Glossar

s. Auftragsverarbeitung/Auftragsdatenverarbeitung

Unternehmer sind verpflichtet, gewisse Unterlagen für bestimmte Zeiträume aufzubewahren. Für viele geschäftliche Unterlagen gilt aus dem Steuerrecht heraus eine zehnjährige Aufbewahrungsfrist, die jedoch erst mit Schluss des Kalenderjahres beginnt, in dem der Jahresabschluss erstellt wurde. Gibt es keine gesetzlichen Aufbewahrungsfristen gilt der Grundsatz, dass personenbezogene Daten umgehend zu löschen sind, sobald der vereinbarte Nutzungszweck erfüllt worden ist. Meldet sich ein Kunde etwa vom Newsletter ab, sind seine zur Versendung des Newsletters erhobenen Daten umgehend zu löschen.

Der frühere Begriff Auftragsdatenverarbeitung (kurz ADV) wurde mit der DSGVO durch den Begriff Auftragsverarbeitung (kurz AVV) ersetzt. Eine Auftragsverarbeitung liegt vor, wenn ein Verantwortlicher personenbezogene Daten an einen Dienstleister übermittelt, der die Daten nur nach Weisung und nicht zu eigenen Zwecken verarbeiten darf. Es gilt eine entsprechende Vereinbarung zur Auftragsverarbeitung zwischen Unternehmen und Dienstleister zu schließen, wie es auch die DSGVO vorgibt.

Als Betroffener hat man das Recht vom Verantwortlichen Auskunft darüber zu verlangen, ob seine personenbezogenen Daten verarbeitet werden. Ist dies der Fall, besteht die Pflicht über die Einzelheiten der Verarbeitung umfassend Auskunft zu erteilen. Die DSGVO macht dabei genaue Angaben, welche Informationen darin enthalten sein müssen. Zudem sollte der Verantwortliche auch eine Kopie der personenbezogenen Daten zur Verfügung stellen. Die Auskunft muss der Verantwortliche unverzüglich, in jedem Fall aber innerhalb eines Monats, erteilen. Bei der Erteilung der Auskunft ist es wichtig, darauf zu achten, dass Rechte und Freiheiten des Verantwortlichen oder eines Dritten nicht beeinträchtigt werden. So darf der Verantwortliche beispielsweise personenbezogene Daten von Dritten oder Geschäftsgeheimnisse in Dokumenten schwärzen.

2015 veröffentlichte die OECD 15 Maßnahmen gegen Gewinnkürzungen und Gewinnverlagerungen, das sogenannte Base Erosion and Profit Shifting, kurz BEPS. Ziel ist das Vorgehen gegen schädlichen Steuerwettbewerb sowie aggressive Steuergestaltungen international tätiger Unternehmen, die durch unzureichend aufeinander abgestimmte Steuerrechtssysteme der einzelnen Länder ermöglicht werden. So sollen beispielsweise Steuerschlupflöcher für multinational agierende Unternehmen gestopft werden, die kleineren Unternehmen nicht zur Verfügung stehen. Die Ergebnisse des BEPS-Aktionsplans sind in den vergangenen Jahren bereits in vielen Ländern gesetzlich umgesetzt worden.

s. Bundesdatenschutzgesetz

s. Base Erosion and Profit Shifting

Das berechtigte Interesse ist eine von mehreren Rechtsgrundlagen für die Verarbeitung von personenbezogenen Daten. Nicht immer ist es notwendig, die Einwilligung der betroffenen Person zur Verarbeitung ihrer personenbezogenen Daten einzuholen, etwa dann nicht, wenn anzunehmen ist, dass die Verarbeitung dieser Daten im Rahmen des berechtigten Interesses stattfindet. Hierzu sind drei Voraussetzungen notwendig: Der für die Verarbeitung der Daten Verantwortliche hat ein berechtigtes Interesse an der Datenverarbeitung, die Verarbeitung ist zu dessen Wahrung erforderlich (es gibt also keine weniger einschneidende Maßnahme, mit der das berechtigte Interesse in gleicher Weise gefördert wird) und bei einer Abwägung mit den Interessen der betroffenen Person überwiegen nicht deren Interessen. Dies abzuwägen ist immer ein Drahtseilakt aber auch eine Chance. Im Zweifelsfall berät Sie Ihr Datenschutzverantwortlicher oder der für Sie tätige externe Datenschutzbeauftragte.

