Datenschutzberater
auf der Insel Rügen

Prüfungen erfolgen sowohl anlassbezogen als auch anlasslos.

Anlassbezogene Prüfungen

erfolgen meist aufgrund von Beschwerden oder konkreten Hinweisen auf mögliche Datenschutzverstöße durch Dritte.

Anlasslose Prüfungen

erfolgen nach pflichtgemäßem Ermessen branchenunabhängig in allen Regionen eines Bundeslands. Eine Vorgehensweise ist z.B. der Versand von Fragebögen. Diese werden zur Querschnittsprüfung durchaus an mehrere hundert Unternehmen gleichzeitig versendet. Alternativ können diese Befragungen auch online oder vor Ort bei Ihnen erfolgen. Der Inhalt der Fragebögen und sowie die Prüfschwerpunkte variieren. Die Aufsichtsbehörden schauen auf Beschwerden und gemeldete Datenschutzverletzungen von Bürgern und erkennen hier schnell Schwerpunktthemen. Diese gilt es dann zu prüfen. Rechnen Sie mit bis zu 20 Fragen, die Sie in einer bestimmten Frist beantworten müssen.

Haben Sie Interesse daran, wie so ein Fragebogen inhaltlich aufgebaut ist?
Schreiben Sie mir unter birgit.fuchs@ruegen-consulting.de mit dem Betreff „Fragenkatalog Prüfungen“.

Nach Art. 5 Abs. 2 DSGVO müssen Sie als Verantwortlicher nachweisen können, dass die Grundsätze für die Verarbeitung personenbezogener Daten eingehalten werden. Dieser Nachweis hat schriftlich zu erfolgen.

Gehen Sie bitte unbedingt davon aus, dass bei einer Prüfung – egal ob in Form eines Fragebogens oder vor Ort – immer das Vorhandensein unterschiedlichster Dokumentationen geprüft wird. Das neue Datenschutzrecht gilt seit Mai 2018. Wer bis heute keine Dokumentation erstellt hat, verstößt gegen das Recht. Schonfristen sind nicht zu erwarten.

Ein klares Nein!

Im Folgenden werden wichtige Dokumentationspflichten auszugsweise aufgeführt, um die Rechtmäßigkeit der Verarbeitung gegenüber Betroffenen und Aufsichtsbehörden sicherstellen und nachweisen zu können:

• Erstellung von Verarbeitungsverzeichnissen
• Dokumentation zum Umgang mit Datenpannen
• Datenschutz-Folgenabschätzungen bzw. sonstige Risikoabschätzungen
• Datenschutzrichtlinie / Datenschutz-Policy
• Vertragsmanagement / Auftragsverarbeitung
• Löschkonzept / Löschroutinen

Möchten Sie weitere Informationen?
Schreiben Sie mir unter birgit.fuchs@ruegen-consulting.de mit dem Betreff „Checkliste Dokumentationspflichten“.

Unbedingt! Aus vielen Artikeln der DSGVO ergeben sich neue und erweiterte Pflichten für Webseitenbetreiber. Inhaltlich haftet der Betreiber und nicht der Ersteller bzw. die Agentur.

Schon beim Aufruf Ihrer Webseiten werden Daten ausgetauscht, z.B. die IP-Adresse des Besuchers. Diese gehört zu den personenbezogenen Daten.

Was ist zu tun (Auszug)?

