Datenschutz Grundverordnung "DSGVO" 25.05.2018

Hallo CAO Team,

wird es auf hinsicht des neuen DSGVO änderungen in der CAO Faktura geben?

https://dsgvo-gesetz.de/

Schwerpunkt: Auskunfspflicht und Löschung?

danke
glg Wawiuser

Hallo Wawiuser,

ich sehe da nicht wirklich großen Handlungsbedarf.

Auskunftpflicht ist das eine, ich denke hier sollte noch im Menü Drucken ein Eintrag erstellt werden, mit dem man eine Art Karteiblatt des Kunden Drucken kann.

Das Thema Löschung sehe ich eher sehr problematisch.
Hier gibt es zwei unterschiede:
1. Wenn man einen Onlineshop verwendet, dann muss im Onlineshop die Adresse gelöscht werden.
2. Wenn man nur die CAO verwendet, ohne Online Shop.

Zu 1. die Adresse kann man jetzt schon über CAO im Onlineshop löschen.
Zu 1. und zu 2. in der CAO sollte man alleine aus Archivgründen die Adressen aus meiner sicht nicht löschen, sondern nur löschvermerken. (Ich lege die bei mir in die Kundengruppe "Löschvermerkt")
Bei mir bekommen "Löschvermerkte" Kunden keinerlei E-Mails oder sonstige Korrespondens mehr.

Hierzu gibt es auch im Gesetz "Art. 17 DSGVO" den Absatz 3d:
(3) Die Absätze 1 und 2 gelten nicht, soweit die Verarbeitung erforderlich ist
d für im öffentlichen Interesse liegende Archivzwecke, wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke gemäß Artikel 89 Absatz 1, soweit das in Absatz 1 genannte Recht voraussichtlich die Verwirklichung der Ziele dieser Verarbeitung unmöglich macht oder ernsthaft beeinträchtigt

Da wir Steuerrechtlich in Deutschland als Gewerbetreibende verplichtet sind, weitest gehend alle Unterlagen 10 Jahre aufzubewaren, sollte man auch den Kundenstamm nicht löschen.

Hallo Chris71,

es wäre glaub ich auch gut:

wenn Kunde X Zeitraum nichts bestellt hat
das dieser aufgezeigt wird z.B. Report
und dann weiter die Möglichkeit besteht
wie bei der Inventur noch einzugreifen
und dann mittels DSGVO Button z.B.
Alles nicht Rechnungskonforme zu Löschen
wie EMAIL, TEL, Geburtsdatum,... u. auf Inaktiv setzten!

So würde der Datensatz mit NAME & Anschrift erhalten bleiben Rechnungslegungsgesetz.

mfg Wawiuser

Zu 1. und zu 2. in der CAO sollte man alleine aus Archivgründen die Adressen aus meiner sicht nicht löschen, sondern nur löschvermerken. (Ich lege die bei mir in die Kundengruppe "Löschvermerkt")

Wieso sollte man die Adresse nicht löschen "dürfen" können?
Ja, die Historie geht verloren.
Die Rechnungsadressen sind trotzdem im Journal gespeichert.

Wir haben ein offizielles "Büchlein" wegen der DSGVO hier liegen. Meiner Meinung nach wird da auch nur mit Wasser gekocht. Alles was dort beschrieben steht sollte der gesunde Unternehmnerverstand schon längst begriffen haben.

Meiner Meinung nach wird da auch nur mit Wasser gekocht. Alles was dort beschrieben steht sollte der gesunde Unternehmnerverstand schon längst begriffen haben.

Hallo Chris, dem Stimme ich zu.
Eigentlich alles kein Hexenwerk.

Allerdings sollte man dem Finanzamt nicht mit der DSGVO kommen...
Die erzählen dann einem was man zu tun hat und auch nicht.

Also offenbar haben Sie sich alle noch nicht wirklich mit der DSGVO auseinandergesetzt. Ich empfehlen Ihnen dringend dies nachzuholen.

Ich kann absolut nicht verstehen wie hier jemand für CAO-Faktura kaum oder sogar gar keinen Handlungsbedarf erkennen kann.

Die Löschfristen von 6 bzw. 10 Jahren - wir nutzen CAO Faktura seit 2005 - sind da durchaus relevant. Es geht auch und besonders nicht nur daruf mal einfach eine Adresse zu löschen. Nach 10 Jahren sind - sofern der Kunden danach nicht wieder bestellt hat - grundsätzlich ALLE und zwar ausnahmslos ALLE Daten die den Kunden betreffen zu löschen.

Wir haben jetzt ein riesiges Problem bei unserem Audit, weil wir nicht wissen und schon gar nicht dokumentieren können, wie wir tatsächlich dieses Daten rückstandslos aus CAO Faktura löschen sollen. Es Fängt ja an den passenden Filter zu generieren. Dann gibt es Bezüge in die Tabellen, Journal, Journalposition, Artikel, usw. überall dort stehen Daten eines betroffenen Kunden drin.

Laut DSGVO sind wir aber verplichtet dieses Daten nach spätestens 10 Jahren zu löschen, die Löschung zu dokumentieren und zwar rückstandslos alle Daten zu diesem Kunden, natürlich nicht nur in CAO Faktura.