In einem Berechtigungskonzept wird festgehalten, welche Zugriffsregeln auf Datensätze für die einzelnen Benutzergruppen gelten. Zudem werden hierin alle Prozesse detailliert erläutert, die dessen Umsetzung betreffen, z.B. das Anlegen oder Löschen von Nutzern und deren personenbezogene Daten. Hierzu ist es erforderlich, Rollen und die ihnen zugeordneten Aufgaben und Funktionen zu definieren. Ihnen können Berechtigungen erteilt oder entzogen werden. Die Pflege eines derartigen Berechtigungskonzepts wird empfohlen, zumal es ein Pflichtbestandteil zur ordnungsgemäßen Umsetzung der DSGVO ist und – nicht nur im Zweifelsfall – Auskunft darüber gibt, welche Mitarbeiter Zugriff auf personenbezogene Daten haben.

Stellt sich nachträglich heraus, dass eine beim Finanzamt eingereichte Steuererklärung unrichtig ist, muss diese korrigiert werden. Die Abgrenzung zwischen einer einfachen Berichtigung (zur Korrektur eines Fehlers) und einer strafbefreienden Selbstanzeige (zur „Heilung“ einer Steuerhinterziehung) sind oftmals fließend. Wenn das Unternehmen ein funktionsfähiges innerbetriebliches Kontrollsystem zur Befolgung aller steuerlichen Pflichten (Tax Compliance Management System) eingerichtet hat, wertet die Finanzverwaltung dies als Indiz gegen das Vorliegen von Vorsatz bzw. grober Fahrlässigkeit. Strafrechtliche Konsequenzen lassen sich damit vermeiden.

Betriebsprüfung oder steuerliche Außenprüfung bezeichnet die Kontrolle der steuerlichen Verhältnisse und der Buchhaltung eines Betriebs durch das Finanzamt. Sämtliche Steuerarten können einer Betriebsprüfung unterliegen; die Umsatzsteuer und die Lohnsteuer können beispielsweise Gegenstand spezieller Prüfungen sein. Die Vorbereitung auf und das Management von steuerlichen Prüfungen gehört zu den zentralen Elementen eines Tax Compliance Management Systems.

Die DSGVO hat europaweit die Rechte der betroffenen Personen gestärkt. So stehen ihnen folgende Rechte zu: - Auskunftsrecht - Recht auf Berichtigung - Recht auf Löschung bzw. „Recht auf Vergessenwerden“ - Recht auf Einschränkung der Verarbeitung - Recht auf Datenübertragbarkeit - Widerspruchsrecht

Das Bundesdatenschutzgesetz (kurz BDSG) trat am 27. Januar 1977 in Deutschland in Kraft und hatte seitdem die Aufgabe, Einzelpersonen vor Datenmissbrauch zu schützen. Diese Aufgabe übernimmt nun weitestgehend die DSGVO. Dennoch trat am 25. Mai 2018 und damit dem Tag der Geltung der DSGVO, eine neue Fassung des BDSG in Kraft. Mit den Regelungen des BDSG macht Deutschland von den Öffnungsklauseln in der DSGVO Gebrauch, die es den Mitgliedstaaten ermöglichen gewisse nationale Regelungen zu treffen.

Bei einem Verstoß gegen die DSGVO drohen betroffenen Unternehmen Bußgelder von bis zu 20 Millionen € bzw. bis zu 4 % des weltweiten Jahresumsatzes. Die Behörden haben die Höhe der Bußgelder dabei so zu wählen, dass sie in jedem Einzelfall wirksam, verhältnismäßig und abschreckend sind. Dabei nennt die DSGVO auch eine Menge Kriterien, die berücksichtigt werden sollten, etwa die Art, Schwere und Dauer des Verstoßes, die Zahl der Betroffenen und das Ausmaß des erlittenen Schadens, die Vorsätzlichkeit oder Fahrlässigkeit des Verstoßes, frühere Verstöße, die Kooperationsbereitschaft des Unternehmens etc.

Unter dem Begriff Compliance versteht man die Aufforderung an Unternehmen, Regelungen und Richtlinien einzuhalten und sich gesetzeskonform zu verhalten. Darunter können auch unternehmenseigene ethische Standards fallen. Alle Regeln sowie die damit einhergehenden Einstellungen und Verhaltensweisen müssen von der Unternehmensleitung an die Mitarbeiter kommuniziert und von ihnen eingehalten werden. Werden diese Regelungen vom Unternehmen nicht eingehalten, drohen Strafen und es kann zu einem Ordnungswidrigkeitsverfahren kommen.

