Beiträge

Veranstaltungshinweis: „Update Gemeinnützigkeit“

, ,

Unsere Vorteilspartnerin, die SOLIDARIS Wirtschaftsprüfungsgesellschaft mbH, veranstaltet auch heuer wieder in der Diplomatischen Akademie in Wien ihr gewohntes „Update Gemeinnützigkeit“.

Auf dem Programm stehen heuer u.a. die folgenden Themen:

  • Update Steuer- und Unternehmensrecht (Personalrückstellungen, Spendenabsetzbarkeit, Beschäftigungsbonus, Finanzberichterstattung etc.)
  • Änderungen im Datenschutz aus Sicht einer NPO – Was ist zu tun?
  • Lohn- und Sozialdumping
  • (Vereins-)Besteuerung und Gemeinnützigkeit – Reformbedarf in der nächsten Legislaturperiode

Die Teilnahme ist kostenlos.

Zeit: 26.09.2017; 14:00 – 18:00 Uhr

Ort: Diplomatische Akademie, Favoritenstraße 15a, 1040 Wien

Anmeldung erbeten bis 20.09.2017 bei: e.brejzek@solidaris.at oder 01 7153886-21

Bündnis für Gemeinnützigkeit kritisiert Vorgangsweise bei Datenschutz-Anpassungsgesetz

, ,

Als „schwarzen Tag für Partizipation in Österreich“ bezeichnet das Bündnis für Gemeinnützigkeit in einer Presseaussendung den heutigen 29. Juni 2017, an dem im Parlament das Datenschutz-Anpassungsgesetz 2018 beschlossen werden soll. Die in dem Bündnis zusammengeschlossenen 18 Verbände, darunter die IGO, fordern die Abgeordneten zum Nationalrat auf, das Gesetz nicht zu beschließen.

Die Chronologie der Ereignisse, nachzulesen auf der Webseite des Parlaments:

  • Am 12. Mai 2017 übermittelt der Verfassungsdienst des Bundeskanzleramts dem Parlament den „Entwurf eines Bundesgesetzes, mit dem das Bundes-Verfassungsgesetz geändert, das Datenschutzgesetz erlassen und das Datenschutzgesetz 2000 aufgehoben wird (DatenschutzAnpassungsgesetz 2018), und ersucht um allfällige Stellungnahme bis spätestens 23. Juni 2017„.
  • Aber schon am 7. Juni, also lang vor dem Ende der Begutachtungsfrist, folgt eine Regierungsvorlage, die am 16. Juni dem Verfassungsausschuss zugewiesen wird.
  • Der Verfassungsausschuss tritt am 26. Juni, einen (Arbeits)tag (!) nach dem Ende der Begutachtungsfrist zusammen. Dieser winkt mit den Stimmen von SPÖ und ÖVP eine abgespeckte Version des Gesetzes durch, weil das von der Regierung geschnürte Gesetzespaket an der notwendigen Zweidrittelmehrheit im Nationalrat zu scheitern drohte.

Der „Schönheitsfehler“ an der ganzen Geschichte: bis zum  Ende der Begutachtungsfrist waren über hundert zum Teil sehr umfangreiche und kritische Stellungnahmen eingegangen, die unmöglich weder vom Verfassungsdienst, noch vom Verfassungsauschuss entsprechend gewürdigt worden sein konnten.

Das Bündnis appelliert nun an die Abgeordneten dieses fragwürdige Vorgehen nicht mitzutragen und eine weitergehende Diskussion über dieses Vorhaben zu ermöglichen.

Datenschutzgrundverordnung

, ,

Die Datenschutzgrundverordnung (DSGVO) bildet einen gesetzlicher Rahmen für die gesamte EU, mit dem Ziel des Schutzes natürlicher Personen bei der Verarbeitung personenbezogener Daten. Die DSGVO regelt neben der Datenverarbeitung auch die Rechte von Betroffenen sowie Pflichten von Verantwortlichen.

