Podcast

Warum die Lohnbuchhaltung durch Steuerberater KEINE Auftragsverarbeitung ist

Die schriftliche, ausführliche Begründung kannst du hier nachlesen: Warum ist denn nun die Lohnbuchhaltung durch Steuerberater KEINE Auftragsverarbeitung?

Aus aktuellem Anlass (dazu mehr im Podcast) gibt es jetzt im Oktober doch noch eine Podcastfolge. In dem Podcast möchte ich die Begründung dafür liefern, warum die Lohnbuchhaltung durch Steuerberater keine Auftragsverarbeitung ist.

Eine Begründung in Textform reiche ich ggf. noch als gesonderten Blogbeitrag nach. Dieser Podcast sollte aber „schnell“ raus. Daher auch etwas heiß und fettig produziert. Ich hoffe, dass der Argumentationsstrang trotz meines „Gesappels“ deutlich wird…

Darf der Datenschutzbeauftragte zugleich Informationssicherheitsbeaufragter sein?

Ich bekomme häufiger die Anfrage von Unternehmen und auch Datenschutzbeauftragten, ob es möglich ist, dass der Datenschutzbeauftragte (DSB) zugleich die Aufgabe des Informationssicherheitsbeauftragten (ISB) übernimmt.

Um es vorwegzunehmen: Ja, das ist (mittlerweile) meiner Meinung nach zulässig. Wo die Probleme und Grenzen liegen und warum der früher bestehende Interessenkonflikt jetzt aufgelöst ist, könnt ihr in dieser Podcast-Episode nachhören.

Der BGH und die Kundenzufriedenheitsumfragen per E-Mail

Die Entscheidung ist gar nicht so ganz frisch. Stammt sie doch aus dem Juli 2018. Gemeint ist das Urteil des BGH vom 10.07.2018, Az. VI ZR 225/17. Diese Entscheidung war unter den Datenschutz-Coaching-Mitgliedern diese Woche ein großes Thema.

Gleich mehrere Anfragen kamen dazu. Daher habe ich das Urteil auch heute morgen schon kurz im Datenschutz-Update für Datenschutz-Coaching-Mitglieder besprochen.

In dem Urteil erklärt der BGH es für unzulässig, dass ein Internet-Händler dem Kunden (eine Privatperson) eine Bitte zur Teilnahme an einer Kundenzufriedenheitsumfrage sendet. Und das obwohl diese „nur“ im Zusammenhang mit dem Versand der Rechnung an den Kunden erfolgte. Ein Skandal? Eine Revolution? Nicht wirklich. Aber schon von Bedeutung.

Hier die Besprechung des Urteils und zugleich ein kleiner Ausflug in das Permission Marketing im Sinne von Seth Godin.

Ausnahmen von Informationspflichten (Art. 14 DSGVO)

Stell’ Dir vor, du arbeitest als Datenschutzbeauftragter bei der „Ruckus GmbH“. Am Morgen fährt ein LKW vor. Er lädt 50 Kartons ab, die mit Akten gefüllt sind. Die Akten sind chronologisch sortiert. Und enthalten sind Verträge, Unterlagen etc. zu Forderungen, die gegenüber „Schuldnern“ bestehen. Jetzt wird dir diese Frage gestellt:

Müssen jetzt alle Betroffene, deren personenbezogene Daten in diesen Akten enthalten sind, darüber informiert werden?

Klingt nach einem skurrilen Fall? Ist es aber nicht. Diese Dinge fallen recht regelmäßig in bestimmten Branchen an, in denen Forderungen verkauft oder geltend gemacht werden. Also z.B. im Bereich des „Factorings“, der stillen Zession oder dem Inkasso-Bereich.

Und wie gehen wir nun mit so einem Fall um? Darum kümmere ich mich leicht hastig in dieser Podcast-Episode.

Nach 44 ist Schluss

Auch ich hatte bei dem Titel dieser Episode eine Assoziation mit einem Jahr der Geschichte. Und daher habe ich den Titel auch zum Anlass genommen, ein persönliches Statement zu Demonstrationsereignissen in Chemnitz abzugeben. Es ist auch für die sog. „schweigende Mehrheit“ jetzt meiner Meinung nach wichtig, laut oder lauter zu werden. Daher auch in diesem Podcast ein Statement zu Nazis, Nazidemonstrationen und Menschen, die an solchen Demonstrationen teilnehmen.

