Lohnsteuerhilfeverein Donauland e.V.

Lohnsteuerhilfeverein Donauland e.V.

www.ldlev.de

09480 938942-0

info@ldlev.de

Lohnsteuerhilfeverein Donauland e.V.
Neu: Lohnsteuerhilfevereine haben seit 2022 zum größten Teil Beratungsbefugnis bei Photovoltaikanlagen.

Datenschutzkonzept und

Grundsätze des Lohnsteuerhilfevereines Donauland e.V.

für die Verarbeitung personenbezogener Daten

 

Die DSGVO sieht in Art. 5 Abs. 1 DSGVO allgemeine Grundsätzen für die Verarbeitung von personenbezogenen Daten vor. Der Lohnsteuerhilfeverein Donauland e.V., vertreten durch den Vorstand, verpflichtet sich als Verantwortlicher im Sinne der DSGVO, diese einzuhalten. Er ist sich dabei auch seiner Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO bewusst.

Es gelten folgende Grundsätze nach Art. 5 Abs. 1 DSGVO:

Rechtmäßigkeit der Verarbeitung

Die Rechtmäßigkeit der Verarbeitung nach Art. 5 Abs. 1 Buchst. a) DSGVO wird grundsätzlich in Art. 6 DSGVO näher konkretisiert. Die Verarbeitung von personenbezogenen Daten ist demnach insbesondere rechtmäßig, wenn eine Rechtsgrundlage für die Datenverarbeitung vorliegt, insbesondere eine Einwilligung der betroffenen Person nach Art. 6 Abs. 1 Buchst. a) i. V. m. Art. 7 f. DSGVO oder eine Rechtsgrundlage nach Art. 6 Abs. 1 Buchst. b) DSGVO.

Dementsprechend hält auch Erwägungsgrund 40 zur Rechtmäßigkeit der Datenverarbeitung fest:

Damit die Verarbeitung rechtmäßig ist, müssen personenbezogene Daten mit Einwilligung der betroffenen Person oder auf einer sonstigen zulässigen Rechtsgrundlage verarbeitet werden (…)

Der Lohnsteuerhilfeverein Donauland e.V. hat dazu seinen Internetauftritt, insbesondere das Kontaktformular angepasst. Ferner wird von allen Mitgliedern eine schriftliche Einwilligungserklärung zur Erhebung, Verarbeitung, Nutzung und Speicherung personenbezogener Daten und ggfs. besonderer Kategorien personenbezogener Daten eingeholt.

Verarbeitung nach Treu und Glauben

Die Verarbeitung nach Treu und Glauben gemäß Art. 5 Abs. 1 Buchst. a) DSGVO ist rechtlich schwerer zu fassen und lässt sich im Allgemeinen nur am konkreten Einzelfall unter Berücksichtigung aller Umstände beurteilen. Meist geht es um die Frage, ob ein bestimmtes Verhalten als redlich bzw. anständig angesehen werden kann. Dieser Grundsatz der Datenschutz-Grundverordnung wird im Laufe der Zeit mit Leben gefüllt werden, indem dieser Grundsatz durch Fallgruppen konkretisiert werden wird.

Der Lohnsteuerhilfeverein Donauland e.V. hält hierzu fest, dass die Hilfeleistung in Steuersachen im Rahmen der Befugnis nach § 4 Ziff. 11 StBerG sachgemäß, gewissenhaft, verschwiegen und unter Beachtung der Regelungen zur Werbung erfolgt (§ 26 Abs. 1 StBerG).

Transparenz

Der Grundsatz der Transparenz nach Art. 5 Abs. 1 Buchst. a) DSGVO soll insbesondere gewährleisten, dass die betroffenen Personen im engeren Sinne ihre Betroffenenrechte und im weiteren Sinne generell ihr Recht auf informationelle Selbstbestimmung wahrnehmen können.

In Art. 12 ff. DSGVO wird der Grundsatz der Transparenz etwa durch Informationspflichten bei der Erhebung von personenbezogenen Daten sowie durch das Auskunftsrecht der betroffenen Person weiter präzisiert. Auch der Datenschutz durch Technik (data protection by design) und datenschutzfreundliche Voreinstellungen (data protection by default) sollen Transparenz ebenfalls gewährleisten (vgl. Art. 25 DSGVO, Erwägungsgrund 78).

Verwendet werden zur Gewährleistung des technischen Betriebes der Web-Seiten lediglich sog. Session-Cookies, welche keine personenbezogenen Daten speichern.

