Dinosaurier des Datenschutzes

Sehr geehrte Damen und Herren,

ich habe ein paar Gehversuche mit Ihrer Lösung DATEV E-Rechnungsplattform unternommen, und bin alles andere als begeistert:

·       Mein Browser ist Englisch, da erscheinen Fehlermeldungen (Anlage). Selbst wenn ich meine Sprache in den Einstellungen auf Deutsch ändere bleibt das meiste Englisch. Das sollten Sie mal vollständig testen und überdenken.

·       Bei der Registrierung sind Angaben Pflicht, die keine Erklärung haben:

ein Leerzeichen beim Unternehmen geht, ist aber unsinnig.

·       Die Darstellung bei der Eingabe ist total unlogisch:

aufgrund der Reihenfolge würde ich als Total den Bruttowert erwarten. Vermutlich ist das Menge * Preis, aber dann packen Sie es doch vor die Steuer.

·       Als Menge bräuchte ich auch /Jahr – das fehlt bei Ihnen. Weglassen kann man die Einheit aber auch nicht

·       Als Freiberufler ist bei mir Firma und Ansprechpartner identisch – wie werde ich die Dopplung los?

·       Die Email mit der erstellten Testrechnung füge ich bei. Der Text der Email ist einfach unnötig und unsinnig – insbesondere auch weil die Antwort an mich und nicht DATEV gehen würde. Niemand interessiert sich hier für den Auftragsverarbeiter, sondern einzig und allein für die Rechnung. Wie kann ich das abschalten?

·       Im XML der Rechnung taucht die Empfänger-Email auf. Da ich Ihren Text für unnötig halte und die Rechnung gerne selbst prüfen und dann versenden würde: wie kann ich da die richtige Emailadresse eingeben ohne dass Sie die erstelle Rechnung gleich versenden?

·       Sie schreiben etwas von Signatur und meinen S/MIME. Sinnvoll wäre eine Signatur des PDFs statt der Email, aber das machen sie nicht.

·       In der Übersicht taucht eine Rechnung bereits als gesendet auf, bevor sie dem Empfänger wirklich zugestellt wurde. Ich kann das sicher sagen, denn …

·       Ich habe meinen Email-Sicherheits-Test (https://blog.lindenberg.one/EmailSicherheitsTest) laufen lassen. Sie verwenden STMP-DANE, aber leider keine obligatorische Verschlüsselung, obwohl das Stand-der-Technik ist.  Damit ist Ihr Versprechen im AVV „Für den Transport per E-Mail werden Daten, die dem Berufsgeheimnis des Verantwortlichen unterliegen, grundsätzlich nach dem Stand der Technik verschlüsselt“ nicht eingehalten. Oder muss ich „grundsätzlich“ wie Juristen interpretieren? Da dieses Wort an einigen Stellen auftaucht: welche Ausnahmen muss ich wann noch erwarten?

·       An eine Frage, ob ich einem Berufsgeheimnis unterliege, kann ich mich nicht erinnern, und eine Einstellung dafür habe ich nicht gefunden.

·       Dass Sie in Ihrem AVV eine URL für Unterauftragsverarbeiter und TOMs verwenden und die dort hinterlegten TOMs jederzeit auch zum schlechteren ändern können halte ich für unzulässig.

·       „Hierbei werden DATEV bekannte Schwachstellen gemeldet, um geeignete Maßnahmen zur Risikoreduzierung und Fehlerbehebung zu treffen.“ – wer meldet wem was? Und warum werden Schwachstellen nur gemeldet und nicht gepatcht?

·       Dass Sie bei einem von Ihnen verursachten Leak Geld vom Kunden für die Mitwirkung bei Art 32ff wollen – das halte ich für unverschämt.

·       Die Anonymisierungsvereinbarung halte ich für illegal. Anonymisierung von Daten bedarf einer Rechtsgrundlage nach Art. 6, nicht einfach einer Klausel im AVV.

·       Ich spare mir weitere Mängel des AVVs auf für den Fall, dass Sie konstruktiv reagieren.

