Die DSGVO in der Startposition...

Die DSGVO in der Startposition...

Beitrag als PDF herunterladen

Seit 25.05.2016 ist die EU-Datenschutz-Grundverordnung (DSGVO) in Kraft – mit einer zweijährigen Schonfrist. Aber nur noch wenige Tage, dann ist die Schonfrist vorbei: Ab 25.05.2018 gilt die DSGVO unmittelbar in der gesamten EU.

Dass die DSGVO viele Neuerungen mit sich bringt, wissen Sie bereits. Als Einstieg ein kurzer Überblick: Die DSGVO

  • beinhaltet eine Meldepflicht von Datenschutzpannen innerhalb von 72 Stunden und eine Beweislastumkehr,
  • setzt mehr an Dokumentation voraus als das „alte BDSG“,
  • bringt neue Aspekte wie privacy by design & privacy by default, Rechenschaftspflicht, Risikobewertung mit sich,
  • erhöht die Sanktionen drastisch (bis zu 10/20 Mio. € bzw. 2/4 % des weltweiten Jahresumsatzes).

Zeitgleich tritt auch das neue Bundesdatenschutzgesetz (BDSG) in Kraft. Um Verwechslungen mit dem „alten Recht“ zu vermeiden, sprechen wir in diesem Zusammenhang vom BDSG 2018. Darin werden alle Punkte geregelt, zu denen die DSGVO den EU-Mitgliedsstaaten im Rahmen sog. Öffnungsklauseln die Möglichkeit detaillierterer Einzelregelungen überlässt. Das ist beispielsweise bei der Regelung zur Pflicht zur Benennung eines Datenschutzbeauftragten (DSB) der Fall, wenn in der Kanzlei in der Regel mindestens zehn Personen ständig personenbezogene Daten verarbeiten. Im Zweifel gehen die Regelungen der DSGVO jedoch denen des BDSG 2018 vor.

Im Folgenden gehe ich auf die wesentlichen Neuerungen der DSGVO eingehen, welche ab dem 25.05.2018 auf Steuerkanzleien (und ihre Mandanten) zukommen.

Leitlinie zum Datenschutz und Datenschutzhandbuch

Bereits beim ersten Blick in die DSGVO wird ein Grundsatz schnell deutlich: Datenschutz ist Chefsache! In der Kanzlei sollte es eine Leitlinie zum Datenschutz geben. Das auf diese Leitlinie aufbauende Datenschutzhandbuch fasst sämtliche Vorgaben, Richtlinien und Unterlagen zum Datenschutz in der Kanzlei zusammen. Beide Dokumente sind eine wichtige Grundlage für die Erfüllung der in der DSGVO festgeschriebenen Nachweispflicht. Es empfiehlt sich daher auch dringend, Regelungen zum Umgang mit der IT und zur Privatnutzung von Internet, E-Mail und Telefon zu treffen. Sämtliche Vorgaben zu Datenschutz, zur Datensicherheit und zur IT-Sicherheit sind den Mitarbeitern im Rahmen von regelmäßige Schulungen/Sensibilisierungsmaßnahmen vertraut zu machen.

Der Datenschutzbeauftragte

Es gilt zu prüfen, ob die Benennung eines Datenschutzbeauftragten erforderlich ist. Dies ist der Fall, wenn mindestens zehn Personen regelmäßig personenbezogene Daten verarbeiten. Dies richtet sich nach der „Anzahl der Köpfe“, nicht nach dem Vollzeitäquivalent. Ist die Grenze erreicht, sollte der Datenschutzbeauftragte schriftlich benannt und sein Aufgabengebiet im Rahmen der Benennung klar umrissen werden. Ist die Benennung eines Datenschutzbeauftragten nicht erforderlich, sind dennoch sämtliche durch die DSGVO und das BDSG 2018 geforderten Maßnahmen umzusetzen – es entfällt lediglich die Benennungspflicht. Aus Gründen einer Interessenkollision kommen Mitglieder der Geschäftsleitung, der Personalabteilung und der EDV nicht als Datenschutzbeauftragte in Betracht.

Achtung: Der Datenschutzbeauftragte hat Kontroll-, Überwachungs- und Beratungsfunktion, ist jedoch nicht verantwortlich für die Umsetzung der notwendigen Maßnahmen in der Kanzlei. Für die Einhaltung und Umsetzung sämtlicher Maßnahmen ist vielmehr die Kanzleileitung verantwortlich.

