Sehr geehrter Herr Lindenberg,

unsere neue interne IT-Sicherheitsrichtlinie sieht vor, dass ausschließlich Anhänge in PDF-Format angenommen werden dürfen. Aus diesem Grund bitten wir Sie, die Dateien für Ihr Anliegen in das PDF-Format umzuwandeln und uns nochmals zuzusenden.

Wir empfehlen für die Übermittlung (auch anonym möglich) die Nutzung unseres Online-Services unter  https://www.lda.bayern.de/de/beschwerde.html .

Sehr geehrte Damen und Herren,

hiermit beschwere ich mich nach Artikel 77 DSGVO wegen unzureichendem und illegalem Auftragsverarbeitungsvertrag über die DATEV eG. Relevant erscheinen mir insbesondere die folgenden Kritikpunkte aus meiner Email unten:

·       der AVV enthält eine URL für Unterauftragsverarbeiter und TOMs, so dass insbesondere die dort hinterlegten TOMs jederzeit auch einseitig zum schlechteren verändert werden können.

·       eine mangelhafte Aussage zur Schwachstellenbeseitigung: „Hierbei werden DATEV bekannte Schwachstellen gemeldet, um geeignete Maßnahmen zur Risikoreduzierung und Fehlerbehebung zu treffen.“

·       vom Kunden Geld für die Mitwirkung bei Leaks (Art 32ff) zu wollen, wo man die Mechanismen doch selbst festlegt und umsetzt - das halte ich für nicht nur unzulässig sondern unverschämt.

·       die Anonymisierungsvereinbarung halte ich für illegal. Anonymisierung von Daten bedarf einer Rechtsgrundlage nach Art. 6, nicht einfach einer Klausel im AVV.

·       Emails werden nicht obligatorisch verschlüsselt, entgegen der zweideutigen Aussage  „grundsätzlich nach dem Stand der Technik verschlüsselt“. Diese Aussage ist zumindest für alle Kunden ohne juristische Vorbildung irreführend und damit intransparent im Sinne von Artikel 5 Abs. 1 lit. a, und die allermeisten Datev-Kunden sind wahrscheinlich keine Juristen.

Mit diesen Vereinbarungen und auch dem überflüssigen Text in der Email überschreitet Datev nach meinem Verständnis auch die Grenze zwischen Auftragsverarbeiter und Verantwortlichem in Artikel 28 Abs. 10 DSGVO.

Ich bitte um eine Eingangsbestätigung mit Aktenzeichen.

Vielen Dank und viele Grüße

Joachim Lindenberg

Sehr geehrte Damen und Herren,

ich habe ein paar Gehversuche mit Ihrer Lösung DATEV E-Rechnungsplattform unternommen, und bin alles andere als begeistert:

·       Mein Browser ist Englisch, da erscheinen Fehlermeldungen (Anlage). Selbst wenn ich meine Sprache in den Einstellungen auf Deutsch ändere bleibt das meiste Englisch. Das sollten Sie mal vollständig testen und überdenken.

·       Bei der Registrierung sind Angaben Pflicht, die keine Erklärung haben:

ein Leerzeichen beim Unternehmen geht, ist aber unsinnig.

·       Die Darstellung bei der Eingabe ist total unlogisch:

aufgrund der Reihenfolge würde ich als Total den Bruttowert erwarten. Vermutlich ist das Menge * Preis, aber dann packen Sie es doch vor die Steuer.

·       Als Menge bräuchte ich auch /Jahr – das fehlt bei Ihnen. Weglassen kann man die Einheit aber auch nicht

·       Als Freiberufler ist bei mir Firma und Ansprechpartner identisch – wie werde ich die Dopplung los?

·       Die Email mit der erstellten Testrechnung füge ich bei. Der Text der Email ist einfach unnötig und unsinnig – insbesondere auch weil die Antwort an mich und nicht DATEV gehen würde. Niemand interessiert sich hier für den Auftragsverarbeiter, sondern einzig und allein für die Rechnung. Wie kann ich das abschalten?

·       Im XML der Rechnung taucht die Empfänger-Email auf. Da ich Ihren Text für unnötig halte und die Rechnung gerne selbst prüfen und dann versenden würde: wie kann ich da die richtige Emailadresse eingeben ohne dass Sie die erstelle Rechnung gleich versenden?

·       Sie schreiben etwas von Signatur und meinen S/MIME. Sinnvoll wäre eine Signatur des PDFs statt der Email, aber das machen sie nicht.

·       In der Übersicht taucht eine Rechnung bereits als gesendet auf, bevor sie dem Empfänger wirklich zugestellt wurde. Ich kann das sicher sagen, denn …

·       Ich habe meinen Email-Sicherheits-Test (https://blog.lindenberg.one/EmailSicherheitsTest) laufen lassen. Sie verwenden STMP-DANE, aber leider keine obligatorische Verschlüsselung, obwohl das Stand-der-Technik ist.  Damit ist Ihr Versprechen im AVV „Für den Transport per E-Mail werden Daten, die dem Berufsgeheimnis des Verantwortlichen unterliegen, grundsätzlich nach dem Stand der Technik verschlüsselt“ nicht eingehalten. Oder muss ich „grundsätzlich“ wie Juristen interpretieren? Da dieses Wort an einigen Stellen auftaucht: welche Ausnahmen muss ich wann noch erwarten?

·       An eine Frage, ob ich einem Berufsgeheimnis unterliege, kann ich mich nicht erinnern, und eine Einstellung dafür habe ich nicht gefunden.

·       Dass Sie in Ihrem AVV eine URL für Unterauftragsverarbeiter und TOMs verwenden und die dort hinterlegten TOMs jederzeit auch zum schlechteren ändern können halte ich für unzulässig.

·       „Hierbei werden DATEV bekannte Schwachstellen gemeldet, um geeignete Maßnahmen zur Risikoreduzierung und Fehlerbehebung zu treffen.“ – wer meldet wem was? Und warum werden Schwachstellen nur gemeldet und nicht gepatcht?

·       Dass Sie bei einem von Ihnen verursachten Leak Geld vom Kunden für die Mitwirkung bei Art 32ff wollen – das halte ich für unverschämt.

·       Die Anonymisierungsvereinbarung halte ich für illegal. Anonymisierung von Daten bedarf einer Rechtsgrundlage nach Art. 6, nicht einfach einer Klausel im AVV.

·       Ich spare mir weitere Mängel des AVVs auf für den Fall, dass Sie konstruktiv reagieren.

Vorsichtshalter kündige ich Ihr Produkt.

Vielen Dank und viele Grüße

Joachim Lindenberg