• Prüfen Sie, ob Ihre Webseiten verschlüsselt sind. Die Webseiten sollten ausschließlich über HTTPS mit TLS 1.2 zugänglich sein.
• Prüfen, überarbeiten und erweitern Sie Ihre Datenschutzerklärung. Präzise und verständlich formuliert, sollte diese möglichst von jeder Seite aus leicht erreichbar sein. Tipp: Nennen Sie das Kind beim Namen!
• Vorsicht bei der Einbettung von Social Media-Plugins. Der Einsatz der kleinen Schaltflächen (Icons) wird als hochproblematisch gesehen.
• Prüfen Sie Ihre eingesetzten Statistik-Programme (z.B. Google Analytics oder WordPress.com Stats).
• Die meisten der aktuell genutzten Cookie-Banner sind nicht konform mit dem Datenschutzrecht, da sie keine Einflussmöglichkeit durch den Webseitenbesucher ermöglichen. Die sogenannte „Opt-out“-Lösung verstößt gegen das Datenschutzrecht (siehe auch EuGH, AZ: C-673/17, Stand: Oktober 2019). Daher: Dringend die Cookie-Banner auf den neusten Stand bringen.
• Für Unternehmenswebseiten sind regelmäßige Updates der eingesetzten Software (CMS-System) zwingend erforderlich. Diese erfolgen aber nicht automatisch. Die Systeme werden anfällig für Angriffe aus dem Internet. Das Bayerische Landesamt für Datenschutzaufsicht hat z.B. im Zusammenhang mit WordPress über 200 Webseiten auf ihren sicheren Einsatz untersucht. Prüfen und organisieren Sie also regelmäßige Updates Ihres CMS-Systems!

Möchten Sie weitere Informationen?
Schreiben Sie mir unter birgit.fuchs@ruegen-consulting.de mit dem Betreff „Checkliste Webseiten“.

Die EU-Datenschutzgrundverordnung ist unmittelbar geltendes Recht. Sie hat Vorrang vor nationalem Recht.

An manchen Stellen lässt sie aber einzelne Bestimmungen offen, sogenannte Öffnungsklauseln. Hier kommt das aktuelle BDSG ins Spiel. Es konkretisiert die Bestimmungen, die die DSGVO offenlässt und fungiert so als nationale „Datenschutz-Anpassung“. Das aktuelle BDSG ergänzt also die Datenschutzgrundverordnung. Deshalb kann man beide nicht getrennt voneinander betrachten.

Der Landesbeauftragte für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern ist zuständig für die Einhaltung der Vorschriften in Mecklenburg-Vorpommern. Seit 2016 ist Heinz Müller verantwortlicher Landesbeauftragter des Amtes mit Sitz in Schwerin. Link zur Webseite: https://www.datenschutz-mv.de/

Mit den „Grundsätzen zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff“(GoBD) hat die Finanzverwaltung dargelegt, welche Vorgaben aus ihrer Sicht an IT-gestützte Prozesse zu stellen sind. Unternehmen sollten die GoBD nutzen, um ihre Prozesse einer eingehenden Überprüfung zu unterziehen und diese an den aktuellen Stand der Rechtslage anzupassen.

Möchten Sie weitere dazu Informationen?
Schreiben Sie mir unter birgit.fuchs@ruegen-consulting.de mit dem Betreff „Anforderungen an eine GoBD konforme Buchhaltung“.

Nein! Die GoBD ersetzen diese Grundsätze.

Die Vorgaben der GoBD betreffen grundsätzlich alle Steuerpflichtigen mit Gewinneinkünften i. S. d. § 5 EStG, § 4 Abs. 1 EStG sowie Einnahmen-Überschuss-Rechner, soweit diese ihre unternehmerischen Prozesse IT-gestützt abbilden und ihren Buchführungs- und Aufbewahrungspflichten in elektronischer Form nachkommen. Auf diese Weise ist die gesamte deutsche Unternehmerschaft betroffen.

1. Nachvollziehbarkeit und Nachprüfbarkeit
2. Vollständigkeit und Richtigkeit
3. Zeitgerechte Buchungen und Aufzeichnungen
4. Ordnung, Unverlierbarkeit, Auffindbarkeit
5. Unveränderbarkeit (Rechtssicher Archivieren)
6. Digitaler Datenzugriff der Finanzbehörde (Z1, Z2 und Z3)

Das Finanzamt hat unterschiedliche Rechte auf den Zugriff Ihrer Daten.

Möchten Sie weitere dazu Informationen?
Schreiben Sie mir unter birgit.fuchs@ruegen-consulting.de mit dem Betreff „GoBD – Die 6 Anforderungen im Detail“.