Das Verzeichnis der Verarbeitungstätigkeiten

Die Kanzlei benötigt ein Verzeichnis der Verarbeitungstätigkeiten, in dem alle Prozesse dargestellt sind, in denen personenbezogene Daten verarbeitet werden. Die detaillierten Inhalte sind in der DSGVO vorgegeben. Es gilt in diesem Zusammenhang auch, die Risiken der jeweiligen Verarbeitung bzw. Verarbeitungskategorien zu bewerten. Wir empfehlen, auch die für jede Verarbeitung notwendige Rechtsgrundlage (Einwilligung, Vertragsverhältnis, rechtliche Grundlage) im Verzeichnis der Verarbeitungstätigkeiten zu dokumentieren. Im Grunde müssten bereits alle Kanzleien über ein solches Verzeichnis verfügen, da dies auch nach „altem Recht“ gefordert war.

Prüfung der Einwilligungen

Vorhandene Einwilligungen (z.B. für den Versand von Newslettern, für den unverschlüsselten E-Mail-Verkehr, für die Veröffentlichung von Mitarbeiterfotos auf der Kanzleihomepage etc.) sind auf DSGVO-Konformität zu überprüfen, fehlende Einwilligungen sind einzuholen.

Vertragsverhältnisse mit Dienstleistern

Die Vertragsverhältnisse mit den Dienstleistern der Kanzlei sind zu überprüfen. Gibt es eine Übersicht über alle Dienstleister und freien Mitarbeiter? Sind alle Verträge zur Auftragsverarbeitung vorhanden? Falls Ja, wurden die Verträge zur Auftragsverarbeitung an die DSGVO angepasst? Wir empfehlen grundsätzlich den Neuabschluss der Verträge mit den Dienstleistern nach DSGVO. Einige Anbieter haben die Kanzleien diesbezüglich bereits kontaktiert. Hierbei sollte nicht vergessen werden, die Dienstleister auch auf die Verschwiegenheit nach § 203 Strafgesetzbuch zu verpflichten.

Die Informationspflichten

Die DSGVO legt der Kanzlei umfangreiche Informationspflichten auf. Der bislang schon erforderliche Datenschutzhinweis für den Internetauftritt wird etwas umfangreicher und ist um einige Angaben zu ergänzen. Denken Sie in diesem Zusammenhang daran, auch den Internetauftritt auf Datenschutzkonformität zu überprüfen!

Nachdem bei der ersten Erhebung personenbezogener Daten eine Information der betroffenen Person erfolgen muss, muss die Kanzlei auch Datenschutzhinweis für Mandanten und Mitarbeiter erstellen und bereitstellen.

Die Betroffenenrechte

Die DSGVO sieht im Rahmen der Transparenz umfangreiche Betroffenenrechte vor, hierzu gehören u. a. die Rechte auf Information, Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenportabilität und Widerspruch. Die Kanzlei sollte zum Beispiel ein Verfahren zur Beantwortung von Auskunftsersuchen haben. Vor allem kommt es darauf an, dass die Mitarbeiter hierfür sensibilisiert sind, um bei eingehenden Anfragen professionell reagieren zu können.

Umgang mit Datenschutzverletzungen

Datenschutzverletzungen sind nach DSGVO innerhalb von 72 Stunden an die Aufsichtsbehörde zu melden, es sei denn, es besteht kein Risiko für die betroffenen Personen (Mandanten, Mitarbeiter von Mandanten, Familienangehörigen von Mandanten etc.). Dies setzt voraus, dass diese Datenschutzpannen durch die Mitarbeiter auch erkannt werden. Die Kanzlei muss prüfen, ob sichergestellt ist, dass die Meldewege und Meldeformalitäten bekannt sind, um unnötige Verzögerungen zu vermeiden. Führt eine Datenschutzverletzung zu einem hohen Risiko für die betroffenen Personen, so sind auch diese im Anschluss unverzüglich zu benachrichtigen.

Fazit

Fakt ist, dass die Anforderungen an das Datenschutz-Management einer Steuerkanzlei bereits in den vergangenen Jahren aufgrund zunehmender technischer Komplexität und zahlreicher neuer Anforderungen gestiegen sind. Mit dem 25.05.2018 verschärfen sich die Anforderungen und die Rolle des Datenschutzbeauftragten erhält eine neue Qualität. Datenschutz wird aber auch mehr und mehr zum Image- und Compliancethema. Eine Zertifizierung nach ISO 9001/2015 ohne Umsetzung der datenschutzrechtlichen Anforderungen ist künftig kaum noch möglich. Wer sicherstellen möchte, dass die eigene Kanzlei nicht durch einen vermeidbaren Imageschaden getroffen wird, sollte sich möglichst besser heute als morgen mit den neuen Anforderungen auseinandersetzen.

 


Produktempfehlung

Im NWB Verlag erscheint ein auf die Tätigkeit von Steuerberatern zugeschnittener Praxisleitfaden zur Umsetzung der DSGVO:

Wickert/Potthoff, Das neue Datenschutzrecht in der Steuerberaterkanzlei: Praxisleitfaden zur Umsetzung der DSGVO


Dies könnte Sie auch interessieren:

Beitrag als PDF herunterladen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.