Datenschutz beim Finanzamt

Mitglied: StefanKittel
Hallo,

ich bekomme demnächst Besuch vom Finanzamt wegen einer Betriebsprüfung.

Dabei habe ich einen Brief mit der Ankündigung und später eine (unverschlüsselte) Mail vom dem zuständigen Prüfer erhalten.

Darin war dieser Textteil:
Mit diesem Link können Sie die (Gewinnermittlungs-)Daten in FinDrive-NI hochladen:

https://findrive-ni.de/#/public/shares-uploads/gYnnxxxxxxxxxxxxxxxx

Das Kennwort setzt sich aus dem Datum der Prüfungsanordnung gefolgt von einem Unterstrich und dem Tag des Geburtstags Ihres Mandanten "in Worten" und mit einem Großbuchstaben beginnend zusammen.

Das mit dem Kennwort ist doch ein Witz.
Sowohl das Datum der Ankündigung als auch mein Geburtsdatum sind vielen Personen bekannt.
Nur der Link kommt allein in dieser unverschlüsselten Mail vor.

Ich lade dort alle Ausgangsrechnungen hoch mit vielen Details zu ausgeführten Arbeiten und gelieferten Dingen.
(Keine Kennwörter oder Zugangsdaten)

Warum gibt es nicht einen TAN-Brief wie bei der Bank mit der man ein Kennwort festlegen kann?
Jeder normale Firma dürfte sich nun was zum Datenschutz anhönren.

Stefan

Update: Die Webseite nutzt TLS 1.2 max und hat kein EV SSL Zertifikat
Stichwort meine Dorfbank macht das besser

Content-Key: 1380127245

Url: https://administrator.de/contentid/1380127245

Ausgedruckt am: 26.10.2021 um 15:10 Uhr

Mitglied: Visucius
Visucius 12.10.2021 um 11:47:49 Uhr
Goto Top
Warum gibt es nicht einen TAN-Brief wie bei der Bank …
Stichwort meine Dorfbank macht das besser

Die macht auch keinen TAN-Brief mehr, weil sie dem nicht mehr traut 😉

Aber ich finde den Ansatz gut: Pack den Stier bei den DSGV-Hörnern 😂
Mitglied: hacktor
hacktor 12.10.2021 aktualisiert um 11:52:50 Uhr
Goto Top
Beim Finanzamt traut sich wohl keiner das anzuscheißen, weil man sonst intern auf der Liste der Betriebsprüfungen ganz nach oben rutscht :-D face-big-smile :-D face-big-smile.
Mitglied: lcer00
lcer00 12.10.2021 um 11:57:53 Uhr
Goto Top
Hallo,
Zitat von @Visucius:

Aber ich finde den Ansatz gut: Pack den Stier bei den DSGV-Hörnern 😂
Ich würde eine Betriebsprüfung an Deiner Stelle nie wegen Datenschutz "stören" ... Höchstens wenn es um besonders schützenswerte Daten (z.B. Gesundheitsdaten) geht.

Ansonsten ist es doch so: Der für das Finanzamt zuständige Datenschutzbeauftragte hat mit dem Verfahren offenbar kein Problem. Und wenn - hätte es keine Konsequenzen. Und wenn jemand Deine Zugangsdaten errät und auf die Dokumente zugreift, ist es immer noch nicht das Finanzamt, dass sich strafbar macht, sondern derjenige, der unbefugt zugreift.

Toll - sollte man doch lieber im Staatsdienst arbeiten? Er werden ja in Berlin etliche Stellen frei. Warte doch mal die Regierungsbildung ab. Dann kannst Du entscheiden, welches Parteiprogramm Du auswendig lernst. Mit diesem Wissen und Deiner Berufserfahrung kannst Du Dich dann auf einen schönen, ruhigen, datenschutzfreien Posten bewerben .... Du müsstest nur das selbstständige Denken beenden.

