Mittwoch, 28. Januar 2015

34 Jahre Datenschutz und keiner hält sich dran

Bereits am 28. Januar 1981 wurde die Europäische Datenschutzkonvention unterzeichnet. 1990 wurde das Bundesdatenschutzgesetz verkündet. Auch das ist jetzt fast 25 Jahre her.

Doch nach wie vor sind an jeder Ecke Missstände zu finden. Im Kleinen als auch im Großen. Dabei geht es beim Thema Datenschutz um Menschenrechte. Unser Datenschutzgesetz spiegelt unser Grundgesetz wieder.

Datenschützer kämpfen in der Politik gegen Vorratsdatenspeicherung, Überwachung im öffentlichen Nachverkehr, die elektronische Gesundheitskarte, die Datensammelwut für die KFZ-Maut, das neue Umsatzsteuergesetz, ALG I/II und vieles mehr. Die Liste ist lang und wird trauriger Weise jedes Jahr länger.

Aber wie sieht es vor unserer eigenen Haustür aus? Wie weit ist die Bevölkerung, wie weit sind unsere Nachbarn datenschutzsensibilisiert?

Auch nach 25 Jahren gibt es hier noch sehr viele Baustellen. Da bleiben im Krankenhaus achtlos Patientenakten offen liegen, da werden Fälle auf den Fluren des Jobcenters für alle hörbar diskutiert, Arbeitnehmer durch unterschiedlich fiese Methoden überwacht und auch in den Schulen wird mit den Daten der Kinder und Eltern häufig alles andere als vertraulich umgegangen.

Missstände, wo man auch hinschaut.

Es scheint sich kaum jemand für Datenschutz zu interessieren. Mitarbeiter vieler Firmen sind nur schlecht bis gar nicht für das Thema Datenschutz sensibilisiert worden. Lediglich weil das Gesetz es vorschreibt und die Strafen sehr hoch sind, haben viele Firma zwar einen Datenschutzbeauftragten bestellt, aber für eine jährliche Schulung und Auffrischung der Mitarbeiter bleibt weder Zeit noch Geld.

Es gibt mittlerweile Gerichtsurteile, in denen eine jährliche Auffrischung der Datenschutzsensibilisierung für notwendig erachtet wird. Dennoch vernachlässigen viele Firmen, Ämter, öffentliche Einrichtungen und Organisationen die Datenschutzbelehrungen ihrer Mitarbeiter und ehrenamtlicher Helfer.

"Das haben wir schon immer so gemacht! Das brauchen wir nicht ändern!" oder auch "Unsere Mitarbeiter wissen auch ohne qualifizierte Schulung, wie sie mit den Daten unsere Mitarbeiter, Kunden, Mandanten, Patienten usw. umgehen sollen."

In einem Vortrag für Führungskräfte von Judith Andresen zu Erfolgreichen Retrospektiven (http://www.judithandresen.com) lernte ich, dass diese Sätze Glückshormone auslösen. Sie geben der Geschäftsführung das Gefühl, dass alles gut sei und sich nichts ändern müsste. Diese Sätze lassen einen Geschäftsführer gemütlich und entspannt in seinen Sessel fallen.

Aber Fortschritt heisst Änderung. Fortschritt heisst "Arsch hoch! Auf zu weiteren Ufern!"

Im Fall der fehlenden Datenschutzsensibilisierung der Mitarbeiter kann es sehr schnell sehr teuer werden und zwar sowohl für die Firma als auch für die Mitarbeiter. Die Bußgelder sind hoch (bis zu 350 Tausend Euro und in Einzelfällen noch höher). Daneben kann es bei Datenschutzverstößen Freiheitsstrafen von 2 Jahren geben.

Trotzdem scheinen viele Firmen und Organisationen darauf zu pokern, nicht auf dem Radar der Aufsichtsbehörde zu erscheinen.

Fies sind auch die angeblichen Umfragen zur Kundenzufriedenheit. Diese netten Telefonanrufen oder Inernetformulare, in denen es darum geht, dass die Kunden bewerten sollen, wie zufrieden sie mit der Arbeit der Mitarbeiter waren.

Das ist Mitarbeiterüberwachung!

