Noch 10 Tage bis zur Geltung der DSGVO – die Zeit ist noch nicht abgelaufen!

In seinem NWB Experten Blog-Beitrag EU-Datenschutz-Grundverordnung – die Zeit läuft! vom 04. Januar 2018 riet Alexander Hamminger zu Recht, die Zeit bis zum Eintritt der DSGVO nicht zu unterschätzen und zu nutzen. Nun könnte man meinen, die Zeit ist nahezu abgelaufen und damit ohnehin „alles zu spät“. Dem ist nicht so bzw. dem darf natürlich nicht so sein. Denn in 10 Tagen, ab dem 25. Mai 2018, sind die Anforderungen der DSGVO und des BDSG neu durch den Steuerberater zu erfüllen – und zwar vollumfänglich! Bei der Umsetzung ist praxisorientiert und priorisiert vorzugehen, gerade im Hinblick auf die nur knappe Zeit die verbleibt.

Ausgangslage: Datenschutzrechtliche Grundlagen

Als Grundlage sollte ein fokussierter aber fundierter datenschutzrechtlicher Wissensstand aufgebaut werden. Es empfiehlt sich eine berufsspezifische Aufbereitung der Thematik. Ausufernde Darstellungen, ohne berufsbezogene Schwerpunktsetzung, helfen nicht nur nicht weiter, sondern führen zur Überforderung.

Für die Zulässigkeit der Verarbeitung zum Teil sensibler personenbezogener Daten in einer Steuerberaterkanzlei, wie etwa Bankdaten oder Daten zu Einkunftsquellen, gilt nach wie vor im Wesentlichen das Einverständnisprinzip. Insoweit sollte die Abgrenzung zwischen einer Datenverarbeitung aufgrund einer datenschutzrechtlichen Einwilligung (Art. 6 Abs. 1 lit a) DSGVO) bzw. zur Erfüllung eines (Beratungs-)Vertrags (vgl. Art. 6 Abs. 1 lit b) DSGVO) eingeordnet werden können. Ein Datenschutzbeauftragter ist in jedem Fall dann zu bestellen, wenn ständig mindestens zehn Personen mit der automatisierten Verarbeitung personenbezogener Daten in der Kanzlei beschäftigt sind (§ 38 Abs. 1 BDSG-neu). Hier gilt es genau zu identifizieren, welche Personen in der eigenen Steuerberaterkanzlei bei der Berechnung des Schwellenwertes miteinfließen und wie diese gezählt werden. Das eigens vom Kanzleiinhaber zu verantwortende Verzeichnis für Datenverarbeitungstätigkeiten (Art. 30 DSGVO) sollte priorisiert werden. Nicht zu Letzt, da dieses von den Aufsichtsbehörden leicht überprüft werden kann. Informationspflichten (Art. 13 DSGVO) und Auskunftsrechte (Art 14 DSGVO) sowie die Rechte auf Löschung (Art. 17 Abs. 1 DSGVO), „Vergessenwerden“ (Art. 17 Abs. 2 DSGVO) und  Datenübertragbarkeit (Art. 20 Abs. 1 DSGVO) sollten bekannt sein. Wichtig sind auch die Pflichten im Zusammenhang mit Datenschutzpannen, etwa die grundsätzlich zwingende Meldepflicht gegenüber der Aufsichtsbehörde (Art. 33 Abs. 1 DSGVO). Im Zusammenhang mit Drittdienstleistern, wie etwa Anbietern von Kanzleisoftware, wird eine Anpassung bzw. ein Abschluss von Auftragsverarbeitungsverträgen notwendig (Art. 28 Abs. 3 DSGVO).

Bestandsaufnahme: Prozesse prüfen und dokumentieren

Aufbauend auf dem datenschutzrechtlichen Knowhow sollte zunächst eine Bestandsaufnahme erfolgen. Sämtliche Prozesse in der Kanzlei, bei denen eine Datenverarbeitung stattfindet, sind zu identifizieren und im Anschluss, bspw. mit Hilfe einer Excel-Tabelle, zu systematisieren und zu dokumentieren. Hierbei sollten bereits Verarbeitungsvorgänge durch Drittdienstleister gekennzeichnet werden. Sinnvoll ist es, sich an dieser Stelle bereits an den Anforderungen des Verarbeitungsverzeichnisses zu orientieren. Ist diese „Kärrnerarbeit“ erst einmal akribisch und umfassend durchgeführt, dürfte ein mögliches Gefühl der Überforderung, allmählich in ein solches der Steuerbarkeit umschlagen. Ausgehend von der Dokumentation der Prozesse lassen sich die rechtlichen Vorgaben für die Praxis konkretisieren und umsetzen.

Umsetzung: Priorisierung als Mittel zum Erfolg

Bei der Umsetzung der datenschutzrechtlichen Vorgaben ist eine praxisgerechte Priorisierung das „A und O“. Eine praxistaugliche Priorisierung meint, die Vorgaben so umzusetzen, dass der Kanzleiinhaber nicht in seinem Tagesgeschäft beeinträchtigt wird, sich gleichzeitig aber auch nicht gegenüber den Aufsichtsbehörden angreifbar macht.

Aus der im Rahmen der Bestandsaufnahme erstellten Excel-Tabelle kann zunächst mit wenig Aufwand ein Verarbeitungsverzeichnis generiert werden. Soweit ein Datenschutzbeauftragter zu bestellen ist, bieten sich hierfür Musterformulare an. Auf die generelle Pflicht zur Information und das Recht des Betroffenen auf Auskunft sollte standardisiert, in Form von vorgefertigten Datenschutzerklärungen und Antwortschreiben, reagiert werden bzw. reagiert werden können. Hinsichtlich der Rechte auf Löschung und „Vergessenwerden“ ist ein Löschkonzept und Löschverzeichnis zu installieren. Faktische Maßnahmen zur Datensicherheit, bspw. bei der E-Mail-Nutzung sind zu ergreifen. Ebenso sollte ein Melde- und Dokumentationssystem für Datenpannen eingerichtet werden. Die Mitarbeiter sind in aktualisierter Form auf das Datengeheimnis zu verpflichten und datenschutzrechtlich zu schulen. Sinnvoll ist auch ein genereller Datenschutzleitfaden in der Kanzlei.


Produktempfehlung:

Im NWB Verlag ist ein auf die Tätigkeit von Steuerberatern zugeschnittener Praxisleitfaden zur Umsetzung der DSGVO erschienen:

Wickert/Potthoff, Das neue Datenschutzrecht in der Steuerberaterkanzlei: Praxisleitfaden zur Umsetzung der DSGVO

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

53 − = 49