Balzer/Buchberger: Transparenz nach DGSVO bedeutet eine Pflicht zur umfassenden Information gegenüber der betroffenen Person (Foto: https://der-gottwald.de)
Datenschutz
Balzer und Buchberger: „Verzeichnis der Verarbeitungstätigkeiten hat zentralen Stellenwert“
ESV-Redaktion Recht
03.09.2019
Die DSGVO hat den Datenschutz innerhalb der EU neu justiert. Die rechtlichen Konsequenzen und die Anforderungen an die Datensicherheit für Steuerberater und Wirtschaftsprüfer erläutern Dipl.-Ing. Thomas Balzer und Dipl.-Ing. Erhard Buchberger in einem zweiteiligen Interview mit der ESV-Redaktion.
Stehen im ersten Teil des Interviews die Rechtsgrundlagen der Datenverarbeitung, die Rechte der Betroffenen sowie das Verzeichnis der Verarbeitungstätigkeiten oder spezifische Audits und sogenannte TOMs im Vordergrund, befasst sich der zweite Teil im Wesentlichen mit Fragen zum Datenschutzbeauftragten, der Kommunikation mit den Mandanten sowie mit der Datensicherheit oder den Meldewegen bei Datenpannen.
Herr Balzer, Herr Buchberger, seit Mai 2018 gilt EU-weit ein neuer Rechtsrahmen für den Datenschutz. Dies betrifft auch Steuerberater und Wirtschaftsprüfer. Welche Bereiche sind für Ihren Sektor besonders relevant?
Balzer/Buchberger: Zunächst sei erwähnt, dass es bereits vor dem Inkrafttreten der DSGVO durch das Bundesdatenschutzgesetz (BDSG) eine bundesweite, gesetzliche Vorgabe gab, die es für Steuerberater und WPs ebenso zu beachten und umzusetzen galt und die es auch nach wie vor im Rahmen einer neuen Fassung, dem BDSG n.F., umzusetzen gilt. Schon früher wurden bei Verstößen gegen das BDSG Bußgelder durch die Aufsichtsbehörden verhängt, doch wurde eben in der Vergangenheit nur sehr wenig geprüft oder gar sanktioniert. Deshalb wurde diesem Thema oft nicht besonders viel Aufmerksamkeit geschenkt. Berufsgeheimnisträger unterliegen natürlich auch der DSGVO.
Durch die DSGVO ist das Thema Datenschutz wieder in den Vordergrund gerückt und verbunden mit deutlich höheren Bußgeldern auch sichtbarer geworden, sowohl auf Seite der Verantwortlichen, aber eben auch auf der Seite der Betroffenen. Die einzurichtenden technischen und organisatorischen Maßnahmen im Rahmen der Verarbeitung personenbezogener Daten haben sich nicht wesentlich geändert und sind nach wie vor durchzuführen.
Besonders erwähnenswert bei der DSGVO wären aber die nun deutlich höheren Bußgelder bei Verstößen gegen die DSGVO sowie die Meldepflichten der Verantwortlichen zu den Mandanten und zur Aufsichtsbehörde im Falle von Datenpannen, die schon beim Verlust eines unverschlüsselten Datenträgers, zum Beispiel eines USB-Sticks mit sensiblen, personenbezogenen Daten, gegeben sind.
Weiterhin ist eine Erweiterung der Betroffenenrechte zu erwähnen, wie zum Beispiel das Recht zur Beschwerde bei der Aufsichtsbehörde, zum Beispiel im Falle eines Verdachtes einer Datenschutzverletzung oder eines nicht bearbeiteten Auskunftsersuchens, was dann eine Prüfung der Aufsichtsbehörde zur Folge hätte.
Balzer/Buchberger: Wie bereits erwähnt, in der Branche werden nach der DSGVO in der Regel auch Daten besonderer Kategorien, wie z.B. die Gesundheitsdaten von Personen aus den Unternehmen der Mandanten verarbeitet. So verarbeitet der Steuerberater in der Lohnbuchhaltung unter anderem Daten über Krankheiten oder Zugehörigkeiten zu Gewerkschaften oder eventuell auch zu politischen Vereinigungen.
