Anmelden Registrieren leer  Ihr Warenkorb ist leer
Juris Allianz ESV Akademie ESV Campus ESV Open Der ESV auf Twitter
 
Datenschutz
Twitter weiterempfehlen  03.09.2019

Balzer und Buchberger: „Verzeichnis der Verarbeitungstätigkeiten hat zentralen Stellenwert“

ESV-Redaktion Recht
Balzer/Buchberger: Transparenz nach DGSVO bedeutet eine Pflicht zur umfassenden Information gegenüber der betroffenen Person (Foto: https://der-gottwald.de)
Die DSGVO hat den Datenschutz innerhalb der EU neu justiert. Die rechtlichen Konsequenzen und die Anforderungen an die Datensicherheit für Steuerberater und Wirtschaftsprüfer erläutern Dipl.-Ing. Thomas Balzer und Dipl.-Ing. Erhard Buchberger in einem zweiteiligen Interview mit der ESV-Redaktion.
Stehen im ersten Teil des Interviews die Rechtsgrundlagen der Datenverarbeitung, die Rechte der Betroffenen sowie das Verzeichnis der Verarbeitungstätigkeiten oder spezifische Audits und sogenannte TOMs im Vordergrund, befasst sich der zweite Teil im Wesentlichen mit Fragen zum Datenschutzbeauftragten, der Kommunikation mit den Mandanten sowie mit der Datensicherheit oder den Meldewegen bei Datenpannen.

Herr Balzer, Herr Buchberger, seit Mai 2018 gilt EU-weit ein neuer Rechtsrahmen für den Datenschutz. Dies betrifft auch Steuerberater und Wirtschaftsprüfer. Welche Bereiche sind für Ihren Sektor besonders relevant?

Balzer/Buchberger: Zunächst sei erwähnt, dass es bereits vor dem Inkrafttreten der DSGVO durch das Bundesdatenschutzgesetz (BDSG) eine bundesweite, gesetzliche Vorgabe gab, die es für Steuerberater und WPs ebenso zu beachten und umzusetzen galt und die es auch nach wie vor im Rahmen einer neuen Fassung, dem BDSG n.F., umzusetzen gilt. Schon früher wurden bei Verstößen gegen das BDSG Bußgelder durch die Aufsichtsbehörden verhängt, doch wurde eben in der Vergangenheit nur sehr wenig geprüft oder gar sanktioniert. Deshalb wurde diesem Thema oft nicht besonders viel Aufmerksamkeit geschenkt. Berufsgeheimnisträger unterliegen natürlich auch der DSGVO.

Durch die DSGVO ist das Thema Datenschutz wieder in den Vordergrund gerückt und verbunden mit deutlich höheren Bußgeldern auch sichtbarer geworden, sowohl auf Seite der Verantwortlichen, aber eben auch auf der Seite der Betroffenen. Die einzurichtenden technischen und organisatorischen Maßnahmen im Rahmen der Verarbeitung personenbezogener Daten haben sich nicht wesentlich geändert und sind nach wie vor durchzuführen.

Besonders erwähnenswert bei der DSGVO wären aber die nun deutlich höheren Bußgelder bei Verstößen gegen die DSGVO sowie die Meldepflichten der Verantwortlichen zu den Mandanten und zur Aufsichtsbehörde im Falle von Datenpannen, die schon beim Verlust eines unverschlüsselten Datenträgers, zum Beispiel eines USB-Sticks mit sensiblen, personenbezogenen Daten, gegeben sind.

Weiterhin ist eine Erweiterung der Betroffenenrechte zu erwähnen, wie zum Beispiel das Recht zur Beschwerde bei der Aufsichtsbehörde, zum Beispiel im Falle eines Verdachtes einer Datenschutzverletzung oder eines nicht bearbeiteten Auskunftsersuchens, was dann eine Prüfung der Aufsichtsbehörde zur Folge hätte.

