initiator des zitierten Threads möchte ich auch bei dieser Diskussion Stellung nehmen. Es ist wie apoduo sagt schon sehr entscheidend wie mit den Daten gearbeitet wird oder welchem Zweck diese dienen. Schaut man sich die Rechtsgrundlage der DSGVO am (Art. 6 Abs. 1 Buchstabe f) sind wir gerade mal "nur" noch in den berechtigten Interessen.
In Artikel 6 Abs.1 Buchstabe f) der DSGVO heisst es:
die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.
Als Datenschutzbeauftragter muss ich sagen, dass ich hier kein überwiegendes Interesse der finAPI mehr erkennen kann, die es rechtfertigen würde die Daten weiterhin zu verarbeiten, wenn auch nur intern oder sogar an die SCHUFA Muttergesellschaft. Die Rechtsgrundlage der Datenverarbeitung ist die wohl schwächste Grundlage die die DSGVO bietet. Nur durch die erteilte Einwilligung die immer Fortbestand haben müsste wäre die Verarbeitung abgesegnet. Diese kann soweit ich das Verfahren überblicke nur durch das "Löschen" der Benutzerkennung erklärt werden. Gut, aber dann sind die Daten immer noch bei finAPI und werden im "berechtigten Interesse" Buchstabe f) doch noch verarbeitet, das sehe ich nicht mehr. Ich kann das berechtigte Interesse das die Interessen der finAPI über die Interessen des Betroffenen stellt nicht mehr erkennen, bedenkt man um welche Arten von personenbezogenen Daten es geht.
Hallo,
die DATEV hat den Fehler gemacht, sich nicht selbst für die notwendigen Dienste zu zertifizieren. Die Dienstleistung die daraus entstanden wäre, wäre sicher mit dem gewohnten Sicherheitsniveau ein Kassenschlager geworden.
Das HBCI Verfahren an sich ist in Ordnung und es ist flächendeckend einfach und auch in der Finanzwelt angekommen. Anders als EBICS oder sonstige Systeme. Ein gängiges System wegzuwerfen macht flächendeckend auch keinen Sinn, man hätte sich einfach strategisch besser darauf einstellen müssen und den gewohnten Standard liefern müssen.
Hallo Frau Eichner,
das war mein Thread und ich bin mit der Antwort der finAPI nicht zufrieden. Schon allein die Tatsache dass die Datenschutzbestimmungen in unterschiedlichen Varianten veröffentlicht sind und mein Link damals von der Website der finAPI als das Verfahren schon lief war machen keinen Verlässlichen Eindruck!
Die DATEV hätte die Kanzleien über die Beauftragungen eines beauftragten Auftragsdatenverarbeiters flächendeckend so informieren müssen, als es so geschah wie das Verfahren abgekündigt wurde. Eine reines Info Schreiben, nach der Art "ja, die finAPI" macht das jetzt genügt nicht. Jede Kanzlei muss dies in den technischen und organisatorischen Maßnahmen dokumentieren.
Gebe ich jetzt gerade in die Info-DB "Steckbrief finAPI" ein kommt NICHTS !
Warum ist das so?
Hallo,
die Konsequenzen können für die Teilnehmenden Kanzleien gravierend ausfallen. Zum ersten werden Verfahren eingesetzt die in den eigenen Datenschutzbestimmungen zwecks Unkenntnis nicht oder nur mangelhaft dokumentiert sind. Technische oder organisatorische Maßnahmen bleiben unangepasst.
Die frühere Übergabe der HBCI Benutzerkennung und der PIN (Altes HBCI System) welches die Kanzlei zum Abruf oder für den Zahlungsverkehr nutzte rechtfertigt keine neue Beauftragung eines Auftragsdatenverarbeiters ohne die nochmal einzuholende Einwilligung des Betroffenen (Mandant). Durch die Auswertung der Daten könnte dem Mandanten ein Bonitätsrisiko drohen wenn seine Kontobewegungen für die Bewertung seiner Bonität an die SCHUFA Tochter oder wohin auch immer transferiert werden. Ich denke als Kanzlei möchte man dann nicht dafür verantwortlich sein, ohne Einwilligung dies los getreten zu haben, wenn die Banken dann die Kredite oder Kontokorrents kündigen und eine Zahlungsunfähigkeit eintritt. Stichwort Haftpflicht? Stichwort Verschwiegenheitspflicht?
Ich krieg hier echt gerade Bauchschmerzen. So einfach ist eben die Sache dann doch nicht.
Im Prinzip entsteht im Moment "der Streit um Kaisers Bart", denn es war bekannt, dass finApi der Schufa angeschlossen bzw. untergeordnet ist.