Und Berufsgeheimnisträger müssen ja im Grunde alle Daten vor unberechtigtem Zugriff durch Dritte schützen. Dazu gehören also auch die, die nicht unbedingt als personenbezogen anzusehen sind. Aus dieser Position heraus sollten alle sinnvollen technischen und organisatorischen Maßnahmen umgesetzt werden, um die Daten der gesamten Kanzlei ausreichend zu schützen.
Balzer/Buchberger: Bereits zu Beginn der Verarbeitung besteht nach dem Grundsatz der Transparenz in der DGSVO eine Pflicht zur umfassenden Information gegenüber der betroffenen Person. Werden die Daten bei der betroffenen Person erhoben, so muss der Verantwortliche zum Zeitpunkt der Datenerhebung die betroffene Person umfassend informieren. In der Kanzlei müssen den Mandantinnen und Mandanten bei der Datenerhebung entsprechende Informationen über die Verarbeitung ihrer Daten gegeben werden.
Dies kann zum Beispiel durch einen kompakten Aushang in der Kanzlei geschehen. Zudem kann ein kompakter Flyer beziehungsweise ein Informationsblatt angeboten werden. Sollten auch auf der eigenen Homepage der Kanzlei personenbezogene Daten verarbeitet werden, ist dies dort im Rahmen einer Datenschutzerklärung ebenfalls kenntlich zu machen. Dazu gehören im Wesentlichen folgende Informationen:
Balzer/Buchberger: Die Mandanten, also die betroffenen Personen, zu denen im Übrigen auch die eigenen Mitarbeiter der Kanzlei zählen, haben im Rahmen der DSGVO das Recht auf Auskunft gegenüber dem Berufsgeheimnisträger. Danach muss einem Betroffenen zum einen Auskunft über die Datenverarbeitung, den Zweck der Verarbeitung selbst und zum anderen über die über ihn bereits erhobenen, personenbezogenen Daten gegeben werden. Auch die Behörden, wie die Finanzbehörde, unterliegen der DSGVO mit entsprechenden Auskunftspflichten.
Hinzu kommen sowohl das Recht für den Betroffenen auf Datenübertragung seiner personenbezogenen Daten in maschinenlesbarer Form, als auch das Recht der Dateiübertragung an einen durch den Betroffenen benannten und autorisierten Dritten, sofern technisch möglich. Weiterhin besteht das Recht auf Sperrung oder Löschung der pbD, so es der Betroffene verlangt oder der Zweck der Verarbeitung entfallen ist oder eine etwaige gesetzliche Aufbewahrungsfrist abgelaufen ist.
Und gegenüber der Aufsichtsbehörde hat er das Recht, Beschwerde einzulegen.
Balzer/Buchberger: Wer bereits im Rahmen des BDSG-alt hier tätig war, sollte diese bestehenden Maßnahmen aus dem Blickwinkel der DSGVO überprüfen und gegebenenfalls anpassen oder erweitern. Wer bisher noch nicht im Rahmen des Datenschutzes tätig geworden ist, sollte dies nun unbedingt nachholen.
Spezielle Audits für diese Branche gibt es eigentlich nicht. Wir prüfen in unseren Audits sowohl die Situation in den Kanzleien durch eine Vorort-Begehung, als auch durch Einsichtnahme in bereits bestehende Dokumente, sofern eben vorhanden. Dann gleichen wir die Ist-Situation mit einer Soll-Situation ab und erhalten so eventuelle Lücken, die durch sinnvolle Maßnahmen zeitnah geschlossen werden.
Auch spezielle technische oder organisatorische Maßnahmen für diese Branche gibt es eigentlich nicht. Obwohl hier in der Regel ebenso personenbezogene Daten besonderer Kategorien verarbeitet werden, müssen die Maßnahmen trotzdem verhältnismäßig sein und dem Stand der Technik entsprechen. Beispielsweise sollte das Kanzlei-Netzwerk zum Internet hin durch eine entsprechende Hardware-Firewall geschützt sein. Ebenso alle IT-Komponenten im Zugriff durch unberechtigte Dritte. Dazu zählen nicht nur die Computer auf den Schreibtischen, sondern auch ein eventuell vorhandener Server, die Netzwerk-Infrastruktur, wie Router, Switches und Netzwerkdosen, als auch das WLAN und die Datenträger, speziell wenn diese mobil sind.
