|
Tobias Lange
Unternehmensberater
Externer Datenschutzbeauftragter
|
|
|
|
|
|
|
Hamburg, den 03. Juli 2023
|
|
|
DATENSCHUTZ NEWSLETTER
|
|
|
|
Liebe Kund*innen und Abonnent*innen des Newsletters,
|
ich freue mich, Ihnen eine neue Ausgabe des Datenschutz-Newsletters übersenden zu dürfen und habe heute folgende Themen:
|
- Steuerberatung und Auftragsverarbeitung
- Tätigkeitsbericht der Landesbeauftragten für den Datenschutz Niedersachsen
- Aktuelles aus dem Datenschutz
|
1. Steuerberatung und Auftragsverarbeitung
Dieses Thema kommt immer wieder auf die Agenda und verwirrt oftmals ein wenig. Im Dezember 2019 wurde das Steuerberatungsgesetz (StBerG) neu gefasst und erhielt mit dem §11 Regelungen zur Datenverarbeitung. Dort heißt es in Absatz 2, dass Steuerberatungen personenbezogene Daten weisungsfrei verarbeiten. Damit wären Steuerberatungen keine Auftragsverarbeiter im Sinne der DS-GVO und es bedarf keines Auftragsverarbeitungs-vertrags (AVV).
|
Diese Gesetzesänderung und Sichtweise hat sich in der Praxis so aber nicht durchgesetzt. Zwar besteht Einigkeit darüber, dass die reine Steuerberatung und die damit verbundenen Dienstleistungen keine Auftragsverarbeitung darstellen. Steuerberatungen tun dieses nach der jeweils gültigen Steuergesetzgebung in selbständiger Verantwortung. Anders ist es hingegen aber bei der Lohnbuchführung. Letztere muss auch nicht zwingend durch Steuer-beratungsbüros getätigt werden, sondern kann auch durch andere Dienstleister erbracht werden. Die Mehrzahl der Aufsichtsbehörden hat sich hierzu klar positioniert und sieht in der Lohnbuchführung eine Auftragsverarbeitung. Hierbei sieht man den neuen §11 StBerG als nicht geeignet an, die Auftragsverarbeitung für die Lohnbuchführung, wird diese durch ein zugelassenes Steuerberatungsbüro getätigt, aufzuheben.
|
Fazit dieser etwas juristischen Geschichte ist letztlich, dass man für seinen Dienstleister bei der Lohnbuchführung, egal ob Steuerberatungsbüro oder nicht, in jedem Fall einen Auftragsverarbeitungsvertrag (AVV) braucht. Ob diese Bürokratie Sinn macht, sei dahingestellt und mag jeder für sich bewerten. In der Praxis erlebe ich jedoch sehr oft, dass es zwischen einer Steuerberatung und einem Klienten gar keinen Vertrag gibt. Man arbeitet auf Handschlag zusammen. Natürlich kann auch einer Steuerberatung mal eine Datenpanne passieren. Somit ist es gut, wenn man etwas in der Hand hat, was die Haftung dann auch dort ansiedelt, wo die Datenpanne passiert ist. Denn ansonsten gilt: Die verantwortliche Stelle haftet und es wird schwierig etwaigen Schaden gegen einen Dienstleister geltend zu machen, wenn es keine konkreten Vereinbarungen hierfür gibt.
|
2. Tätigkeitsbericht der Landesbeauftragten für den Datenschutz Niedersachsen
Der Tätigkeitsbericht hat natürlich eine Vielzahl von Themen und Feldern, die nicht alle behandelt werden können. Ich greife mir einmal den Bereich der Beteiligung an Gesetzgebungsverfahren heraus. Die niedersächsische Behörde ist Mitglied der Kontaktgruppe Onlinezugangsgesetz (OZG). Dieses Gesetz trat 2017 in Kraft und soll nunmehr aktualisiert werden. Hierbei gibt es in der technischen Abwicklung und Verantwortung eine sogenannte "once-only" oder auch "Einer-für-Alle" genannte Regelung. Dabei stellt eine Länderbehörde die technische Abwicklung auch für alle anderen Länder zur Verfügung, um Kosten zu sparen und effektiver zu agieren. Dieses ist natürlich sinnvoll. Es bedarf dabei aber auch Regelungen im Datenschutz, welche vor allem die Transparenz sicherstellen. Betroffene Personen müssen wissen, wo ihre Daten verarbeitet werden und wer dabei jeweils Datenverantwortlicher ist, bei dem man seine Rechte ausüben kann. Ein in der Tat spannendes Thema, wie die niedersächsische Datenschutzbeauftragte auch selbst sagt.