Zur Gewährleistung eines angemessenen Datenschutzniveaus hat der Lohnsteuerhilfeverein Donauland e.V. seinen Internetauftritt unter www.ldlev.de mit den erforderlichen Datenschutzhinweisen, vgl. Datenschutz und der Einwilligungserklärung in die Erhebung, Nutzung und Verarbeitung personenbezogener Daten im Kontaktformular versehen.

In Erwägungsgrund 39 heißt es hierzu:

(…) Für natürliche Personen sollte Transparenz dahingehend bestehen, dass sie betreffende personenbezogene Daten erhoben, verwendet, eingesehen oder anderweitig verarbeitet werden und in welchem Umfang die personenbezogenen Daten verarbeitet werden und künftig noch verarbeitet werden. Der Grundsatz der Transparenz setzt voraus, dass alle Informationen und Mitteilungen zur Verarbeitung dieser personenbezogenen Daten leicht zugänglich und verständlich und in klarer und einfacher Sprache abgefasst sind. Dieser Grundsatz betrifft insbesondere die Informationen über die Identität des Verantwortlichen und die Zwecke der Verarbeitung und sonstige Informationen, die eine faire und transparente Verarbeitung im Hinblick auf die betroffenen natürlichen Personen gewährleisten, sowie deren Recht, eine Bestätigung und Auskunft darüber zu erhalten, welche sie betreffende personenbezogene Daten verarbeitet werden. Natürliche Personen sollten über die Risiken, Vorschriften, Garantien und Rechte im Zusammenhang mit der Verarbeitung personenbezogener Daten informiert und darüber aufgeklärt werden, wie sie ihre diesbezüglichen Rechte geltend machen können (…)

Ergänzend wird dazu auf das Verzeichnis der Verarbeitungstätigkeiten gem. Art. 30 DSGVO verwiesen.

Auskunftsrechte Betroffener:

Der Lohnsteuerhilfeverein Donauland e.V. wird auf Antrag der betroffenen Personen und nach Überprüfung deren berechtigter Interessen und Identität (Stichwort Auskunft nur an richtige Antragsteller) die in Erwägungsgrund 39 genannten Auskünfte erteilen. Mitgeteilt werden insbesondere folgende Informationen:

  • Zweck der Verarbeitung
  • Kategorien personenbezogener Daten
  • Empfänger der Daten
  • Geplante Speicherdauer
  • Hinweis auf sonstige Betroffenenrechte und Beschwerdemöglichkeit bei der Aufsichtsbehörde

Die Auskünfte werden kostenlos zur Verfügung gestellt. Falls Kopien gewünscht werden, wird dafür ein angemessenes Entgelt erhoben.

Zweckbindung

Der Grundsatz der Zweckbindung nach Art. 5 Abs. 1 Buchst. b) DSGVO ist im Wesentlichen mit der Begründung der Mitgliedschaft im Lohnsteuerhilfeverein Donauland e.V. bereits bekannt.

Die Zwecke der Datenverarbeitung sind dabei bereits bei der Erhebung personenbezogener Daten festgelegt, eindeutig und legitim. Eine Weiterverarbeitung zu anderen Zwecken erfolgt nicht.

Datenminimierung

Personenbezogene Daten werden dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt (= Grundsatz der Datenminimierung), vgl. dazu Grundsatz der Datenvermeidung und der Datensparsamkeit nach § 3a BDSG.

Richtigkeit der Datenverarbeitung

Personenbezogene Daten müssen sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein. Personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, werden unverzüglich gelöscht (vgl. Art. 17 Abs. 1 Buchst. d) DSGVO) oder berichtigt (Art. 16 DSGVO) werden.

Speicherbegrenzung

Mit der normierten Speicherbegrenzung dürfen personenbezogene Daten nur in einer Form gespeichert werden, die die Identifizierung der Person nur solange ermöglicht, wie es für die Zwecke der Verarbeitung erforderlich ist. Sobald die Speicherung personenbezogener Daten für den Verarbeitungszweck nicht mehr erforderlich ist, müssen die personenbezogenen Daten gelöscht (Art. 17 Abs. 1 Buchst. a) DSGVO) oder die Identifizierung der betroffenen Person aufgehoben werden.

Es wird zur Berichtigung, Löschung und Einschränkung der Verarbeitung im Weiteren auf die Feststellung zu „Rechte der Betroffenen“ vom 25.05.2018 hingewiesen.

Integrität und Vertraulichkeit

Personenbezogene Daten müssen in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet. Dies umfasst auch den Schutz vor unbefugter und unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder Schädigung der personenbezogenen Daten.