Nun muss man schon ziemlich blauäugig sein, um zu denken, die Daten würden isoliert und nicht verwendet, wenn genau dies die AGB jedoch so versehen.
"Mein Haus, meine Regeln !"
Es helfen doch auch keine Beschwichtigungen seitens der DATEV in der Sache. Man könnte der DATEV tatsächlich einen Fehler unterstellen, aber man hatte wohl keine adäquate Alternative; jedoch der Anwender könnte auch auf EBICS wechseln. Insofern sehe ich das als Eigenverantwortung; aus berufsrechtlichen Gründen tue ich mir schon schwer, mit finApi...
Mir ist "der Ritt auf der finApi-Klinge" zu gefährlich und nahezu jeden Mandanten mit dieser Kenntnis schüttelte es schon bei dem Gedanken.
Obwohl der ein oder andere hier schon EBICS wegen der Sicherheit monierte (warum kann ich nicht sagen - zumeist seichte Argumente), kann ich dies nun nach einer gewissen Umstellungsphase noch wärmer empfehlen.
Sparkassen und Volksbanken, also unsere regionalen Marktführer verlangen exakt NULL Euro Zusatzentgelt bei Umstellung auf EBICS; weder für Umstellung noch für die laufende Nutzung.
Eine Mandantin mit fünf Konten bei der Deutschen Bank, konnte mit eine wenig nachverhandeln, die Umstellungsentgelte ganz auf NULL herabsetzen und sich auf eine monatliche Zusatzgebühr von 10 € für eine charmante Verwaltung von fünf Geschäftskonten einigen.
Im Prinzip ist finApi überflüssig ! Nein, es gibt m.E. nichts, außer ggf. überzogener Gebühren, die gegen EBICS sprechen.
Herr Ziegler, Ihre Bauchschmerzen hatte ich vor einem Monat auch. EBICS war das richtige Rezept.
Sicherlich wäre es das, nur bringen Sie dem Mandanten leider nur sehr schwer bei, sein eingesessenes Verfahren zu ändern. Mir wäre das auch lieber gewesen einen echten sauberen Schnitt zu kriegen und die Business Schiene auf EBICS zu ziehen, nur dann hätte man HBCI einfach für Geschäftskunden abschaffen müssen. Die Einrichtung von EBCIS stellt für viele kleine Firmen eine Herausforderung dar und es mangelt einfach an Wissen, Willen und Zeit. Wir müssen uns halt hier mit den jetzigen Gegebenheiten auseinandersetzen - und nicht was sein könnte. Aber Sie haben Recht es wäre besser.
Herr Ziegler,
Ihre Gedanken sind so für mich nicht ganz nachvollziehbar.
Mit der Digitalisierung durchbrechen wir doch sowieso gerade jegliche "alteingesessenen Verhaltensweisen".
Es ist für mich auch manches Mal unverständlich, warum man seine Mandanten hier nicht AKTIV bei der Hand nehmen kann.
Das Problem sind zumeist nicht "Alteingesessene", sondern die Kommunikation mit leichtem Druck in die richtige
Richtung.
Drei Rundmails - letzte mit "deadline".
Wir beantragen bei Banken per E-Mail zur Umstellung und Vorbereitung auf EBICS (ggf. Legitimation bei Mandant).
Post mit Zugangsdaten geht Mandant zu - wird anschließend uns überlassen.
Wir adminstieren alle EBICS-Zugänge.
Wir initialisieren sämtliche Arbeitsplätze bzw. SC und drucken INI-Briefe vie Fernwartung im Betrieb aus.
INI werden vom Mandanten gezeichnet und an die Bank gesandt - Aktivierung folgt.
Bei Rückfragen zur Ausführung - bitte Rückfragen. Kamen keine, jeder kam zu recht.
Im Prinzip hatte der Mandant damit keine Viertelstunde Aufwand und wir waren insgesamt mit Rechtvergaben etc. netto mit 2 Stunden fertig - Rechnung und gut.
Keine Beanstandungen bisher - ganz im Gegenteil: "Warum haben wir das nicht früher schon gemacht?"
So manches Mal muss man die Menschen auch zu Ihrem Glück "zwingen" bzw. leiten !
Mir würden eher ebenfalls die beiden oberen Punkte mehr Bauchschmerzen bereiten.
Forderungsmanagement - und Direktwerbung. Was hat das mit dem zu tun was wir in der Kanzlei bei unserer täglichen Arbeit bitte brauchen?
