Lexware® Software & Datenschutzgrundverordnung: DSGVO und BDSGneu Umsetzung in Programmversionen

Pop up Schulungen Lexware® Lern-Ware Jahresabschlussarbeiten Bilanz GuV Buchhaltung datenschutzkonform Betreuung Hilfestellung Problemloesung Produkte 2
Teilen Sie Ihr Wissen mit Ihren Kollegen:

Ab 25.05.2018 gilt eu-weit, dass die Nichteinhaltung der Datenschutzgrundverordnung bundeslandbezogen mit Ordnungsstrafen belegt und nicht mehr nur angedroht werden wird. So die generell herrschende Meinung dazu. Die Datenschutzkontrollen werden über bundesländerbezogenene Datenschutzbehörden vollzogen.

Via www.Lexware.de/datenschutz-hinweise können Sie grundlegende Informationen in Erfahrung bringen. Welche technischen oder organisatorischen Maßnahmen (TOM) Sie aufgrund dieser Anforderungen betriebsindividuell verbessern (das BDSG wird von dem BDSGneu und der DSGVO abgelöst und verfeinert) oder neu gestalten müssen, kann nur anhand einer Prüfung der tatsächlich in Ihrem Betrieb oder auf Ihrer Webseite vorhandenen Umstände für zum Beispiel

    1. Zutrittsberechtigung zu realen oder virtuellen Büroräumen von Mitarbeitern oder betriebsfremden Kooperationspartnern
    2. Zugang- und Zugriffsberechtigungen zu den realen oder virtuellen Personal-Computer-Anlagen/Netzwerken von Mitarbeitern oder betriebsfremden Kooperationspartnern, IT-Dienstleistern oder Supportmitarbeitern
    3. Benutzerrechten in Betriebssystemen und den darauf implementierten Softwareanwendungen für den Umgang mit Daten natürlicher Personen mit Protokollierung des Datenzugriffs der Benutzer auf diese gespeicherten Inhalte für Mitarbeiter oder betriebsfremden Kooperationspartnern/Dienstleister mit Wartungsverträgen bzw. Supportmitarbeitern für Software-Unterstützung
    4. Datenminimierung bei Generierung oder Vorhaltung und der Pflege von Kundenkontakten (Opt-in und Opt out, Kennzeichnung von Pflichtangaben z. B. bei Newslettern, Preisausschreiben, Kontaktaufnahme, Trackingmöglichkeiten von IP-Adressen Ihrer Webseite/Ihres Webshops in Bezug auf verwendete Webseitensoftware/Ihres Webspace-Anbieters und deren/dessen Plugins sowie übergeordnete Goolge-/Bing/Opera-Mechanismen, Cookie-Sammlung für Statistiken, Anbindung an Social Media Netzwerke wie Facebook, Xing, LinkedIn) sowie Nachweis der Einwilligung für die so definierte Datensammlung aus den jeweiligen Sammelbecken (Webseite/Webshop/Social Media Verbindungen) von der betroffenen natürlichen Person
    5. Benennung und korrekte Erhebung der Daten mit zweckgebundenen Kommunikationsmitteln im Kunden-/Lieferantenverkehr oder mit dem eigenen oder fremden Personal für die jeweiligen Vertragsverhältnisse in Anbahnung oder in Umsetzung/Beendigung (zweckorientierte Verfahrensdokumentation mit Benennung der Rechtsquellen für die Erhebung) sowie Auskunftsersuchen vom Betroffenen
    6. Konzepte, die der Sperrung, der Löschung oder der verschlüsselten/ offenen Übertragung von Daten an den Betroffenen selbst, im unternehmensinternen System oder mit Einwilligung des Betroffenen an aussenstehende Dienstleister/ Anbieter ausserhalb der EU dienen (Dritte oder Drittländer)


Umsetzung in den Lexware-Programmen

Da die Einführung der DSGVO den Umgang mit personenbezogenen Daten grundlegend verändert, müssen auch in fast allen Lexware-Programmen Änderungen vorgenommen werden.

Alle Lexware-Nutzer mit einer aktuellen Programm-Version 2018 erhalten ein kostenfreies Update, mit dem sie datenschutzkonform weiterarbeiten.

