DATEV und Recht auf Datenübertragbarkeit nach Art. 20 DSGVO

Hanabi · 27. Oktober 2023 um 20:12

Art. 20 DSGVO räumt der betroffenen Person das Recht auf Datenübertragbarkeit in einem strukturierten, maschinenlesbaren Format ein.

In meinem Unternehmen nutze ich ein Modul von Datev, in dem ich SEPA-Lastschriftmandate von Kunden erfasse mit Bankverbindung, Art des Lastschriftmandates, der Mandatsreferenz und Datum der Mandatserteilung.

Bei einem Export von Kundendaten generiere ich eine .csv, also maschinenlesbar und strukturiert, die zwar alle sonstigen Daten zum Kunden, jedoch keine Daten zum erstellten SEPA-Mandat enthält. Für die Mandatsdaten habe ich lediglich die Möglichkeit, mir diese innerhalb der DATEV-Anwendung auf dem Bildschirm anzeigen zu lassen und hiervon einen Screenshot zu machen (.jpg). Dieses Bild ist jedoch weder strukturiert noch maschinenlesbar.

Frage: Aus meiner Sicht liegt hier ein Verstoß gegen Art. 20 vor. Der Vertrag mit der DATEV beinhaltet DSGVO-Konformität der Anwendung. Gegen wen muss ich den Anspruch auf Einhaltung von Art. 20 geltend machen?
Möglichkeit 1: Den Steuerberater, der mir die Software empfohlen hat und mit dem ich einen Beratungsvertrag habe
Möglichkeit 2: Die DATEV e. G., die die Softwareanwendung zur Verfügung stellt und mit der es ebenfalls einen “Nutzungs-” Vertrag gibt.

bdsb · 28. Oktober 2023 um 12:03

Ist das wirklich ein Fall von Artikel 20? Ich hätte gemeint, dass der sich eher auf Nutzerprofile bei Internet-Diensten bezieht.

haderner · 28. Oktober 2023 um 14:29

Es dürfte sicherlich einen Report zu den SEPA-Mandaten geben. Ich würde in den Datev-Hilfen danach suchen oder den Steuerberater bzw letztlich bei der Datev fragen.

Warum es ein Verstoß sein soll, ist mir allerdings nicht klar (wer ist denn der “Verantwortliche” und wie ist die Vertragssituation?)

PS: Art 20 ist natürlich nicht auf Internetdienste beschränkt …

Hanabi · 28. Oktober 2023 um 16:06

Hallo @haderner ,

Zunächst zur Verantwortlichkeit: Betroffene Person ist unser Kunde. Ich bin die verantwortliche Stelle, da ich die Daten verarbeite.

Der Export von Geschäftspartnern ist in der DATEV-Hilfe beschrieben. Weiter unten heißt es dann:

" Zahlungsbedingungen

Unterschiedliche Datenstrukturen zwischen DATEV-Rechnungswesen-Programmen und DATEV Stammdaten online verhindern den Austausch von Zahlungsbedingungen bei Geschäftspartnern."

Im Ergebnis werden bei einem Export der Geschäftspartnerdaten die im Datensatz eingetragenen Zahlungsbedingungen einschließlich der Lastschrift-Mandatsdaten nicht mit exportiert.

Leider hat diesen Passus niemand im Unternehmen gelesen, bevor die Entscheidung getroffen wurde, die Mandatsdaten zentral und ausschließlich in der DATEV-Anwendung zu erfassen. Dies trifft auch auf die Frage einer Auskunftserteilung nach Art. 15 zu, da die Informationen zum Sepa-Mandat nur via Screenshot oder copy&Paste aus der Anwendung extrahierbar sind.

Es ist klar, dass die Verantwortlichkeit bei unserem Unternehmen liegt.

Die Fragestellung in diesem Thread möchte ich daher wie folgt konkretisieren:

Liegt ein Verstoß vor, wenn ich als Unternehmen eine unvollständige Auskunft (Art. 15) erteile oder nicht alle Daten in einem maschinenlesbaren Format herausgebe (Art. 20)?

haderner · 28. Oktober 2023 um 18:12

Hallo Hanabi

verstehe … Art 15 kann man in 2 Schritten machen: zunächst Auskunft, dann gegebenenfalls die Daten.

Art 15 spricht nicht von maschinenlesbar, sondern von elektronischem Format. Das ist für mich auch pdf, selbst wenn kein OCR drüberliegt (das wäre ja bei einer Fotokopie auch der Fall).

