Unternehmen müssen den Inhalt der Bilanz und der Gewinn- und Verlustrechnung grundsätzlich nach amtlich vorgeschriebenem Datensatz durch Datenfernübertragung übermitteln. Das Bundesfinanzministerium hat nun das aktualisierte Datenschema der Taxonomien (Version 6.2) als amtlich vorgeschriebenen Datensatz veröffentlicht. Die aktualisierten Taxonomien stehen unter www.esteuer.de zur Ansicht und zum Abruf bereit.

Die neuen Taxonomien sind grundsätzlich für die Bilanzen der Wirtschaftsjahre zu verwenden, die nach dem 31.12.2018 beginnen (Wirtschaftsjahr 2019 oder 2019/2020). Es wird allerdings nicht beanstandet, wenn diese auch für das Wirtschaftsjahr 2018 oder 2018/2019 verwendet werden.

Die Übermittlungsmöglichkeit mit diesen neuen Taxonomien wird für Testfälle voraussichtlich ab November 2018 gegeben sein; für Echtfälle ab Mai 2019. (BMF, Schreiben vom 6.6.2018, IV C 6 – S 2133-b/18/10001)

Ein Vereinsvorsitzender haftet nicht dadurch für eventuell entgangene Sponsorengelder oder für Spieler- und Trainerverträge, dass er sein Amt „zur Unzeit“ niedergelegt hat. Das Vorstandsamt verpflichtet nicht zur finanziellen Unterstützung des Vereins.

Das hat das Oberlandesgericht (OLG) Koblenz entschieden. Im konkreten Fall hatte ein Sponsor eine Zusage zurückgezogen. Der Fußballverein verklagte den Sponsor und den ehemaligen Vorsitzenden. Die Haftungsansprüche gegenüber dem Vorstand begründete er damit, dass er die Sponsoringleistungen anders hätte gestalten müssen, um den Hauptsponsor weiter zu binden. Die Finanzierung des Vereins war für die Zukunft fraglich, nachdem es über Jahre hinweg nicht gelungen war, andere Sponsorships in ähnlicher Größenordnung zu finden.

Während das OLG den Sponsor auf seine mündliche Zusage verpflichtete und zur Zahlung verurteilte, sah es beim Vorstand keine Haftungsgrundlage. Er hafte nicht aufgrund der abgeschlossenen Spieler- und Trainerverträge oder weil er sein Amt „zur Unzeit“ niedergelegt habe. Das Vorstandsamt verpflichtet nicht dazu, den Verein finanziell zu unterstützen. Auch war die Sponsorenzusage nicht an die Person des Vorstands gebunden. Auch wenn die geschlossenen Spielerverträge den Verein finanziell überfordert haben, greife immer noch die Haftungsprivilegierung des § 31a BGB. Danach haftet ein ehrenamtlicher Vorstand nur bei einer vorsätzlichen oder grob fahrlässigen Pflichtverletzung. Die aber war für das OLG nicht ersichtlich. (OLG Koblenz, Urteil vom 3.1.2018, 10 U 893/16)

Grundsätzlich besteht die Möglichkeit, eine Nachzahlungspflicht oder eine weitere Einzahlungspflicht der Gesellschafter durch Beschluss festzulegen.

Das gilt nach einer Entscheidung des Bundesgerichtshofs (BGH) auch, wenn daraus eine Änderung oder Ergänzung des Gesellschaftsvertrags folgt. Aber: Eine auf diese Weise begründete Zahlungspflicht ist jedoch lediglich für den Gesellschafter bindend, der dieser zugestimmt hat. (BGH, Beschluss vom 23.1.2018, II ZR 73/16)

„Kein Computer im Betrieb = keine DS-GVO“, „Die TOMs beziehen sich nur auf die Computer im Unternehmen“, „Ein SSL-Zertifikat sorgt lediglich für ein besseres Google-Ranking“. Die derzeit 10 populärsten DS-GVO-Irrtümer aus Unternehmen, Betrieben und Kanzleien im Fakten-Check.

1. Kein Computer im Betrieb = keine DS-GVO

Nein. Auch Betriebe, die „nur“ mit einem Kunden-Karteikasten – geordnet nach einem System, zum Beispiel Namen – arbeiten, sind von der DS-GVO betroffen. Insbesondere kleine Betriebe sowie Vereine sind hier häufig falsch informiert. Ausgenommen sind lediglich Daten für ausschließlich persönliche und familiäre Tätigkeiten.