Alle Daten von MitarbeiterInnen, Mitgliedern, KundInnen, oder von Dritten unterliegen nun der Pflicht in einem Verfahrensregister dokumentiert zu werden, in dem geregelt ist „Welche Daten, von welchen Personen, zu welchem Zweck verarbeitet werden, und an wen die Daten in welchem Zeitraum weitergeleitet werden“. Hier geht es um das Prinzip der Transparenz. Und die Datenschutzbehörde kann die Verzeichnisse der Verarbeitungstätigkeiten jederzeit prüfen.

Folgende Fragen müssen sich Organisationen, und das betrifft Unternehmen genauso wie Vereine, stellen:

  • Welche personenbezogenen Daten (Name, Adresse, Geburtsdatum, Bankdaten) werden verarbeitet?
  • Verarbeite ich sensible personenbezogene Daten?
    Hier handelt es sich um Daten, aus der die ethnische Herkunft, politische Meinung, religiöse und weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen. Gesundheitsdaten, Daten zur sexuellen Orientierung, sowie genetische und biometrische Daten.
  • Verarbeite ich Daten von Kindern? Diese sind in Zukunft an strengere Regeln gebunden.
  • Welchem Zweck dient meine Datenverarbeitung?
  • Arbeite ich mit Dienstleistern zusammen? Wie sehen hier die Vereinbarungen aus?
  • Wie sieht die Rechtsgrundlage der Datenverarbeitung aus? Habe ich mir die Zustimmung der betroffenen Personen eingeholt (Nachweispflicht)?
  • Verarbeite ich die Daten nach dem Prinzip von „privacy by design“ sowie „privacy by default“?
    Nach diesem Prinzip darf eine Datensammlung erst beginnen, wenn die betroffene Person eine aktive Handlung setzt, oder es wird der Personenbezug gelöscht.
  • Benötige ich eine Datenschutz-Folgenabschätzung?
    Diese ist notwendig, wenn durch die Verarbeitung ein hohes Risiko für die Rechte und Freiheiten betroffener Personen besteht. Neben der Beschreibung und Bewertung der Verarbeitung, muss auch jene der Risiken und Sicherheitsmaßnahmen für betroffene Personen erfolgen. Wobei dieser Punkt im Gesetz noch einer genauen Ausformulierung bedarf.

Ein wesentliches Merkmal der DSGVO ist die Erweiterung der Rechte der betroffenen Personen.

  • Informations- und Auskunftsrecht von Betroffenen
    Bedeutet, es besteht ein Recht auf eine zeitgerechte Auskunft (1 Monat) über die verarbeiteten Daten und deren Speicherdauer zu erhalten.
  • Recht auf Richtigstellung und Löschung für Betroffene Es besteht die Pflicht Betroffene über Datenänderungen zu informieren. Empfehlenswert sind Löschstrategien und deren Dokumentation. Eine Datenlöschung kann nicht nur nach Wunsch der Betroffenen erfolgen, es besteht auch die Verpflichtung Daten zu löschen, wenn der ursprüngliche Zweck der Datenerfassung nicht mehr besteht.
  • Widerspruchsrecht gegen die Verwendung der eignen Daten
  • Recht auf Datenübertragbarkeit an andere Auftraggeber. Es müssen die technischen Voraussetzungen dafür geschaffen werden.

Ein besonderes Augenmerk wird auch auf die Datensicherheit gelegt. Im Falle von Datenschutzverletzungen z.B. ich werde gehackt, Laptop, Firmenhandy wird gestohlen, besteht innerhalb von 72 Stunden eine Meldepflicht an die Datenschutzbehörde, sowie an die relevante betroffene Person. Die dafür notwendigen Prozesse müssen nachweisbar sein.

In diesem Sinne besteht auch die Verpflichtung einen Datenschutzbeauftragen zu bestellen, wenn eine umfangreiche regelmäßige systematische Überwachung von betroffenen Personen erforderlich ist, sowie überwiegend sensible personenbezogene Daten verarbeitet werden.