Ab Januar 2019 werden die 2018er Versionen, die kein jahresaktuelles Update auf 2019 erhalten, funktional für neue Eingaben gesperrt, da die Altversionen dem sich entwickelnden haftungsrechtlichen Änderungsbedarf gemäß DSGVO und den technischen Anforderungen von jeglichen Betriebssystemneuerungen jeden neuen Jahres aller Voraussicht nicht standhalten können.

Die wichtigsten Neuerungen auf einen Blick:

      • Die Rechte- und Benutzerverwaltung ist datenschutzkonform.
      • Die Auskunftspflicht gegenüber Kunden, Mitarbeitern und Lieferanten wird integriert.
      • Das Update ermöglicht das rechtskonforme Löschen und Sperren von Daten (sog. „Recht auf Vergessen“).
      • Die Protokollierung von datenschutzrelevanten Vorgängen ist gewährleistet.

Weitere Informationen zu Ihrem Update senden wir Ihnen Ende Mai zu.

Liefertermin der Updates zur DSGVO

Die Updates werden Anfang Juni im Zuge Ihres Abonnements in den betroffenen Programmen zur Verfügung gestellt. Sollten Sie zwischen dem Inkrafttreten der DSGVO am 25. Mai und der Installation des Updates Anfang Juni Anfragen zu diesem Thema erhalten, melden Sie sich gerne bei Lexare. Sei werden dort bei der Bearbeitung der Anfragen, die in direktem Zusammenhang mit Ihrer Lexware-Software stehen, unterstützt. Schreiben Sie in dem Fall einfach eine E-Mail an feedback@haufe-Lexware.com.

Maßnahmenvorschläge von Haufe Lexware® für Klein- und Mittelstandsunternehmer:

DSGVO-Massnahmenplan



Lexware® DSGVO-Funktionen nur als funktionale Teillösung der TOM eines betrieblichen Datenschutzkonzepts zu begreifen (TOM = technisch organisatorische Maßnahme)

Beachten Sie bitte, dass die Funktionen und Möglichkeiten in und mit Lexware® Software immer nur ein Teil Ihrer Datenschutzmaßnahmen begleiten und absichern kann aber nicht alle Maßnahmen beinhaltet, die Sie im Rahmen Ihrer betrieblichen Tätigkeit bei Neuanlage, im Umgang, Pflege und Kündigung (Sperrung) der Vertragsbeziehung mit Kunden als natürlichen Personen unter Beachtung der strafbewehrten Umsetzung der DSGVO durchführen müssen. Allein die Webseiten-Datenschutzmaßnahmen sind bereits ein weites Feld von möglichen Fallen und Fehlern, die Sie unbewußt und ungewollt zur Zielscheibe von Datenschutzbehörden oder Abmahnwellen machen können. Dabei gilt es zu bedenken, dass die landeseigenen Datenschutzbehörden Ihnen dann kostenfrei zur Hilfe eilen müssen, wenn Sie z. B. wegen Videoüberwachung eine Datenschutzfolgeabschätzung zu tätigen haben und damit überfordert sind. Allerdings überfordern die Anfragen diesbezüglich, ob z. B. Videoüberwachung datenschutzkonform betriebsintern durchführbar ist, die personellen Kapazitäten jeder Landesdatenschutzbehörde und Ihre Nachfrage wird momentan auf Warteliste gesetzt (Artikel 35 DSGVO, Stand Mai 2018).

 

Benennung interner oder externer Datenschutzbeauftragter sowie Meldung an landeseigene Datenschutzbehörde (Art 37 DSGVO)

Die Benennung eines Datenschutzbeauftragten ist für die Betriebe nötig, bei denen mindestens 10 Personen (nicht nur angestellt tätige Mitarbeiter) Kenntnis von persönlichen Angaben natürlicher Personen in Form von z. B. (keine abschließende Aufzählung, ein „DATUM“=Persönlichkeitsmerkmal, reicht für die Einwilligugnsnotwendigkeit in den „DATEN“-Schutz der betroffenen Person):