Hier muss ich widersprechen. Wie oben bereits aufgezeigt, eröffnen diese Datenschutzhinweise eben eindeutig die Möglichkeit für folgende Punkte:
- Forderungsmanagement
- Direktwerbung für eigene Dienstleistungen
- Weitergabe der Daten an Betreiber von Endnutzer-Anwendungen auf Basis von finAPI Diensten
- Weitergabe der Daten an Konto- und Depotführende Institute
Bei Punkt 4 denke ich handelt es sich tatsächlich um die Bank die den Auftrag dann buchen soll. Aber steht auch nicht drin "Weitergabe an die Bank des Betroffenen" das wäre Eindeutig und nicht naja wir überspielen es mal an jede Bank, vielleicht interessiert es ja auch noch andere....? Sicher ist das etwas überspritzt formuliert, aber dennoch Eindeutigkeit lässt sich anders formulieren.
Bei Punkt 3 sind wohl Webshops oder Dienstleister gemeint die ebenfalls finAPI einsetzen. Die Frage ist jetzt ob die finAPI durch die Übergabe der Daten an angeschlossene z.B. die ermittelten Bonitäten dann zum Zweck der Geschäftsanbahnung überspielt oder Services anbietet. Der Punkt würde es meiner Meinung nach zulassen.
Dann kann ich Sie nur beglückwünschen. Prima wenn Sie so technisch versierte Mandanten haben.
Wir haben mehr als 50% Handwerksbetriebe jeglicher Coleur . . . von Bauhandwerkern über Bäcker und Metzger und daneben Einzelhändler und nur einen geringen Anteil von "jungen, hippen, EDV-affinen" Menschen . . .
Zwischenzeitlich liegt der Anteil von UO-Buchführungen bei > 90% !
Hat natürlich ein paar Jahre gedauert und war teilweise aufwändiger... heute ist jeder Einzelne dankbar dafür.
Insofern, zu viel der Ehr. Nur Mut, trauen Sie auch Ihren Mandanten mehr zu. .
Hallo Herr Ziegler,
so einfach ist es aus meiner Sicht nicht...Sehr
Das HBCI Verfahren an sich ist in Ordnung und es ist flächendeckend einfach und auch in der Finanzwelt angekommen. Anders als EBICS oder sonstige Systeme. Ein gängiges System wegzuwerfen macht flächendeckend auch keinen Sinn, man hätte sich einfach strategisch besser darauf einstellen müssen und den gewohnten Standard liefern müssen.
HBCI = Homebanking Computer Interface
><
EBICS = Electronic Banking Internet Communication Standard
Jedem der sich allein die ausgeschriebenen Bezeichnungen zu Gemüte führt sollte ohne große Vorkenntnisse erkennen können für welchen Einsatzzweck die einzelnen Produkte gemacht wurden. Warum dies so bei den Bankberatern nicht verwirklicht wird ist ein anderes Thema...
Es sollte sich jeder Unternehmer fragen, warum er einen Standard der für Privatanwender gedacht ist nutzt. Die Änderungen der PSD2 sind vorwiegend für den Verbraucherschutz gedacht, nicht für den Schutz von Unternehmenszahlungsprozesse...Jedes große Unternehmen arbeitet mit EBICS und jedes Kreditinstitut, welches den Zahlungsverkehr ernst nimmt, hat hier auch ein attraktives Preismodell. Ich habe gerade nochmal mit einer electronic Banking Abteilung telefoniert, die dies exakt so bestätigt hat...
die DATEV hat den Fehler gemacht, sich nicht selbst für die notwendigen Dienste zu zertifizieren. Die Dienstleistung die daraus entstanden wäre, wäre sicher mit dem gewohnten Sicherheitsniveau ein Kassenschlager geworden.
Dass sich die DATEV oft verbiegt um viele Praxisfälle mit den Programmen abzubilden kann ich ihr nicht vorwerfen, nur wenns schief geht wie in diesem Fall. Wenn die DATEV hier ganz klar so die Grenzen aufgezeigt hätte wäre sie vermutlich nicht schlechter dran als jetzt mit der finAPI-Umstellung...
Jedem der sich allein die ausgeschriebenen Bezeichnungen zu Gemüte führt sollte ohne große Vorkenntnisse erkennen können für welchen Einsatzzweck die einzelnen Produkte gemacht wurden. Warum dies so bei den Bankberatern nicht verwirklicht wird ist ein anderes Thema...
Es sollte sich jeder Unternehmer fragen, warum er einen Standard der für Privatanwender gedacht ist nutzt.
Herr Ettl, ich hatte einer Mandantin vor ca. einem Dreivierteljahr empfohlen, ihren Zahlungsverkehr über Unternehmen online zu machen. Hierfür habe ich ferner empfohlen, EBICS zum Einsatz zu bringen.