Grüße

lcer
Mitglied: brammer
brammer 12.10.2021 um 12:01:28 Uhr
Goto Top
Mitglied: Visucius
Visucius 12.10.2021 um 12:04:39 Uhr
Goto Top
Er kann ja vorher wenigstens noch den Bescheid abwarten 😁

Trümpfe sammelt man - die muss man nicht sofort spielen …
Rache muss kalt … und so
Mitglied: em-pie
em-pie 12.10.2021 um 12:31:04 Uhr
Goto Top
Zitat von @StefanKittel:
Hallo,
Moin,

ich bekomme demnächst Besuch vom Finanzamt wegen einer Betriebsprüfung.
...
Ich lade dort alle Ausgangsrechnungen hoch mit vielen Details zu ausgeführten Arbeiten und gelieferten Dingen.
(Keine Kennwörter oder Zugangsdaten)
Dann greift doch aber der Datenschutz nicht!
Datenschutz = Schutz personenbezogener Daten.

Das ist eher ein Thema der Informationssicherheit. Folglich wird sich der Landesdatenschutzbeauftragte maximal den Brief durchlesen.


Nichts desto trotz wäre etwas mehr Sicherheit wünschenwert.

Gruß
em-pie
Mitglied: miniversum
miniversum 12.10.2021 um 12:43:24 Uhr
Goto Top
Zitat von @em-pie:

Dann greift doch aber der Datenschutz nicht!
Datenschutz = Schutz personenbezogener Daten.

Ganz so würde ich das nicht sehen. Es gibt ja Betriebsgeheimnisse die auch nicht personenbezogene Daten sind. Z.b. woher die Kantine die extrem wohlschmeckenden Fischstäbchen bezieht bzw. ansich die Information mit welchen Firmen zusammengearbeitet wird. Da gibt es teilweise NDAs und halbstaatliche Firmen die sowas kontrollieren; bei uns jedenfalls.

Gruß
...
Mitglied: StefanKittel
StefanKittel 12.10.2021 um 12:51:39 Uhr
Goto Top
Zitat von @em-pie:
Dann greift doch aber der Datenschutz nicht!
Datenschutz = Schutz personenbezogener Daten.
In meinen Rechnungen stehen Namen, Anschriften von Personen, teilweise Handynummern bei Tätigkeitsbeschreibungen. Das reicht eigentlich.
Mitglied: em-pie
em-pie 12.10.2021 um 13:02:14 Uhr
Goto Top
Zitat von @miniversum:

Zitat von @em-pie:

Dann greift doch aber der Datenschutz nicht!
Datenschutz = Schutz personenbezogener Daten.

Ganz so würde ich das nicht sehen. Es gibt ja Betriebsgeheimnisse die auch nicht personenbezogene Daten sind. Z.b. woher die Kantine die extrem wohlschmeckenden Fischstäbchen bezieht bzw. ansich die Information mit welchen Firmen zusammengearbeitet wird. Da gibt es teilweise NDAs und halbstaatliche Firmen die sowas kontrollieren; bei uns jedenfalls.

Gruß
...

Das hat aber nichts mit Datenschutz sondern der Informationssicherheit zu tun.
Nochmal: Datenschutz ist per Definition der Schutz personenbezogener Daten. https://wirtschaftslexikon.gabler.de/definition/datenschutz-28043

@StefanKittel
Hab vergessen, dass du nicht (nur) juristische Personengruppen "bespasst". Da hast du dann natürlich recht - zumindest, was den Datenschutzaspekt betrifft.
Mitglied: StefanKittel
StefanKittel 12.10.2021 um 13:22:05 Uhr
Goto Top
Zitat von @em-pie:
Hab vergessen, dass du nicht (nur) juristische Personengruppen "bespasst". Da hast du dann natürlich recht - zumindest, was den Datenschutzaspekt betrifft.

Außerdem ist es eine Prinzipfrage.
Wenn die Behörden das nicht ernst nehmen, warum sollten es Personen und Firmen tun?
Mitglied: Visucius
Visucius 12.10.2021 um 13:25:21 Uhr
Goto Top
Hans und Hänschen. Zieht sich doch seit Jahren durch Politik, Verwaltung und langsam auch dem juristischen Sektor
Mitglied: LauneBaer
LauneBaer 12.10.2021 um 13:25:46 Uhr
Goto Top
Zitat von @StefanKittel:
Wenn die Behörden das nicht ernst nehmen, warum sollten es Personen und Firmen tun?