  • Name
  • Anschrift
  • Emailadresse
  • Geburtsdaten
  • Vorlieben für den Kauf bestimmter Produkte aus Ihrem Sortiment
  • Lieferanschriften für andere natürliche Personen für Geschenkeversand
  • Gehaltsangaben im Personalbereich
  • An-/Abwesenheiten im Betrieb sofern als Urlaub oder mit Krankheitsgründen ausgewiesen
  • IP-Kennungen der Internetadresse des beauftragenden bzw. sendenden Rechners
  • Geschlecht, Konfession, Hautfarbe, sexuelle Gesinnung, Familienstand, Familienzugehörigkeit, Rasse, politische Meinung
  • etc.

für die Verarbeitung im Wareneingang, im Warenausgang, im Personalbereich oder über Webshopbestellungen sowie Kontaktformularen von Webseiten wie auch dem Versand von Newslettern oder altherkömmlichen Postkarten/Briefen regelmäßig (nicht nur gelegentlich) zur Kenntnis erhalten. Zur Kenntnis erhalten bedeutet, die Anschriften werden ganz einfach bei der Rechnungsstellung, z. B. lesend wahrgenommen, um einen Auftrag ins System einzugeben oder die entsprechende Spedition beauftragen zu können.

Zudem müssen die Betriebe, deren Kerntätigkeit in der automatisierten Datenverarbeitung inklusive regelmäßiger und systematischer Überwachung von natürlichen Personen besteht, einen Datenschutzbeauftragter, also ohne Beachtung der Personenzahlgrenze, bestellen: z. B. Auskunfteien. Die dritte Notwendigkeit ohne Beachtung der Personenzahlgrenze zur Bestellung eines Datenschutzbeauftragen besteht dann, wenn die Kerntätigkeit Ihres Betriebs die umfangreiche Verarbeitung besonderer Kategorien von Daten (Art. 9 DSGVO, Art 10 DSGVO), z. B. Arztpraxis, umfaßt.

Der für die Benennung „Verantwortliche“ ist der geschäftsführende Inhaber oder geschäftsführende Gesellschafter, welcher für alle Belange von Datenschutz-Rechtsverletzung im Rahmen seiner persönlichen/kapitalgebundenen Vollhaftung gerade stehen muss. Dieses Prinzip entspricht auch der Vollhaftung des Steuerpflichtigen für die Einhaltung der GoBD, bei denen die Fremdbeauftragung eines externen Dienstleisters nicht vor Inanspruchnahme der Folgen aus Rechtsverletzungen der Behörde gegenüber schützt. Inwiefern ein Regress auf die Leistungen von externen Datenschutzbeauftragen erfolgreich sein wird, bleibt abzuwarten- in der Regel entscheiden das Gerichte, wenn vorab Vertrauensschadenversicherungen ohnehin alle Ansprüche verneint haben. Wie das schon seit ehedem auch bei der externen Beauftragung von Fremddienstleistungen in der Rechnungslegung grundsätzlich verneint wird. Die von Ihnen beauftragten Steuerberater müssen Ihnen ab Mai 2018 auf jeden Fall Auftragsverarbeitungsverträge zusenden, wenn diese als verlängerte Werkbank für Ihre Verwaltungsaufgaben dienen (mehr unten).

Von der Benennung ausgeschlossen sind sämtliche Mitglieder der Geschäftsführung sowie System-Administratoren, die jederzeit Änderungen vornehmen können, ohne irgendeiner Zweitkontrolle zu unterliegen.

 

Verzeichnis von Verarbeitungstätigkeiten (Art. 30 DSGVO)

Wer der populär verbreiteten Meinung ist, dass erst ab 250 Mitarbeitern zweckbezogene Verzeichnisse von Verarbeitungstätigkeiten mit Lösch-/Widerspruchs-/Sperrkonzepten inklusive der TOM (technisch organisatorischen Maßnahmen) erstellt werden müssen, irrt, wenn nicht nur gelegentlich, sondern regelmäßig Daten natürlicher Personen im betriebseigenen PC-System oder in der manuellen Aktenablage im Schrank aufgenommen, eingegeben, verarbeitet und ausgegeben werden. Im Handel, im Dienstleistungssektor und im Handwerk sind diese Tätigkeiten die Regel, nicht die Ausnahme.