|
In 2022 ist in Niedersachen eine novellierte Fassung des Justizvollzuggesetzes neu in Kraft getreten. Im Rahmen dieses Gesetzesänderungsverfahrens war heftig über den Einsatz von KI in den JVAs diskutiert worden. Es war geplant, eine Videoerkennung mit KI zum Schutz der Insassen vor Suiziden und für mehr Sicherheit und Ordnung einzusetzen bzw. zu erlauben. Nicht nur die niedersächsische Datenschutzbehörde hatte diesen weiten Anwendungsbereich von Videoüberwachung und KI mit grundsätzlicher Natur höchst kritisch gesehen. Er findet sich in dieser Form auch nicht in der novellierten Fassung des Gesetzes. Das Thema wird aber weiter diskutiert und steht offensichtlich sehr hoch oben auf der politischen Wunschliste. Mutmaßlich wird es irgendwann so kommen.
|
Jetzt einmal ein Zitat aus dem Bericht: "Im Berichtszeitraum war ein deutlicher Trend zur Veröffentlichung von personenbezogenen Daten nach der Eskalation von Auseinander-setzungen zwischen Konfliktparteien im Internet zu beobachten." Diesem muss ich leider in jeder Form zustimmen. Auch ich registriere diese Zunahme. "Besonders schräg" finde ich dabei die Zunahme der Fälle, wo Unternehmen als Antwort auf negative Bewertungen im Internet die vollständigen Namen und Kontaktdaten der Person, die die negative Bewertung getätigt hat, posten. Genauso verkehrt und falsch ist es aber auch, wenn Privatpersonen, also Bürger:innen unseres Landes, bei Bewertungen von Behörden oder Schulen dort konkrete Personen namentlich nennen. Noch ein deutlicher Schritt darüber hinaus ist es, ganze Gerichts- oder behördliche Verfahrensakten mit allen Beteiligten und Sachbearbeitern im Internet zu veröffentlichen. Der Frust ist oftmals groß, wenn man sich mit dem Staat auseinandersetzen muss, aber soweit sollte es nicht gehen. Veröffentlichungen sollten keine personenbezogenen Daten dritter Personen beinhalten und im Umfang verhältnismäßig sein.
|
Die niedersächsische Behörde gibt im weiterem bekannt, dass 2022 1149 Datenschutz-beschwerden bei ihr gemeldet wurden. Das sind 549 weniger als im Vorjahr. Grund dafür ist allerdings ein Sonderphänomen zum sogenannten Hafnium-Hack, so dass man sagen kann, dass das Niveau zu 2021 gleichgeblieben ist. Die Behörde in Niedersachsen hat in 2022 90 Warnungen, 9 konkrete Anweisungen, 305 Verwarnungen und 51 Bußgeldbescheide erlassen. In 23 Fällen wurde gegen die Erlasse der Datenschutzaufsicht Klage erhoben. In 2022 wurden 10 Klageverfahren durch Urteil beendet oder eingestellt. Hierbei vielen 5 zu Gunsten der Aufsichtsbehörde aus und 5 zu Gunsten der Kläger:innen.
|
Zu den am häufigsten gemeldeten Beschwerden gehörten wieder einmal unerwünschte Werbung, Videoüberwachung und nicht bzw. falsch beantwortete Auskunftsanfragen. Einen Anstieg von Meldungen gab es bei dem Thema "Mitarbeiterexzess". Ich zitiere dazu einmal aus dem Bericht: "Immer wieder können offenbar beschäftigte Personen dem „Angebot“ an personenbezogenen Daten Dritter bei ihrem Unternehmen nicht widerstehen und sehen diese ein, obwohl die Daten keinen Bezug zu ihrem Tätigkeitsfeld haben. In diesen Fällen ist regelmäßig bereits ein Verstoß der beschäftigten Person gegen die organisatorischen Maßnahmen des verantwortlichen Unternehmens gegeben." Das ist in der Tat in vielen Unternehmen ein Problem. Menschen sind von Natur aus neugierig und manchmal zu neugierig. Und natürlich gab es im Bereich des Beschäftigtendatenschutzes wieder zahlreiche Meldungen über unzulässige Offenlegung der eigenen Beschäftigtendaten durch Vorgesetzte.
