|
Tobias Lange
Unternehmensberater
Externer Datenschutzbeauftragter
|
|
|
|
|
|
|
Hamburg, den 02. November 2024
|
|
|
DATENSCHUTZ NEWSLETTER
|
|
|
|
Liebe Kund*innen und Abonnent*innen des Newsletters,
|
ich freue mich, Ihnen eine neue Ausgabe des Datenschutz-Newsletters übersenden zu dürfen und habe heute folgende Themen:
|
- Wirtschafts-Identifikationsnummern und elektronische Rechnungen
- NIS2 Umsetzung
- Aktuelles aus dem Datenschutz
|
1. Wirtschafts-Identifikationsnummern und elektronische Rechnungen
Es soll ja weniger bürokratisch werden, aber so wirklich gelingt uns das nicht. Es gibt weiterhin Neuerungen, die umgesetzt werden müssen. Eine davon ist die "Wirtschafts- Identifikationsnummer (W-IdNr.)". Eigentlich haben wir schon genug Nummern, aber ab sofort kommt eine neue hinzu. Jeder, der wirtschaftlich tätig ist, natürliche wie juristische Personen, bekommen diese ID-Nummer. Auch Kleinunternehmer*innen. Sinn ist eine eindeutige Identifizierung des wirtschaftlich tätigen im Besteuerungsverfahren. Dafür haben wir eigentlich schon Steuernummern, aber das reicht wohl nicht aus. Wenn wir den Sarkasmus weglassen, dann soll die Nummer dazu dienen, Steuerverfahren zu vereinfachen und Steuerbetrug, insbesondere Umsatzsteuerbetrug, einzudämmen.
|
Die W-IdNr. kostet nichts, wäre ja auch noch schöner, und man muss sie nicht einmal beantragen. Dass Bundeszentralamt für Steuern vergibt die Nummern automatisch, wenn jemand wirtschaftlich aktiv wird. Aber wie bekommt man diese Nummer? Am einfachsten ist es, wenn man schon eine USt-IdNr. hat. Die W-IdNr. ist dann die gleiche Nummer, wie die USt-IdNr. Dabei sind W-IdNr. und USt.-IdNr. jedoch nicht das selbe, lediglich die Nummern sind identisch. Eine W-IdNr. beginnt also mit DE und diesem folgen 9 Ziffern. Wer bereits eine USt-IdNr. hat, der hat damit auch seine W-IdNr. Diese wird für diese Gruppe auch nicht nochmal besonders bekanntgegeben. Wer keine USt-IdNr. besitzt, der kann seine W-IdNr. über eine Mitteilung über Elster erhalten.
|
Und mit Elster wird es spannend. So heißt es beim Bundeszentralamt für Steuern: "Um möglichst schnell und bequem Ihre W-IdNr. zu erhalten, wählen Sie in Ihrem ELSTER-Benutzerkonto unter „Formulare und Leistungen“ den Menüpunkt „Einwilligung zur elektronischen Bekanntgabe“ und erklären hier Ihre Einwilligung für die elektronische Bereitstellung." - Allerdings haben die meisten Nutzer*innen von Elster diesen Menüpunkt nicht. Warum das so ist, konnte ich nicht herausfinden. Ich habe den Menüpunkt jedenfalls auch nicht. Ich empfehle bis zum 3. Dezember zu warten. Dann soll es eine Funktion geben, die es ermöglichen soll die W-IdNr. erneut abzurufen, falls man diese vergessen hat. Vermutlich wird das auch nichts ändern, aber manchmal passieren Wunder.
|
Nehmen wir aber einmal an, Sie kennen Ihre W-IdNr.: Dann müssen Sie aus Datenschutzsicht erstmal nichts beachten. Aber Sie müssen diese Nummer in Ihrem Impressum einfügen, auch auf der Webseite und in Rechnungen angeben. Und damit kommen wir zum nächsten Thema: Die elektronischen Rechnung, die ab dem 1.1.2025 eingeführt wird.