Das Bayerisches Landesamt für Datenschutzaufsicht stellt klar, dass ein Verzeichnis der Verarbeitungstätigkeiten pro Zweck vorliegen muss, welches dann im Folgenden die TOM für den Fall der Fälle (Neuanlage, Widerspruch, Sperrung, Löschung, Datenverlust) aufzeigt. Es gibt beispielgebundene Verzeichnisse pro Branche auf folgender Webseite frei:

Ein Muster für Einzelhändler- weitere Branchenmuster per Klick auf das Bild erreichbar

Fakt ist, dass das IT-Sicherheitskonzept vorliegen muss, wenn die landeseigene Datenschutzbehörde anklingelt. Fraglich ist, ob Sie alle betroffenen TOM (technisch-organisatorische Maßnahmen) kennen oder auch, wenn vorhanden, allein sofort umsetzen können. Für diesen Fall stellen wir Ihnen einen TÜV-geprüften Datenschutzbeauftragten zur Seite, der sich mit IT-Sicherheitskonzepten auskennt und die Ihren auf Werthaltigkeit bzw. Verbesserungsbedarf mit Ihnen prüft. Angebot können Sie unten einholen. Da wir diese Leistungen als nebengeordnet zu Softwareverkauf und Schulung durchführen, bedienen wir damit allerdings nur die Kunden, die auch bei uns Ihr Software-Abonnement in Betreuung gegeben oder Schulungen/Coachings beauftragt haben.

 

Auftragsverarbeitungsverträge (AVV) als verlängerte Werkbank im Rahmen von Fremddienstleistern für ausser Haus gegebene Verwaltungsaufgaben (Art 28 DSGVO) oder an weisungsgebundene Subunternehmer

Achten Sie bitte darauf, wenn Sie Verwaltungsarbeiten aus dem Hause oder in betriebsfremde Hände (z. B. Buchführungshelfer kommt zu Ihnen persönlich ins Haus oder hat Zugriff via Internet auf Ihre Buchhaltungssoftware und eingescannte Belege) geben, dass die dafür beauftragten Dienstleister AVV, Auftragsverarbeitungsverträge, mit Ihnen schließen, um Ihren Haftungsbereich auf die kleinstmögliche Variante bei Datenverlust und möglichen Folgeschäden einzugrenzen.

Was es damit auf sich hat, können Sie dem Kurzpapier der Bayrischen Landesdatenschutzbehörde hier als PDF entnehmen: dsk_kpnr_13_auftragsverarbeitung

Wir von Lern-Ware selbst sind keine verlängerte Werkbank Ihrerseits, da unser Support/unsere Schulung weisungsfrei erfolgt. Auftragsverarbeiter müssen von Ihnen gesagt erhalten, was zu tun ist und diese Aufgabe lösen (Art 29 DSGVO). Wir stellen Ihnen die Lösung anhand von Schritten dar, die Sie befolgen müssen, um zur Lösung des Problems zu gelangen. Zur Verschwiegenheit der uns von Ihnen übermittelten Sachverhalte oder vor Augen geführten Bildschirminhalte sind wir ohnehin von Grund auf verpflichtet. Aufzeichnungen davon werden entweder nach der Besprechung datenschutzkonfom aufbewahrt, sofort vernichtet oder gar nicht angenommen/durchgeführt.

Lohn- und Buchführungsbüros, Webseiten-Provider, Web-Shop-Hosts, Werbeagenturen mit oder ohne SEO (Search Engine Optimization für bessere Finde-Erfolge Ihrer Webseite im Internet), EDV-Wartungsdienstleister Ihrer Hardware, Rechenzentrumsanbieter für virtualisierte Büroräume, Software as a Service Dienste wie lexoffice, die Sie in Anspruch nehmen, benötigen AVV mit Ihnen. Auch wenn Sie Ihre Datenbank zur Reparatur bei Lexware® abgeben oder Daten in die Cloudanbindungen (z. B. lexmobile) als Zusatzdienstleistungen im Rahmen von Datensicherungs- oder Aussendienstanbindungskonzepten hoch laden, benötigen Sie AVV, bzw. ADV (Auftragsdatenverarbeitungsaufträge) mit Haufe-Lexware® GmbhH & Co. KG oder den alternativ von Ihnen für diese Zwecke genutzten Datensammlern der Identifikationsmerkmale Ihrer Kunden, wenn diese Kunden nicht nur juristische Personen des Privatrechts sein sollten (AG, GmbH, GmbH & Co. KG etc.), bzw. Körperschaften des öffentlichen Rechts (Gemeinde, Kommunen, Zweckverbände) darstellen.

