Verantwortlichkeiten: MO und DSGVO

Folgen
Avatar
ds

Hallo Zusammen,

wie schon öfters hier in dem Forum darauf hingewiesen wurde, ist MO nicht DSGVO-konform und man kann wesentliche Daten überhaupt nicht aus der Datenbank löschen.

Die DSGVO gibt es nun schon seit 2018 und MO unterstützt den Anwender weder bei der Erstellung von Auskünften entsprechend der DSGVO noch bei der Löschung der Daten (festgeschriebenes geht z.B. gar nicht zum löschen!).

Bei diesem Post geht es mir darum auf die Verantwortlichkeiten aufmerksam zu machen bzw. mal zu fragen wie ihr das seht. 

Grundsätzlich sind wir als Anwender dafür verantwortlich die Datenschutzbestimmungen einzuhalten und müssen die entsprechende Infrastruktur/Software dafür schaffen. Da MO keine DSGVO-konforme Funktionalität bietet (wird vom Hersteller auch nicht als Funktionaliät beworben) bedeutet dies eigentlich, dass man praktisch MO nicht einsetzen kann.

Andererseits ist MO eine Buchhaltungssoftware die per se personenbezogene Daten verarbeitet und speichert. Darf man da als Anwender nicht davon ausgehen, dass Software dieser Art die gesetzlich vorgeschriebenen Bestimmungen (wie z.B. das löschen von Daten nach DSGVO) einem ermöglichen muß!? Ist dies evtl. auch ein Mangel an der Software?

In diesem Zusammenhang habe ich nur einen Artikel aus dem Jahr 2020 gefunden: "Haftung des Softwareherstellers für nicht datenschutzkonforme Software". Gibt es evtl. dazu neueres?

Welchen Standpunkt habt ihr dazu oder habt ihr eine Lösung gefunden wie man festgeschriebene Daten/Geschäftsjahre (z.B. nach 10 Jahren) löschen kann?

Ich arbeite seit 2020 mit MO und hatte damals die DSGVO nicht auf dem Schirm. Nachdem ich nun eine DSGVO-Anfrage zu bearbeiten habe, beschäftigt mich das Thema und nach einigem hin und her mit dem prosaldo-Support bin ich mehr als ernüchtert. Ich habe von prosaldo auch keine Aussage erhalten ob sich da in Zukunft etwas ändert und meine Anfrage wurde einfach auf "gelöst" gesetzt.

Gruß

Dieter Schmidt

0

Kommentare

5 Kommentare

Sortieren nach Datum Stimmen
  • Avatar
    Rainer Helling

    Hallo.

    Ich stimme den genannten Problemen zu.

    Art 17 Abs.1 DSAGVO: Die betroffene Person hat das Recht, von dem Verantwortlichen zu verlangen, dass sie betreffende personenbezogene Daten unverzüglich gelöscht werden, und der Verantwortliche ist verpflichtet, personenbezogene Daten unverzüglich zu löschen ...

    Zudem greift noch die Vorgabe zur Datenminimierung: Datenminimierung bedeutet gemäß Art. 5 Abs. 1 Buchstabe c DSGVO, dass personenbezogene Daten dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein müssen.
    (Beispiel: Für Statistische Auswertungen benötige ich lediglich die Umsätze, nicht aber den Namen)

    Möglichkeiten zur Anonymisierung oder Pseudonymisierung fehlen in Monkey Office.

    Selbst wenn man im Kundenstamm die Kundendaten manuell rauslöscht oder überschreibt, bleiben die Belege in umgeänderter Form vorhanden. Ich sehe derzeit keine Möglichkeit einem Löschungsersuchen vorschriftsmäßig nachzukommen. Löschung eines Geschäftsjahres nach Ablauf von 10 Jahren ist derzeit auch nicht möglich. 

    Das MO damit nicht "current state of the art" also nicht dem "Stand der Technik" (lt. 32 DSGVO) entspricht sollte damit wohl abschließend gesichert sein.

    Zu der Haftungsfrage des Herstellers empfehle ich noch folgende Einschätzung:

    https://www.roedl.de/themen/it-datenschutz/software-haftung-dsgvo-vertrag 

    Gruß
    Rainer Helling

    EDV - Sachverständiger
    gepr. Datenschutzbeauftragter

    0
    Aktionen für Kommentare Permalink
  • Avatar
    Andre Tracksdorf

    Hallo,

    Grundsätzlich ist das eine aus Nutzersicht berechtigte Frage. Ich möchte nachfolgend mal einige Szenarien aus unserer Sicht darstellen sowie ein paar Gedanken dazu.