Ich sehe hier ganz dringenden und sehr deutlichen Handlungsbedarf der es ermöglicht CAO Faktura als Warenwirtschaftsystem gesetzeskonform auch über den 25.5.18 hinaus nutzen zu können.

Hallo,
das sich hier noch niemand mit der DSGVO auseinandergesetzt hat ist nicht ganz richtig.
Der Umfang der benötigten Änderungen ist nur unklar. Das Gesetz schreibt vieles vor, hat aber auch jede Menge ausnahmen.
Wie z.B die Aufbewahrungspflichten gegenüber der Löschpflicht. Das nach der Aufbewahrung die Daten gelöscht werden müssen ist nicht unbedingt der DSGVO geschuldet. Genau wie das stellen eines Datenschutzbeauftragten. Diese Gesetze sind schon älter, trotzdem wirft die DSGVO viele Fragen auf.

Ich habe Mittwoch ein Gespräch mit einem Zertifizierten Datenschutzbeauftragten.
Nach diesem Gespräch wissen wir genauer was in CAO geändert werden muss.
Das Handlungsbedarf besteht ist uns bewusst.
Zumindest müssen wir das löschen der Daten ermöglichen.

Meine derzeitige Meinung (keine Rechtsberatung)
Belege müssen nach Ablauf der Aufbewahrungspflicht und Stammdaten nach dem Zweckbindungsgrundsatz gelöscht werden.
Sobald das entgültig geklärt ist, werden wir in CAO eine Möglichkeit schaffen.

Hallo,

ich bin ebenfalls ein zertifizierter und externer Datenschutzbeauftragter und sehe das folgendermaßen
(ebenfalls keine Rechtsberatung)

An vielen Stellen beißt sich die EU-DSGVO mit den Aufbewahrungsfristen.
Laut der EU-DSGVO gibt es tatsächlich das "Recht auf Vergessen", somit müssen sämtliche personenbezogene
Daten auf Wunsch des Kunden löschbar sein. Das selbe gilt aber auch für Auskunftspflicht gegenüber dem Kunden.
Der kann jederzeit verlangen, dass die über Ihn gespeicherten Daten zugänglich gemacht werden, das wäre ein Export
mit allen personenbezogenen Daten, inkl. Angebote, Rechnungen, etc.
Für Onlineshops gibt es sogar eine recht schwachsinnige Variante der "Umzugsmöglichkeit", so kann der Kunde quasi einen Export verlangen mit
dem er von einem zum anderen Onlineshop umziehen kann, was aber wohl in der Praxis eher unmöglich sein dürfte.
Letztlich müssten die Personenbezogenen Daten aus dem CAO verschwinden oder tatsächlich einen Löschvermerk bis zum Ende der Aufbewahrungsfrist haben.
Es muss aber gewährleistet sein, dass mit dem Kunden nicht mehr kommuniziert werden kann (E-Mail, Brief etc.).
Das gleiche gilt auch für Kunden mit denen man über einen bestimmten Zeitraum keine Geschäfte mehr gemacht hat.
Diese Kunden muss man auch auslisten, leider ist der "Zeitraum" aber nicht genau definiert, hier könnte man aber von den
normalen Aufbewahrungsfristen ausgehen, zumindest tun das diverse CRM-Systeme.

Bei Fragen stehe ich aber auch gern zur Verfügung.

Mit freundlichen Grüßen
Sascha Wöstheinrich

Moin!

Ich bin zwar weder Datenschutzbeauftragter, noch Steuerfuzzi und mache hier deswegen natürlich keine Rechtsberatung, sondern gebe nur mein bescheidenes Wissen bzw. meine Meinung wieder.

Bei einigen Kunden, auch im medizinischen Bereich, habe ich eine nette Funktion gesehen, die dem Recht auf Vergessen so einigermassen nachkommen kann.

Der erste Schritt ist die komplette Sperrung des Datensatzes, d.h. es taucht nur noch eine Kundennummer oder ID auf, der Datensatz ist aber jederzeit per gesondertem Zugangsschutz (selbstverständlich per 2FA) wieder reaktivierbar, d.h. die Person nach fünf Jahren wieder auftaucht, kann diese mit vorherigem Datenbestand und Historie reaktiviert werden.
Will die Person vergessen werden, werden sämtliche pbD unwiderbringlich gelöscht, d.h. es existiert nur noch eine ID, ob die gleich der Kundennummer sein darf, wird oft diskutiert, aber ich denke, das sollte ok sein, da ja sonst keine pbD mehr existieren.
Ein Problem könnte hier allerdings bei einer Kreuzprüfung vom Finanzamt auftreten, da kommt i.d.R. ein Briefchen "welche Leistungen haben Sie im Kalenderjahr an den Kunden xyz erbracht und wie wurden diese vergütet". Wird schwer, wenn der Kunde vollständig anonymisiert sein sollte.