Balzer/Buchberger: Dieses Dokument hat einen zentralen Stellenwert, denn es beinhaltet die wesentlichen Informationen zur Verarbeitung der personenbezogenen Daten in der Kanzlei. Es enthält zum einen, welche personenbezogenen Daten in ihrer Kanzlei zu welchem Zweck, wie lange und von wem verarbeitet werden.
Zum anderen wird darin beschrieben, welche technischen und organisatorischen Maßnahmen diese personenbezogenen Daten vor zum Beispiel unberechtigtem Zugriff durch Dritte schützen. Es handelt sich dabei um ein von der DSGVO in Art. 30 gefordertes, also obligatorisches Dokument.
Das Verzeichnis der Verarbeitungstätigkeiten umfasst folgende Punkte:
Es ist allerdings zu erwähnen, dass es keine Vorgaben in Bezug auf den Detailierungsgrad gibt. Es müssen nur die oben erwähnten Punkte vollständig behandelt werden.
(ESV/bp/fl)
Herr Balzer, Herr Buchberger, seit Mai 2018 gilt EU-weit ein neuer Rechtsrahmen für den Datenschutz. Dies betrifft auch Steuerberater und Wirtschaftsprüfer. Welche Bereiche sind für Ihren Sektor besonders relevant?
Balzer/Buchberger: Zunächst sei erwähnt, dass es bereits vor dem Inkrafttreten der DSGVO durch das Bundesdatenschutzgesetz (BDSG) eine bundesweite, gesetzliche Vorgabe gab, die es für Steuerberater und WPs ebenso zu beachten und umzusetzen galt und die es auch nach wie vor im Rahmen einer neuen Fassung, dem BDSG n.F., umzusetzen gilt. Schon früher wurden bei Verstößen gegen das BDSG Bußgelder durch die Aufsichtsbehörden verhängt, doch wurde eben in der Vergangenheit nur sehr wenig geprüft oder gar sanktioniert. Deshalb wurde diesem Thema oft nicht besonders viel Aufmerksamkeit geschenkt. Berufsgeheimnisträger unterliegen natürlich auch der DSGVO.
Durch die DSGVO ist das Thema Datenschutz wieder in den Vordergrund gerückt und verbunden mit deutlich höheren Bußgeldern auch sichtbarer geworden, sowohl auf Seite der Verantwortlichen, aber eben auch auf der Seite der Betroffenen. Die einzurichtenden technischen und organisatorischen Maßnahmen im Rahmen der Verarbeitung personenbezogener Daten haben sich nicht wesentlich geändert und sind nach wie vor durchzuführen.
Besonders erwähnenswert bei der DSGVO wären aber die nun deutlich höheren Bußgelder bei Verstößen gegen die DSGVO sowie die Meldepflichten der Verantwortlichen zu den Mandanten und zur Aufsichtsbehörde im Falle von Datenpannen, die schon beim Verlust eines unverschlüsselten Datenträgers, zum Beispiel eines USB-Sticks mit sensiblen, personenbezogenen Daten, gegeben sind.
Weiterhin ist eine Erweiterung der Betroffenenrechte zu erwähnen, wie zum Beispiel das Recht zur Beschwerde bei der Aufsichtsbehörde, zum Beispiel im Falle eines Verdachtes einer Datenschutzverletzung oder eines nicht bearbeiteten Auskunftsersuchens, was dann eine Prüfung der Aufsichtsbehörde zur Folge hätte.
| Zu den Personen |
|
Die rechtlichen Grundlagen der Datenverarbeitung
Was sind die wichtigsten rechtlichen Grundlagen für die Datenverarbeitung bei ihrer Berufsgruppe?