Datenschutzgrundverordnung

,

 

Die Datenschutzgrundverordnung (DSGVO) bildet einen gesetzlicher Rahmen für die gesamte EU, mit dem Ziel des Schutzes natürlicher Personen bei der Verarbeitung personenbezogener Daten. Die DSGVO regelt neben der Datenverarbeitung auch die Rechte von Betroffenen sowie Pflichten von Verantwortlichen.

Alle Daten von MitarbeiterInnen, Mitgliedern, KundInnen, oder von Dritten unterliegen nun der Pflicht in einem Verfahrensregister dokumentiert zu werden, in dem geregelt ist „Welche Daten, von welchen Personen, zu welchem Zweck verarbeitet werden, und an wen die Daten in welchem Zeitraum weitergeleitet werden“. Hier geht es um das Prinzip der Transparenz. Und die Datenschutzbehörde kann die Verzeichnisse der Verarbeitungstätigkeiten jederzeit prüfen.

Folgende Fragen müssen sich Organisationen, und das betrifft Unternehmen genauso wie Vereine, stellen:

  • Welche personenbezogenen Daten (Name, Adresse, Geburtsdatum, Bankdaten) werden verarbeitet?
  • Verarbeite ich sensible personenbezogene Daten?
    Hier handelt es sich um Daten, aus der die ethnische Herkunft, politische Meinung, religiöse und weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen. Gesundheitsdaten, Daten zur sexuellen Orientierung, sowie genetische und biometrische Daten.
  • Verarbeite ich Daten von Kindern? Diese sind in Zukunft an strengere Regeln gebunden.
  • Welchem Zweck dient meine Datenverarbeitung?
  • Arbeite ich mit Dienstleistern zusammen? Wie sehen hier die Vereinbarungen aus?
  • Wie sieht die Rechtsgrundlage der Datenverarbeitung aus? Habe ich mir die Zustimmung der betroffenen Personen eingeholt (Nachweispflicht)?
  • Verarbeite ich die Daten nach dem Prinzip von „privacy by design“ sowie „privacy by default“?
    Nach diesem Prinzip darf eine Datensammlung erst beginnen, wenn die betroffene Person eine aktive Handlung setzt, oder es wird der Personenbezug gelöscht.
  • Benötige ich eine Datenschutz-Folgenabschätzung?
    Diese ist notwendig, wenn durch die Verarbeitung ein hohes Risiko für die Rechte und Freiheiten betroffener Personen besteht. Neben der Beschreibung und Bewertung der Verarbeitung, muss auch jene der Risiken und Sicherheitsmaßnahmen für betroffene Personen erfolgen. Wobei dieser Punkt im Gesetz noch einer genauen Ausformulierung bedarf.

Ein wesentliches Merkmal der DSGVO ist die Erweiterung der Rechte der betroffenen Personen.

  • Informations- und Auskunftsrecht von Betroffenen
    Bedeutet, es besteht ein Recht auf eine zeitgerechte Auskunft (1 Monat) über die verarbeiteten Daten und deren Speicherdauer zu erhalten.
  • Recht auf Richtigstellung und Löschung für Betroffene Es besteht die Pflicht Betroffene über Datenänderungen zu informieren. Empfehlenswert sind Löschstrategien und deren Dokumentation. Eine Datenlöschung kann nicht nur nach Wunsch der Betroffenen erfolgen, es besteht auch die Verpflichtung Daten zu löschen, wenn der ursprüngliche Zweck der Datenerfassung nicht mehr besteht.
  • Widerspruchsrecht gegen die Verwendung der eignen Daten
  • Recht auf Datenübertragbarkeit an andere Auftraggeber. Es müssen die technischen Voraussetzungen dafür geschaffen werden.

Ein besonderes Augenmerk wird auch auf die Datensicherheit gelegt. Im Falle von Datenschutzverletzungen z.B. ich werde gehackt, Laptop, Firmenhandy wird gestohlen, besteht innerhalb von 72 Stunden eine Meldepflicht an die Datenschutzbehörde, sowie an die relevante betroffene Person. Die dafür notwendigen Prozesse müssen nachweisbar sein.