Zu den Personen
  • Dipl.-Ing. Thomas Balzer ist Geschäftsführer von B² Berlin und TÜV zertifizierter Datenschutzbeauftragter
  • Dipl.-Ing. Erhard Buchberger ist ebenfalls Geschäftsführer von B² Berlin und TÜV zertifizierter Datenschutzbeauftragter

Die rechtlichen Grundlagen der Datenverarbeitung

Was sind die wichtigsten rechtlichen Grundlagen für die Datenverarbeitung bei ihrer Berufsgruppe?

Balzer/Buchberger: Die wichtigsten rechtlichen Grundlagen für die Verarbeitung der personenbezogenen Daten für Steuerberater und WPs sind Art. 6 und 9 der DSGVO. Danach ist die Verarbeitung von personenbezogenen Daten, die zur Erfüllung eines Vertrages erforderlich sind, zulässig und zwar auch ohne zusätzliche Einwilligung des Mandanten. Auch bei besonderen Datenkategorien – also bei sensiblen Daten, wie Gesundheitsdaten, die im Rahmen einer Lohnbuchhaltung verarbeitet werden – wird die Einwilligung beim Betroffenen für die eindeutig festgelegten Zwecke der Datenverarbeitung durch den Mandatsvertrag eingeholt.

Daten besonderer Kategorien

Gibt es Daten, die aus Ihrer Sicht besonders sensibel sind?

Balzer/Buchberger: Wie bereits erwähnt, in der Branche werden nach der DSGVO in der Regel auch Daten besonderer Kategorien, wie z.B. die Gesundheitsdaten von Personen aus den Unternehmen der Mandanten verarbeitet. So verarbeitet der Steuerberater in der Lohnbuchhaltung unter anderem Daten über Krankheiten oder Zugehörigkeiten zu Gewerkschaften oder eventuell auch zu politischen Vereinigungen.

Und Berufsgeheimnisträger müssen ja im Grunde alle Daten vor unberechtigtem Zugriff durch Dritte schützen. Dazu gehören also auch die, die nicht unbedingt als personenbezogen anzusehen sind. Aus dieser Position heraus sollten alle sinnvollen technischen und organisatorischen Maßnahmen umgesetzt werden, um die Daten der gesamten Kanzlei ausreichend zu schützen.

Der kostenlose Newsletter Recht - Hier können Sie sich anmelden!
Redaktionelle Nachrichten zu neuen Entscheidungen und Rechtsentwicklungen, Interviews und Literaturtipps.

Erfüllung der Informationspflichten

Berufsträger haben gegenüber ihren Mandanten oder den Betroffenen bestimmte Informationspflichten. Können Sie diese kurz skizzieren?

Balzer/Buchberger: Bereits zu Beginn der Verarbeitung besteht nach dem Grundsatz der Transparenz in der DGSVO eine Pflicht zur umfassenden Information gegenüber der betroffenen Person. Werden die Daten bei der betroffenen Person erhoben, so muss der Verantwortliche zum Zeitpunkt der Datenerhebung die betroffene Person umfassend informieren. In der Kanzlei müssen den Mandantinnen und Mandanten bei der Datenerhebung entsprechende Informationen über die Verarbeitung ihrer Daten gegeben werden.

Dies kann zum Beispiel durch einen kompakten Aushang in der Kanzlei geschehen. Zudem kann ein kompakter Flyer beziehungsweise ein Informationsblatt angeboten werden. Sollten auch auf der eigenen Homepage der Kanzlei personenbezogene Daten verarbeitet werden, ist dies dort im Rahmen einer Datenschutzerklärung ebenfalls kenntlich zu machen. Dazu gehören im Wesentlichen folgende Informationen:
  • Verantwortlicher und gegebenenfalls sein Vertreter
  • Datenschutzbeauftragter (wenn vorhanden)
  • Welche personenbezogenen Daten zu welchem Zweck verarbeitet werden
  • Rechtsgrundlagen für die Datenverarbeitung (z.B. Vertragserfüllung)
  • Übermittlung an Dritte (Empfänger beziehungsweise Kategorien), z.B. Finanzämter oder Gerichte
  • Dauer der Datenspeicherung beziehungsweise Fristen zur Aufbewahrung
  • Rechte betroffener Person, wie etwa Auskunft, Berichtigung, Sperrung, Löschung, Widerspruch, Datenübertragung oder Beschwerde