Seit 2016 ist die Pflicht zur Erstellung und Mitteilung von länderbezogenen Berichten – das sogenannte Country-by-Country-Reporting, kurz CbCR – im deutschen Steuerrecht verankert. Das CbCR ist ein Ergebnis der BEPS-Initiative der OECD. Ein solches Reporting müssen alle inländischen Gesellschaften vorlegen, die einen Konzernabschluss aufstellen oder in einen solchen einbezogen sind, der mindestens ein ausländisches Unternehmen umfasst. Zudem müssen die konsolidierten Umsätze des Vorjahres mindestens bei 750 Mio. € liegen. Ziel des CbCR ist es, der Steuerverwaltung eine standardisierte länderbezogene Berichterstattung darüber zu liefern, wo Umsätze und Gewinne erzielt, Mitarbeiter beschäftigt und Steuern gezahlt werden.

Ein effizientes Datenmanagement ist ein entscheidender Faktor für den Unternehmenserfolg. Dies gilt auch im Bereich der Steuern. Mithilfe eines Tax Compliance Management Systems können Sie eine Vielzahl von Daten nach unterschiedlichen Kriterien filtern und für steuerliche Zwecke analysieren (z. B. für Zwecke der Umsatzsteuer, der Lohnsteuer und der Dokumentation von Verrechnungspreisen). Dies trägt zur Abstimmung der Steuerstrategie bei und zahlt letztendlich auf die Erreichung der Unternehmensziele ein. Zudem unterstützt Sie ein Tax CMS dabei, in kürzester Zeit alle relevanten Daten für wichtige Meetings oder etwa Außenprüfungen bereitzustellen.

Eine Datenpanne liegt immer dann vor, wenn Dritte unbefugt Zugriff auf Daten erhalten. Auch die bloße Möglichkeit, dass Dritte Zugriff erhalten haben könnten, ist schon eine meldepflichtige Gefährdung. Übersehen wird häufig, dass auch die Vernichtung, der Verlust und die Veränderung von personenbezogenen Daten meldepflichtige Datenpannen sein können. Die Betroffenen können nicht nur dadurch gefährdet werden, dass Unbefugte ihre Daten erhalten, sondern etwa auch dadurch, dass den Befugten die Daten nicht mehr zur Verfügung stehen.

Der Datenschutz dient dem Zweck, Bürger vor der unbefugten Verarbeitung ihrer persönlichen Daten zu schützen. Der Datenschutz ist in der Grundrechte-Charta der EU als Grundrecht anerkannt und als Teil des Rechts auf informationelle Selbstbestimmung auch in Deutschland grundrechtlich garantiert. Jeder Bürger darf demnach selbst bestimmen, was mit seinen Daten geschieht und in welcher Form diese weiterverarbeitet werden. Dies bezieht sich auf alle Gebiete und Arten, in denen Daten verarbeitet werden können, wie beispielsweise Unternehmen, die mit Kundendaten arbeiten. Da dies ein breit gefächertes Aufgabengebiet ist, ziehen viele Unternehmen einen externen Datenschutzbeauftragten für die ordnungsgemäße Umsetzung dieser Aufgaben hinzu.

Die Datenschutz-Aufsichtsbehörde berät und kontrolliert öffentliche und private Stellen in Angelegenheiten des Datenschutzes. Der Bund und jedes Bundesland haben eine eigene Aufsichtsbehörde, an die sich auch jeder Betroffene mit seiner Beschwerde richten kann. Wenn bei einer Überprüfung der nicht ordnungsgemäße Umgang mit personenbezogenen Daten aufgedeckt wird, erteilt die zuständige Aufsichtsbehörde Bußgelder und Weisungen, bis hin zum Verbot einer Datenverarbeitung.