Weil sie es nicht besser können - leider.
Mitglied: brammer
brammer 12.10.2021 um 13:55:13 Uhr
Goto Top
Hallo,

gerade noch was dazu gefunden....

Mittels eines zusätzlichen Passworts, das über einen anderen Kommunikationskanal
(persönlich oder telefonisch – nicht per E-Mail) mitgeteilt wird, können über
einen aktuellen Webbrowser die steuerlich relevanten bzw. die angeforderten Daten hochgeladen werden.

https://www.stbk-sh.de/wp-content/uploads/2020/07/FinDrive-SH-Flyer_mehr ...

brammer
Mitglied: miniversum
miniversum 12.10.2021 um 14:19:29 Uhr
Goto Top
Zitat von @em-pie:

Das hat aber nichts mit Datenschutz sondern der Informationssicherheit zu tun.
Nochmal: Datenschutz ist per Definition der Schutz personenbezogener Daten. https://wirtschaftslexikon.gabler.de/definition/datenschutz-28043

Ok wieder was gelernt. Danke.
Wie gut das wir hier einfach grundsätzlich alle Informationen nicht rausgeben und nach einem ordentlichen NDA auch Einige die nicht mehr ganz so dringen haben wollen.
Mitglied: wiesi200
wiesi200 12.10.2021 um 17:02:09 Uhr
Goto Top
wieso TAN Briefe?
Fax ist das Medium der Zukunft
Mitglied: brammer
brammer 12.10.2021 um 17:10:37 Uhr
Goto Top
Hallo,

@wiesi200
dünnes Eis....

Faxen ist nicht mehr datenschutzkonform.

https://www.datenschutz.org/fax/

brammer
Mitglied: tikayevent
tikayevent 12.10.2021 um 17:38:26 Uhr
Goto Top
Update: Die Webseite nutzt TLS 1.2 max und hat kein EV SSL Zertifikat
EV Zertifikate sind nicht besser oder schlechter als Wald-und-Wiesen-Zertifikate. Der Preis ist höher, die Überprüfung der anfordernden Stelle ist etwas tiefergehender und es sieht im Browser besser aus, mehr macht es nicht. Die Verschlüsselung ist nicht besser, der Datenschutz ist nicht höher. EV ist nur Marketingscheiß.
Mitglied: erikro
erikro 12.10.2021 um 21:13:00 Uhr
Goto Top
Moin,

Zitat von @em-pie:
Dann greift doch aber der Datenschutz nicht!
Datenschutz = Schutz personenbezogener Daten.

Und was sind Steuerdaten? Sind die vielleicht nicht personenbezogen? Der TO sagte "Ausgangsrechnungen". Sind die Adressdaten des Bezogenen nicht personenbezogen?

Das ist eher ein Thema der Informationssicherheit.

Und Informationssicherheit ist keine Frage des Datenschutzes? Die beiden stehen imho in einem dialektischen Verhältnis. Der Datenschutz ist Teilgebiet der Informationssicherheit und die Informationssicherheit ist Teilgebiet des Datenschutzes. Man betrachtet die Dinge nur aus einem anderen Blickwinkel und kommt nicht selten zu den gleichen TOMs. Nicht umsonst schreibt die DSGVO zumindest der Meinung unseres Datenschutzbeauftragten nach, dass dokumentiert werden muss, wie Geschäftsgeheimnisse geschützt werden. Ich habe deshalb seitenweise Doku getippert über Dinge, die eigentlich selbstverständlich sind. ;-) face-wink

Folglich wird sich der Landesdatenschutzbeauftragte maximal den Brief durchlesen.