Mitarbeiter, Betriebs- und Personalräte sollten sich dagegen wehren. Ich kann hier nur jedem Kunden raten, an solchen Umfragen nicht teilzunehmen und sich das Verfahrenverzeichnis zur der Umfrage zeigen lassen. Für diese Art von Umfragen muss es ein Verfahrenverzeichnis  nach §4e BDSG geben, dass auf Antrag jedermann in geeigneter Weise zur Verfügung gestellt wird.

Abgesehen davon, dass häufig noch weiter Datenschutzverstöße begangen werden, weil diese Art der Umfragen von Fremdfirmen durchgeführt werden, und die Firmen hierfür die Kundendaten ohne explizites Einverständnis der Kunden an die Umfragefirmen weitergegeben haben.

Wie kann ich mich als Mitarbeiter, Kunde, Patient, Mandant usw. wehren?

Es gibt zwei Möglichkeiten:

Die nette Methode ist, den Datenschutzbeauftragten (DSB) der Unternehmen ausfindig machen und diesen von den Missständen in Kenntnis setzen. Der DSB hat seine Informanden zu schützen. Er darf in keinem Fall preisgeben, wer ihn über die Missstände informiert hat. Egal was der Chef sagt, an den Datenschutzbeauftragten darf sich jeder Mitarbeiter direkt wenden.

Die zweite Möglichkeit ist, die Aufsichtsbehörde zu informieren. Auch die Aufsichtsbehörden haben ihre Informanden zu schützen und dürfen sie nicht preisgeben. Jedes Bundesland hat eine Aufsichtsbehörde. Die Kontaktdaten sind hier zu finden:

http://www.bfdi.bund.de/bfdi_wiki/index.php/Aufsichtsbehörden_und_Landesdatenschutzbeauftragte

Hier ist falsche Scheu fehl am Platz. Wenn es Missstände gibt, sollten sie gemeldet werden. Die Behörde kann nur dann gegen die Missstände vorgehen und ggf. Bußgelder verhängen, wenn sie von den Missständen weiss. Die Behörde ist auf die Meldung von Missständen angewiesen.

Mein Appell an alle zum Europäischen Datenschutztag:

Datenschutzsensibilisierung sollte schon im Kindergarten anfangen. Schulen sollten ihre Schüler regelmäßig sensibilisieren und ihnen das Thema Datenschutz, Schutz der Privatsphäre und Datensicherheit näher bringen. Es sollten auch Kurse für Eltern angeboten werden, damit diese ihren Kinder ein gutes Vorbild sein können.









Samstag, 3. Januar 2015

Nonsense of European VAT Law

The EU got the idea that shops who offer electronic B2C services like book, music and video downloads or domain and web hosting to B2C shall pay VAT in that European Country where the electronic product is used.

So when I download a book for reading at the Italian beach I should pay VAT for Italy, when I want to listen to downloaded music in Finnish sauna I should pay VAT for Finland and when I want to look a downloaded video in my German flat I should pay VAT for Germany.

But of course it is not such easy .... there are regions in Europe with other VAT rules then their country like airport transit regions. Island like Greenland (Denmark), Faroe Islands (Denmark),  Helgoland (Germany), Aland Islands (Finland), Guadeloupe, Martinique, Antilles and so on.

The official reason is that they dislike that bigger companies like Amazon and ITunes only pay taxes to Luxemburg. The EU told that they expect Millions of Euro VAT from these companies.

For small companies the new law is a mess. The costs for changing the shop system and setting up VAT system for each European countries are way to high. Lots of small shops and hosters already quit the contracts with their foreign EU B2C customers. That is crazy, some of them still offer services for Switzerland, USA, Japan and other countries but not for EU.

So we now have shops and hosting companies offering national and outside EU international services.

The new law already damaged smaller companies.

But what does this new law means for the big companies?

They are now allowed to collect lots of data from B2C customers that are under privacy law protection. The EU legalised the collection of privacy data like home address, IP address, geographical location via GPS, country code from phone number, credit card and bank location and so on.

When I want to rent a movie for 2.99 Euro I need to hand out lots of privacy data. Is that really what we want?

Anonymity is a human right.

