Hallo,

ich kann Ihnen zumindest mal ein paar Datev-Links geben. Vielleicht kommen Sie damit schon ein Stück weiter oder finden auch Tipps für die Kunden, die Sie betreuen.

• https://www.datev.de/web/de/o-n/zga/dsgvo/?
• https://www.datev.de/web/de/m/ueber-datev/datenschutz/
• https://www.datev.de/web/de/datev-shop/wissensvermittlung/praesenzseminare/datenschutz-aktuell/

Definitiv will ich diese Funktion für keinen meiner Kunden übernehmen aber es interessiert mich schon.

Nachdem ich als "Mitarbeiter des betreuenden Systemhauses" schon verschiedene solcher DSB-Szenarien "begleitet" habe, würde ich bei sowas abwarten, bis die Kanzlei in solchen Punkten (ggfs. mit einem DSB) auf mich zukommt. Wenn kein (externer) DSB vorhanden ist, würde ich immer an einen verweisen und anbieten, das Projekt eben zu begleiten.

Bislang waren das immer Kanzleien mit einem externen DSB. Die anderen scheint sowas nicht zu interessieren. Bzw. gilt bei denen scheinbar "Et hätt noch emmer joot jejange." / "Wo kein Kläger, da kein Richter".

In den Meetings mit externen DSBs wird immer viel erzählt und besprochen und bezahlen will es am Ende niemand Das ist dann der Punkt wo es auf "Alibi-Maßnahmen" (USB Ports sperren durch zukleben (Da kostenlos), BIOS PW setzen, Ggfs. "lokal" Internet sperren, Disketten- oder CD-LW abklemmen oder sonstiger B*llsh*t) herausläuft. Hauptsasche "irgendwas" gemacht..

Die technischen Dinge, die dem Menschenverstand schonmal nachhelfen, sind in den meisten Fällen eh umgesetzt.

Sehr geehrter 0815,

leider zeigen alle Links auf Artikel, die lange Zeit vor der Verabschiedung der Datenschutz-Grundverordnung veröffentlicht wurden.

Die von Herrn Schulz als EU- Präsident unterschriebene Verordnung tritt bekanntlich am 28.Mai 2018 in Kraft und bislang fehlt uns seitens DATEV eine Roadmap, die wir als kleine Kanzleien gehen sollen.

Sicherlich, es gibt verschiedene DATEV- Seminare...

Nur beim Überfliegen von EUR-Lex - 32016R0679 - EN - EUR-Lex ist erkennbar, daß kleine Kanzleien zwingend eine Step- to- Step- Unterstützung in Form einer Abhak- Liste benötigen, um den gesetzlichen Vorgaben Genüge zu tun.

Eine große Schwierigkeit beim Zusammensuchen von Fakten besteht leider auch darin, daß sich gefühlt 95% alle im Internet gefundenen Artikel auf die alte Rechtslage beschränken, die sich die Richtlinie 95/46/EG berufen, die zum 28.Mai aufgehoben wird, wie z.B. unser altes BSDG.

Beim Lesen von Artikeln wie folgenden: https://www.haufe.de/steuern/kanzlei-co/neue-datenschutz-grundverordnung-in-steuerkanzleien_170_422220.html  erkennt man, daß sehr viel anzupacken ist und daß dies nicht ohne standardisierte Hilfe von DATEV funktionieren kann.

Gibt es irgendwo eine ToDo- Liste zum Abarbeiten.

Auch wäre es hilfreich, wenn uns die Genossenschaft mit einfachen Schulungsunterlagen (mit fertigen Formularen zur Unterschrift) für Mitarbeitern bzw. Checklisten für die EDV versorgen würde, so daß Schritt für schritt alle Kriterien erfüllt werden können.

Das betrifft vermutlich insbesondere kleine Kanzleien, die ihre EDV selber oder durch Servicepartner administrieren lassen.

erste Frage: Wer kann überhaupt die Aufgabe des Datenschutzbeauftragten übernehmen, wenn insbesondere bei Mitarbeitern der IT-Abteilung, Personalabteilung und der Geschäftsführung ein Interessenskonflikt angenommen wird?

Seitens der Bundessteuerberaterkammer ist dazu etwas in Vorbereitung was im Januar erscheinen wird.

Ob man das als Roadmap bezeichnen kann, wird sich zeigen.

Es gab hier ein sehr interessantes Seminar dazu vom StB-Verband. Zumindest bekam man sehr gut vermittelt, was letztendlich zu tun ist.

Ja, und auch DATEV bietet dazu was an.