Falls dennoch “maschinenlesbar” gewünscht: Die Daten im SEPA-Mandat sind doch (meist?) Name, Anschrift, Bankverbindung (und evtl Ordnungsmerkmale wie Kunden- oder Referenznummer). Die sind aber im System abrufbar?

Hanabi · 28. Oktober 2023 um 18:37

Hallo @haderner ,

die Daten zum Sepa-Mandat sind Art des Mandats / Datum der Mandatserteilung / Mandatsreferenz / Gültigkeit des Mandats sowie die Unterscheidung zwischen Erst- und Folgelastschrift.
Diese Daten lassen sich im Programm anzeigen, aber nicht exportieren. Hier bleibt nur ein Screenshot möglich.

Die Bankverbindung, die ebenfalls hinterlegt ist, wird hingegen beim Export berücksichtigt.

haderner · 28. Oktober 2023 um 18:58

Ok (welche der Daten man davon auch immer als personenbezogen auslegen möchte), dann würde ich den Screenshot als pdf schicken. Wenn es um Art 20 geht: der spricht von bereitgestellten personenbezogen Daten und das würde ich eng sehen (aber kaum streiten) schon wenn es um Übermittlung geht und “soweit dies technisch machbar ist”

Aber vielleicht fragst Du beim Datev-Support nach?

PS: ich bekomme von den Buchhaltungen leider auch nur immer Screenshots zu den Berechtigungsvergaben (was mich nervt)

Beabel · 29. Oktober 2023 um 16:33

Meiner Meinung nach sind die Daten zum SEPA-Mandat an sich keine Informationen, die “übertragen” werden sollen im Sinne von Art. 20 DSGVO. Bei einem anderen Unternehmen ergeben solche Daten gar keinen Sinn, da sich diese Daten ja auf das konkrete Mandat beim aktuellen Unternehmen beziehen. Es sind ja eher “Metadaten”.

Für die Auskunft reicht meiner Meinung dann auch ein Screenshot aus, falls nötig - wie Haderner schon schrieb.

Beatrix

haderner · 29. Oktober 2023 um 19:09

Ich habe nochmal nach Referenzen gesucht zu Art 15 bzgl der “Form”

Im Kommentar von Ehmann et al von 2018 steht fast nur eine Wiederholung, kann man knicken (ist leider öfter so).

Die DSK (= deutsche DS-Aufsichten) hat dazu wenig zu sagen und überarbeitet ihr Papier Nr 6 von 2018, https://www.datenschutzkonferenz-online.de/kurzpapiere.html

Aber das EDPB (= europäische DS-Aufsichten) hat ein Papier “Guidelines 01/2022 on data subject rights - Right of access”, Version 2.0, vom 28.03.2023, nur auf Englisch, https://edpb.europa.eu/our-work-tools/general-guidance/guidelines-recommendations-best-practices_de

Unter 5.2.5 Format findet man allgemeine inhaltliche Betrachtungen, speziell ab Nummer 155 + 156 dann:

“It should be noted that the provisions on format requirements are different regarding the right of
access and the right of data portability. Whilst the right of data portability under Art. 20 GDPR requires
that the information is provided in a machine readable format, the right to information under Art. 15
does not. Hence, formats that are considered not to be appropriate when complying with a data
portability request, for example pdf-files, could still be suitable when complying with an access
request.”

Da steht zwar “could” (weil es wäre ja blöd mal was Konkretes zu sagen) - aber mir genügt’s.

Zu Art 20 - Übertragbarkeit & maschinell Verarbeitbar: es geht um die personenbezogenen Daten, die einem Verantwortlichen bereitgestellt wurden. Also nicht um Ordnungsdaten (Metadaten würde ich nun nicht sagen) und ich meine, das sind dann nur Name, Anschrift, Konto.

Die würde ich halt aus dem System holen oder abtippen, wenn Datev unfähig ist. Oder eben den Screenshot schicken und auf Protest nacharbeiten (*). Fertig.

Inhaltlich ist es sinnfrei, ein SEPA-Mandat kann man nicht “Übertragen”, das riecht nach “ich ärgere Euch jetzt”.

(*) Moderne Kopierer haben ein eingebautes OCR oder man nimmt ein OCR-Programm (was mir schon viel Arbeit erspart hat)

Hanabi · 30. Oktober 2023 um 19:18

Danke, das wird jetzt auch mein Verfahrensweg sein.