Fit für die EU-Datenschutz-Grundverordnung?

Fit für die EU-Datenschutz-Grundverordnung?

Von Dirk Munker, Munker Privacy Consulting

Ab dem 25. Mai 2018 gelten europaweit neue Datenschutzregelungen. Was ist in der Kanzlei zu tun, um die Prozesse zeitgerecht anzupassen? Zurücklehnen oder durchstarten? Die Antwort gibt Ihnen unsere zweiteilige Artikelserie.

Bevor wir uns mit der konkreten Umsetzung der neuen Anforderungen der EU-Datenschutz-Grundverordnung (EU-DSGVO) in der Kanzlei befassen, werfen wir zunächst einen intensiven Blick auf dieses neue Gesetzeswerk.

Am 14. April 2016 wurde die EU-DSGVO vom EU-Parlament beschlossen und ersetzt damit die aus dem Jahr 1995 stammende Datenschutzrichtlinie der EU. Voraus gingen mehrjährige intensive Verhandlungen und Abstimmungen durch das EU-Parlament, die Europäische Kommission und den Rat der Europäischen Union. Maßgeblichen Anteil an der Entstehung dieser Verordnung hatte nicht zuletzt der parlamentarische Berichterstatter für die Umsetzung der EU-DSGVO, der Deutsche Jan Philipp Albrecht, Grüner Europaabgeordneter für Hamburg und Schleswig-Holstein und innen- und justizpolitischer Sprecher der Grünen-Europafraktion.

Am 4. Mai 2016 wurde die EU-DSGVO im Amtsblatt der Europäischen Union veröffentlicht und trat 20 Tage später in Kraft, wobei die in ihr enthaltenen gesetzlichen Regelungen erst ab dem 25. Mai 2018 gelten. Allerdings gibt es nach diesem Zeitpunkt keine Übergangsfristen mehr, so dass es bereits jetzt gilt, die bestehenden Prozesse neu zu ordnen und das Datenschutzmanagement der Kanzlei auf die neuen Anforderungen umzustellen. Solange die Grundverordnung noch nicht gilt, muss allerdings auch das Bundesdatenschutzgesetz (BDSG) weiterhin voll beachten werden.

Die EU-DSGVO

Die Ziele der EU-DSGVO sind der Schutz der Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf den Schutz personenbezogener Daten. Auch der freie Verkehr personenbezogener Daten hat eine hohe Priorität. Diese Ziele sollen bei der Verarbeitung personenbezogener Daten durch folgende Grundsätze erreicht werden: Rechtmäßigkeit, Treu und Glauben, Transparenz, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung, Integrität und Vertraulichkeit, Rechenschaftspflicht. Nach wie vor gilt jedoch: Die Verarbeitung personenbezogener Daten ist grundsätzlich verboten, außer es existiert eine gesetzliche Grundlage oder ein Erlaubnistatbestand in Form einer Einwilligung.

Die EU-DSGVO mit ihren 99 Artikeln und 173 Erwägungsgründen, die ebenfalls Bestandteil des Gesetzes sind, ist deutlich umfangreicher als das aktuelle Bundesdatenschutzgesetz. Im Gegensatz zur bisherigen Datenschutzrichtlinie der EU (Richtlinie 95/46/EG), die von den EU-Mitgliedstaaten in nationales Recht umgesetzt werden musste, gilt die EU-DSGVO ohne Umsetzungsakt unmittelbar in allen EU-Mitgliedstaaten. Den Mitgliedstaaten wird es daher nicht möglich sein, den von der Verordnung bereits festgeschriebenen Datenschutz durch nationale Regelungen abzuschwächen oder zu verstärken. Allerdings richtet die EU-DSGVO an den nationalen Gesetzgeber die Aufgabe, auf nationaler Ebene zusätzlich bestimmte Regelungsbereiche auszugestalten und gibt ihm die Möglichkeit zur Gestaltung bestimmter Bereiche an die Hand. Diese Gesetzgebungsverfahren finden ebenfalls in der laufenden Übergangszeit bis Mai 2018 statt, wobei die Bundestagswahl im Herbst 2017 die zur Verfügung stehende Zeit erheblich limitiert.

Herausforderungen für die Kanzlei

Die Herausforderung für die Kanzlei liegt nun darin, die bestehenden Prozesse fit für die EU-DSGVO zu machen, hierbei jedoch die laufende Gesetzgebung zum Datenschutz auf nationaler Ebene nicht unberücksichtigt zu lassen.