Rechte der Betroffenen

Welche Rechte haben die benannten Personen gegenüber den Berufsträgern und der Finanzverwaltung – auch im Hinblick auf etwaige Akteneinsichtsrechte?

Balzer/Buchberger: Die Mandanten, also die betroffenen Personen, zu denen im Übrigen auch die eigenen Mitarbeiter der Kanzlei zählen, haben im Rahmen der DSGVO das Recht auf Auskunft gegenüber dem Berufsgeheimnisträger. Danach muss einem Betroffenen zum einen Auskunft über die Datenverarbeitung, den Zweck der Verarbeitung selbst und zum anderen über die über ihn bereits erhobenen, personenbezogenen Daten gegeben werden. Auch die Behörden, wie die Finanzbehörde, unterliegen der DSGVO mit entsprechenden Auskunftspflichten.

Hinzu kommen sowohl das Recht für den Betroffenen auf Datenübertragung seiner personenbezogenen Daten in maschinenlesbarer Form, als auch das Recht der Dateiübertragung an einen durch den Betroffenen benannten und autorisierten Dritten, sofern technisch möglich. Weiterhin besteht das Recht auf Sperrung oder Löschung der pbD, so es der Betroffene verlangt oder der Zweck der Verarbeitung entfallen ist oder eine etwaige gesetzliche Aufbewahrungsfrist abgelaufen ist.

Und gegenüber der Aufsichtsbehörde hat er das Recht, Beschwerde einzulegen.

Datenschutz für Steuerberater und Wirtschaftsprüfer  Praxisleitfaden DSGVO für die StB-/WP-Kanzlei
Inhalte unter anderem:
  • Interne Datenschutzaudits – Soll-Ist-Analyse, Maßnahmenplan
  • „Verzeichnis der Verarbeitungstätigkeiten“ – Daten, Zweck, Dauer, Weitergabe, etc.
  • Vereinbarungen mit ext. Dienstleistern
  • Informationspflichten und Betroffenenrechte
  • Notfallplan, Datensicherung, Sicherstellung von Verfügbarkeit, Vertraulichkeit und Integrität
  • Meldung von Datenschutzpannen, Kommunikation mit der Aufsichtsbehörde
  • Datenschutzbeauftragte/r
Am 10. Oktober 2019, 14-18 Uhr, ESV-Akademie, Genthiner?Straße?30?C, 10785?Berlin
Frühbucherpreis bis 19. September 2019 – Flyer mit Flyer mit Programm 

Spezifische Audits oder TOMs

Wie lässt sich der Datenschutz beim Steuerberater oder Wirtschaftsprüfer umsetzen? Gibt es hierzu besondere technische und/oder organisatorische Maßnahmen (TOM) oder spezifische Audits?

Balzer/Buchberger: Wer bereits im Rahmen des BDSG-alt hier tätig war, sollte diese bestehenden Maßnahmen aus dem Blickwinkel der DSGVO überprüfen und gegebenenfalls anpassen oder erweitern. Wer bisher noch nicht im Rahmen des Datenschutzes tätig geworden ist, sollte dies nun unbedingt nachholen.

Spezielle Audits für diese Branche gibt es eigentlich nicht. Wir prüfen in unseren Audits sowohl die Situation in den Kanzleien durch eine Vorort-Begehung, als auch durch Einsichtnahme in bereits bestehende Dokumente, sofern eben vorhanden. Dann gleichen wir die Ist-Situation mit einer Soll-Situation ab und erhalten so eventuelle Lücken, die durch sinnvolle Maßnahmen zeitnah geschlossen werden.