Aber es geht bei dem Titel „nach 44“ in dieser Episode auch um Datenschutz, nämlich um das BDSG. Ich sehe es leider auch nach weiter über 100 Tagen DSGVO in der Praxis immer noch, dass Unternehmen mit Verträgen oder Unterlagen hantieren, die z.B. auf § 64 BDSG oder § 55 BDSG referenzieren. Warum das falsch und zudem unprofessionell ist, erfahrt ihr in dieser Podcast-Episode.

Kontrolle des Auftragsverarbeiters nur gegen Zahlung eines Entgelts?

Der Bayerische Landesdatenschutzbeauftragte Dr. Thomas Petri hat dieses Thema im Sommer in einer Mitteilung aufgegriffen:

Dort wird die Auffassung vertreten, dass ein Auftragsverarbeiter eine Vor-Ort-Kontrolle grundsätzlich einräumen muss und kein Entgelt dafür verlangt werden darf. Möglich sei aber, dies „einzupreisen“.

Aber: Ist das rechtlich wirklich so eindeutig? Mitnichten. Und vor allem sind viele Auftragsverarbeiter etwas „gebeutelt“. Ob also Vor-Ort-Kontrollen vom Auftragsverarbeiter berechnet werden können und unter welchen Bedingungen dies denkbar ist. Darum geht es in dieser Podcast-Episode.

Update (23.08.2018): Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) scheint das übrigens nicht pauschal so zu sehen, wie der Bayerische Landesdatenschutzbeauftragte. Das lässt sich hier (PDF) auf Seite 8 nachlesen. Zum Thema übrigens auch Kollege Piltz hier.

Verarbeitungsverzeichnisse funktionieren wieder nicht in der Praxis

Es zeigt sich schon jetzt wieder sehr deutlich: Die Verarbeitungsverzeichnisse funktionieren in der Praxis der Unternehmen nicht. Besser gesagt: Schon wieder nicht.

Denn auch die Verfahrensverzeichnisse nach dem alten BDSG bzw. der damaligen EG-Datenschutz-Richtlinie haben nie wirklich funktioniert. Wenn sie überhaupt früher gemacht wurden, dann sind sie irgendwann verstaubt im Regal bzw. virtuell im Dateiordner verstaubt.

Und wenn ihr euch bzw. das unternehmerische Umfeld mal kritisch betrachtet, bin ich recht sicher, dass euer Verarbeitungsverzeichnis schon jetzt nicht mehr auf dem aktuellen Stand ist.

Und ganz ehrlich: Das ist auch eigentlich nicht schlimm. Rechtspolitisch gehört die Pflicht zur Erstellung von Verarbeitungsverzeichnissen auf den Prüfstand. Sie hat nämlich keinen echten Vorteil für den Schutz von Daten von Betroffenen. Mehr dazu in dieser Podcast-Episode.

Auskunftsersuchen nach DSGVO: Probleme am Rand

Es zeigt sich leider immer mehr und immer wieder, dass die Regelung der Betroffenenrechte in der DSGVO nicht optimal geregelt ist.

Insbesondere dort, wo durch etwaige Auskünfte Rechte Dritter betroffen sein können, fehlt es in der DSGVO an möglichen Einschränkungen. Das mag rechtspolitisch gewollt sein, führt aber in der Praxis in einigen Bereichen zu erheblichen Problemen.

Das BDSG gibt hier mit § 29 und § 34 BDSG zwar ein paar Möglichkeiten, die Probleme in den Griff zu bekommen. Letztlich führt aber wohl kein Weg daran vorbei, die DSGVO im Lichte von Art. 8 GRCh einschränkend auszulegen. Dieses Thema wird uns noch in Zukunft weiter erhalten bleiben.

Was ich an der DSGVO gut finde

Jetzt haben wir reichlich an der DSGVO herumgenörgelt. Und es ist jetzt auch im Podcast einmal Zeit, neben meinem persönlichen „Lowlight“ der DSGVO (Betroffenenrechte & Informationspflichten) auch mal auf die „Highlights“ – also die positiven Aspekte einzugehen.