|
Es gibt viele interessante Themen in dem Bericht, die ich nicht alle ansprechen kann. Abschließend einmal der Fall eines Unternehmens, welches in den Verdacht exzessiver Videoüberwachung von Mitarbeiter:innen geraten war. Man kooperierte nicht mit der Datenschutzaufsicht, sondern der Anwalt des Unternehmens berief sich auf ein Auskunftsverweigerungsrecht. Dieses bestand so aber nicht, die Datenschutzaufsicht hat sich kurzer Hand einen Durchsuchungsbeschluss besorgt und sich mit Hilfe der Polizei dann die Lage vor Ort angesehen. Dabei wurde ein Speichermedium für Videoaufnahmen sichergestellt. Kooperation, wenn man mich fragt, wäre vielleicht der intelligentere Weg gewesen.
|
3. Aktuelles aus dem Datenschutz
Es ist Urlaubszeit. Ab in den Urlaub. Wer eine Reise vorhat, der sollte auch an IT-Sicherheit und Datenschutz denken. Eine sehr schöne Übersicht hierzu, was man bedenken sollte, hat das BSI zusammengestellt. Sie ist hier abrufbar: Sichere Technik auch auf Reisen
|
Der BFDI (Bundesbeauftragte für den Datenschutz und die Informationsfreiheit) richtet in einem kurzen Newsletter den Fokus auf das sogenannte SIM-Swapping. Dieses Phänomen gerät oftmals in Vergessenheit, ist aber eine sehr große Bedrohung in der IT-Sicherheit. Hierbei wird die SIM-Karte und damit auch die Rufnummer von Personen durch Kriminelle übernommen. Dieses geschieht zum Beispiel dadurch, dass man mit gestohlenen Zugangsdaten beim Anbieter eine Ersatz-SIM-Karte bestellt. Am einfachsten geht dieses mit der eSIM, da hier nicht einmal mehr ein Postversand erfolgt. Ist die Rufnummer dann Gegenbestätigung in einer 2-Faktor-Authentisierung, ist es ein leichtes sich Zugang zu Online-Konten zu verschaffen. Aber auch andere Missbrauchsformen sind möglich.
|
Nicht nur die Regierungschefs der G7 Staaten treffen sich regelmäßig, sondern auch die Datenschutzbehörden der G7 Staaten. So ein Treffen erfolgte kürzlich in Tokio zum dritten Mal. Thema war ein internationaler Datenschutzstandard für künstliche Intelligenz (KI). Dieses Thema lässt sich vermutlich auch nur international lösen, wenn überhaupt. Und habe ich es richtig verstanden, flog man von Tokio gleich weiter nach Seoul, wo das Thema nochmal international besprochen wurde. Passend dazu gab es einen öffentlichen Brief der großen Konzernchefs in Europa, die davor warnen, dass die EU KI zu streng regulieren will und der Wettbewerbsstandort EU gefährdet wird. Also alles wie immer in der Welt, könnte man sagen.
|
Die SCHUFA versucht mal wieder an unsere Kontoauszüge bzw. die Informationen darauf zu kommen. Man kann hierzu sagen: Alle Jahre wieder die gleiche Geschichte! Lediglich der Ansatz variiert. Freiwillig soll man zustimmen können, nur, wer nicht zustimmt, hat wohl mit schlechteren Scorings für Kreditvergaben etc. zu rechnen. Also am Ende dann doch freiwillig unfreiwillig zustimmen? Ich hoffe, dass auch dieser Ansatz, der dem aus 2020 nicht unähnlich ist, scheitern wird.