Jedes Unternehmen ist dazu angehalten, eine eigene Datenschutzrichtlinie zu implementieren; sie hilft beim erforderlichen Nachweis einer angemessenen Datenschutzorganisation. Ziel ist der Mitarbeiter-übergreifend einheitliche Umgang mit personenbezogenen Daten und den weiteren datenschutzrechtlich relevanten Sachverhalten. Diese Richtlinie stellt den zentralen Teil der Datenschutzorganisation dar und ist für alle Mitglieder des Unternehmens bindend. Sie wird vom Datenschutzbeauftragten in Zusammenarbeit mit der Geschäftsführung aufgesetzt und beinhaltet vor allem Angaben zur Datenschutzorganisation im Unternehmen, dem Umgang mit personenbezogenen Daten sowie Aufgaben im Rahmen der Meldepflicht.

In Deutschland braucht jedes Unternehmen, welches mehr als neun Mitarbeiter für die Verarbeitung von personenbezogenen Daten beschäftigt, einen Datenschutzbeauftragten, der sich um die Einhaltung der Vorgaben der DSGVO im Unternehmen kümmert. Daneben besteht die Pflicht für Unternehmen, die Daten geschäftsmäßig verarbeiten, um sie (anonymisiert) zu übermitteln oder für Marktforschungszwecke zu verwenden, einen Datenschutzbeauftragten zu bestellen. Diese Datenverarbeitung muss dabei einen eigenständigen Zweck der geschäftlichen Tätigkeit ausmachen, z.B. wie bei Auskunfteien oder Bewertungsplattformen. Die Aufgabe des Datenschutzbeauftragten wird entweder von einem Mitarbeiter des Unternehmens oder einem externen Datenschutzbeauftragten übernommen. Ein wichtiger Bestandteil seiner Aufgaben liegt in der Überwachung des fairen und ordnungsgemäßen Umgangs mit personenbezogenen Daten innerhalb des Unternehmens. Auch wenn keine Pflicht besteht, einen Datenschutzbeauftragten zu bestellen, sind die Unternehmen verpflichtet, den Datenschutz umzusetzen, sodass die Benennung eines Verantwortlichen oder die Einholung externer Beratung auch für diese sinnvoll sind.

Die Datenschutzerklärung muss auf jeder Webseite bereitgestellt werden. Sie enthält die Pflichtinformationen (siehe auch Informationspflicht) für die Betroffenen. Wichtig: Es ist erforderlich, dass die Datenschutzerklärung alle Verarbeitungsprozesse auf der Webseite darstellt sowie von jeder Unterseite aus erreichbar ist. Eine Datenschutzerklärung gilt dabei auch als Aushängeschild für ein Unternehmen, da Sie von jedermann eingesehen wird.

Um die Vorgaben der Europäischen Datenschutz-Grundverordnung ordnungsgemäß umzusetzen, bedarf es der Implementierung einer Datenschutzorganisation im Unternehmen. Verantwortlich für die Einführung einer solchen Datenschutzorganisation ist die Geschäftsführung. Mithilfe von Mitarbeitern und dem Datenschutzbeauftragten gilt es, Prozesse zur Wahrung des Datenschutzes festzulegen, umzusetzen und stetig zu kontrollieren. Bestandteile der Datenschutzorganisation sind beispielsweise ein Berechtigungskonzept sowie ein Verarbeitungsverzeichnis.

Hierbei handelt es sich um alle Mitarbeiter eines Unternehmens, die Zugriff auf personenbezogene Daten haben und diese sehen, bearbeiten oder löschen können. Im Zuge der DSGVO ist es sehr wichtig, diese Mitarbeiter im Sinne der Datenschutz-Richtlinie des Unternehmens zu schulen und für Dokumentationspflichten und Informationspflichten zu sensibilisieren. Um sicher zu stellen, welcher Mitarbeiter welche Rolle bei der Datenverarbeitung hat, ist die Implementierung eines Berechtigungskonzepts erforderlich. Zudem verpflichtet sich jeder datenverarbeitende Mitarbeiter auf Vertraulichkeit, auch für die Zeit nach Beendigung des Beschäftigungsverhältnisses.

Grundsätzlich gilt, dass personenbezogene Daten nur für die Dauer der Erfüllung des ursprünglichen Speicherungszwecks aufbewahrt werden dürfen. Ist der Zweck erfüllt, sieht die DSGVO vor, dass das betroffene Unternehmen diese Daten wieder löscht. Die Dauer der Speicherung richtet sich also nach dem Zweck, für den die Daten erhoben worden sind. Jedoch gilt es auch in diesem Rahmen, die gesetzlich vorgeschriebenen Aufbewahrungsfristen zu beachten. So sehen Handels- und Steuerrecht beispielsweise mehrjährige Aufbewahrungsfristen vor. Es ist daher wichtig ein Löschkonzept zu implementieren, in dem solche Speicherfristen berücksichtigt werden, um die Löschung aufbewahrungspflichtiger Daten zu verhindern.