Und da gibt es in der DSGVO auch einiges, das sehr positiv ist. Zum Beispiel finde ich, dass die Regelungen zur Datensicherheit im Vergleich zum „alten BDSG“ wesentlich besser sind.

Dazu mehr in dieser Podcast-Episode.

Ist die Nutzung von WhatsApp zur Rezeptbestellung in Apotheken unzulässig?

Die niedersächsische Aufsichtsbehörde für den Datenschutz hat jüngst verkündet, dass die Nutzung von WhatsApp durch Apotheken, um Kunden die Rezeptbestellung per WhatsApp zu ermöglichen datenschutzrechtlich unzulässig ist.

Die wird dann in einem Merkblatt für die Nutzung von WhatsApp in Apotheken (PDF) erläutert. Beim Lesen des Merkblatts kam ich aus dem Staunen kaum heraus. Wenn wir die Ausführungen weiterführen, muss jede Apotheke…nein jedes Unternehmen und jede öffentliche Stelle ab sofort einen Auftragsverarbeitungsvertrag mit seinem Telefon- und Faxdienstleister haben. Zumindest dann, wenn das Telefon oder Fax auch Kunden bzw. natürlichen Personen und nicht nur Firmen zur Nutzung zur Verfügung steht. Ihr merkt schon, dass wir hier wieder einen kleinen Fall von verfehltem Qualitätsanspruch haben.

Ich habe den Anspruch an Aufsichtsbehörden, dass juristisch sauber gearbeitet wird. Aufsichtsbehörden können und sollen ihre Auffassung vertreten. Wenn sie sich aber auf juristisch extrem wackeligen Grund bewegen, dann meine ich schon, dass der Bürger erwarten kann, dass zumindest in einem Nebensatz erwähnt wird, dass das vielleicht auch anders gesehen werden kann. Aber damit tun sich einige Aufsichtsbehörden scheinbar manchmal schwer.

Im heutigen Podcast gibt es einen 30-minütigen Rant über die Nutzung von WhatsApp in Apotheken und meine Ansprüche und Wünsche an die Qualität der Äußerungen von Aufsichtsbehörden.

Im Hinblick auf das Merkblatt der niedersächsischen Aufsichtsbehörde stelle ich fest:

  1. Es ist derzeit umstritten, ob ein Messengerdienst wie WhatsApp ein TK-Dienst ist oder nicht.
  2. Nur weil ein Apotheker den Kommunikationskanal WhatsApp anbietet, wird er nicht zum TK-Diensteanbieter und unterliegt damit auch nicht dem TKG.
  3. Wenn er ein TK-Anbieter wäre, dann wäre die niedersächsische Aufsichtsbehörde nicht zuständig, sondern die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit.
  4. Es ist durch technischen Einsatz möglich, den Adressbuchupload zu steuern.
  5. Es ist durch organisatorische Maßnahmen möglich, Nummern für die WhatsApp-Kommunikation zu verwenden, die nicht von WhatsApp Inc. oder Facebook einer Apotheke zuzuordnen sind.
  6. Es ist nicht korrekt, dass es generell keine Rechtsgrundlagen für die Übermittlung von Adressbuchdaten aus dem Telefonbuch zu WhatsApp Inc. gibt, wenn der betroffene Teilnehmer schon WhatsApp-User ist.
  7. Es ist umstritten, ob bei der Nutzung eines TK-Dienstes durch juristische Personen oder öffentliche Stellen eine Auftragsverarbeitung vorliegt (Spoiler: Es gibt auch Gründe, das nicht anzunehmen).
  8. Nicht jeder Dienst aus den USA ist per se „böse“. Im Gegenteil: Im Hinblick auf Datensicherheit dürfen sich viele EU-Anbieter ein paar Scheibchen von vielen US-Anbietern abschneiden.

Was die niedersächsische Aufsichtsbehörden zur WhatsApp-Nutzung durch Apotheken in ihrem Merkblatt geschrieben hat, kann m.E. nicht so stehengelassen werden. Eine deutliche und pointierte Replik habe ich mir hier im Podcast einfach mal erlaubt.