When I go into a usual shop nobody ask me for my name or address.

The law says for figuring out the place of products the company has to figure out the home address or usual domicile.

When I buy something from an internet shop usually they ask for the delivery address.
That is ok, because they need to know this address.

This address not needs to be my home address. Lots of people use their work place as delivery address. The name on the delivery address needs to be the name from the person to whom I want to deliver what I bought.

If I want an invoice or if an invoice is need for guarantee or something else the store ask me for a billing address. This also not mandatory has to be my home address.

Privacy protection laws say that the use of personal data is earmarked.

The is allowed to use the delivery address only for delivery and the billing address only for invoice.

They aren't allowed to use address and name for another purpose.

Additionally privacy protection laws say that personal data have to be ask from the person concerned.

So when I want to download a book or music they have to ask me for the address of my home or usual domicile. Only for the address not for my name.

It is up to the customer to tell the truth here. There are just living 1200 persons on Helgoland Island. Helgoland is tax free. When 10000 customer tell that they are living on Helgoland who will proof it?

It is up to the shops to proof it. But not even the registration of address office can tell which customer lie here because the shop wasn't allowed to ask for the name.

VAT law says that for proofing the shop shall collect IP address, geographical location, phone number country code, data from credit card or bank account and so on.

Let's says I use TOR, or I use free wireless network like Freifunk (the IP Address will point to Sweden).

Privacy laws say that the shop isn't allowed to figure out the IP-Address by automatism here. They have to ask the customer.

What is your IP-Address? Mine is 127.0.0.1

Phone number country code is hard to get by automatism when your PC is in cellar of your home. Also who just has one SIM card? When you travel a lot, of course you have SIM for countries you are travelling more often.

Which SIM should I use for download? UK, Netherland, Switzerland, USA, Germany, Belgium?

As I told before it is not so hard to ask the customer here. So there is reason why the shop should be allowed to figure this out by automatism. Privacy laws only allow to figure out personal data by automatism when it would be to hard to ask the person concerned.

The shop needs to ask the customer here. But just for the country code. Privacy law forbids to ask for full phone number because there isn't a law allowing them to ask for the phone number for this purpose. Without calling the number, the shop can't figure out if the number / the country code is right.

Geographical location also is hard. By automatism when my computer is in the cellar?

I like Helgoland and I use to go there as often as I can. Of course for saving VAT I would buy all my stuff when I am there.

It is in the hands of the customers where the shop will pay VAT.

Anonymity is a human right. There is no law that says that the customer needs to tell the truth here.

Additionally nobody is able to control the shops. Even when the customer told the truth the shop can manipulate the data and tell that they sold less to the single countries.

Nobody knows how much copies of the book, music or video exist. How will the tax offices figure out that the shop sold more then 10000 copies to Germany and just 5000 to Italy?

The shop easily is able to book most incoming to USA or Switzerland or whatever else country.

Fazit:
The new VAT law is nonsense. The only reason for the law is to legalise collecting more personal data. It is up to the courts know to decide if VAT or the human rights of anonymity weighs more.












Datenschutzfalle Umsatzsteuergesetz - in der Praxis

Da ich bei Amazon keinen Link zum Kundenservice gefunden habe, habe ich meine Frage in deren Forum gestellt. Da wir uns tatsächlich häufig auf Helgoland befinden, fragte ich nach, was ein Helgoländer machen muss, um die zuviel gezahlte Mehrwertsteuer erstattet zu bekommen.

Wenige Stunden später bekam ich eine sehr brauchbare Antwort:
http://www.amazon.de/gp/help/customer/display.html/ref=hp_left_v4_sib?ie=UTF8&nodeId=201248750


Natürlich freute mich, dass sich Amazon hier wirklich schon Gedanken gemacht hat. Aber, wie in Foren üblich, war die Diskussion damit ja noch nicht zu Ende.

Die Diskussion schweifte dahingehend ab, dass Anonymität ein Menschenrecht ist, dass mit dem neuen Umsatzsteuergesetz ausgehobelt wird.

Ich bin erschrocken, wie viele Menschen das nicht sehen und es völlig ok finden, alle Angaben wahrheitsgemäß anzugeben.

