Datenschutz ist Chefsache!

Datenschutz ist Chefsache!

Beitrag als PDF herunterladen

Viele Steuerberater fragen sich, welche Konsequenzen in Sachen Datenschutz mit der Datenschutz-Grundverordnung ab Mai 2018 auf die Kanzlei und ihre Mandanten zukommen.

Das Bayerische Landesamt für Datenschutzaufsicht hat hierzu einen ersten „Fragebogen zur Umsetzung der DS-GVO zum 25. Mai 2018“ veröffentlicht. Dieser Fragenkatalog bietet einen Eindruck, mit welcher Erwartungshaltung und mit welchen Maßstäben die Aufsichtsbehörden zukünftig den Verantwortlichen begegnen werden. Lassen Sie mich die wesentlichen Inhalte und deren Konsequenz für die Kanzlei kurz beleuchten.

Bereits mit dem ersten Blick wird klar – Datenschutz ist Chefsache! So wird die Frage gestellt, ob es eine Datenschutzleitlinie gibt und die Datenschutzziele beschrieben sind.

Gleich danach folgt das Thema Datenschutzbeauftragter bzw. die Einbindung externer Dienstleister.

Eine Kanzlei mit 10 oder mehr Mitarbeitern, die ständig personenbezogene Daten verarbeiten, benötigt einen Datenschutzbeauftragten mit dem notwendigen Fachwissen. Dieser kann Mitarbeiter der Kanzlei sein, oder durch ein externes Unternehmen gestellt werden. Zukünftig hat dieser neben der Beratungsfunktion auch eine stärkere Überwachungsfunktion als bisher.

Die Verträge mit den Dienstleistern (Rechenzentren, Softwarehersteller, IT-Dienstleister, Aktenvernichter etc.), die sog. Verträge zur Auftragsdatenverarbeitung, sind an die neuen Rahmenbedingungen anzupassen. Bloße „Geheimhaltungsvereinbarungen“ sind in den meisten Fällen nicht ausreichend.

Sehr detailliert werden auch die Themen Transparenz, Informationspflichten und Sicherstellung der Betroffenenrechte hinterfragt. Dies schlägt sich z. B. in der Verpflichtung nieder, ab 25. Mai 2018 den Datenschutzbeauftragten an die Aufsichtsbehörde zu melden. Auch die Einwilligungen der Betroffenen sind zu überarbeiten. Dies trifft sowohl die Mandanten im Rahmen der Steuerberatungsverträge, als auch z. B. die Besucher des Internetauftritts der Kanzlei. Auch hier sind zusätzlich zu den bereits vorhandenen Angaben die Kontaktdaten des Datenschutzbeauftragten anzugeben, ebenso wie die Möglichkeit, sich bei einer Aufsichtsbehörde zu beschweren.

Um in der Kanzlei einen Überblick über die Verarbeitung personenbezogener Daten zu erhalten, sollte zunächst ein Verzeichnis aller Prozesse erstellt werden, in denen entsprechende Daten verarbeitet werden, das sog. Verzeichnis der Verarbeitungstätigkeiten. Für die dort erfassten Prozesse gilt es zudem die Speicherdauer bzw. die Löschfristen festzulegen und eine Risikobewertung durchzuführen. Verbleibt ein hohes Risiko, so entsteht ggf. die Notwendigkeit einer sogenannten Datenschutz-Folgenabschätzung. Ergänzend ist eine Beschreibung der technisch-organisatorischen Maßnahmen zu erstellen, welche die Sicherheit der in den einzelnen Prozessen verarbeiteten personenbezogenen Daten sicherstellen sollen.

Weitere Aspekte wie Meldung von Datenschutzpannen (innerhalb von 72 Stunden), Umgang mit Anfragen, Datenschutzpannen und Kommunikation mit der Datenschutzaufsichtsbehörde sollten im Datenschutzkonzept der Kanzlei geregelt sein.

Fazit – Datenschutz ist und bleibt Chefsache, wenngleich die Kanzleileitung hierbei natürlich durch den Datenschutzbeauftragten unterstützt wird. Falls die Kanzlei weniger als 10 Mitarbeiter hat und keinen Datenschutzbeauftragten bestellen muss, gilt dieser Satz natürlich umso mehr. Um den Nachweis zu erbringen, dass alle gesetzlichen Auflagen erfüllt sind, benötigt die Kanzlei ein Datenschutz-Managementsystem. Nur so ist sie in der Lage, ihrer Rechenschaftspflicht genüge zu tun, und nicht nur bei einer Überprüfung durch die Aufsichtsbehörde umfassend Auskunft über das Thema Datenschutz in der Kanzlei geben zu können.


Dies könnte Sie auch interessieren:

Beitrag als PDF herunterladen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.