Die DSGVO verpflichtet Unternehmen zur Dokumentation, d.h. es ist erforderlich, dass Unternehmen nachweisen können, wann, auf welche Weise und zu welchem Zweck personenbezogene Daten erhoben werden. Deswegen sollten derartige Informationen geschützt abgelegt werden. Wichtig ist auch, zu dokumentieren, welche Mitarbeiter Zugriff auf sensible Daten haben und in welcher Weise diese zur Bearbeitung berechtigt sind. Im besten Fall hält die Datenschutzrichtlinie derartige Prozesse für alle Mitarbeiter fest.

s. Datenschutzbeauftragter

s. Europäische Datenschutz-Grundverordnung

Als mögliche Rechtsgrundlage für die Verarbeitung von personenbezogenen Daten kommt eine Einwilligung in Betracht. Eine solche Einwilligung muss freiwillig und ausdrücklich erteilt werden und kann jederzeit widerrufen werden. Da im Zweifel der Verantwortliche nachweisen muss, dass der Betroffene tatsächlich in die Verarbeitung seiner personenbezogenen Daten eingewilligt hat, sollte die Einwilligung schriftlich eingeholt oder auf andere Weise dokumentiert und sicher gespeichert werden.

Die Abkürzung „ERP“ steht für „Enterprise-Ressource-Planning“ und bezeichnet Software zur Ressourcenplanung eines Unternehmens in einer zentralen Datenbank. Hier werden sämtliche Geschäftsprozesse des Unternehmens verarbeitet und gespeichert, z.B. Einkauf, Logistik, Produktion, Controlling, Marketing, Vertrieb, sodass die Planung der Prozesse abteilungsübergreifend möglich ist. Auch im Bereich der Steuern kann dies ein nützliches Tool sein, da hier zentral alle relevanten Informationen eingepflegt werden können, die für die ordnungsgemäße Buchhaltung sowie Abführung von Steuern notwendig sind. Ein Tax Compliance Management System greift regelmäßig auf eine Vielzahl von Daten aus dem ERP-System zu.

s. Europäische Datenschutz-Grundverordnung

Die Datenschutz-Grundverordnung trat am 25. Mai 2016 in Kraft und gilt seit dem 25. Mai 2018 in allen Mitgliedstaaten der Europäischen Union und den zusätzlichen Ländern des Europäischen Wirtschaftsraums (Island, Lichtenstein und Norwegen). Sie sorgt dafür, dass personenbezogene Daten in diesen Ländern einheitlich geschützt werden. Betriebe und Behörden stehen in der Pflicht, sich an die Grundverordnung zu halten, ansonsten riskieren sie Bußgelder. Insgesamt sorgt die Europäische Datenschutz-Grundverordnung dafür, dass den Betroffenen mehr Kontrollrechte über ihre Daten eingeräumt werden und sie leichter nachvollziehen können, wie ihre personenbezogenen Daten verarbeitet werden.

Unternehmen, die mindestens zehn Mitarbeiter für die Verarbeitung von Daten beschäftigen, kommen nicht umhin, einen Datenschutzbeauftragten zu ernennen. Dieser ist entweder bereits im Unternehmen angestellt oder kann als Außenstehender für die Position des Datenschutzbeauftragten hinzugezogen werden. In diesem Fall handelt es sich um einen sogenannten externen Datenschutzbeauftragten. Die Aufgabe des Datenschutzbeauftragten besteht darin, den fairen und ordnungsgemäßen Umgang mit personenbezogenen Daten innerhalb des Unternehmens zu kontrollieren und bei der Umsetzung zu beraten.

Birgt eine Datenverarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen, führt der Verantwortliche vor der Verarbeitung eine Abschätzung der Folgen für den Schutz der personenbezogenen Daten durch. In diese Folgenabschätzung ist der Rat des Datenschutzbeauftragten einzubeziehen. An eine solche Folgenabschätzung stellt die DSGVO eindeutige Anforderungen. Die Datenschutzbehörden haben sogenannte „Black-Lists“ bzw. „White-Lists“ veröffentlicht, aus denen sich Prozesse ergeben, in denen eine Folgenabschätzung durchzuführen ist oder nicht benötigt wird. Eine solche Folgenabschätzung gehört zu den Dokumentationspflichten des Verantwortlichen und eine Nichtdurchführung stellt einen Datenschutzverstoß dar.