Dienstleistungen oder Werkverträge, die Privatpersonen bei Ihnen direkt in Auftrag geben, benötigen keine AVV,da Sie in diesem Zusammenhang der direkte und nicht der indirekte Ansprechpartner für die auszuführenden Leistungen sind. Also eine Werkbank direkt ohne Verlängerung des Aktionsradiuses über „Dritte“. AVV benötigen demnach Gewerbetreibende und Dienstleister untereinander, wenn sie sich die Daten natürlicher Personen gegenseitig zwecks Bearbeitung als verlängerte Werkbank, z. B. für betriebsinterne Verwaltungsaufgaben/als weisungsgebundener Subunternehmer, zur Verfügung stellen.

Rechts- oder Unternehmensberater, die nur im Rahmen der freien Berufe in Ausübung von Rechts- oder Wirtschaftsberatung und mit eingeschlossenem Berufs- oder Postgeheimnis tätig werden (ausserhalb von Buchführungs, Bilanzierungs- oder Frankieraufgaben), wie Anwälte und Steuerberater bzw. akademisch ausgebildete Betriebsberater, genauso wie Briefzusteller oder Speditionen, sind keine verlängerte Werkbank im Sinne der DSGVO. Für derartige Inanspruchnahme von Dienstleistungen benötigen Sie keine AVV, da diese Berater oder Dienstleister weisungsfrei Ihre Anfragen lösen (Rechtsberater mit Schweigerecht und -pflicht, Unternehmensberater mit generellem Berufsgeheimnis) oder zusätzlichen Hoheitsrechten Genüge tun müssen (Postgeheimnis).

Hier noch ein Fragebogen des Bayrischen Landesamts für Datenschutz, mit dem Sie Ihren Stand der Dinge intern prüfen können: dsgvo_fragebogen


Lern-Ware Hinweis bezüglich Datensicherheit inklusive Datenschutzbelange unserer Software-Stammkunden:

Für unsere Stammkunden bieten wir als kostengünstige Zusatzleistung ebenso die Prüfung auf IT-Datensicherheit Ihres Unternehmens und dessen Werbeauftritts im Internet an.

Datensicherheits-Checks werden von einem TÜV-geprüften Datenschutz-Beauftragten durchgeführt.

Notwendige Datenschutzaspekte gemäß DSGVO und BDSGneu werden dahingehend parallel als Nebenleistung zu Datensicherheitsbelangen in Bezug auf Webseiten, Social Media, Gewinnspielen, Software – und Hardwareeinsatz, Personalschulung in Bezug auf notwendige Verhaltensanforderungen oder betriebliche Verhaltensregeln, den dazu begleitenden technischen und organisatorischen Maßnahmen im Unternehmen (Verfahrensdokumentation und Datenschutzfolgeabschätzungen) mit benannt. Termine für diese Art von Dienstleistungen bitte zwei Monate im voraus planen und mit uns absprechen.


Lern-Ware Hinweis:

Lexware® Software Warenwirtschaft und DSGVO: Datenschutz für Zugang, Umgang, Auskunft, Export und Löschung Daten natürlicher Personen (Kunden)

Lexware® Archiv in der Cloud ab 2017: Revisionssichere Abspeicherung von verschiedenen Dateiformaten mit und in Lexware® Software

Verfahrensdokumentation GoBD laut BMF vom 14.11.2014 – hier ein Vorschlag für Lexware® Kunden samt Nennung aller Irrtümer zur Belegführung laut www

Lexware® Software und Datensicherung/Aufbewahrungspflicht nach HGB und Abgabenordnung: Firma löschen


Teilen Sie Ihr Wissen mit Ihren Kollegen:
2. LEXWARE® LOHN & GEHALT3. LEXWARE® REISEKOSTEN & FEHLZEITEN4. LEXWARE® BUCHHALTUNG & E-BILANZ + EÜR6. LEXWARE® WARENWIRTSCHAFT & WEBSHOP7. LEXWARE® ARCHIVIERUNG & DATENSCHUTZDatensicherheit & DatenschutzLern-Ware Service & Lexware® AnleitungRechtsquellen & Lexware® Handbücher