Sie werden es nicht glauben, aber der Berater der Bank riet ihr hier vehement davon ab, weil sie dies doch nicht benötige, es kompliziert und teuer wäre (ist bei der Bank kostenlos) usw. … Im Prinzip war dieses Abwiegeln nur Selbstschutz vor mangelnden eigenen Kenntnissen.
Diesbezüglich habe ich der Bank (ohne Ross und Reiter zu nennen) eine Beschwerde über dieses Verhalten eingereicht.
Im Kern ging es um die Digitalisierung von Arbeitsprozessen mit der Bank im Schulterschluss. Sie werden es nicht glauben, aber rund vier Wochen später erhielt ich eine sehr ausführliche Stellungnahme mit Entschuldigung und dem Versprechen, dass man künftig proaktiv auf die Kunden bei Digitalisierungen zugehen werde.
Im Prinzip war meine Mandantin nun verunsichert und wollte den Mitarbeiter nicht kompromittieren, womit Sie nun wieder ihr online-banking der Bank nutzt ohne die Vorzüge von Bank online; also wieder "wie in alten Tagen" zweigleisig, aber ich werde mich im neuen Jahr wieder bemühen, Sie zu ihrem Glück zu führen...
Genau diese Situationen des Ausredens durch die Berater kann ich mir flächendeckend sehr gut vorstellen, denn ich musste in der Tat früher wirklich mit Nachdruck bei den Banken die EBICS-Vorgänge anstoßen.
Man wollte mangels Kenntnis nicht . . . Wäre EBICS bereits vor Jahren aktiver seitens der Banken beworben worden, gebe es im Unternehmensbereich heute kein finApi … da bin ich überzeugt.
Vor rund 7 Jahren war EBICS noch unbekannt, wie Teile des Kongos. In der ganzen Zeit hatte ich annähernd keine Probleme mit dem Zahlungsverkehr aus Bank online; mitunter auch deswegen bin ich ein Verfechter von EBICS.
Wenn ich dann mal am Kongo bin und eine Überweisung tätigen muss, ziehe ich meinen mydentity an der Halskette hoch, stecke ihn in den nächstbesten Rechner ein, lade mir das SiPa und . . . .. theoretisch.
Wenn ein Service mit anscheinend gleichem Funktionsumfang deutlich mehr kostet als ein anderer Service, dann hört in der Regel bei demjenigen der Spaß auf, der die Kosten zu tragen hat.
Eine Kanzlei hätte sicher kein Problem damit, zusätzliche Kosten von 1,30 Euro/Monat für ein paar Mandanten zu tragen. Wenn es ein paar Hundert Mandanten sind und evtl. 10, 15 oder mehr Euro pro Monat und Mandant, kann schon ein hübsches Sümmchen entstehen.
Hier in der Community gab es schon Threads, in denen sich der Mandant über die 'Abzocke' von 1,30 Euro ereifert hat.
Ob sich das Verfahren nun "Home Banking ... " oder "Electronic Banking ..." nennt, spielt für den Anwender keine Rolle, solange das Verfahren komfortabel und sicher ist.
Für mich war und ist bisher immer noch die HBCI-Karte zusammen mit dem HBCI-Kartenleser die bequemste Methode. Obwohl in HBCI das Wort "Homebanking" steckt, sind mir keine Sicherheitsrisiken bekannt. Der HBCI-Kartenleser hat eine eigene Tastatur zur PIN-Eingabe.
VG
Michael Vogtsburger
Zu den Kosten auch den versteckten noch eine Anmerkung:
Unsere hiesige Sparkasse verlangt nun für die Datenweitergabe an Service Rechenzentren pro Buchungssatz 5 Cent. Sagen wir mal bei einer durchschnittlichen Buchhaltung von 300 Sätzen lustige 15 EUR. Das ist neben den schon eh gestiegenen Kontoführungsgebühren ein beträchtliches Sümmchen. Früher über HBCI und SFIRM abzufragen und dann die Daten über die CSV Datei bereitzustellen war einfach und kostenfrei. Klappt ja auch nicht mehr, weil ja meistens nun eine TAN benötigt wird. Also vergessen wir das. Der finAPI Daten geben - will keiner - also vergessen wir das...
Dann bleibt nur der Weg über EBICS (Aufwand Kanzlei und Mandant für die Umstellung) Kostet Geld will keiner ... also lassen wir das....
Letzer Weg. Wir zahlen schön an die Bank 5 Cent für den Buchungssatz. Prima! Willkommen in der Steinzeit und Abzocke!