In diesem Sinne besteht auch die Verpflichtung einen Datenschutzbeauftragen zu bestellen, wenn eine umfangreiche regelmäßige systematische Überwachung von betroffenen Personen erforderlich ist, sowie überwiegend sensible personenbezogene Daten verarbeitet werden.

AUTOMATISCHE DATENÜBERMITTLUNG: Verordnung soll noch im Oktober veröffentlicht werden

,

Ab 2018 sind alle begünstigten Spendenorganisationen von Gesetzes wegen verpflichtet, Name, Geburtsdatum und Spendenbetrag ihrer Spenderinnen und Spender, die ihre Spende aus 2017 von der Steuer absetzen wollen, elektronisch an das Finanzministerium zu übermitteln. Die dafür notwendige Verordnung, mit der Inhalt und Verfahren der elektronischen Übermittlung festgelegt werden,  soll noch im Oktober veröffentlicht werden.

Die gute Nachricht vorweg: viele Fragen, die durch die neue, im Zuge der Steuerreform 2015/16 beschlossene Datenübermittlungsverpflichtung aufgeworfen wurden, beantwortet das BMF auf seiner Seite Fragen und Antworten „Automatische Datenübermittlung betreffend Sonderausgaben“.

Die schlechte Nachricht: der Entwurf für die so genannte Sonderausgaben-Datenübermittlungsverordnung (DÜV) wirft neue, schwerwiegende Probleme auf und macht es nach Ansicht des Fundraising Verbandes (FVA) den Spenden sammelnden Organisationen schlichtweg unmöglich, die verlangten Informationen mit einem vertretbaren Aufwand und Haftungsrisiko in der gewünschten Form zu übermitteln.

Der FVA hat die Hauptkritikpunkte in einer fünfseitigen Punktation zusammengefasstund verhandelt darüber derzeit mit dem BMF, um eine einvernehmliche Lösung und die erforderlichen Änderungen herbeizuführen.

Eine wesentliche Kritik an der den Spenden sammelnden Organisationen aufgezwungenen Maßnahme lässt sich allerdings nicht im Verordnungsweg, sondern nur politisch lösen: die Kosten der notwendigen Umstellung und Datenerfassung werden von den betroffenen Organisationen mit 30 Millionen Euro beziffert.

Der Finanzminister stellte sich bisher gegenüber allen Forderungen nach einer Abgeltung dieser Kosten taub. Die betroffenen Spendenorganisationen reagieren darauf mit wachsender Verärgerung und wollen das nicht hinnehmen: handelt es sich doch um Beträge, die wieder aus Spenden aufgebracht werden müssen.

Spendenabsetzbarkeit bleibt – Sozialversicherungsnummer fällt

,

Die spendensammelnden Organisationen können aufatmen: Die Diskussion um die Abschaffung der Abzugsfähigkeit von Spenden an begünstigte Organisationen scheint bis auf weiteres vom Tisch.

Anlass zu der Annahme gibt die jüngste Diskussion im Spendenbeirat, einem Gremium, das vom Gesetzgeber zur Evaluierung der Spendenabsetzbarkeit und Beratung des Finanzministers eingesetzt wurde und dem auch die IGO angehört.

Der Beirat hat sich vor kurzem kritisch mit einem Evaluierungsbericht des NPO&SE Kompetenzzentrums der WU auseinandergesetzt, in dem die Autoren zu dem Urteil gelangen, „dass ein erklecklicher Teil des Steuerentfalls nicht den spendensammelnden Organisationen als zusätzliche Spenden zugeflossen sind, sondern bei den SpenderInnen als reine Steuerersparnis verblieb“.

Dieser Mitnahmeeffekt hat Ende letzten Jahres die Experten rund um die Steuerreformkommission dazu veranlasst „eine Förderung von NGO außerhalb des Steuerrechts“ zu erwägen, was für erhebliche Aufregung unter den Spendenorganisationen gesorgt hat (siehe dazu: Wackelt die Spendenabsetzbarkeit?).