Am 07.11. ist eine neue Serie auf Haufe-Online gestartet, die sich mit den neuen datenschutzrechtlichen Anforderungen beschäftigt:

Teil 1: https://www.haufe.de/steuern/kanzlei-co/steuerberater-datenschutz-massnahmen-ergreifen_170_429810.html

Teil 2: https://www.haufe.de/steuern/kanzlei-co/dsgvo-verzeichnis-der-verarbeitungstaetigkeiten_170_431248.html

Teil 3: Folgt sicherlich die Tage.

Herr Kolberg, in Teil 1 ist auch die Antwort auf Ihre Frage zu entnehmen: Bis neun Angestellte benötigen auch Steuerkanzleien keinen Datenschutzbeauftragten. Der Datenschutz kann in diesen kleinen Kanzleien also auch von der Kanzleileitung etc. übernommen werden.

Teil 2 der Serie gibt einen sehr guten Einstieg in das Verzeichnis der Verarbeitungstätigkeiten, inkl. Beispieldatei. Da dieses Verzeichnis in den Grundzügen einer StB-Kanzlei wohl ähnlich sein wird (Fibu, JA, Lohn, etc...) wäre eine Unterstützung dahingehend seitens der DATEV eG sicherlich sehr lobenswert.

Viele Grüße, M. Fehlau

Moin, moin,

auch ich wäre für eine Hilfestellung unserer Genossenschaft mit fettem G dankbar. Es gibt einfach zu viele Baustellen, die sich z. B. Politiker einfallen lassen, wir können als kleine Kanzlei das nicht alles vollständig und rechtssicher bewerkstelligen. Die Genossenschaft soll den Genossen ja hilfreich und dienlich sein, wir müssen ja nicht alle das Rad neu erfinden und unsere Tätigkeit ähnelt sich ohnehin sehr. Die Feinheiten sollten dann individuell anzupassen sein...

Dank im Voraus

WF

Durch einen großen Banner auf der Startseite der DATEV-Webpräsenz bin ich auf folgendes PDF gestoßen:

https://www.datev.de/web/de/media/datev_de/pdf/allgemeine_fragen_zur_ds-gvo.pdf

Leider plant DATEV scheinbar keine entsprechende Unterstützung der Genossen bei der Erstellung des Verarbeitungstätigkeitsverzeichnisses (siehe hierzu Punkt 11+13).

Ich lasse mich gerne eines Besseren belehren *hoff*

Liebe Grüße, M. Fehlau

Jetzt, 1/2 Jahr vor Inkrafttreten möchte man sich fachkundig machen.
Was liegt näher, als einen Blick in die Seminartermine https://www.datev.de/web/de/datev-shop/wissensvermittlung/praesenzseminare/datenschutz-aktuell/ zu werfen?

Aber leider gibt es Ddeutschlandweit für dieses Jahr noch exakt 8 freie Plätze... für ca. 40.000 Kanzleien. Dazu noch 36 freie Plätze im I- Quartal 2018, aber im Müncher- Raum wird überhaupt nichts angeboten..

-> DATEV- Seminare kommen für die Vorbereitung bei Klein- Kanzleien nicht in Frage, und ich würde mir wünschen, wenn es von DATEV eine Checkliste für uns gäbe, die ausschließlich für Kanzleien vorbereitet ist, die mit DATEV- Software, insbes. dem üblichen Mehrwert- Paket arbeiten. Bitte diese Checkliste nach den Größenordnungen aufteilen.

PS: Gilt die Pflicht zur Berufung des Datenschutzbeauftragten ab 10 Angestellten oder ab 10 Mitarbeitern (incl. Geschäftsleitung & IT- Mann)

Gibt es irgendwo eine FAQ für Praxisfälle?

Beispiel: Ein Angestellter eines Mandanten verlangt nach Beendigung seines Arbeitsverhältnisses die Löschung seiner Daten und der Mandant teilt uns das per unverschlüsselter email unverfroren einfach so mit.

Die Daten dieses Angestellten liegen an folgenden Stellen:

- Notizen in diversen archivierten Emails.

- In irgendwelchen Excel- Tabellen für Urlaubsberechnungen

- Lohnauswertungen im Auswertungsarchiv

- in den Altjahren von LODAS

-> in allen entsprechenden Langzeit- Datensicherungen

Frage: Was muß unternommen werden bzw. was kann dem Mandanten geantwortet werden?

Was wird ein BP sagen, wenn wir ihm sagen: Wir mußten die Daten leider löschen, da die Einwilligung des Angestellten widerrufen wurde?