Vorsichtshalter kündige ich Ihr Produkt.

Vielen Dank und viele Grüße

Joachim Lindenberg

Sehr geehrte Damen und Herren,

hiermit beschwere ich mich nach Artikel 77 DSGVO wegen unzureichendem und illegalem Auftragsverarbeitungsvertrag über die DATEV eG. Relevant erscheinen mir insbesondere die folgenden Kritikpunkte aus meiner Email unten:

·       der AVV enthält eine URL für Unterauftragsverarbeiter und TOMs, so dass insbesondere die dort hinterlegten TOMs jederzeit auch einseitig zum schlechteren verändert werden können.

·       eine mangelhafte Aussage zur Schwachstellenbeseitigung: „Hierbei werden DATEV bekannte Schwachstellen gemeldet, um geeignete Maßnahmen zur Risikoreduzierung und Fehlerbehebung zu treffen.“

·       vom Kunden Geld für die Mitwirkung bei Leaks (Art 32ff) zu wollen, wo man die Mechanismen doch selbst festlegt und umsetzt – das halte ich für nicht nur unzulässig sondern unverschämt.

·       die Anonymisierungsvereinbarung halte ich für illegal. Anonymisierung von Daten bedarf einer Rechtsgrundlage nach Art. 6, nicht einfach einer Klausel im AVV.

·       Emails werden nicht obligatorisch verschlüsselt, entgegen der zweideutigen Aussage  „grundsätzlich nach dem Stand der Technik verschlüsselt“. Diese Aussage ist zumindest für alle Kunden ohne juristische Vorbildung irreführend und damit intransparent im Sinne von Artikel 5 Abs. 1 lit. a, und die allermeisten Datev-Kunden sind wahrscheinlich keine Juristen.

Mit diesen Vereinbarungen und auch dem überflüssigen Text in der Email überschreitet Datev nach meinem Verständnis auch die Grenze zwischen Auftragsverarbeiter und Verantwortlichem in Artikel 28 Abs. 10 DSGVO.

Ich bitte um eine Eingangsbestätigung mit Aktenzeichen.

Vielen Dank und viele Grüße

Joachim Lindenberg

Sehr geehrte Damen und Herren,

ich habe ein paar Gehversuche mit Ihrer Lösung DATEV E-Rechnungsplattform unternommen, und bin alles andere als begeistert:

·       Mein Browser ist Englisch, da erscheinen Fehlermeldungen (Anlage). Selbst wenn ich meine Sprache in den Einstellungen auf Deutsch ändere bleibt das meiste Englisch. Das sollten Sie mal vollständig testen und überdenken.

·       Bei der Registrierung sind Angaben Pflicht, die keine Erklärung haben:

ein Leerzeichen beim Unternehmen geht, ist aber unsinnig.

·       Die Darstellung bei der Eingabe ist total unlogisch:

aufgrund der Reihenfolge würde ich als Total den Bruttowert erwarten. Vermutlich ist das Menge * Preis, aber dann packen Sie es doch vor die Steuer.

·       Als Menge bräuchte ich auch /Jahr – das fehlt bei Ihnen. Weglassen kann man die Einheit aber auch nicht

·       Als Freiberufler ist bei mir Firma und Ansprechpartner identisch – wie werde ich die Dopplung los?

·       Die Email mit der erstellten Testrechnung füge ich bei. Der Text der Email ist einfach unnötig und unsinnig – insbesondere auch weil die Antwort an mich und nicht DATEV gehen würde. Niemand interessiert sich hier für den Auftragsverarbeiter, sondern einzig und allein für die Rechnung. Wie kann ich das abschalten?

·       Im XML der Rechnung taucht die Empfänger-Email auf. Da ich Ihren Text für unnötig halte und die Rechnung gerne selbst prüfen und dann versenden würde: wie kann ich da die richtige Emailadresse eingeben ohne dass Sie die erstelle Rechnung gleich versenden?

·       Sie schreiben etwas von Signatur und meinen S/MIME. Sinnvoll wäre eine Signatur des PDFs statt der Email, aber das machen sie nicht.