Ich möchte hier übrigens nicht gegen Amazon bashen. Nicht nur die kleinen Unternehmen sind hier Opfer des Gesetzes, sondern trifft es auch Amazon, Itunes und so weiter, da sie hier in der Nachweispflicht sind.

Das Bundesdatenschutzgesetz (BDGS) sagt, personenbezogenen Daten dürfen nur zweckgebunden erhoben und zu keinem anderen Zweck verwendet werden.

Amazon darf natürlich, wenn sie etwas liefern möchte, vom Kunden die Lieferadresse erheben darf. Hier ist der Zweck die Auslieferung der einen Bestellung. Diese Lieferadresse muss Amazon laut BDSG nach Auslieferung der Ware sperren und nach Ablauf der Aufbewahrungsfrist löschen.

Bei jeder Bestellung muss die Lieferadresse neu vom Kunden erhoben werden.

Amazon fragt ja auch bei jeder Bestellung die Lieferadresse neu an.

Würde der Kunde zum Amazon-Lager fahren und die Ware abholen, wäre keine Lieferadresse erforderlich und sie dürfte daher auch nicht erhoben werden.

Die Lieferadresse ist ja auch nicht die Adresse des Wohnsitz des Kunden, sondern die Adresse, wo das Paket abgegeben werden soll. Das kann die Firma oder der Urlaubsort oder sonst wo sein. Es kann ja auch das Geburtstagsgeschenk eines Freundes sein, das direkt zum Freund geliefert wird.

Privatkunden brauchen nicht unbedingt eine Rechnung. Wünscht der Kunde eine Rechnung oder ist die Erstellung einer Rechnung, zum Beispiel aus Garantiegründen, sinnvoll, so darf Amazon natürlich die Rechnungsanschrift beim Kunden anfragen. Aber auch hier gilt, die Adresse muss nach Vertragsabschluss gesperrt und nach Ende der Aufbewahrungsfrist gelöscht werden.

Bei jeder Bestellung muss die Rechnungsadresse neu vom Kunden erhoben werden. Auch hier fragt Amazon tatsächlich bei jeder Bestellung erneut nach.

Die Rechnungsadresse muss aber auch nicht zwingend die Wohnadresse des Kunden sein. Vielleicht bezahlt die bestellte Ware ja jemand Drittes.

So oder so darf Amazon weder die abgefragte Lieferadresse, noch die Rechnungsadresse zur Ermittlung der Umsatzsteuer zur Hilfe nehmen. Denn das wäre eine Zweckentfremdung der Daten.

Amazon muss hier seit dem 1.1.2015 eigentlich bei dem Verkauf von elektronischen Büchern, Musik- und Video-Downloads, den Kunden nach dem Leistungs- bzw. Bestimmungsort für die Ware fragen. 

Da das Gesetz sagt, der Leistungsort ist in der Regel der Wohnsitz oder gewöhnlichen Aufenthaltsort des Kunden, müsste Amazon jetzt jedes Mal, wenn ein Kunde ein elektronisches Buch, Musik oder Video kauft oder leiht, nach diesen Daten fragen.

Das Gesetz schreibt allerdings nicht vor, dass der amtliche Name erhoben werden darf. Auch schreibt das Umsatzsteuergesetz nicht vor, dass Amazon ein Recht auf Überprüfung der Adresse hat.

Der amtliche Name darf natürlich nicht aus den Rechnungs- oder Lieferdaten anderer Bestellungen ermittelt werden, da das ja eine Zweckentfremdung der Daten ist.

Was bedeutet eigentlich Download? 
Download heisst, Amazon liefert nichts aus, sondern der Kunde holt sich die Daten von Amazon. 
Das ist wie, als wenn ich ins Amazon-Lager fahren würde, um meine gekaufte Ware abzuholen.

Für diesen Zweck brauchen eigentlich gar keine personenbezogenen Daten erhoben werden.

Anonymität ist ein Menschenrecht. 

Aber das Umsatzsteuergesetz will ja, dass die Daten erhoben werden.

Niemand schreibt dem Kunden vor, dass er wahrheitsgemäß antworten muss. 