Ausnahmen bilden in beiden Fällen gedruckte bzw. finalisierte (pdf) Belege bzw. archivierte Mails, die diese enthalten, die ja gem. GoDB nicht mehr verändert werden dürfen. Diese können dann nach 10 Jahren +x in den Shredder. Wohlgemerkt +x, ein Automatismus nach 10 Jahren wäre fatal, da diese ja erste 10 Jahre nach Jahresende zum rechtkräftig gewordenen Steuerbescheid vernichtet werden dürfen (auch wenn im Regelfall keiner länger als drei Jahre zurück prüfen wird).

Alles in allem ein Grund mehr, in genau einem Monat in den Ruhestand zu gehen ...

Grüsse
- yaa

Derzeit sind 2 nette Artikel dazu bei Heise Online.
Die Österreicher sagen einfach "die meisten Verstöße werden straffrei bleiben"
https://www.heise.de/newsticker/meldung ... 31217.html

In Deutschland sagen die Datenschützer "Kein Grund zur Panik"
https://www.heise.de/newsticker/meldung ... 31790.html

Das größte Problem steht im zweiten Artikel. In meinem Umfeld sagen 90% der eigentlich betroffenen -DSGWas- ?

Hab ich auch gelesen, aber von der Schreiberlingen übernimmt keiner deine Strafe, wenn du doch eine angehängt bekommst.

Aber bei den Ösis wäre das ja nicht das erste mal, bei der Kassenpflicht haben sie ja auch ausgerechnet die Saisonbetriebe, wie z.B. Skihütten kurz vor knapp befreit ... ich will nicht wissen, was das den Rest der Steuerzahler kostet. ^^

So, nach einem langen und sehr informativen Gespräch wissen wir nun ein wenig mehr.
Die DSGVO ist in vielen Geschäftsecken sehr umfangreich und jeder sollte sich damit befassen.
(Da muss sich allerdings jeder Unternehmer selbst Informieren)

Was CAO angeht.

Wir werden in einer der nächsten Versionen eine Möglichkeit bieten alte Daten zu löschen.
Das bedeutet im einzelnen:

- Kundendaten können gelöscht werden, solange kein Beleg mehr existiert der eine Aufbewahrungsfrist hat. Vorher können/sollten Kunden auf inaktiv gesetzt und somit "vergessen" werden.
- Belege können nach Ihrer Aufbewahrungsfrist komplett gelöscht werden.

Leider wird es Programmtechnisch fast unmöglich die Aufbewahrungszeiträume für die einzelnen Belege zu erkennen.
Denn diese Fristen gelten nach Abschluss des Kalenderjahres und nicht einfach Stumpf zum 31.12.
CAO und auch die Programmierer können nicht wissen wann der jeweilige Unternehmer sein Jahr abschliesst. Daher suchen wir hier noch eine geeignete Möglichkeit.
Selbst große ERP Systeme bieten derzeit noch keine Möglichkeit solche Daten zu löschen, da es einfach nicht vorgesehen war.

Protokollierung und Dokumentation der Löschung obligt dem Unternehmer.

Natürlich ist dies hier keine Rechtsberatung. Wer es genauer wissen möchte, fragt seinen Anwalt.

Hallo Chris,

Wird es die Möglichkeit nur in der Version 1.5 geben oder auch in der 1.4er?

Klingt gut, wobei das mit den Belegen evtl. durch ein hinterlegtes Datum ginge, d.h. ich starte die Bereinigung und bekomme im Dialog die Möglichkeit, die Deadlines für Rechnung, Angebot, etc. einzustellen, bevor ich den Vorgang starte - und für Übereifrige vllt. noch eine 30 Tage Undo Funktion.

Wird es die Möglichkeit nur in der Version 1.5 geben oder auch in der 1.4er?

Die Entwicklung der CAO 1.4 ist eingestellt!

d.h. ich starte die Bereinigung und bekomme im Dialog die Möglichkeit, die Deadlines für Rechnung, Angebot, etc. einzustellen, bevor ich den Vorgang starte

So ähnlich stelle ich mir das auch vor. Knopf drücken und dann kommt die Frage nach dem Zeitrahmen.
Angebote bis einschließlich 12.03.2008,
Rechnungen bis 12.03.2012 etc.

Die betroffenen Belege werden aufgelistet und dann muss der Vorgang noch min. 10x durch unterschiedliche Benutzer bestätigt werden.

und für Übereifrige vllt. noch eine 30 Tage Undo Funktion.

Das wohl eher weniger. Die Daten werden gelöscht ohne Rückkehr. Wir werden eh alles vorher anzeigen. Wer dann 5 min. später merkt, dass er einen Fehler gemacht hat, dem empfehle ich vorher eine Datensicherung.

Datensicherung? Das war doch das für Schwächlinge, oder?

Wollt ihr dann auch die kompletten Belege löschen, oder nur die Personendaten darin anonymisieren?
Ich denke, eine Belegnummer und die Positionen, vor allem Seriennummern sollten vllt. schon erhalten bleiben.

Das besprechen wir gerade.
Ich wäre für's anonymisieren, alleine schon wegen der Statistik.

Aber wie immer muss man auch hier das Gesetz beachten. Also Nachforschungen anstellen.