Glücklicherweise gibt es da ja höhere Instanzen. Übrigens, sollte sich der TO dazu entschließen, gegen das Verfahren zu protestieren, sollte auf jeden Fall der Hinweis erfolgen, dass wir doch alle mittlerweile mit den Finanzämter Schlüssel ausgetauscht haben für Elster. Damit ist das Verfahren m. E. sowohl nach DSGVO als auch nach Verwaltungsrecht unzulässig, da ein weitaus besseres zur Verfügung steht. Aber ich bin kein Jurist, sondern nur Kontaktmann der IT für den DSB.

my 2 cents

Erik
Mitglied: erikro
erikro 12.10.2021 um 21:18:35 Uhr
Goto Top
Zitat von @em-pie:

Nochmal: Datenschutz ist per Definition der Schutz personenbezogener Daten. https://wirtschaftslexikon.gabler.de/definition/datenschutz-28043

Das war einmal. Der Link ist ein Kommentar zum BDSG. Das gilt aber nicht mehr. Wenn mein DSB recht hat, dann hat die DSGVO den Begriff erheblich erweitert. Aber auch schon nach dem BDSG galten Steuerdaten als schützenswert. Das galten sie sogar schon vor dem BDSG. Das Steuergeheimnis ist deutlich älter als die digitale Welt. Und damit ist das bestmögliche Verfahren anzuwenden. Das wäre Elster. Da 'ne Schnittstelle zu schaffen, dass man Dokumente als PDF übertragen kann, kann doch nicht so schwer sein. ;-) face-wink
Mitglied: erikro
erikro 12.10.2021 um 21:21:46 Uhr
Goto Top
Zitat von @LauneBaer:

Zitat von @StefanKittel:
Wenn die Behörden das nicht ernst nehmen, warum sollten es Personen und Firmen tun?

Weil sie es nicht besser können - leider.

Sie könnten schon. Sie wollen nicht. Also muss man sie mit Protest gegen solche dubiosen Verfahren dazu zwingen.
Mitglied: erikro
erikro 12.10.2021 um 21:34:53 Uhr
Goto Top
Moin,

Zitat von @StefanKittel:
Update: Die Webseite nutzt TLS 1.2 max und hat kein EV SSL Zertifikat
Stichwort meine Dorfbank macht das besser

Nee, macht sie nicht. Selbst wenn sie schon mit TLS 1.3 verschlüsselt, macht sie es nicht viel besser. Aber der Vergleich mit der Dorfbank ist dennoch nicht so verkehrt. Die Dorfbank bietet wahrscheinlich auch HBCI an. Das Verfahren wäre vergleichbar mit Elster. Dann ist es wirklich besser.

Und das mit den teuren Zertifikaten ist Humbug. Das kaufen Geschäftsführer. ITler nehmen die preiswerten. Bei Verschlüsselung kommt es nicht auf den hübschen Namen des Schlüssels an, sondern auf Schlüssellänge und Verfahren. ;-) face-wink

Liebe Grüße

Erik
Mitglied: mbehrens
mbehrens 12.10.2021 um 21:44:50 Uhr
Goto Top
Zitat von @StefanKittel:

Zitat von @em-pie:
Hab vergessen, dass du nicht (nur) juristische Personengruppen "bespasst". Da hast du dann natürlich recht - zumindest, was den Datenschutzaspekt betrifft.

Außerdem ist es eine Prinzipfrage.
Wenn die Behörden das nicht ernst nehmen, warum sollten es Personen und Firmen tun?

Wenn man sich Art. 83 Abs. 7 DSGVO/§ 43 Abs. 3 BDSG sich so anschaut ...
Mitglied: erikro
erikro 12.10.2021 um 21:55:28 Uhr
Goto Top
Zitat von @mbehrens:

Wenn die Behörden das nicht ernst nehmen, warum sollten es Personen und Firmen tun?
Wenn man sich Art. 83 Abs. 7 DSGVO/§ 43 Abs. 3 BDSG sich so anschaut ...

Art. 58 Abs. 2 i hebt das letztlich wieder auf. Dort wird das als Abhilfemaßnahme genannt, wenn andere nicht greifen. Evtl. kann die Aufsichtsbehörde kein Bußgeld wegen des Verstoßes verhängen, wohl aber, wenn keine Abhilfe geleistet, der Zustand also verändert wird.
Mitglied: MysticFoxDE
MysticFoxDE 13.10.2021 um 07:49:55 Uhr
Goto Top
😮 Datenschutz und Behörden und von denen ausgerechnet das Finazamt ... 😂🤣😂🤣 ... der ist echt Gut.