2. Die TOMs beziehen sich nur auf die Computer

Nein. Für die Aufsichtsbehörden sind durchaus auch die Maßnahmen der Zutrittskontrolle in das Gebäude wichtig. Hierbei sind für die TOMs (technische und organisatorische Maßnahmen) unter anderem folgende Fragen interessant:

• Wer hat Zugang zum Bürohaus und auch zu den Büroräumen?

• Erfolgen die Schlüsselvergabe und das Schlüsselmanagement nach einem definierten Prozess, der sowohl zu Beginn eines Arbeitsverhältnisses als auch zum Ende eines Arbeitsverhältnisses die Erteilung bzw. den Entzug von Zutrittsberechtigungen für Räume regelt?

• Werden einem Beschäftigten Zutrittsberechtigungen erst erteilt, wenn dies durch den jeweiligen Vorgesetzten und/oder die Personalabteilung entsprechend angefordert wurde?

• Erhalten Besucher erst Zutritt zum Bürohaus und den Büroräumen, wenn ihnen durch den Empfang oder einem sonstigen Beschäftigten die Tür geöffnet wird?

• Kann der Empfang die Eingangstür einsehen und trägt Sorge dafür, dass jeder Besucher sich beim Empfang meldet?

• Dürfen sich Besucher ohne Begleitung in den Büroräumen frei bewegen?

• Sind die Eingänge und Fenster des Bürohauses und auch der Büroräume eventuell gesichert?

Die TOMs regeln dabei nicht nur den reinen IT-Bereich.

3. Ein SSL-Zertifikat sorgt für ein besseres Google-Ranking

Nicht nur, dieses ist lediglich ein weiterer Nebeneffekt. Das SSL-Zertifikat dient vornehmlich der Sicherheit bei der Übertragung von Daten. Webseiten, auf denen Kontaktformulare verwendet werden, müssen anerkannte Verschlüsselungsverfahren implementieren. Seit dem 1.1.16 gilt die Pflicht für eine SSL-Verbindung („https://“) zu Websites mit Kontaktformularen (§ 13 Abs. 7 TMG). Diese Pflicht gilt allgemein für Websitebetreiber, welche personenbezogene Daten mittels ihrer Website erheben. Das TLS-Protokoll (Transport Layer Security) ist ein Sicherheitsprotokoll, welches auf SSL aufbaut.

Wird ein Kontaktformular genutzt, werden personenbezogene Daten nach Art. 4 Nr. 1 DS-GVO verarbeitet. Art. 32 Abs. 1 Buchst. a DS-GVO konkretisiert den Grundsatz der Integrität und Vertraulichkeit aus Art. 5 Abs. 1 Buchst. f DS-GVO. Art. 32 Abs. 1, Buchst. a DS-GVO legt fest, dass unter der Berücksichtigung vom Stand der Technik, der Implementierungskosten, Art, Umfang und Zweck der Verarbeitung, sowie Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen vom Website-Betreiber technische und organisatorische Maßnahmen getroffen werden müssen. Art. 32 Abs. 1 Buchst. a DS-GVO benennt ausdrücklich die Verschlüsselung personenbezogener Daten als eine solche technische Maßnahme.

Eine Verschlüsselung mittels eines SSL- oder TLS-Protokolls für Kontaktformulare auf Websites entspricht dem Stand der Technik und wird vom Bundesamt für Sicherheit in der Informationstechnik (BSI) empfohlen.

4. Jeder Kunde muss eine Einwilligung unterschreiben

Nein. Für die Verarbeitung der Daten von Kunden zum Zwecke eines Angebots oder eines Vertrags muss von ihnen keine Einwilligung eingeholt werden. Das Gesetz erlaubt die Verarbeitung zum Zwecke der Erfüllung eines Vertrags oder zur Durchführung vorvertraglicher Maßnahmen auch ohne Einwilligung. Die Kunden müssen aber bei der Erhebung ihrer Daten über die Verarbeitung ihrer Daten durch das Unternehmen/die Kanzlei informiert werden (hierzu mehr im 5. Mythos).