|
Die elektronische Rechnung ist eine im XML-Format aufgebaute Rechnung, die eine bestimmte Struktur hat und ab 1.1.2025 verpflichtend ist. Vorteil soll eine automatisierte Einlesbarkeit sein, um Zeit und Aufwand bei der Buchführung zu sparen. In einem zweiten Schritt soll die elektronische Rechnung auch gegen Umsatzsteuerbetrug wirken. Als Format wird es hierbei zwei Lösungen geben ZUGFeRD und XRechnung. Ersteres wird allem Anschein nach die gängigere Lösung sein. Die Umsetzung müssen die Anbieter Ihrer Rechnungserstellungs-Software tätigen.
|
Für eRechnungen stellen sich mir eine Vielzahl an Fragen: Es gibt dann vermutlich immer eine PDF und eine XML-Datei, die beide verschickt werden. Was, wenn in der einen nicht dasselbe wie in der anderen enthalten ist? Und wie ist es mit Datenschutz oder Informationssicherheit, wenn in der elektronischen Rechnung schutzwürdige Daten enthalten sind. Auch sehe ich bisher kein Feld für die W-IdNr. in den eRechnungen. Die Aufbewahrung wird 10 Jahre sein und pdf wie eRechnung müssen revisionssicher aufbewahrt werden. XML ist nun alles andere als ein in soweit sicherer Format, als dass nicht jeder Mensch die Inhalte beliebig manipulieren kann. Unabhängig dieser und noch mehr Fragen wird die eRechnung ab 1.1.2025 für alle Unternehmen verpflichtend. Dabei gibt es Übergangsfristen, aber im Grundsatz gilt, dass für Rechnungen ab EUR 250,00 die Empfänger, wenn es B2B Geschäft ist, eine eRechnung verlangen können. In dem Sinne ist die Umsetzung für alle wirtschaftlichen Akteure verpflichtend. Also seien wir einmal gespannt auf den Jahresstart 2025. Im Januar kommt in Hamburg auch noch die ePA (elektronische Patientenakte), die ab dem 15. Februar bundesweit eingeführt werden soll. Es bleibt auch 2025 spannend in Deutschland.
|
2. NIS2 Umsetzung
Das ist auch so ein Trauerspiel. Das Umsetzungsgesetzt ist noch nicht final verabschiedet, auch wenn die Frist der EU zur Umsetzung versstrichen ist. Wir kennen das aus dem DSA (Digital Service Act). Entsprechend hängt diese Geschichte. Das BSI wird zuständig werden. Registrierungen und alle weiteren Verfahren werden dort aber erst nach finalem Inkrafttreten des Umsetzungsgesetzes zur Verfügung stehen. Auch hier stellen sich viele Fragen zur praktischen Umsetzung.
|
Im Datenschutz geht es um den Schutz personenbezogener Daten, die vor Verlust und Diebstahl sowie unberechtigtem Zugriff geschützt werden sollen. Bei NIS2 geht es für besonders relevante Unternehmen unserer Volkswirtschaft um den Schutz der Versorgungssicherheit durch diese. Es soll also sichergestellt werden, dass, durch einen Cyber-Angriff oder IT-Probleme, keine Produktions-, Liefer- oder Leistungsausfälle von Relevanz für die Versorgungssicherheit in Deutschland vorkommen. Der Ansatz ist hierbei der gleiche wie im Datenschutz: Man soll angemessene technische und organisatorische Maßnahmen (TOMs) tätigen, um das sicherzustellen. Tut man dieses nicht, dann drohen ggf. saftige Strafen. Und damit haben wir auch das gleiche Dilemma, wie im Datenschutz: Nämlich die Frage, was angemessene TOMs sind. Und an dieser Stelle unterscheidet sich Datenschutz und NIS2 auch nur unwesentlich: Während man bei Datenschutz noch ein wenig die Risken abwägen kann, bleibt bei NIS2 wenig Spielraum zum Abwägen. Wer NIS2 unterliegt, der braucht die volle Palette an IT-Sicherheitsmaßnahmen, die möglich sind.