|
Das BSI (Bundesamt für die Sicherheit in der Informationstechnologie) berichtet in deren Newsletter über Tresor Apps. Diese stellen gerade im Jugendschutz zunehmend ein Risiko dar. Hier tarnen sich Apps zum Beispiel als Taschenrechner oder Taschenlampe, jedoch versteckt sich hinter Ihnen ein Tresor mit verschlüsselten Bild- und anderem digitalen Material. Man findet diese Daten ansonsten nicht auf dem Smartphone. Nur die Nutzer:innen selbst können die App entsperren und die Daten entschlüsseln. Das bietet zum einen Sicherheit, was positiv zu bewerten ist. Zum anderen kann man damit aber auch verbotenes digitales Material verstecken.
|
Ebenso warnt das BSI wieder einmal vor dem sogenannten Tinder-Trading-Scam oder auch Love-Scam genannt. Internetkriminelle versuchen eine emotionale Liebesbeziehung zu Personen aufzubauen, um so deren Vertrauen zu gewinnen und dann diese zu Investments in Kryptowährung zu überreden. Letztlich nichts Neues in der Onlinewelt.
|
Laut einem Artikel im Spiegel hat ein Mitarbeiter der Firma Ring, die inzwischen von Amazon übernommen wurde, 2017 mindestens 81 Frauen mit deren Kameras in Schlaf- und Badezimmern beobachtet. Amazon hat dafür nun eine Millionensumme an Schadenersatz gezahlt. Sie sollten immer darauf achten, wo Sie Kameras platzieren. Meiner persönlichen Meinung nach, braucht man in privaten Wohnungen, insbesondere in Schlaf-, Badezimmern und Toiletten, keine Kameras. Es gilt: Keine Kamera, in jedem Fall keine Beobachtung!
|
Eine neue Phishing-Masche sind Mails, die eine Erstattung von mehreren hundert Euro durch das Bundesministerium für Gesundheit versprechen. Um diese zu erhalten, muss man eine Kopie seines Personalausweises zur Verfügung stellen. Damit wird dann ein Identitätsdiebstahl begangen.
|
Auch der TÜV hat mal eine Cyber-Studie gemacht. Danach wurden in 2022 11% aller Unternehmen in Deutschland Opfer eines Cyber-Angriffs. Hierbei mussten in ca. einem Drittel der Fälle Dienstleistungen eingestellt werden und in 10% der Fälle fiel sogar die Produktion aus. Diebstahl sensibler personenbezogener Daten gab es in 13 Prozent der Fälle.
|
Test-Hacker:innen, auch sowas gibt es, haben eine Sicherheitslücke im Darknet gefunden. Meiner persönlichen Meinung nach ist das gesamte Darknet irgendwie eine Art von Sicherheitslücke, was aber eine andere Geschichte ist. Also man merke: Auch im Darknet gibt es Pannen und IT-Sicherheitslücken.
|
|
Was habe ich sonst noch so gelesen: Die Rheinische Post gab es einige Tage nur als Notausgabe, weil ein Hackerangriff das Medienhaus lahmgelegt hat. Vodafone hat eine Kundeninformation nach Art. 34 DS-GVO wegen eines Datenlecks herausgegeben. Die IT-Systeme der deutschen Leasing waren nach einem cyberangriff über eine Woche abgeschaltet. Auch der medizinische Dienst Bremen und Niedersachsen wurden durch einen Cyberangriff lahmgelegt. Also alles wie immer in der Welt und ich schließe damit, dass Android ein Update gegen Hosentaschenanrufe getätigt hat, was uns einfachen Menschen den Umgang mit der Technik dann zu mindestens etwas erleichtert.
|
|
Ich bedanke mich für Ihre Aufmerksamkeit und hoffe, dass die Themen interessant waren. Themen für den nächsten Newsletter habe ich mir noch nicht überlegt, aber es wird sicher bis dahin wieder viel im Datenschutz passieren.
|
Tobias Lange
Unternehmensberater
Externer Datenschutzbeauftragter
|
|
|
|
|
Tobias Lange - Unternehmensberater
|
Externer Datenschutzbeauftragter (DSB)
Externer IT-Sicherheitsbeauftragter (ISB)
Zustellungsfähige Anschrift:
Berner Heerweg 246, 22159 Hamburg
Steuernummer: 50/139/02404
Finanzamt Hamburg Oberalster
Email: info@tl-datenschutz,de
Web:www.tl-datenschutz.de
|
|
|
|
|
|
|