5. Es reicht, wenn ich meine Kunden mündlich darüber informiere, dass ich den Datenschutz einhalte!

Nein, das reicht nicht. Denn der Informationsumfang ist dafür einfach zu hoch. Nach Art. 12 DS-GVO muss der Betriebsinhaber geeignete Maßnahmen treffen, um der betroffenen Person alle Informationen zur Verarbeitung „in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache“ zu übermitteln. Damit haben Kunden bzw. Mandanten einen Informationsanspruch bei Erhebung der Daten.

Art. 13 Abs. 1 DS-GVO regelt, welche Informationen mitgeteilt werden müssen. Falls die personenbezogenen Daten zu einem anderen als dem ursprünglichen Zweck weiterverarbeitet werden sollen, werden dem Betroffenen vor dieser Weiterverarbeitung Informationen über diesen anderen Zweck und alle anderen maßgeblichen Informationen gem. Abs. 2 zur Verfügung gestellt. Die zuvor genannten Informationspflichten bestehen nicht, wenn und soweit der Betroffene bereits über die Informationen verfügt.

6. Eine Datenschutz-Verpflichtung für meine Mitarbeiter braucht es nicht, da dies bereits im Arbeitsvertrag steht

Jein! In den meisten Arbeitsverträgen findet sich ein Hinweis auf die Geheimhaltung. Meist ist er wie folgt formuliert: „Der Arbeitnehmer ist verpflichtet, für die Dauer der Beschäftigung absolute Geheimhaltung über den Arbeitsvertrag, seiner Vergütung, von Arbeits- und Kündigungszeiten sowie von Kündigungsfristen zu wahren. Gleiches gilt für alle Angelegenheiten und Vorgänge, die ihm im Rahmen seiner Tätigkeit zur Kenntnis gelangen, während und nach Beendigung des Arbeitsverhältnisses.“

Bei der Verpflichtung auf das Datengeheimnis geht es nicht nur um die im Arbeitsvertrag bestehenden Vorschriften zur Geheimhaltung. Eine Verpflichtung auf das Datengeheimnis geht noch viel weiter. Sie umfasst die Vertraulichkeit von betrieblichen Inhalten, Tätigkeiten und zu schützenden personenbezogenen Daten und Vorgängen – der Mandanten, Kunden, Bewerber und Beschäftigten.

§ 5 BDSG a. F. sah eine sogenannte „Verpflichtung auf das Datengeheimnis“ vor. Diese fehlt so explizit in der DS-GVO. Aber nach Art. 29 DS-GVO dürfen Beschäftigte eines Unternehmens personenbezogene Daten ausschließlich auf Weisung des Verantwortlichen verarbeiten. Ausnahme: Eine gesetzliche Regelung schreibt eine Verarbeitung dieser Daten vor. Ergänzend dazu regelt Art. 32 Abs. 4 DS-GVO, dass der Verantwortliche oder Auftragsverarbeiter Schritte unternehmen muss, um sicherzustellen, dass ihm unterstellte Personen (insbesondere seine Beschäftigten), die Zugang zu personenbezogenen Daten haben, diese nur auf Anweisung des Verantwortlichen oder Auftragsverarbeiters verarbeiten (es sei denn, eine gesetzliche Regelung schreibt eine Verarbeitung dieser Daten vor). Wie diese gesetzliche Verpflichtung umzusetzen ist, ist nicht verbindlich geregelt. Auch die Datenschutzkonferenz empfiehlt daher, dies in Form einer schriftlichen oder elektronischen Verpflichtungserklärung umzusetzen.

Der Kreis der zu verpflichtenden Personen (die DS-GVO spricht insoweit von „unterstellten natürlichen Personen“) ist weit auszulegen. Insbesondere sind ergänzend zum regulären Mitarbeiterstamm auch Auszubildende, Praktikanten, Leiharbeiter und ehrenamtlich Tätige mit einzubeziehen. Zur Verpflichtung gehört auch eine Belehrung über die sich ergebenden Pflichten.

Selbst wenn die DS-GVO keine bestimmte Form der Verpflichtung vorschreibt, sollte aus Nachweisgründen ein Formular verwendet werden. Dabei kann die Verpflichtung schriftlich oder in einem elektronischen Format erfolgen.

7. Einzelbetriebe brauchen keine Verarbeitungsverzeichnisse

Nein. Jeder Verantwortliche muss ein Verzeichnis seiner Verarbeitungstätigkeiten führen. Auch ein Betrieb, der nur aus einem Mitarbeiter besteht, muss ein Verzeichnis der Verarbeitungstätigkeiten führen, da er in der Regel nicht nur gelegentlich Daten verarbeitet.