Muss nur aufpassen, dass mein für eine Behörde arbeitender Hausdrachen nichts von dieser Lästerei mitbekommt,
sonst gibt die nächsten Tage wahrscheinlich nur was kaltes zum Essen. 🤪
Mitglied: em-pie
em-pie 13.10.2021 um 17:28:02 Uhr
Goto Top
*gnarf*
ihr habt ja Recht mit den Steuerdaten und dem Datenschutz :-) face-smile

Bei einem Punkt bleibe ich aber "beharrlich" (ein bisschen Recht möchte ich auch behalten, wenn schon nicht zuhause :-D face-big-smile):
Ganz so würde ich das nicht sehen. Es gibt ja Betriebsgeheimnisse die auch nicht personenbezogene Daten sind. >> Z.b. woher die Kantine die extrem wohlschmeckenden Fischstäbchen bezieht bzw. ansich die Information mit welchen Firmen zusammengearbeitet wird. Da gibt es teilweise NDAs und halbstaatliche Firmen die sowas kontrollieren; bei uns jedenfalls.

Das hat aber nichts mit Datenschutz sondern der Informationssicherheit zu tun.
Nochmal: Datenschutz ist per Definition der Schutz personenbezogener Daten.

Das ist ja ein Beispiel, in dem es nicht um personenbezogene Daten geht -> Informationssicherheit
Wenngleich der DS und IS(icherheit) wie schon festgestellt, Schnittmengen haben, eigentlich der DS sogar eine Teilmenge der IS ist, da erstere ohnehin Informationen darstellen.

Aber B2T:
tatsächlich ist das vorgehen Fragwürdig.
@StefanKittel
Leg denen noch eine mit einem Passwort-geschützte Zip-File dort ab. Das Passwort ist dann der Name des 28. Mondkraters, welcher bei eintretendem Vollmond im Sternzeichen Jupiter zu sehen ist :-D face-big-smile
Mitglied: erikro
erikro 13.10.2021 um 20:36:20 Uhr
Goto Top
Zitat von @em-pie:
Leg denen noch eine mit einem Passwort-geschützte Zip-File dort ab. Das Passwort ist dann der Name des 28. Mondkraters, welcher bei eintretendem Vollmond im Sternzeichen Jupiter zu sehen ist :-D face-big-smile

Aus Datenschutzgründen würde ich einen Krater von der Rückseite empfehlen. :-D face-big-smile
Mitglied: kingtope
kingtope 13.10.2021 um 23:14:28 Uhr
Goto Top
Hi,

wieso musst du diese Daten irgendwo hochladen?
Ich hatte auch eine Betriebsprüfung, welche vor einem Jahr abgeschlossen wurde, nach anderthalb Jahren des "Prüfens".

Ich musste diese Daten nirgendwo hochladen. Die wollten von mir die Rechnungsdaten in GoBD-konformer Form haben. Haben Sie auf einem Stick bekommen.
Alle anderen Daten haben die ziemlich oldschool in Papierform bekommen und immer wieder die selben Sachen angefragt.

Vielleicht gibt es bei dir auch eine Möglichkeit diese Daten nicht irgendwo hochzuladen sondern auf einem Datenträger zugänglich zu machen. Was die am Ende mit deinen Daten machen, kannst du eh nicht kontrollieren.

Vielleicht kannst du ja nach einer "alternativen Methode zur Übermittlung der Daten" fragen, da du rechtliche Bedenken bei dem angefragten Verfahren hast. Du bist ja gewillt eine gute Lösung herbeizuführen. ;)

VG
Alex
Mitglied: MysticFoxDE
MysticFoxDE 14.10.2021 aktualisiert um 07:16:43 Uhr
Goto Top
Moin Stefan,

Darin war dieser Textteil:
Mit diesem Link können Sie die (Gewinnermittlungs-)Daten in FinDrive-NI hochladen:

https://findrive-ni.de/#/public/shares-uploads/gYnnxxxxxxxxxxxxxxxx

ich soll dir von meinem steuerprüfenden Hausdrachen einen Gruss und das folgende ausrichten.