Heisst, wie viel Steuer der Kunde an Amazon bezahlt und in welchem Land Amazon die Steuern abführt, liegt in der Hand des Kunden.

Wenn 10000 Kunden angeben, sie wohnen auf Helgoland, obwohl Helgoland nur etwas mehr als 1000 Einwohner hat, und sich die Mehrwertsteuer von Amazon wieder geben lassen, kann niemand kontrollieren, welcher Kunde hier seine wahre Identität nicht Preis geben wollte.

Es ist erschreckend, wie viele Menschen das nicht sehen wollen und der Meinung sind, Datenschutz und das Menschenrecht auf Anonymität würde hier nicht greifen.

Das Gesetz sagt weiter, Amazon darf Dinge erheben, wie die IP-Adresse, den geographischen Standort, die Ländervorwahl der Telefonnummer.

Das Datenschutzgesetz sagt, die Daten müssen beim Betroffenen erhoben werden. Das heisst, Amazon muss nach meiner IP und meiner Ländervorwahl fragen.

Meine IP ist 127.0.0.1 oder?

Die Ländervorwahl meiner Telefonnummer?  Ich habe auch eine Schweizer SIM und eine aus den USA.

Mein geographischer Standort. Wer will mir nachweisen, dass ich mich nicht dort befinde Natürlich befinde, wo mich das Produkt am wenigsten Geld kostet -> Helgoland.

Amazon darf die Daten nicht automatisch ermitteln. Das verbietet das Bundesdatenschutzgesetz (BDSG). Aber selbst wenn sie es machen ...

Da ich Freifunk nutze, zeigt die IP nach Schweden.
Wenn ich daneben noch TOR nutze sieht es noch anders.

Der PC im Keller hat keine Telefonnummer und Koordinaten sind auch eher schwer zu ermitteln.

Da ich tatsächlich viel auf Helgoland bin, verbietet mir in dem Fall auch keiner, sämtlich elektronische Bücher, Musik und Videos während meines Helgoland-Aufenthaltes zu kaufen, damit Amazon hier diesen Standort per GPS ermitteln kann.

Aber wie gesagt, die Daten vom Betroffen selbst zu erheben ist kein unverhältnismäßig höherer Aufwand, als sie automatisch ermitteln zu lassen und daher gilt $4 (2) BDSG, die Daten sind beim Betroffenen zu erheben.

Ach ja, dann wären da noch die Bankdaten bzw. die Kreditkartendaten. Die hier für den Bezahlvorgang erhobenen Daten dürfen auch nicht Zweckentfremdet werden.

Wurde die Ware bezahlt, sind diese Daten unverzüglich zu löschen bzw. bis zum Ablauf der Aufbewahrungsfrist zu sperren.

Lässt sich anhand meiner Kreditkartennummer wirklich feststellen, wo ich wohne? 
Oder anhand meiner IBAN?

Es lässt sich feststellen, dass es eine deutsche Karte bzw. die Bank in Deutschland sitzt. Das sagt aber rein gar nichts darüber aus, ob ich auf Helgoland oder auf dem Festland wohne.

Wird die Bezahlung über PayPal abgefertigt, verbietet das BDSG PayPal die Weiterleitung der Daten an Amazon. Denn ich habe PayPal ja nie erlaubt, diese Informationen weiter zu geben. 

Daneben muss das Konto bzw. die Kreditkarte ja nicht mir gehören. Ich kann auch mit einer ausländischen Karte bezahlen. Da ich viel Reise, habe ich nicht nur SIM-Karten aus verschiedene Ländern, sondern ggf. auch Kreditkarten.

Den Leistungs- bzw. Bestimmungsort anhand der Kreditkarte zu ermitteln, halte ich für schwierig.

Was wiegt jetzt eigentlich höher?
Das Umsatzsteuergesetz oder
das Bundesdatenschutzgesetz, Grundgesetz, Menschenrechte?

Solange das kein Gericht entschieden hat, bleibt es dabei, dass der Kunde entscheidet, in welchem Land und wie viel Steuern gezahlt werden. Die Firmen sind hier den Kunden ausgeliefert, die sich auf ihr Recht auf Anonymität berufen dürfen.