Die Abkürzung GoBD steht für „Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff“. Am 14.11.2014 wurden diese Anforderungen an IT-gestützte Systeme mit dem Schreiben des Bundesfinanzministeriums formuliert und festgelegt. Diese Regelungen betreffen Aufzeichnungen aller Art bezüglich steuerrelevanter Daten. Zwischenzeitlich wird die Einhaltung der GoBD in vielen Betriebsprüfungen kontrolliert, z. B. durch Anforderung einer Verfahrensdokumentation. Ein effektives Tax Compliance Management Systems muss auch dafür Sorge tragen, dass das Unternehmen die GoBD erfüllt.

Die gesetzlichen Vertreter eines Unternehmens (z. B. Geschäftsführer, Vorstände) tragen die Verantwortung dafür, dass das Unternehmen seinen gesetzlichen Verpflichtungen nachkommt und keine Verbote verletzt. Kommt es doch zu Gesetzesverstößen, können die gesetzlichen Vertreter hierfür zur Verantwortung gezogen werden. So richtet sich der Vorwurf der Hinterziehung betrieblicher Steuern immer gegen den jeweiligen Geschäftsführer bzw. Vorstand, der eine falsche Steuererklärung abgegeben oder Steuern nicht ordnungsgemäß entrichtet hat. Ein Tax Compliance Management System ist ein wichtiges Instrument, um steuerliche Haftungsrisiken zu reduzieren.

s. Internes Kontrollsystem

Wenn personenbezogene Daten erhoben werden, sieht es die Datenschutz-Grundverordnung vor, dass die betroffene Person, eine Information darüber erhält. Das Unternehmen, das diese Daten erhebt, muss die Person unter anderem über den Verwendungszweck sowie über den Umgang mit den Daten aufklären. Wichtig ist auch, dass die Kontaktdaten des Verantwortlichen und des Datenschutzbeauftragten an dieser Stelle übermittelt werden, damit sich betroffene Personen bei Fragen oder im Falle eines Widerrufs an einen Ansprechpartner wenden können. Diese und weitere Angaben sind gesetzlich ausdrücklich vorgeschrieben. Wird die Information nicht oder unvollständig erteilt, liegt ein Datenschutzverstoß vor, den die Behörden mit einem Bußgeld ahnden können. Eine solche Informationspflicht trifft Sie nicht nur, wenn Sie die Daten selbst beim Betroffenen erheben, sondern auch dann, wenn Sie die Daten von einem Dritten erhalten.

Um vertrauliche Daten zu schützen, müssen gewisse Sicherheitsvorkehrungen getroffen werden. In Hinblick auf die Datensicherheit im IT-Bereich ist es ratsam, ein Informationssicherheitsmanagement (kurz ISMS) im Unternehmen zu implementieren, welches als ergänzende Maßnahme zur ordnungsgemäßen Umsetzung der DSGVO dienen kann. Mithilfe des ISMS lassen sich Schwachstellen im Unternehmen aufdecken, die es dann im Rahmen der Datenschutzorganisation zu beheben gilt. Im weiteren Verlauf kann das ISMS bei der Erstellung von Richtlinien und Leitfäden unterstützen und dient später u.a. als Überwachungsinstrument zur Einhaltung der DSGVO.

Ein internes Kontrollsystem besteht aus systematisch gestalteten technischen und organisatorischen Maßnahmen im Unternehmen zum Einhalten von Richtlinien und zur Abwehr von Schäden. Ein solches Kontrollsystem betrifft regelmäßig sämtliche Unternehmensbereiche. Der Teilbereich des IKS, der auf die Einhaltung aller steuerlichen Pflichten gerichtet ist, wird auch als Tax Compliance Management System bezeichnet. Nach der Interpretation der Finanzverwaltung kann ein funktionierendes Steuer-IKS Unternehmen und ihre Organe im Fall von Fehlern in einer Steuererklärung vor strafrechtlicher Verfolgung schützen

Die Datenschutz-Aufsichtsbehörden kontrollieren Vereine, Unternehmen und andere datenverarbeitende Stellen in Bezug auf die ordnungsgemäße Umsetzung der Europäischen Datenschutz-Grundverordnung. Hierbei setzen die Behörden vorwiegend auf Vor-Ort-Kontrollen, Fragebögen und automatisierte Online-Audits. Sollte sich in diesem Rahmen herausstellen, dass sich ein Betrieb nicht an die Vorgaben der DSGVO hält, drohen teils hohe Bußgelder.