Auch spezielle technische oder organisatorische Maßnahmen für diese Branche gibt es eigentlich nicht. Obwohl hier in der Regel ebenso personenbezogene Daten besonderer Kategorien verarbeitet werden, müssen die Maßnahmen trotzdem verhältnismäßig sein und dem Stand der Technik entsprechen. Beispielsweise sollte das Kanzlei-Netzwerk zum Internet hin durch eine entsprechende Hardware-Firewall geschützt sein. Ebenso alle IT-Komponenten im Zugriff durch unberechtigte Dritte. Dazu zählen nicht nur die Computer auf den Schreibtischen, sondern auch ein eventuell vorhandener Server, die Netzwerk-Infrastruktur, wie Router, Switches und Netzwerkdosen, als auch das WLAN und die Datenträger, speziell wenn diese mobil sind.

Verzeichnis der Verarbeitungstätigkeiten – das zentrale Dokument

Welche Rolle spielt das Verzeichnis der Verarbeitungstätigkeiten?

Balzer/Buchberger: Dieses Dokument hat einen zentralen Stellenwert, denn es beinhaltet die wesentlichen Informationen zur Verarbeitung der personenbezogenen Daten in der Kanzlei. Es enthält zum einen, welche personenbezogenen Daten in ihrer Kanzlei zu welchem Zweck, wie lange und von wem verarbeitet werden.

Zum anderen wird darin beschrieben, welche technischen und organisatorischen Maßnahmen diese personenbezogenen Daten vor zum Beispiel unberechtigtem Zugriff durch Dritte schützen. Es handelt sich dabei um ein von der DSGVO in Art. 30 gefordertes, also obligatorisches Dokument.

Das Verzeichnis der Verarbeitungstätigkeiten umfasst folgende Punkte:
  • Name und Kontaktdaten des Verantwortlichen
  • Gegebenenfalls die Daten des gemeinsam Verantwortlichen und seines Vertreters
  • Angaben zum Datenschutzbeauftragten
  • Zwecke der Verarbeitung
  • Beschreibung der Kategorien betroffener Personen sowie der Kategorien personenbezogener Daten
  • die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, einschließlich der Empfänger in Drittländern oder internationalen Organisationen
  • wenn möglich, die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien
  • wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen (TOM)
Oft beginnen wir bei unseren Arbeiten mit der Erstellung dieses Verzeichnisses, da es als Ausgangspunkt für weitere Aktivitäten dient. Im Falle einer Prüfung durch eine Aufsichtsbehörde ist dieses Dokument dem aktuellen Stand entsprechend vorzuhalten und es gilt als Verstoß und wäre bußgeldbewährt, wenn es nicht existiert oder unzutreffend ist.

Es ist allerdings zu erwähnen, dass es keine Vorgaben in Bezug auf den Detailierungsgrad gibt. Es müssen nur die oben erwähnten Punkte vollständig behandelt werden.

Lesen Sie in Teil 2 des Interviews mehr über:
  • die Pflichten zur Bestellung von Datenschutzbeauftragten
  • die Kommunikation mit den Mandanten
  • die Pflichten zur Aufrechterhaltung der Datensicherheit
  • oder die Meldewege bei Datenpannen.

(ESV/bp/fl)

Programmbereich: Wirtschaftsrecht

 
Zurück
 
Als Nettopreise angegebene Preise verstehen sich zuzüglich Umsatzsteuer. Alle Nettopreise, also auch die Monatspreise, wurden aus den Bruttopreisen errechnet. Daher kann es wegen Rundungsungenauigkeiten bei einer Rückrechnung zu Abweichungen um wenige Cent kommen.




© 2019 Erich Schmidt Verlag GmbH & Co. KG, Genthiner Straße 30 G, 10785 Berlin
Telefon (030) 25 00 85-0 | Telefax (030) 25 00 85-305 | E-Mail: ESV@ESVmedien.de