8. Das Verarbeitungsverzeichnis muss auf die Website

Nein! Das Verarbeitungsverzeichnis bzw. „das Verzeichnis der Verarbeitungstätigkeiten“ muss nur gegenüber der Aufsichtsbehörde vorgelegt werden, damit die Verarbeitungsvorgänge anhand des Verzeichnisses kontrolliert werden können.

9. Der Datenschutzbeauftragte wird auf der Website benannt

Jein! Der Betriebsinhaber muss die Kontaktdaten des Datenschutzbeauftragten veröffentlichen. Dieses sollte unter anderem auf der Website erfolgen. Hierbei reicht es aus, wenn die Kontaktdaten genannt werden. Art. 37 Abs. 7 DS-GVO gibt nicht verpflichtend vor, dass auch der Name zu den zu veröffentlichenden Daten gehört.

In jedem Fall müssen die Kontaktdaten der Aufsichtsbehörde mitgeteilt werden. Die Mitteilung erfolgt über ein elektronisches Portal in einem automatisierten Meldeverfahren über die Aufsichtsbehörden der jeweiligen Länder. Soweit ersichtlich, haben alle Bundesländer (bis auf Niedersachsen; Stand 22.7.18) dieses bereits umgesetzt.

10. Bewerberdaten müssen immer sofort zurückgeschickt werden, sie dürfen nicht gespeichert werden

Nein, da nicht ausgeschlossen werden kann, dass es aufgrund einer Ablehnung durch den Personalverantwortlichen im Betrieb bzw. in der Kanzlei zu einem arbeitsgerichtlichen Verfahren nach dem AGG kommt. Werden diese Unterlagen sofort vernichtet, fehlen dem Personalverantwortlichen entscheidende Informationen. Grundsätzlich ist zu beachten, dass Bewerberdaten unter § 26 BDSG n. F. fallen. Bei der Speicherdauer sollte daher beachtet werden, dass diese maximal 4-6 Monate ab Zugang des Ablehnungsschreibens aufbewahrt werden dürfen und danach gelöscht werden müssen.

Kann der Minderheitsgesellschafter-Geschäftsführer einer GmbH ihm unliebsame Entscheidungen nicht verhindern, ist er als abhängig Beschäftigter anzusehen und unterliegt der Sozialversicherungspflicht.

Dies hat das Bundessozialgericht (BSG) aktuell in zwei Verfahren bestätigt. Das Gericht erläuterte, dass ein Gesellschafter-Geschäftsführer einer GmbH nur dann nicht abhängig beschäftigt ist, wenn er die Rechtsmacht besitzt, durch Einflussnahme auf die Gesellschafterversammlung die Geschicke der Gesellschaft zu bestimmen. Das ist regelmäßig der Fall, wenn er mehr als 50 Prozent der Anteile am Stammkapital hält.

Ist der Geschäftsführer kein Mehrheitsgesellschafter, ist eine abhängige Beschäftigung ausschließende Rechtsmacht ausnahmsweise auch dann anzunehmen, wenn

• er exakt 50 Prozent der Anteile hält oder

• bei einer noch geringeren Kapitalbeteiligung kraft ausdrücklicher Regelungen im Gesellschaftsvertrag über eine umfassende (echte/qualifizierte) Sperrminorität verfügt, sodass er ihm nicht genehme Weisungen der Gesellschafterversammlung verhindern kann.

In beiden aktuellen Fällen betonte das BSG zudem, dass es nicht darauf ankommt, dass ein Geschäftsführer im Außenverhältnis weitreichende Befugnisse hat und ihm häufig Freiheiten hinsichtlich der Tätigkeit (z. B. bei den Arbeitszeiten) eingeräumt werden. Entscheidend ist vielmehr der Grad der rechtlich durchsetzbaren Einflussmöglichkeiten auf die Beschlüsse der Gesellschafterversammlung.

Merke | Schuldrechtliche Vereinbarungen außerhalb des Gesellschaftsvertrags sind regelmäßig ungeeignet, um den sozialversicherungsrechtlichen Status eines Gesellschafter-Geschäftsführers zu gestalten. Dies ergibt sich u. a. aus den Entscheidungen des BSG aus 2015. (BSG, Urteil vom 14.3.2018, B 12 KR 13/17 R)