Balzer/Buchberger: Die wichtigsten rechtlichen Grundlagen für die Verarbeitung der personenbezogenen Daten für Steuerberater und WPs sind Art. 6 und 9 der DSGVO. Danach ist die Verarbeitung von personenbezogenen Daten, die zur Erfüllung eines Vertrages erforderlich sind, zulässig und zwar auch ohne zusätzliche Einwilligung des Mandanten. Auch bei besonderen Datenkategorien – also bei sensiblen Daten, wie Gesundheitsdaten, die im Rahmen einer Lohnbuchhaltung verarbeitet werden – wird die Einwilligung beim Betroffenen für die eindeutig festgelegten Zwecke der Datenverarbeitung durch den Mandatsvertrag eingeholt.Daten besonderer Kategorien
Gibt es Daten, die aus Ihrer Sicht besonders sensibel sind?Balzer/Buchberger: Wie bereits erwähnt, in der Branche werden nach der DSGVO in der Regel auch Daten besonderer Kategorien, wie z.B. die Gesundheitsdaten von Personen aus den Unternehmen der Mandanten verarbeitet. So verarbeitet der Steuerberater in der Lohnbuchhaltung unter anderem Daten über Krankheiten oder Zugehörigkeiten zu Gewerkschaften oder eventuell auch zu politischen Vereinigungen.
Und Berufsgeheimnisträger müssen ja im Grunde alle Daten vor unberechtigtem Zugriff durch Dritte schützen. Dazu gehören also auch die, die nicht unbedingt als personenbezogen anzusehen sind. Aus dieser Position heraus sollten alle sinnvollen technischen und organisatorischen Maßnahmen umgesetzt werden, um die Daten der gesamten Kanzlei ausreichend zu schützen.
| Der kostenlose Newsletter Recht - Hier können Sie sich anmelden! |
| Redaktionelle Nachrichten zu neuen Entscheidungen und Rechtsentwicklungen, Interviews und Literaturtipps. |
Erfüllung der Informationspflichten
Berufsträger haben gegenüber ihren Mandanten oder den Betroffenen bestimmte Informationspflichten. Können Sie diese kurz skizzieren?Balzer/Buchberger: Bereits zu Beginn der Verarbeitung besteht nach dem Grundsatz der Transparenz in der DGSVO eine Pflicht zur umfassenden Information gegenüber der betroffenen Person. Werden die Daten bei der betroffenen Person erhoben, so muss der Verantwortliche zum Zeitpunkt der Datenerhebung die betroffene Person umfassend informieren. In der Kanzlei müssen den Mandantinnen und Mandanten bei der Datenerhebung entsprechende Informationen über die Verarbeitung ihrer Daten gegeben werden.
Dies kann zum Beispiel durch einen kompakten Aushang in der Kanzlei geschehen. Zudem kann ein kompakter Flyer beziehungsweise ein Informationsblatt angeboten werden. Sollten auch auf der eigenen Homepage der Kanzlei personenbezogene Daten verarbeitet werden, ist dies dort im Rahmen einer Datenschutzerklärung ebenfalls kenntlich zu machen. Dazu gehören im Wesentlichen folgende Informationen:
- Verantwortlicher und gegebenenfalls sein Vertreter
- Datenschutzbeauftragter (wenn vorhanden)
- Welche personenbezogenen Daten zu welchem Zweck verarbeitet werden
- Rechtsgrundlagen für die Datenverarbeitung (z.B. Vertragserfüllung)
- Übermittlung an Dritte (Empfänger beziehungsweise Kategorien), z.B. Finanzämter oder Gerichte
- Dauer der Datenspeicherung beziehungsweise Fristen zur Aufbewahrung
- Rechte betroffener Person, wie etwa Auskunft, Berichtigung, Sperrung, Löschung, Widerspruch, Datenübertragung oder Beschwerde
Rechte der Betroffenen
Welche Rechte haben die benannten Personen gegenüber den Berufsträgern und der Finanzverwaltung – auch im Hinblick auf etwaige Akteneinsichtsrechte?Balzer/Buchberger: Die Mandanten, also die betroffenen Personen, zu denen im Übrigen auch die eigenen Mitarbeiter der Kanzlei zählen, haben im Rahmen der DSGVO das Recht auf Auskunft gegenüber dem Berufsgeheimnisträger. Danach muss einem Betroffenen zum einen Auskunft über die Datenverarbeitung, den Zweck der Verarbeitung selbst und zum anderen über die über ihn bereits erhobenen, personenbezogenen Daten gegeben werden. Auch die Behörden, wie die Finanzbehörde, unterliegen der DSGVO mit entsprechenden Auskunftspflichten.