Jetzt hat der Spendenbeirat festgestellt, dass er nach Lektüre des Evaluierungsberichts derzeit keinen Anlass sieht, dem Finanzminister eine Änderung bei der Absetzbarkeit von Spenden zu empfehlen.

 

Auch eine andere Empfehlung der Steuerexperten an die Steuerreformkommission, nämlich „die abgeschaffte Verknüpfung mit der Sozialversicherungsnummer der Spender wieder einzuführen, um eine Überprüfbarkeit zu gewährleisten“, dürfte inzwischen ins Leere gehen. Im Finanzministerium hat man nämlich erkannt, dass dies aus datenschutzrechtlichen Gründen tatsächlich unmöglich ist. Abhilfe soll jetzt eine so genannte „bereichsspezifische Personenkennung“ schaffen, die mithilfe von Vor- und Zuname sowie dem Geburtsdatum der SpenderInnen eine einwandfreie Identifikation erlaubt – ohne den Datenschutz zu verletzen.

Die Sozialversicherungsnummer im Zusammenhang mit dem Spenden ist damit Geschichte. Den begünstigten Organisationen bleibt es aber über kurz oder lang trotzdem nicht erspart, gemeinsam mit den am Zahlungsverkehr beteiligten Instituten und jenen SpenderInnen, die ihre Spenden von der Steuer absetzen wollen, für die Erfassung und Weitergabe der (richtigen!) Daten zu sorgen. Die Beamten im BMF haben nämlich deutlich gemacht, dass dies Teil eines ehrgeizigen Projekts ist, an dessen Ende eine weitgehend automatisierte  ArbeitnehmerInnenveranlagung stehen soll. Dabei werden Spenden und andere Abzugsposten wie etwa freiwillige Beiträge an Religionsgemeinschaften oder Selbstverwaltungskörper – so wie das jetzt schon bei der Lohnsteuer geschieht – nur einmal erfasst und müssen von den SteuerzahlerInnen nicht noch einmal angegeben werden.

 

Angesichts des Umfangs des Vorhabens und der daran beteiligten Akteure ist es allerdings wenig wahrscheinlich, dass dies wie vom BMF angepeilt bereits im Zuge der Arbeitnehmerveranlagung 2017 erstmals möglich sein wird.

Vorsicht: Überweisungsbetrug!

,

Die Salzburger Sparkasse hat uns darüber informiert, dass in der letzten Zeit gehäuft Betrugsversuche im Zusammenhang mit Überweisungen von Spendenkonten unternommen wurden und empfiehlt allen Spendenorganisationen, Kontakt mit ihren Bankbetreuer/innen aufzunehmen, um entsprechende Vorkehrungen zu treffen.

Die Betrüger gehen dabei sehr geschickt vor: Die Bank bzw. eine Filiale der Bank, die das Konto der Organisation betreut, bekommt ein maschinell bedrucktes Kuvert mit einer Briefmarke versehen, in dem sich eine Zahlungsanweisung in Original befindet. Diese Zahlungsanweisung ist ebenfalls maschinell bedruckt und mit einer Unterschrift (Kugelschreiber) versehen. Als Empfänger wird in der Regel ein ausländisches Konto angeführt. Die Betragshöhe ist unterschiedlich – zuletzt waren es um die € 24.105,71, damit vorgetäuscht werden kann, es wird hier eine Rechnung bezahlt.

Erleichtert werden diese Täuschungsversuche dadurch, dass Spendenkonten im Internet für jedermann ersichtlich sind und oft auch Geschäftsberichte mit einer Unterschrift, teilweise zum Download, zur Verfügung gestellt werden.

Den Organisationen wird daher dringend empfohlen, mit ihren Bankbetreuer/innen diesbezüglich Kontakt aufzunehmen, um entsprechende Sicherheitsmaßnahmen zu treffen.