Bei einer Verletzung des Schutzes personenbezogener Daten ist es erforderlich, dass der Verantwortliche dies innerhalb von 72 Stunden bei der zuständigen Datenschutz-Aufsichtsbehörde meldet. Meldet er den Verstoß erst später, muss er diese Verzögerung begründen. Andernfalls riskiert er Bußgelder. Neben der Behörde und dem Datenschutzbeauftragten, wird auch der Betroffene informiert, wenn die Verletzung ein hohes Risiko für seine Rechte und Freiheiten zur Folge hat. Wenn ein solcher Fall eintritt, sollte die Datenschutzrichtlinie zur Verfügung stehen, damit die Mitarbeiter über das Vorgehen bei einer solchen Datenpanne informiert sind.

Unter die personenbezogenen Daten fallen all die Daten, die eine natürliche Person identifizieren oder identifizierbar machen. Das können zum Beispiel Name und Anschrift einer Person sein genauso wie Geburtsdaten, Bankdaten oder auch Onlinedaten wie IP-Adresse oder Standortdaten. Besonderen Schutz sieht die DSGVO für die besonderen Kategorien personenbezogener Daten vor. Dies sind Angaben über die rassische und ethnische Herkunft, die politische Meinung, die religiöse oder weltanschauliche Überzeugung oder die Gewerkschaftszugehörigkeit sowie genetische und biometrische Daten, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung. Diese Daten müssen nicht nur besonders geschützt werden, sondern dürfen auch nur unter strengeren Voraussetzungen überhaupt zur Verarbeitung genutzt werden. Auch für Daten über strafrechtliche Verurteilungen oder Straftaten gibt es solche Besonderheiten.

Gemäß Art. 16 DSGVO hat jeder Betroffene das Recht, von dem Verantwortlichen eine Berichtigung der ihn betreffenden unrichtigen personenbezogenen Daten zu verlangen. Unternehmen sind dazu verpflichtet, umgehend die fehlerhaften Angaben zu korrigieren und fehlende Angaben nachzuarbeiten.

Jede Person, deren personenbezogene Daten von einer Behörde oder einem Unternehmen verarbeitet werden, hat ein Recht auf Löschung, insbesondere wenn: - die personenbezogenen Daten für die Zwecke, für die sie verarbeitet wurden, nicht mehr notwendig sind, - der Betroffene seine Einwilligung widerrufen hat und keine andere Rechtsgrundlage für die Verarbeitung vorliegt, - der Betroffene einen wirksamen Widerspruch gegen die Verarbeitung eingelegt hat oder - die personenbezogenen Daten unrechtmäßig verarbeitet wurden. Kommt der Verantwortliche dieser Bitte nicht ordnungsgemäß nach, kann die Person den Vorfall bei der Datenschutz-Aufsichtsbehörde melden. In solch einem Fall drohen Bußgelder.

s. Recht auf Löschung

Unternehmen, Behörden und andere Stellen, die personenbezogene Daten verarbeiten, sind gesetzlich dazu verpflichtet, geeignete technische und organisatorische Maßnahmen (TOMS) zu ergreifen, um ein angemessenes Schutzniveau sicher zu stellen. Zu den technischen Maßnahmen zählen beispielsweise Passwortnutzung, Protokolldateien und eindeutige Benutzerkonten. Unter die organisatorischen Maßnahmen fallen Aspekte wie das Vier-Augen-Prinzip, Arbeitsanweisungen und festgelegte Intervalle zur Überprüfung der Einhaltung sämtlicher datenschutzrechtlicher Anforderungen. Bei der Wahl der Maßnahmen sind der Stand der Technik, die Implementierungskosten und die Art, der Umfang, die Umstände und der Zweck der Verarbeitung sowie die Eintrittswahrscheinlichkeit und das Risiko für die betroffene Person zu berücksichtigen.