So viele Fragen auf einmal, Herr Kolberg Auch ich habe mal in die DATEV-Seminare geschaut und mir gedacht: 7,5 Stunden Seminar für solch ein komplexes Thema, wo - wie Sie bereits erwähnen - die Kniffligkeiten direkt aus dem Alltag entspringen.

Nach dem bisher gültigen BDSG ist die Grenze von 10 nicht auf "Mitarbeiter", sondern auf Personen die ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Das hieß für mich immer: Sachbearbeiter ja, Kanzleileitung ja, externer IT-Dienstleister nein, Putzfrau nein. .... Ob das auch unter der DS-GVO noch so bestand hat? Keine Ahnung!

Was ich aber den Haufe-Artikeln entnommen habe: Selbst wenn kein Datenschutzbeauftragter zu benennen ist, muss die Kanzlei die gleichen Regelungen beachten. Es ist also nicht die Frage, was für die DS-GVO umgesetzt werden muss, sondern nur, wer dafür verantwortlich ist.

Grüße M. Fehlau

Wenn ich die Veranstaltung beim StB-Verband Köln letzte Woche richtig interpretiere, gibt es kein grundsätzliches Anforderungsprofil an einen Datenschutzbeauftragen. Natürlich sollte mein einen haben, wenn er denn vorgeschrieben ist.

Was seine Fachkunde angeht, so gibt es wie gesagt, wohl kein eindeutiges "Berufsbild".

Und einen Studiengang (so er denn die Themen tangiert) mit entsprechender Berücksichtigung des Lernstoffes sollte doch durchaus als Fachkundenachweis dienen, oder?

Mehr dazu morgen im DATEV-Seminar in Dortmund....

Ich habe soeben an anderer Stelle folgendes Zitat gefunden:

"Solange das berühmte „L-Laufwerk“ seitens Datev für alle User auf dem Server unbeschränkt zugänglich sein muss, kann DATEV meines Erachtens die Bestimmung der Datenschutzgrundverordnung ab 28. Mai gar nicht erfüllen"

Da ich diese Dinge nicht selber beurteilen möchte, bitte ich unseren Softwarelieferanten darum, daß er uns IT-ler eine vorformulierte Verfahrensdokumentation in die Hand gibt, die sich auf eine DATEV - Mehrwert- Installation nach Handbuch unter Einbezug der üblichen Erweiterungen, wie Waren- und Kassenerfassung (Excel- Kasse), DATEV- Import aus Fremdbuchhaltungen und Versenden von diversen Auswertungen und Informationen  per Email mit einbezieht. - Also ein Dokument als Vorgabe für die Standard- Kanzlei. Das könnte jeder Admin (auch der Sohn vom Kanzleiinhaber) abarbeiten, um die Kanzlei innerhalb der nächsten 6 Monate auf das von DATEV geforderte Niveau zu heben.

Irgendwie sehe ich uns von dieser Verordnung nur tangential betroffen, da diese Verordnung für völlig andere Zwecke erlassen wurde, wie Datenschutz in öffentlichen Netzwerken, Sozialplattformen (Facebook), Banken mit Kunden- Login usw.

Für Kanzleien greift das Berufsrecht und durch die DS-GVO wurde meines Erachtens lediglich die Möglichkeit eröffnet, exorbitante Busgelder zu verlangen, solange Formalien nicht erfüllt sind.

Es stellt sich sogar die Frage, ob diese Verordnung nicht sogar zum Haftungsproblem wird. Früher sollte die Berufshaftpflicht- Versicherung einspringen, wenn es zu einem Schaden aufgrund einer Datenschutzverletzung käme. Wie sieht das heute aus, wenn die Vorschriften der DS-GVO in dem betroffenen Punkt nicht zu 100% eingehalten wurden?

Bei einem Bussgeld in 5- stelligem EUR- Betrag kann doch keine Fahrlässigkeit mehr unterstellt werden, wenn es zu einer Panne kommt (Laptop mit Daten wird gestohlen)

PS. Aus alter Schule bewahre ich eine Datensicherung außerhalb der Kanzlei- Räumlichkeiten auf, die auf jedem DATEV- PC lesbar gemacht werden kann. Eigentlich müßte diese USB- Platte bei Transport und Lagerung behandelt werden, als würde es sich um einen 500 g- Goldbarren handeln und die Daten dürften außerhalb der Kanzlei nicht einmal zu Testzwecken "verarbeitet" werden. Bislang ist man so vorgegangen, aber mit den neuen Bussgeldern muß wohl jede Datenhaltung außerhalb der Serverplatten und speziellen verschlossenen Backup- Arrays komplett unterbunden werden.