    Mögliche Fälle:

    Person möchte Auskunft über gespeicherte Daten

    In der Adressverwaltung die AdressNr ins Suchfeld oben eingeben -> Adress-Infoblatt ausdrucken/als PDF ausgeben -> Anschreiben nach DSGVO-Vorlage dazu, in welchem Sie bestätigen, wozu diese Daten verwendet werden oder nicht verwendet werden -> Erledigt

    Person verlangt Löschen aller gespeicherten Daten

    Möglichkeit 1:

    Sie haben bislang nur die Adresse in MO erfasst -> Adresse löschen -> Löschen bestätigen -> Erledigt

    Möglichkeit 2:

    Es gibt zur erfassten Adresse bereits Belege in einem oder mehreren Bereichen. Jetzt greifen in jedem Fall Aufbewahrungspflichten, welche das Löschen erst mal verbieten. Je nach Art des Belegs können das Aufbewahrungspflichten aus dem HGB oder der AO sein, oder schlicht GOBD-Regeln betreffend der Archivierung. Die DSGVO entfaltet keine absolute Gültigkeit. Wenn sie z.B. gegen anderslautende Vorschriften der Abgabenordnung oder der Umsatzsteuergesetze steht, dann haben diese regelmäßig Vorrang, z.B. können die Aufbewahrungsfristen durch noch nicht festgesetzte oder noch anfechtbare Steuerbescheide deutlich verlängert werden. Was ich damit sagen möchte: Schon das Bestimmen der minimal gültigen Aufbewahrungsfrist eines Belegs kann darauf hinauslaufen, eine Kaskade an Abhängigkeiten prüfen zu müssen.

    Hier kommt eine Problematik ins Spiel, welche die wenigsten auf dem Schirm haben: Die DSGVO verlangt ja nicht, das eine bestimmte Software bestimmte Daten löschen können muss. Sie verlangt vom Unternehmen, alle zu einer Person relevanten Daten zu löschen. Und zwar überall. Bedeutet also in jeder Sicherungskopie der Datenbank (Anwender haben mitunter hunderte MO-Datenbanken oder Sicherungen auf ihrem Rechner), in jeder TimeMachine-Sicherung, in jedem Daten-Backup auf jedem nur denkbaren Medium, auch in der Cloud und an separaten Orten. Mir ist nicht ein Format einer Backup-Software bekannt, bei dem nachträglich personenbezogene Daten gelöscht werden können.

    Und dann ist da ja noch der Steuerberater: Viele Nutzer schicken ihre Daten ja inzwischen inkl. Rechnungskopien dort hin. Die zu löschenden Daten liegen jetzt also auch beim StB, wobei diese gerne mit DATEV arbeiten. Ich habe das hier zwar nicht schriftlich, aber auf meine Anfrage an den DATEV-Beauftragten unserer Steuerkanzlei zum Handhaben des Löschens bei der DATEV war die Antwort: DATEV löscht keine Daten, die werden nur archiviert. Sprich der Berater kommt vielleicht nicht mehr so einfach da dran, aber sie sind noch da.

    Um noch einmal zu MonKey Office zu kommen: Die Thematik ist uns nicht egal und wir bleiben da auch dran. Bislang haben wir dazu bereits etliche Zeit investiert, allerdings noch keine praktisch umsetzbare Lösung (also ohne ungewollte Nebenwirkungen) fertig.

    Mit freundlichen Grüßen
    André Tracksdorf

    0
    Aktionen für Kommentare Permalink
  • Avatar
    Rainer Helling

    Hallo Herr Tracksdorf,

    Die DSGVO und gesetzliche Aufbewahrungspflichten ergänzen sich, erfordern jedoch eine sorgfältige Abwägung. Ausgangsrechnungen müssen aufgrund der gesetzlichen Aufbewahrungspflichten 10 Jahre aufbewahrt werden. Erst nach Ablauf dieser Frist greift die Löschpflicht der DSGVO. Dann aber besteht eine Pflicht zur Löschung. Aufgrund von Umsatzvergleich oder Statistik kann es sinnvoll sein, die Werte zu anonymisieren statt zu löschen, was gesetzlich auch zulässig wäre.