Verantwortlicher ist, wer über Zweck und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Verantwortliche können natürliche und juristische Personen, Behörden, Einrichtungen und andere Stellen sein. Verarbeitet ein Unternehmen also beispielsweise Kundendaten, ist das Unternehmen selbst (nicht die Geschäftsführung oder Mitarbeiter) der Verantwortliche.

Unternehmen mit mehr als 250 Mitarbeitern sind dazu verpflichtet, den Prozess der Verarbeitung von personenbezogenen Daten in einem Verzeichnis zu dokumentieren. Dies ist ein Bestandteil der Datenschutzorganisation und eng mit dem Berechtigungskonzept innerhalb eines Unternehmens verbunden. Die zuständige Datenschutz-Aufsichtsbehörde kann zu jedem Zeitpunkt Einsicht verlangen und die Verarbeitungstätigkeiten überprüfen.

Unternehmen oder Einrichtungen haben laut DSGVO die Pflicht, ein sogenanntes Verarbeitungsverzeichnis zu führen, in dem sie alle Prozesse mit denen personenbezogene Daten verarbeitet werden, aufzeigen. Dies geschieht durch die Auflistung aller Verarbeitungstätigkeiten, -systeme und -verfahren und ist Bestandteil einer gut aufgestellten Datenschutzorganisation. Ausnahmen von dieser Pflicht gibt es unter weiteren Voraussetzungen nur für Unternehmen oder Einrichtungen mit weniger als 250 Mitarbeitern.

Zum Schutz von Daten sind diese oftmals verschlüsselt. Dies funktioniert folgendermaßen: Ein sogenannter „Klartext“ wird in einen „Geheimtext“ umgewandelt. Eine zweite Person kann den „Geheimtext“ wiederum transformieren, indem sie den geeigneten Schlüssel verwendet. Eine Datenverschlüsselung wendet man häufig bei der Übermittlung von Nachrichten an, wenn sie vertrauliche Inhalte enthalten. Mit dem richtigen Schlüssel kann der Empfänger die Nachricht dann lesen. Dass personenbezogene Daten ausschließlich verschlüsselt übermittelt werden dürfen, besagt die DSGVO nicht ausdrücklich, es ist jedoch eine technische Sicherungsmaßnahme, die in der Regel für einen angemessenen Schutz eingesetzt werden muss. Zweck ist es, dass unbefugte Dritte auf dem Weg der Übermittlung keine Klardaten abgreifen können.

Jeder Betroffene, der in der Vergangenheit in die Verarbeitung seiner personenbezogenen Daten eingewilligt hat, kann diese Zustimmung mittels Widerrufs zurückziehen und auf die Löschung seiner Daten bestehen. Weder an die Form noch an den Inhalt eines solchen Widerrufs sind dabei besondere Voraussetzungen gestellt. Es muss nur erkennbar sein, dass der Betroffene mit der Verwendung in Zukunft nicht mehr einverstanden ist. Gibt es keine andere Rechtsgrundlage, die die Verarbeitung der personenbezogenen Daten rechtfertigt, sind die Daten unverzüglich zu löschen.

Verarbeitet der Verantwortliche die Daten aufgrund eines berechtigten Interesses oder eines öffentlichen Interesses, kann der Betroffene dieser Verarbeitung widersprechen. Dieser Widerspruch ist grundsätzlich von dem Betroffenen zu begründen. Der Verantwortliche darf trotz Widerspruch die Daten weiterverarbeiten, wenn seine zwingenden schutzwürdigen Gründe die Interessen, Rechte und Freiheiten des Betroffenen überwiegen. Ohne Begründung und weitere Prüfung dürfen personenbezogene Daten nach einem Widerspruch aber nicht weiter verarbeitet werden, um Direktwerbung zu betreiben.

Da personenbezogene Daten zu einem sensiblen Thema geworden sind und bei der Datenverarbeitung ein sicherer und vertrauensvoller Umgang wichtig ist, können sich Unternehmen für einen besonders guten Datenverarbeitungsprozess mit einem Gütesiegel auszeichnen lassen und diese Zertifizierung als Aushängeschild nach außen hin nutzen, so dass Kunden leichter Vertrauen fassen. Dazu werden der Datenschutz und die Datensicherheit im Unternehmen gemäß strengen Vorgaben geprüft.