Eine Backup- Platte in der Schreibtischhublade ist damit wohl ein NoGo ....
OK, so sind bei Großprovidern wohl in der Vergangenheit  auch Kennwort- Listen entwendet worden...

Hallo Herr Windmann,

in Deutschland wird ein Datenschutzbeauftragter benötigt, wenn mindestens 10 Personen in einem Unternehmen mit automatisierter Datenverarbeitung beschäftigt sind oder besonders schutzwürdige Daten verarbeitet werden.

Ein Datenschutzbeauftragter ist künftig nach Art. 37 Abs. 1 DS-GVO zu benennen, bei

a) Behörden und sonstigen öffentlichen Stellen,

b) einer Kerntätigkeit mit umfangreicher oder systematischer Überwachung von Personen oder

c) einer Kerntätigkeit mit umfangreicher Verarbeitung besonderer Kategorien von Daten.

Aufgrund der Befugnisnorm in Art. 37 Abs. 4 DS-GVO wird dies durch das neue Bundesdatenschutzgesetz (BDSGneu) erweitert, das zeitgleich mit der DS-GVO wirksam wird. In § 38 Abs. 1 BDSGneu erweitert der deutsche Gesetzgeber den Passus des Art. 37 DSGVO um folgende Punkte:

Ein Datenschutzbeauftragter ist somit ebenfalls zu benennen, wenn

d) in der Regel mindestens 10 Personen ständig mit der automatisierten Verarbeitung beschäftigt sind,

e) Verarbeitungen durchgeführt werden, welche der Datenschutz-Folgenabschätzung (Art. 35 DS-GVO) unterliegen oder

f) personenbezogene Daten zum Zwecke der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeitet werden.

Im Falle der Punkte e) und f) ist die Anzahl der beschäftigten Personen nicht mehr relevant. Ein Datenschutzbeauftragter muss hier auf jeden Fall benannt werden, da es sich hierbei um Verarbeitungen durch besonders risikoreiche Prozesse (§ 38 Abs. 1 S. 2 BDSGneu i.V.m. Art. 35 DS-GVO) oder besonders schutzwürdige Daten (z.B. Gesundheitsdaten, religiöse Überzeugungen, etc.) (Art. 37 Abs. 1 lit. c DS-GVO i.V.m. Art. 9 DS-GVO) handelt.

Zu Ihren beiden Beispielen:

Inwieweit hier für die Benennungspflicht durch einen Steuerberater die Voraussetzungen erfüllt werden ist, aufgrund der unbestimmten Rechtsbegriffe noch nicht abschließend geklärt.

Beispiel 1:

Der Kanzleiinhaber darf hierbei jedoch nicht der Datenschutzbeauftragte sein. Dies ergibt sich aus Art. 38 Abs. 6 DS-GVO.

„Der Datenschutzbeauftragte kann andere Aufgaben und Pflichten wahrnehmen. Der Verantwortliche oder der Auftragsverarbeiter stellt sicher, dass derartige Aufgaben und Pflichten nicht zu einem Interessenskonflikt führen."

=> Der Kanzleiinhaber hat nach Meinung der Aufsichtsbehörden – Stellungnahmen nach aktuellem BDSG – ein Interessenskonflikt und scheidet somit als Datenschutzbeauftragter aus, auch wenn es nur zwei Beschäftigte sind.

Beispiel 2:

Hier gilt vorab zu prüfen, ob durch die Stempeluhr ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen existiert. Ist dies der Fall, so gilt die selbe Schlussfolgerung wie in Beispiel 1.

Allgemeines Fazit:

Ein Kanzleiinhaber darf nach derzeitiger und künftiger Rechtslage kein Datenschutzbeauftragter sein. In kleineren Kanzleien bliebe somit nur die Möglichkeit, einen Mitarbeiter oder einen externen Datenschutzbeauftragten zu benennen.

Ich hoffe, dass ich Ihnen mit dieser Antwort die Situation etwas näher gebracht und Ihre Fragen beantwortet habe.　　　　

Punkt < f > ist damit durch jede Statistik erfüllt, also auch durch die simple jährliche Handelsstatistik, wo unsere Lohnjournale nach Geschlecht ausgewertet werden?

---

@Geloeschter Benutzer schrieb:

- Was meint: E-Mail-Verschlüsselung? Das reine Übertragungsverfahren (meintewegen SSL) oder eine "echte" Verschlüsslung der Mails mittels was auch immer

---

Hm. Seit neuestem wohl eher eine "echte" Verschlüsselung wie die DATEV E-Mail Verschlüsselung: (E-Mail-) Verschlüsselung mit StartTLS als Sicherheitsrisiko