Hinzu kommen sowohl das Recht für den Betroffenen auf Datenübertragung seiner personenbezogenen Daten in maschinenlesbarer Form, als auch das Recht der Dateiübertragung an einen durch den Betroffenen benannten und autorisierten Dritten, sofern technisch möglich. Weiterhin besteht das Recht auf Sperrung oder Löschung der pbD, so es der Betroffene verlangt oder der Zweck der Verarbeitung entfallen ist oder eine etwaige gesetzliche Aufbewahrungsfrist abgelaufen ist.
Und gegenüber der Aufsichtsbehörde hat er das Recht, Beschwerde einzulegen.
Spezifische Audits oder TOMs
Wie lässt sich der Datenschutz beim Steuerberater oder Wirtschaftsprüfer umsetzen? Gibt es hierzu besondere technische und/oder organisatorische Maßnahmen (TOM) oder spezifische Audits?Balzer/Buchberger: Wer bereits im Rahmen des BDSG-alt hier tätig war, sollte diese bestehenden Maßnahmen aus dem Blickwinkel der DSGVO überprüfen und gegebenenfalls anpassen oder erweitern. Wer bisher noch nicht im Rahmen des Datenschutzes tätig geworden ist, sollte dies nun unbedingt nachholen.
Spezielle Audits für diese Branche gibt es eigentlich nicht. Wir prüfen in unseren Audits sowohl die Situation in den Kanzleien durch eine Vorort-Begehung, als auch durch Einsichtnahme in bereits bestehende Dokumente, sofern eben vorhanden. Dann gleichen wir die Ist-Situation mit einer Soll-Situation ab und erhalten so eventuelle Lücken, die durch sinnvolle Maßnahmen zeitnah geschlossen werden.
Auch spezielle technische oder organisatorische Maßnahmen für diese Branche gibt es eigentlich nicht. Obwohl hier in der Regel ebenso personenbezogene Daten besonderer Kategorien verarbeitet werden, müssen die Maßnahmen trotzdem verhältnismäßig sein und dem Stand der Technik entsprechen. Beispielsweise sollte das Kanzlei-Netzwerk zum Internet hin durch eine entsprechende Hardware-Firewall geschützt sein. Ebenso alle IT-Komponenten im Zugriff durch unberechtigte Dritte. Dazu zählen nicht nur die Computer auf den Schreibtischen, sondern auch ein eventuell vorhandener Server, die Netzwerk-Infrastruktur, wie Router, Switches und Netzwerkdosen, als auch das WLAN und die Datenträger, speziell wenn diese mobil sind.
Verzeichnis der Verarbeitungstätigkeiten – das zentrale Dokument
Welche Rolle spielt das Verzeichnis der Verarbeitungstätigkeiten?Balzer/Buchberger: Dieses Dokument hat einen zentralen Stellenwert, denn es beinhaltet die wesentlichen Informationen zur Verarbeitung der personenbezogenen Daten in der Kanzlei. Es enthält zum einen, welche personenbezogenen Daten in ihrer Kanzlei zu welchem Zweck, wie lange und von wem verarbeitet werden.
Zum anderen wird darin beschrieben, welche technischen und organisatorischen Maßnahmen diese personenbezogenen Daten vor zum Beispiel unberechtigtem Zugriff durch Dritte schützen. Es handelt sich dabei um ein von der DSGVO in Art. 30 gefordertes, also obligatorisches Dokument.
Das Verzeichnis der Verarbeitungstätigkeiten umfasst folgende Punkte:
- Name und Kontaktdaten des Verantwortlichen
- Gegebenenfalls die Daten des gemeinsam Verantwortlichen und seines Vertreters
- Angaben zum Datenschutzbeauftragten
- Zwecke der Verarbeitung
- Beschreibung der Kategorien betroffener Personen sowie der Kategorien personenbezogener Daten
- die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, einschließlich der Empfänger in Drittländern oder internationalen Organisationen
- wenn möglich, die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien
- wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen (TOM)
Es ist allerdings zu erwähnen, dass es keine Vorgaben in Bezug auf den Detailierungsgrad gibt. Es müssen nur die oben erwähnten Punkte vollständig behandelt werden.
| Lesen Sie in Teil 2 des Interviews mehr über: |
|
(ESV/bp/fl)
Programmbereich: Wirtschaftsrecht