·       In der Übersicht taucht eine Rechnung bereits als gesendet auf, bevor sie dem Empfänger wirklich zugestellt wurde. Ich kann das sicher sagen, denn …

·       Ich habe meinen Email-Sicherheits-Test (https://blog.lindenberg.one/EmailSicherheitsTest) laufen lassen. Sie verwenden STMP-DANE, aber leider keine obligatorische Verschlüsselung, obwohl das Stand-der-Technik ist.  Damit ist Ihr Versprechen im AVV „Für den Transport per E-Mail werden Daten, die dem Berufsgeheimnis des Verantwortlichen unterliegen, grundsätzlich nach dem Stand der Technik verschlüsselt“ nicht eingehalten. Oder muss ich „grundsätzlich“ wie Juristen interpretieren? Da dieses Wort an einigen Stellen auftaucht: welche Ausnahmen muss ich wann noch erwarten?

·       An eine Frage, ob ich einem Berufsgeheimnis unterliege, kann ich mich nicht erinnern, und eine Einstellung dafür habe ich nicht gefunden.

·       Dass Sie in Ihrem AVV eine URL für Unterauftragsverarbeiter und TOMs verwenden und die dort hinterlegten TOMs jederzeit auch zum schlechteren ändern können halte ich für unzulässig.

·       „Hierbei werden DATEV bekannte Schwachstellen gemeldet, um geeignete Maßnahmen zur Risikoreduzierung und Fehlerbehebung zu treffen.“ – wer meldet wem was? Und warum werden Schwachstellen nur gemeldet und nicht gepatcht?

·       Dass Sie bei einem von Ihnen verursachten Leak Geld vom Kunden für die Mitwirkung bei Art 32ff wollen – das halte ich für unverschämt.

·       Die Anonymisierungsvereinbarung halte ich für illegal. Anonymisierung von Daten bedarf einer Rechtsgrundlage nach Art. 6, nicht einfach einer Klausel im AVV.

·       Ich spare mir weitere Mängel des AVVs auf für den Fall, dass Sie konstruktiv reagieren.

Vorsichtshalter kündige ich Ihr Produkt.

Vielen Dank und viele Grüße

Joachim Lindenberg

Sehr geehrter **********,

Vielen Dank für dieses und das vorhergehende Schreiben zu DATEV, sowie für Ihre im wesentlichen identischen Schreiben vom 10.04.2025, in denen Sie erläutern, warum Sie eine Anhörung für entbehrlich halten. Sie schreiben in letzteren: "Bei der Abschlussmitteilung einer Datenschutzbehörde über das Ergebnis der Bearbeitung einer Beschwerde handelt es sich nicht um einen Verwaltungsakt im Sinne von Art. 35 BayVwVfG (VG Ansbach, Urt. v. 8.8.2019 * AN 14 K 19.00272; vgl. auch VG Ansbach, Urt. vom 12.06.2024 * AN 14 K 20.941).”

Diese Urteile sind unklar in ihrer Aussage, vielleicht weil nicht klar ist welcher Art die Eingabe war, letztendlich aber m.E. überholt angesichts des EuGH, Urteil vom 12.1.2023 – C-132/21. Ich darf zitieren (Hervorhebungen von mir):

46. Daher hat das vorlegende Gericht auf der Grundlage der nationalen Verfahrensvorschriften zu bestimmen, wie die von der Verordnung 2016/679 vorgesehenen Rechtsbehelfe in einem Fall wie dem im Ausgangsverfahren in Rede stehenden durchzuführen sind.
47. Allerdings dürfen die Modalitäten der Durchführung dieser nebeneinander bestehenden und voneinander unabhängigen Rechtsbehelfe die praktische Wirksamkeit und den wirksamen Schutz der durch diese Verordnung garantierten Rechte nicht in Frage stellen.
48. Diese Modalitäten dürfen nämlich nicht weniger günstig ausgestaltet sein als die für entsprechende innerstaatliche Rechtsbehelfe (Grundsatz der Äquivalenz) und die Ausübung der durch die Unionsrechtsordnung verliehenen Rechte nicht praktisch unmöglich machen oder übermäßig erschweren (Grundsatz der Effektivität) (vgl. in diesem Sinne Urteil vom 14. Juli 2022, EPIC Financial Consulting, C‑274/21 und C‑275/21, EU:C:2022:565, Rn. 73 und die dort angeführte Rechtsprechung).