Interne (eigene) technisch- organisatorische Maßnahmen nach Art. 32 DSGVO:

Die Datenverarbeitung beim Verein erfolgt mit einem lizenzierten softwaregestützten EDV-System eines Anbieters der steuerberatenden Berufe (Fiskus-Einkommensteuer-Programm der Fa. Köhler Datentechnik GmbH Nürnberg), soweit dies die Hilfeleistung in Steuersachen durch die Beratungsstelle unter der Adresse Bahnhofstr. 25, 93104 Sünching betrifft. Die Datenverarbeitung der Vereinsverwaltung (Verwaltung des Mitgliederbestandes) erfolgt in einer Access-Datenbank und durch Excel-Tabellen.

Die Zugänge zu allen Programmen sind durch individuelle Passwörter geschützt. Diese werden in regelmäßigen Abständen nach der Passwortrichtlinie verändert (vgl. nachstehend).

Alle Rechner sind durch ein Network Attached Storage-System (NAS), also im engeren Sinne über einen Serverdienst verbunden, das den angeschlossenen Nutzern (Bediensteten) betriebssystemabhängig einsatzbereite Dateisysteme zur Verfügung stellt. Das NAS-System ist mit mehreren Festplatten ausgestattet. Die Festplatten sind auf Dauerbetrieb ausgerichtet. Die Festplatten des NAS-Systems werden täglich auf externen Festplatten gesichert. Dadurch wird gewährleistet, dass ein evtl. Datenverlust einzelner Rechner in kürzester Zeit wieder hergestellt werden kann.

Externe technisch- und organisatorischen Maßnahmen nach Art. 32 DSGVO:

Dazu wird auf die Verträge zur Auftragsverarbeitung hingewiesen.

Passwortrichtlinie:

  • Passwörter sind mindestens 8-stellig in einer Kombination aus Zahlen, Buchstaben, Sonderzeichen, Groß- und Kleinbuchstaben, bestehend nicht nur aus Wörtern und nicht in einer Fremdsprache.
  • Für unterschiedliche dienstliche Anwendungen bestehen unterschiedliche Passwörter.
  • Es bestehen nur Passwörter für dienstliche Anwendungen (nicht für private Anwendungen).
  • Passwörter sind höchstpersönlich und werden nicht an andere Mitarbeiter oder Dritte weitergegeben.
  • Alle Mitarbeiter sind für ihr Passwort persönlich verantwortlich und müssen es geheim halten.

Rechenschaftspflicht, Art. 29 DSG-VO

Vgl. dazu Verpflichtungserklärung für MitarbeiterInnen nachstehend

Verpflichtung zur Einhaltung der datenschutzrechtlichen Anforderungen nach der Datenschutz-Grundverordnung (DS-GVO) – Inkrafttreten 25.05.2018 – Art. 29 DS-GVO

 

Frau/Herr _________________________________________________________________________

                     Name, Vorname, Anschrift

 

wurde darauf verpflichtet, dass es untersagt ist, personenbezogene Daten unbefugt zu verarbeiten. Personenbezogene Daten dürfen daher nur verarbeitet werden, wenn eine Einwilligung bzw. eine gesetzliche Regelung die Verarbeitung erlauben oder eine Verarbeitung dieser Daten vorgeschrieben ist. Die Grundsätze der DS-GVO für die Verarbeitung personenbezogener Daten sind in Art. 5 Abs. 1 DS-GVO festgelegt und beinhalten im Wesentlichen folgende Verpflichtungen:

Personenbezogene Daten müssen

  • auf rechtmäßige Weise und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden;
  • für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden;
  • dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein („Datenminimierung“);
  • sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein; es sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden;
  • in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist;
  • in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen („Integrität und Vertraulichkeit“).

Verstöße gegen diese Verpflichtung können mit Geldbuße und/oder Freiheitsstrafe geahndet werden. Ein Verstoß kann zugleich eine Verletzung von arbeitsvertraglichen Pflichten oder spezieller Geheimhaltungspflichten darstellen. Auch (zivilrechtliche) Schadensersatzansprüche können sich aus schuldhaften Verstößen gegen diese Verpflichtung ergeben. Ihre sich aus dem Arbeits- bzw. Dienstvertrag oder gesonderten Vereinbarungen ergebende Vertraulichkeitsverpflichtung wird durch diese Erklärung nicht berührt.

Die Verpflichtung gilt auch nach Beendigung der Tätigkeit weiter.

 

Ich bestätige diese Verpflichtung. Ein Exemplar der Verpflichtung habe ich erhalten.

 

 

Ort, Datum                        Unterschrift des Verpflichteten              Unterschrift des Verantwortlichen

                                                                                                                               

Für den Inhalt der obigen Zusammenfassung:

Sünching, 25.05.2018

Lohnsteuerhilfeverein Donauland e.V.

gez.

Der Vorstand


Startseite