    In wie weit die Daten in anderen Bereichen noch bestehen (Sicherung/Steuerberater) ist sicher nicht entscheidend für die Beurteilung der Funktion in MO. Löschen von Backups oder alten Datenbanken und kann der Anwender bereits durchführen. Allerdings wäre das nicht einmal erforderlich. Die Löschpflicht besagt nicht, dass sich die Daten unwiederbringlich auf keinerlei Datenträger befinden dürfen. Wenn eine Datensicherung (mit Daten älter als 10 Jahre) wieder eingespielt werden, müssen lediglich bisherigen Löschvorgänge nachvollzogen oder wiederholt werden. Daten dürfen nicht mehr im Zugriff sein, also es darf keine Möglichkeit der weiteren Nutzung und Verarbeitung gegeben sein.
    Archive löschen zumeist die Daten nicht, sondern geben sie nicht mehr aus. Damit ist dann ja keinerlei Nutzung oder Verarbeitung mehr möglich. Das ist ausreichend. Zum DATEV Rechnungswesen-Archiv empfehle ich den Artikel Löschen gemäß Löschkonzept

    IN MO ist es zum derzeitigen Zeitpunkt aber nicht möglich dieser Löschpflicht nachzukommen.
    Zumindest die Möglichkeit, auf Belege aus Geschäftsjahren, älter als 10 Jahre nicht mehr zugreifen zu können würde vielleicht bereits ausreichen.

    Problematischer sind da wohl Stammdaten, denn die sind ja normalerweise für die steuerliche Archivierung von Belegen nicht erforderlich, werden aber andererseits häufig länger als 10 Jahre verarbeitet. Hier wäre eine einfache Möglichkeit zur Anonymisierung wünschenswert.

    Mit freundlichen Grüßen 

    Rainer Helling

    0
    Aktionen für Kommentare Permalink
  • Avatar
    ds

    Hallo Herr Tracksdorf,

    ich kann Herrn Helling nur zustimmen und wiederhole mich gerne:

    1) Verantwortlich für die Einhaltung der DSGVO ist der Anwender (d.h. für die Handhabung und Verwaltung der aktiven wie auch der archivierten Daten).

    Das Problem ist aber, dass MO den Anwender bei

    1) der Ermittlung von Daten in MO entsprechend der DSGVO in keinsterweise unterstützt und

    2) wesentliche Daten gar nicht oder nur händisch und umständlich gelöscht werden können.

    Ihre Tipps sind hier nur ein Tropfen auf dem heißen Stein, aber lösen das grundsätzliche Problem nicht! Derr MO-Anwender muß alles aufwendig manuell durchsuchen und prüfen. Mit einer! Anfrage zu personenbezogenen Daten nach DSGVO war ich gut 2-3h beschäftigt (nur die Suche, Erstellung und Ausgabe der Daten) und - ich wiederhole mich auch hier gerne wieder - das löschen wird wieder so aufwendig bzw. gar nicht möglich sein! 

    Zitat Tracksdorf:

    Um noch einmal zu MonKey Office zu kommen: Die Thematik ist uns nicht egal und wir bleiben da auch dran. Bislang haben wir dazu bereits etliche Zeit investiert, allerdings noch keine praktisch umsetzbare Lösung (also ohne ungewollte Nebenwirkungen) fertig.

    [Ironie.Start] Das ist nach 8 Jahren DSGVO schonmal ein guter Ansatz und die Problematik der Datenbankpflege (u.a. das löschen alter Datensätze oder BLOBs) war ja auch nur Jahre davor schon Thema. [Ironie.Ende] 

    Vielleicht fangen Sie einfach mal an dem Anwender eine (von mir aus auch unverbindliche) Aufstellung und Ausgabe der Daten nach den entsprechenden Vorschriften zu erstellen. Das würde einem zumindest bei der Datenauskunft weiterhelfen. Die Löschproblematik (die vermutlich stärkere Nebenwirkungen hervorruft) kann man davon ja erstmal getrennt behandeln!

    Schönen Gruß

    Dieter Schmidt

    0
    Aktionen für Kommentare Permalink
  • Avatar
    Stefan (Bearbeitet )

    Hallo Herr Tracksdorf,
    ich sehe das so, dass mit Ihrer "Möglichkeit 2" eine erste Lösung bereits vorliegt. Man sollte die Festschreibung als Admin(!) aufheben können.

    Die Umsetzung der gesetzlichen Aufbewahrungspflicht liegt einzig (!) noch in der Verantwortung der Anwender und nicht bei Ihnen als Softwarehersteller. Das Sie Ihren  Kunden hier einen "Bearbeitungsschutz" aufzwingen ist meines Erachtens unnötig. 

    Was spricht gegen eine schnelle Umsetzung?
    Vielen Dank,

    Freundliche Grüße,
    Stefan Kästner

    1
    Aktionen für Kommentare Permalink

Bitte melden Sie sich an, um einen Kommentar zu hinterlassen.

Sie haben nicht gefunden, wonach Sie suchten?

Neuer Post