Für jedes Datenverarbeitungssystem soll eine übersichtlich gegliederte Verfahrensdokumentation inklusiv internem Kontrollsystem (IKS) vorhanden sein, die den Inhalt, Aufbau, Ablauf und Ergebnisse des Datenverarbeitungsverfahrens vollständig und schlüssig beschreibt.

Die Verfahrensdokumentation besteht i. d. R. aus einer allgemeinen Beschreibung, einer Anwenderdokumentation, einer technischen Systemdokumentation und einer Betriebsdokumentation. Dies ergibt sich aus Abschnitt 10.1 der GoBD 2020. Änderungen müssen versioniert und in einer nachvollziehbaren Änderungshistorie geführt werden.

Eine Verfahrensdokumentation dient auch als Nachweis, um die Anforderungen von Handelsgesetzbuch und Abgabenordnung zu erfüllen. Die Verfahrensdokumentation ist für jedes Unternehmen – unabhängig seiner Größe – dringend zu empfehlen.

Sie brauchen weitere Informationen?
Schreiben Sie mir eine E-Mail unter birgit.fuchs@ruegen-consulting.de mit dem Betreff „Verfahrensdokumentation im Detail“.

Das IKS soll die Einhaltung und Überprüfung der Verfahrensdokumentation intern sicherstellen und Teil der Verfahrensdokumentation sein. Ein IKS macht zweifelsohne auch betriebswirtschaftlich Sinn: Sie vermeiden Fehler und manipulationsanfällige Arbeitsbereiche werden regelmäßig kontrolliert. Nicht zuletzt entsteht ein höheres Verantwortungsbewusstsein bei den Mitarbeitern.

Es sind alle Systeme betroffen, die für Buchungen und die Besteuerung von Bedeutung sind. Was digital eingesetzt und erstellt wird und mit dem Rechnungswesen zusammenhängt, muss den Prüfern der Finanzverwaltung zugänglich gemacht werden und die jeweiligen Anforderungen erfüllen.

Dies umfasst z.B. Anlagenbuchhaltung, Lohnbuchhaltung, MS-Office (Mailing, Outlook, Word-Dateien, Excel-Dateien) Kassen bzw. Registrier- und PC-Kassensysteme, Warenwirtschaftssysteme, Fakturierungssysteme, Kostenrechnung, Zahlungsverkehrssysteme, Waagen, Taxameter, Zeiterfassungssysteme, Dokumenten-Management-Systeme, Archive, elektronische Fahrtenbücher, Rechnungseingangsbücher, elektronische Lieferscheine und auch Schnittstellen zwischen den Systemen.

Übrigens: Die Rechte und Pflichten der GoBD gelten auch für Unterlagen in Papierform.

Um es kurz zu machen: Die Rechnungsstellung mit Word und Excel und das Abspeichern im Dateisystem ist im Normalfall nicht GoBD-konform. Eine GoBD-konforme Arbeitsweise umfasst den Einsatz von Software gemäß GoBD, eine revisionssichere Archivierung und Speicherung. Es wird also zusätzliche Software notwendig.

Mögliche Änderungen dürfen nicht im Original getätigt werden, sondern müssen als neue Version nachvollziehbar gespeichert und archiviert. Eine revisionssichere Archivierung sorgt dafür, dass ein gespeichertes Dokument nicht mehr verändert oder gelöscht werden darf.

Nutzen Sie z.B. Microsoft Word nur als „Schreibmaschine“ und lediglich für den Ausdruck eines Dokuments, so ist dieser Ansatz weiterhin möglich. Vorausgesetzt: das Dokument wird nach Fertigstellung nicht abgespeichert.

Grundsätzlich ist allein der Steuerpflichtige für die Ordnungsmäßigkeit seiner elektronischen Bücher zuständig. Dies trifft auch zu, wenn teilweise oder vollständig Buchführungs- und Aufzeichnungsaufgaben organisatorisch und technisch auf einen Steuerberater oder ein Rechenzentrum übertragen wurden.

Dabei ist die Ordnungsmäßigkeit elektronischer Bücher und sonstigen erforderlichen elektronischen Aufzeichnungen nach denselben Prinzipien zu beurteilen wie auch bei manuell erstellten Büchern oder Aufzeichnungen.