Kivitendo Rechnungsversand DSGVO

Question

Hallo !

Wie schaut es bzgl. Kivitendo mit dem Rechnungsversand nach DSGVO aus? Die E-Mails werden ja ohne Ende zu Ende Verschlüsselung versendet, somit teils sensible personenbezogene Daten ungesichert übertragen?

Gibt es da schon Lösungen oder sollte man per Kivitendo besser keine Rechnungen mehr versenden? Gleiches gilt natürlich auch für Aufträge, Bestätigungen, (gerade) Mahnungen, etc.

Vielen Dank.

Tobias

Answer 1

Hallo Tobias,

dieses Thema gibt es nicht erst seid der DSGVO. Die gab es schon mit dem alten BDSG. Also hättest du schon vor zweieinhalb Jahren damit beginnen müssen.
Aufgrund der höhereren Strafen und den Geltungsbereich für die ganze Welt sind alle aufgewacht.

Also ist Deine Frage nicht Kivitendo Bezogen, sonder allgemein zu halten.

Wenn du Personenbezogene Daten per E-Mails versendest,l gilt dann für dich, E-Mails zu verschlüsseln, da diese generell im Klartext versendet und somit von jedem gelesen/geändert werden können.Jedoch ist das nichts neues und schon seit den 80er so.
Vereinbare mit Deinen Kunden eine individuelle Verschlüsselung, damit du die Personenbezogenen Daten vor Versand verschlüsseln kannst.

Mal so eine Frage: Welche Personenbezogenen Daten sind denn in einer Rechnung?
Und DSGVO regelt die Verarbeitung der Personenbezogenen Daten. Das schließt Kivitendo aus, da die Daten für eine Rechnungsstellung erforderlich sind und somit nicht darunter fallen. Interne Auswertungen fallen auch nicht darunter. Nur wenn Du die Daten weiter gibst oder sie liegen auf einem fremden Server, dann musst du dich mit der DSGVO auseinander setzen.

Gruß
Nick

Comments

Hi Ihr zwei,
sinnvolle Ideen.
Ich selber denke, dass eine Server zu Server authentifzierte Verschlüsselung ausreichend ist.

Auf dem letzten kivi-Treffen, hab ich hierzu einen Vortrag gehalten, den ich auch nächsten Monat nochmal auf der FrOSCon halte.

Meine Meinung muss ja nicht die Beste sein, deswegen hier die Ressource der ich 100%ig zustimme:

DKIM, SPF, DANE

Mit kivi hat das wenig zu tun, ich hab ein paar erweiterte Fälle skizziert, ggf. ist noch dieser aktuelle Blog-Eintrag von Interesse.

---

Hallo Jan,

danke für die Info. Ich wollte mich auch in nächster Zeit mit dem Thema tiefer auseinander setzen. Passt genau.

Gruß
Nick

---

Zitat
"Und DSGVO regelt die Verarbeitung der Personenbezogenen Daten. Das schließt Kivitendo aus, da die Daten für eine Rechnungsstellung erforderlich sind und somit nicht darunter fallen.Nur wenn Du die Daten weiter gibst oder sie liegen auf einem fremden Server, dann musst du dich mit der DSGVO auseinander setzen"

Woher kommt diese Erkenntnis? Schon mal mit einem Datenschutzbeauftragten darüber diskutiert?

Mit der DSGVO und dem BDSG 2018 darf sich jeder auseinander setzten, der personenbezogene Daten erfasst. Darunter fallen Kunden-, Lieferanten-, Mitarbeiterdaten oder in Vereinen auch Mitgliederdaten. Bei einer Betriebsgröße bis 9 Mitarbeiter, welche mit diesen Daten umgehen, braucht es hierfür keinen Datenschutzbeauftragten. Ab 10 Mitarbeiter gibt es hierfür sogar eine gesetzliche Verpflichtung und !

Hier leichtfertig eine Aussage zu treffen sehe ich als sehr bedenklich.

Gruß Auge

---

Um hier noch auf den Ausgangspost zu kommen.