|
Eine Durchführungsverordnung zu NIS2 auf EU-Ebene verschafft ein wenig Klarheit, was man im Sinne von NIS2 als Vorfall ansieht. Dieses Papier ist schon recht Kleinlich. Es sind einige Vorfälle darunter, die jedenfalls zuerst einmal nicht versorgungsicherheitsrelevant sind, wenn sie in einem Unternehmen vorkommen. Gedanken mache ich mir auch wieder um die Dokumentation. Aus 6 Jahren Datenschutz haben wir gelernt, dass das mit dem Dokumentieren am Ende nichts hilft und zu nichts führt. Es wird dokumentiert, und niemand hält das ein, was dokumentiert ist. Oder jemand macht trotz Doku und Anweisung einen Fehler. Dann hat der ganze Aufwand nicht geholfen. Und er hilft auch meistens nicht bei der Bearbeitung einer Panne. Außerdem haben alle NIS2 relevanten Unternehmen detaillierte IT-Sicherheitskonzepte. Eine erneute Dokumentation bringt keinen Fortschritt. Fortschritt wären mehr Schulungen zur Sensibilisierung der Mitarbeiter*innen und mehr Evaluationen der Sicherheitskonzepte, ob diese in der Praxis auch tatsächlich umgesetzt werden. Beides ist recht teuer. Auch gehen uns in Deutschland in Bereich der Informationssicherheits-Managementsysteme die Fachkräfte aus, die sowas beherrschen.
|
Es wird in der NIS2 Umsetzung und der IT-Sicherheit in Zukunft jedenfalls sehr spannend. Sie Herausforderungen als auch die Bedrohungen werden größer, die Ressourcen diesen zu begegnen werden kleiner.
|
3. Aktuelles aus dem Datenschutz
Die Crowdstrike-Panne vom 19. Juli des Jahres ist weiterhin Thema in der Branche. Die, die davonbetroffen waren, waren erheblich betroffen. Vielfach musste der Geschäftsbetrieb eingestellt werden. Auswirkungen gab es über mehrere Tage. Für viele Unternehmen war es auch Anlass die IT-Sicherheitskonzepte diesbezüglich nachzubessern und ihre BCMS (Business Continuity Management Systeme) anzupassen. Der Vorfall zeigt, dass funktionierende Notfallkonzepte von großer Wichtigkeit sind.
|
Jeder kann angegriffen werden. Das gilt auch für die Deutschen Jugendherbergen. Diese sind zentral organisiert und in einem Netzwerk von 450 Jugendherbergen zusammengeschlossen. Die Hackergruppe Hunters hatte schon Ende August das Jugendherbergswerk gehackt und dabei den Betrieb der Jugendherbergen teilweise lahmgelegt. Inzwischen wurde auch bekannt, dass fast 30GB an Daten abgezogen wurden. Darunter auch personenbezogene Daten, und entsprechend ist der Vorfall als eine Datenpanne sehr großen Ausmaßes einzustufen. Ein Teil der Daten wurde inzwischen von den Hackern auch schon im Darknet veröffentlicht.
|
Die Plattform "Ghost" wurde in einer internationalen Aktion mehrerer Länder zerschlagen. Es handelte sich dabei um einen Messenger-Dienst, auf dem Kriminelle ihre Geschäfte geplant haben. So schöne Dinge wie Drogenhandel, Geldwäsche oder Auftragsmorde. Die Plattform gibt es nun nicht mehr. 51 Verdächtige in 5 Ländern wurden verhaftet. Ein wichtiger Erfolg der Ermittlungsbehörden. Jedoch ist die Realität, dass irgendwer irgendwo eine andere solche Plattform aufmachen wird und alles von vorne beginnt.
|
Die Polizei warnt derzeit vor "Quishing". Vermutlich ist Ihre erste Frage dazu: Was ist Quishing? Es ist Phishing mit QR-Codes. Sie bekommen dann einen Brief mit einem QR-Code zugeschickt. Der QR-Code leitet zu einer Betrugsseite verschiedener Art, wo Sie Daten von Ihnen, zum Beispiel Kreditkartendaten, aktualisieren oder eingeben sollen. Seien Sie also auch vor Briefen und Papier gewarnt. Betrugsversuche kommen nicht nur per E-Mail!
|
Eine neuartige Android-Malware Namens NGate ist im Umlauf. Die Malware soll die Daten von Bankkarten aus dem Android-Wallet auslesen und an Hacker übermitteln können, die dann Geld an Geldautomaten abheben. Wir groß die Bedrohung tatsächlich ist, ist schwer einzuschätzen. Ich beobachte das Geschehen, das in der Tat recht beängstigend klingt.