Im Rahmen der EU-DSGVO werden zahlreiche Neuerungen auf die Kanzleien zukommen. Die konkrete Umsetzung der oben genannten Ziele finden ihren Niederschlag in Forderungen wie Risikoanalyse und Datenschutz-Folgeabschätzung sämtlicher Verfahren und Prozesse in der Kanzlei, einer Rechenschaftspflicht hinsichtlich der Datenschutz-, Datensicherheits- und IT-Sicherheitsmaßnahmen, strengeren Regelungen bezüglich der Meldung von Datenschutzpannen und damit einhergehend verschärften Bußgeldhöhen mit Bußgeldsummen bis 20 Millionen Euro.

Um auf die sichere Seite zu kommen, sollten Steuerberater die bestehenden Prozesse überprüfen, Schwachstellen zeitnah abstellen und eine aktuelle Dokumentation über alle Prozesse vorhalten. Das sogenannte Verzeichnis von Verarbeitungstätigkeit, bislang als „Verfahrensverzeichnis“ bekannt, gewinnt somit eine völlig neue Qualität. Dieses Verzeichnis ist die Grundlage für die Durchführung von Risikobewertungen und Datenschutzfolgeabschätzungen. Letztere sind immer dann durchzuführen, wenn die Form der Verarbeitung wahrscheinlich ein hohes Risiko verursacht, insbesondere bei neuen Technologien oder komplexen Anwendungen.

Die Meldung von Datenschutzpannen an die zuständige Aufsichtsbehörde, in der Regel der Landesbeauftragte für den Datenschutz (in Bayern das Bayerische Landesamt für Datenschutzaufsicht, www. lda.bayern.de) hat zukünftig innerhalb von 72 Stunden zu erfolgen. Falls aufgrund einer Datenschutzpanne ein hohes Risiko für den Betroffenen besteht, ist dieser ebenfalls zu informieren. Da sämtliche Mandantendaten in der Steuerkanzlei der Verschwiegenheit nach § 203 Strafgesetzbuch unterliegen, liegt ein solches Risiko bei einem Verlust stets nahe. Dafür kann es ausreichen, dass diese Daten beispielsweise bei der Übermittlung per E-Mail oder bei der Fernwartung durch Dienstleister unbefugten Personen zur Kenntnis gelangt sind. Zur Vermeidung von Straftatbeständen empfiehlt sich gerade auf Prozesse unter Beteiligung „Dritter“ ein besonderes Augenmerk zu richten!

Die Position der Aufsichtsbehörden, welche zukünftig europaweit zusammenarbeiten werden, wird durch die EU-DSGVO gestärkt. Es ist damit zu rechnen, dass die Aufsichtsbehörden zukünftig ihr Personal aufstocken und intensiver kontrollieren werden, zumal der Datenschutz im Augenblick auch einen hohen politischen Stellenwert hat.

Auch die Anforderungen an die Dienstleister der Kanzlei ändern sich. Während bei einer Auftragsverarbeitung (bislang Datenverarbeitung im Auftrag) die Haftung beim Auftraggeber, sprich in der Kanzlei, verblieb, werden zukünftig Auftraggeber und Auftragsverarbeiter gemeinsam für Datenschutzpannen haften.

Die Rolle des Datenschutzbeauftragten

Die Verantwortung für die Umsetzung all dieser Themen liegt nicht etwa beim Datenschutzbeauftragten, sondern bei der Kanzleileitung. Allerdings tritt der Datenschutzbeauftragte in manchen Fällen beratend beziehungsweise unterstützend hinzu. Nach wie vor hat er allerdings die Aufgabe, die Geschäftsleitung und die Mitarbeiter mit den datenschutzrechtlichen Anforderungen vertraut zu machen (Mitarbeiterschulung) und den Datenschutz in der Kanzlei zu überwachen. In der Praxis wird es vermutlich auch zukünftig so sein, dass der Datenschutzbeauftragte die Themen in der Kanzlei abarbeitet. Nur wird er hierfür zukünftig mehr Zeit einplanen müssen als bisher.

Lesen Sie in der nächsten Ausgabe, welcher konkrete Handlungsbedarf für Steuerkanzleien auf dem Weg zur EU-DSGVO besteht und wie Sie die Anforderungen umsetzen können.

Munker Privacy Consulting

Munker Privacy Consulting besteht seit März 2012 und berät Firmen aus verschiedensten Branchen und unterschiedlicher Größenordnung im Bereich Datenschutz. Besonders wohl fühlen sich die Experten des Unternehmens nicht nur in ihrem Spezialgebiet – Datenschutz in Steuerkanzleien – sondern auch als Datenschutzbeauftragte und in der Beratung von Freiberuflern, Dienstleistern und Unternehmen mit hohem Dienstleistungsanteil, sowie Kliniken, medizinischen Versorgungszentren und Arztpraxen.