Zitat aus einem Fachforum
"Eine Email sollte immer, egal ob mit ohne ohne Anhang, verschlüsselt werden. Verschlüsselung über SSL/TLS bietet eigentlich jeder Hoster an. Damit wäre zumindest der Weg von Dir über Deinen Mailserver bis hin zum Mailserver des Kunden nach "Stand der Technik" geschützt. Ob der Kunde dann seine Mails ebenfalls über SSL/TLS abruft, sollte nicht mehr in Deiner Verantwortung liegen. Endadresse Deines elektronischen Briefes ist die "elektronische Postanschrift", sprich die Postfachnummer. Für die Abholung vom Postfach ist der Postfachinhaber verantwortlich. "

Demnach sollte bei richtiger Konfiguration dem Rechnungsversand per Mail nichts entgegen stehen.

Gruß Auge

---

Hallo Auge,

sorry für den Delay. Also wann benötige ich einen Datenschutzbeauftragten? Nur wenn ich Kundendaten verarbeite und eine Personelle Stärke überschreite.
Nun eine Grundsatzdefinition zur DSGVO:
Die DSGVO ist eine Verbotsnorm. Das heißt: Die Datenverarbeitung (insbesondere im Zusammenhang mit Drittländern wie den USA) ist grundsätzlich verboten, außer es liegt eine Ausnahme vor. Die Ausnahmen stehen übrigens in Artikel 6 der DSGVO, falls Du selber nachlesen möchtest.

Eine Ausnahme liegt dann vor

1. Die Verarbeitung ist für die Erfüllung eines Vertrags mit der betroffenen Person notwendig oder für vorvertragliche Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen. Soll heißen: Wenn Du Kunden hast, brauchst Du bestimmte Daten, um z.B. eine Rechnung zu stellen oder schon vorab für die Angebotslegung, wenn ein Interessent nachfragt.
2. Die Verarbeitung ist für die Erfüllung einer rechtlichen Verpflichtung notwendig, der Du als Verantwortlicher unterliegst. Wenn also zum Beispiel ein Ex-Kunde von Dir Dich bittet, seine Daten zu löschen, kannst Du alle Arbeitsdaten wegwerfen, NUR NICHT beispielsweise die Buchhaltung, denn die musst Du 7 Jahre lang aufbewahren. Erst nach Ablauf von gesetzlichen Fristen kannst Du dann den Rest auch entsorgen. Informiere Dich über die gesetzlichen Aufbewahrungsfristen, da gibt es noch einige mehr, wenn es zum Beispiel um Schadensersatzfälle, etc. geht.

Sobald du die Daten nur in Kivitendo zur Buchhaltung nutzt, brauchst du keinerlei Vorbereitung zur Erfüllung der DSGVO. Auch zum Steuerberater nbicht, da er schon nach $203 StGB dazu verpflichtet ist (Geheimniswahrer).
Sollten die Daten auf einem Fremdserver liegen, dann musst du dich mit der DSGVO auseinander setzen. Dann benötigts du einen Auftragsverarbeitungsvertrag mit dem Hoster, in dem genau festgaehalten wird, wie der Hoster die Daten verarbeitet. Denn das macht der Hoster auf jedem Fall, da schon die Speicherung der Daten darunter fällt.
Ist damit die Frage geklärt?
Gruß
Nick

---

Normalerweise ist das hier die falsche Plattform für diese Diskussion. Ich kann aber o.g. Aussage nicht unkommentiert so hier stehen lassen.

Wer sich mal intensiver mit der DSGVO bzw. BDSG neu beschäftigt hat, dem wir schnell klar, dass man sich deren nicht entziehen kann. Unabhängig davon, ob per Gesetz ein Datenschutzbeauftragter notwendig ist oder nicht.

Dies zeigt schon mal Artikel 2 Abs. 1 DSGVO in Verbindung § 1 BDSG neu

Artikel 6 Abs 1(b) regelt lediglich die rechtmäßigkeit der Verarbeitung, so daß hier keine explizite Einwilligung der betroffenen Person erforderlich ist. Aber es befreit nicht von der DSGVO bzw. BDSG neu.

Da hier personenbezogene Daten in Kivitendo gespeichert, ver- und bearbeitet werden, ist Kivitendo auch ein Teil der TOM's (technisch - organisatorische Maßnahmen) im Sinne Artikel 24 und 25 DSGVO.

Ich könnte das Thema hier noch wesentlich intensiver erläutern. Aber wie oben schon erwähnt ist das hierfür die falsche Plattform.

Schönen Gruß und gute Geschäfte

Auge