"Du sollst froh sein, das dein FA solch moderne Dinge anbietet." 😉

In dem FA wo sie arbeitet geht sowas nur per Brief oder Fax oder höchstens per Mail.
Das letztere Mittel wird von vielen Kollegen aber noch zu ungern genutzt. 🙃

Beste Grüsse aus BaWü

Alex
Mitglied: StefanKittel
StefanKittel 14.10.2021 um 08:37:19 Uhr
Goto Top
Zitat von @MysticFoxDE:
Moin Stefan,
ich soll dir von meinem steuerprüfenden Hausdrachen einen Gruss und das folgende ausrichten.
"Du sollst froh sein, das dein FA solch moderne Dinge anbietet." 😉

In dem FA wo sie arbeitet geht sowas nur per Brief oder Fax oder höchstens per Mail.
Das letztere Mittel wird von vielen Kollegen aber noch zu ungern genutzt. 🙃

Hallo Alex,
Ich bin wegen FIN-Drive nicht unglücklich. Es macht dem FA und mir die Prüfung einfacher.
Ich findes es nur "schade", dass man ein gutes Sicherheitskonzept so unnötig torpediert.

Ein Brief mit einem Initial-Kennwort was man ändern muss und für die Anmeldung TOTP wären technisch sehr einfach umzusetzen.

Stefan
Heiß diskutierte Beiträge
question
Suche guten Virenscanner für Windows Server 2019 bzw Exchange 2019Nummer-5Vor 1 TagFrageExchange Server16 Kommentare

Hallo, ich habe leider das Problem, das von unserem Exchange Server 2019 Spam Mails versendet werden. Ich habe jetzt den Relais-Server erst einmal stillgelegt, es ...

question
Firewall Hardware (VM)v4rrimka-sanVor 1 TagFrageNetzwerkmanagement10 Kommentare

Hey, Ich habe eine Frage, die wahrscheinlich schon öfter gestellt wurde, zum Thema Hardware Anforderung für eine Firewall in einer VM. Zur Auswahl stehen OPNsense ...

question
Mail-Relay für interne AnwendungenredhorseVor 1 TagFrageExchange Server10 Kommentare

Hallo, wir verwenden einen Exchange 2016 mit einer Sophos UTM als Smarthost. Der Exchange wird u.a. als SMTP-Relay von internen Anwendungen benutzt, für den anonymen ...

question
Teamviewer stürzt ab unter Win 11ben1300Vor 1 TagFrageWindows 118 Kommentare

Hallo zusammen, habe mein Notebook auf Windows 11 umgestellt. Seitdem kann ich den Teamviewer (aktuellste Version) nicht mehr nutzen. Programm startet, aber sobald ich z.B. ...

question
Speicherkarten (SD) im Netzwerk verfügbar machen (NAS) gelöst mathuVor 1 TagFrageSpeicherkarten7 Kommentare

Guten Morgen liebe Gemeinde :-) Ich habe eine Frage zu NAS Speichersystemen mit Speicherkartenkunktion. Bisher haben wir die folgenden Geräte von Synology (EDS14) genutzt. Diese ...

question
Intune Geräte DESKTOP vs. LAPTOPmarkaurelVor 1 TagFrageMicrosoft2 Kommentare

Hallo zusammen und bitte um eure Hilfe! Ich hab zwei Geräte: 1x Dell Inspiron 5301 1x Lenovo 20VD Beide Geräte eindeutig Kategorie Laptop/Notebook. Wenn ich ...

question
Datenreplikation unabhängige Domänensupport-itVor 1 TagFrageWindows Server8 Kommentare

Hallo zusammen, kann mir jemand ein Programm empfehlen, das sich so ähnlich verhält wie die DFS-Replikation von Windows, blos zwischen verschiedenen Domänen? Ich habe die ...

question
Linux End-to-Site VPN mit Sophos SGukulele-7Vor 1 TagFrageLinux Netzwerk12 Kommentare

Hallo und Hilfe. Ich habe eine Sophos SG, die unterstützt laut Menü "Remote Access" SSL PPTP L2TP over IPsec IPsec Cisco™ VPN Client Dabei ist ...