|
Und in den negativen Schlagzeilen finden wir auch mal wieder TEMU. Der chinesische Online-Marktplatz fällt regelmäßig mit aggressiver Werbung auf. Nun ist er dadurch aufgefallen, dass die Plattform gehackt wurde und wohl 87 Millionen Kundendatensätze verloren gingen. TEMU dementiert das, aber die Daten werden bereits im Darknet angeboten. Es ist also Vorsicht geboten. Blöderweise kann man so ein TEMU-Konto gar nicht komplett löschen und Datenschutz interessiert TEMU auch wenig. Genau so wenig wie andere EU-Verordnung und Rechtsvorschriften. Verfahren gegen TEMU sind bereits umfangreich in der Mache.
|
Die BfDI (Bundesbeauftragte für den Datenschutz und die Sicherheit in der Informationsfreiheit) begrüßt die neuen Leitlinien des EDSA (Europäischer Datenschutz-ausschuss) zum Thema "berechtigtes Interesse". Ich weiß nicht, ob uns diese Leitlinien weiterbringen. Inzwischen ist das Thema "berechtigtes Interesse" von allen Seiten und bis zum EuGH durchgekaut worden. In der Praxis legt es am Ende eh jeder aus, wie er es für sein Ziel braucht. Von daher sehe ich keine wirklich neuen Erkenntnisse in diesen Leitlinien.
|
|
Was sonst noch so in den News war: Das BSI (Bundesamt für Sicherheit in der Informationstechnologie) plädiert für Passkeys und sieht diese wichtigstes Sicherheits-methode der Zukunft an. Ich kann mich da nur anschließen. Internationalen Ermittlern gelang ein Schlag gegen die Hackergruppe Lockbit. Einige Strukturen, aber nicht die Gruppe selbst, konnten zerschlagen werden. Lockbit ist vorwiegend im Ransomware-Geschäft tätig und viele Spuren führen nach Russland. Linux war im Oktober auch mal auf der Angriffsliste von Hackern. Eine Malware Namens "Perfectl" hat Millionen von Linux-Rechner attackiert und zum Teil auch als "Onionserver" missbraucht. Die Landesbeauftragte für den Datenschutz in Niedersachsen hat mitgeteilt, dass sie ein Forschungsprojekt für ein KI-Reallabor begleitet. Es geht um vertrauenswürdige KI für den Mittelstand. Ich werde das mal im Auge behalten. Das BSI begrüßt den "Cyber Resilence Act (CRA)". Man kommt bei den ganzen Acts der EU kaum noch mit. Hier geht es darum, dass alle digitalen Produkte zukünftig neu festgelegte Mindeststandards erfüllen müssen, um am europäischen Markt zugelassen zu werden. Und ansonsten der ganz normale Wahnsinn: Microsoft weißt in seinem Sicherheitsreport daraufhin, dass es weltweit täglich um die 600 Millionen Angriffe auf Cloudapplikationen gibt. Die Zahl der täglichen Angriffe auf Webseiten ist noch um einiges höher. Und unbekannte Hacker haben in den USA Saugroboter gehackt und dann dazu gebracht, dass sie rassistische Beleidigungen von sich geben. Alles ist möglich in der schönen neuen digitalen Welt.
|
|
Ich bedanke mich für Ihre Aufmerksamkeit und hoffe, dass die Themen interessant waren. Im nächsten Newsletter kommt dann wirklich, wie schon versprochen, die neu geschaffene Stelle des KidD an der Bundeszentrale für Kinder- und Jugendmedienschutz zur Umsetzung des Digital Service Act und des DDG als Thema. Ich habe das bewusst zurückgestellt, da ich das Thema noch mit einem anderen verbinden will, das sich erst im Laufe des Novembers entscheidet.
|
Tobias Lange
Unternehmensberater
Externer Datenschutzbeauftragter
|
|
|
|
|
Tobias Lange - Unternehmensberater
|
Externer Datenschutzbeauftragter (DSB)
Informationssicherheitsbeauftragter (ISB)
Zustellungsfähige Anschrift:
Berner Heerweg 246, 22159 Hamburg
Steuernummer: 50/139/02404
Finanzamt Hamburg Oberalster
Email: info@tl-datenschutz,de
Web:www.tl-datenschutz.de
|
|
|
|
|
|
|