Daraus, insbesondere dem “diese Modalitäten dürfen nämlich nicht weniger günstig ausgestaltet sein als die für entsprechende innerstaatliche Rechtsbehelfe”, ergibt sich m.E. zum einen, dass das angewandte Recht jedenfalls nicht schlechter sein darf, als das Bayerische Verwaltungsverfahrensrecht mit seinem Recht auf Anhörung, und damit eine Anhörung erforderlich ist. Zum Anderen ergibt sich direkt aus dem Wortlaut von Art. 77/78 DSGVO, dass es für ein Beschwerdeverfahren ausreicht, dass der Betroffene die Ansicht hat, in seinen Rechten verletzt zu sein.

Wenn Sie korrekt subsummieren, dann müssen Sie anhören, wenn Sie auch nur eine der beiden Voraussetzung aus Art. 77/78 in Frage stellen, also die Betroffeneneigenschaft oder die Rechtsverletzung.

Meines Erachtens sind damit die Bescheide zu DATEV und Dracoon allesamt zumindest rechtswidrig ergangen, streiten kann man allenfalls, ob sie deswegen nichtig sind. Ich halte es für richtig, wenn Sie die Bescheide formell aufheben und das Verfahren korrekt durchführen.

Soweit zum formellen Teil, Inhaltlich hatte ich bisher nur Zeit mir die Entscheidung zu DATEV anzusehen. Wenn Sie ernsthaft geprüft hätten, wären Sie zu einem anderen Ergebnis gekommen – aber ich darf vermuten, Sie wollten gar nicht ernsthaft prüfen. Ich beabsichtige daher, Ihnen den nächsten “Dinosaurier des Datenschutzes” zu verleihen, jedenfalls dann, wenn Sie den Bescheid nicht aufheben und ich eine Klage prüfen muss.

Vielen Dank und viele Grüße

Joachim Lindenberg

-----Ursprüngliche Nachricht-----
Von: **************** (LDA) <***************@lda.bayern.de>
Gesendet: Dienstag, 22. April 2025 15:34
An: ****************@lindenberg.one
Betreff: weitere Mitteilung – Aktenzeichen LDA-1085.3-10524/24-AV

Sehr geehrter Herr Lindenberg

Anbei erhalten Sie ein weiteres Schreiben bezogen auf Ihre Eingabe vom 25.11.24 betreffend die DATEV eG.

Mit freundlichen Grüßen

***************

Geschäftsleiter

Bereichsleiter Bereich G (Grundsatzfragen, Europäische Zusammenarbeit, Internationaler Datenverkehr, Geschäftsstelle) Bayerisches Landesamt für Datenschutzaufsicht Data Protection Authority of Bavaria for the Private Sector Promenade 18, 91522 Ansbach Postfach 1349, 91504 Ansbach Deutschland / Germany Tel. 0981 1800 93-*** PC-Fax 0981 1800 93-***

E-Mail: ***************@lda.bayern.de">***************@lda.bayern.de

www.lda.bayern.de

Hinweise zur Verarbeitung Ihrer personenbezogenen Daten:

Verantwortlich für die Verarbeitung Ihrer personenbezogenen Daten im Rahmen des vorliegenden Kontakts ist das Bayerische Landesamt für Datenschutzaufsicht. Weitere Informationen zur Verarbeitung Ihrer Daten, insbesondere zu den Ihnen zustehenden Rechten, können Sie unserer Homepage unter www.lda.bayern.de/Informationen entnehmen oder auf jedem anderen Wege unter den o.g. Kontaktdaten bei uns erfragen.