Perspektiven |

Herausforderung und Chance

Datenschutz

0Kommentare

Seminarangebote, Fach­artikel, Son­der­aus­gaben von Zeit­schriften: Das Thema Daten­schutz scheint in der Wahr­neh­mung in eine andere Liga vor­ge­stoßen zu sein. Grund dafür ist die Daten­schutz-Grund­ver­ord­nung, die ab Mai 2018 un­mittel­bar gelten wird.

Verschärfte Sanktionen bis zu 20 Millionen Euro beziehungsweise vier Prozent des weltweiten Jahresumsatzes lassen deutlich werden, dass durch den europäischen Gesetzgeber der Grundrechtsschutz der personenbezogenen Daten in Zeiten von Big Data und digitalen Datenspuren sehr wichtig genommen wird. Für Unternehmen und Kanzleien bedeutet das die Prüfung und eventuelle Anpassung von bestehenden Verarbeitungen, internen Prozessen, Verträgen und Einwilligungen.

Europaweit einheitliche Vorgaben

Die letzte große Änderung im Datenschutzrecht erfolgte in Deutschland 2009 mit der Novelle II des Bundesdatenschutz­gesetzes (BDSG). In deren Umsetzung wurden unter anderem die vertraglichen Anforderungen an die Auftrags­daten­ver­ar­beitung sehr detailliert vorgegeben. Verstöße dagegen werden aktuell mit einem Bußgeld bis 50.000 Euro gegenüber dem Auftraggeber bewehrt. Im Rahmen der Datenschutz-Grund­ver­ordnung (DS-GVO) werden auch diese Vorgaben ab Mai 2018 ­ab­gelöst durch europaweit einheitliche datenschutzrechtliche Regelungen für die Einbindung von Dienst­leistern bei der Verarbeitung personenbezogener Daten. Bis zu diesem Zeitpunkt sollten dann auch alle vertraglichen Grundlagen auf die neuen rechtlichen An­for­de­rungen umgestellt sein.

DATEV kümmert sich

Bei Auftragsverarbeitern wie DATEV, die standardisierte Leistungen einem sehr großen Kundenkreis anbieten, wird das idealerweise durch den Dienstleister erfolgen. Nicht zuletzt deshalb beschäftigt sich die Genossenschaft intensiv mit den Änderungen, die sich durch die DS-GVO ergeben. In verschiedenen Projekten werden die Auswirkungen der Verordnung auf Verträge, Prozesse und Dienstleistungen analysiert und bewertet. Erforderliche Änderungen müssen bis Mai 2018 durch eine rechtskonforme Gestaltung beziehungsweise Anpassung rechtlicher Grundlagen, interner Prozesse und Doku­men­ta­tionen umgesetzt sein. Zu berücksichtigen sind dabei auch rechtliche Vorgaben, die der nationale Gesetz­geber im Rahmen der DS-GVO noch selbst regeln kann und auch regeln wird. Beispiele sind die Be­nen­nungs­pflicht von Daten­schutz­be­auf­trag­ten, der Beschäftigtendatenschutz oder Leitlinien der europäischen Aufsichts­behörden, die für die Auslegung und Umsetzung heranzuziehen sind. Das ist insbesondere erforderlich mit Blick auf Vorgaben, für die es bislang noch keine bewährten Anhaltspunkte gibt, wie etwa eine Bewertung der Risiken für die Freiheiten und Rechte der betroffenen Person, die durch eine Daten­ver­ar­beitung entstehen können.

Berufsrechtliche Aspekte

Dabei ist immer im Blick zu halten, in welchem Kontext die Datenverarbeitung erfolgt: Ein Auftragsverarbeiter kann dieses Risiko beispielsweise nur in Abhängigkeit der Vorgaben des jeweiligen Auftraggebers bewerten, hat dabei aber hinsichtlich der angemessenen Schutz­maß­nahmen häufig die speziellere Expertise. Schließlich sind im Fall der DATEV auch berufsrechtliche Gesichtspunkte bei den Daten aus dem Mandatsverhältnis zu berücksichtigen. Im Ergebnis müssen daher Prozesse definiert werden, die ausgehend von dem jeweiligen Risiko für die Rechte und Freiheiten der betroffenen Person geeignete Schutzmaßnahmen unter Berücksichtigung der jeweiligen Eintrittswahrscheinlichkeit und Schwere der Verletzung vorsehen, um den An­for­de­rungen der DS-GVO nachzukommen.

Konsequenzen

Das wird bei den Berufsgeheimnisträgern selbst zu einer Überprüfung und ge­ge­be­nen­falls Anpassung der Prozesse führen müssen. Auch die Verarbeitung per­so­nen­be­zo­gener Daten im Rahmen der Mandatsbetreuung wird davon betroffen sein. Denn die Mandanten werden künftig noch stärker als bisher auf eine regelkonforme Verarbeitung ihrer Daten beim Steuerberater, Wirtschaftsprüfer oder Rechtsanwalt achten und diesbezüglich auch gelegentlich Fragen stellen. Sowohl innerhalb der Kanzlei als auch bei der Einbindung von Dienst­leistern wird hier ein stärkeres Augenmerk darauf zu legen sein, die Datenschutzkonformität in einer nachweisfähigen Weise zu dokumentieren.

Ausblick

Es darf bei der Prüfung der Anforderungen und deren Um­setzung nicht außer Acht gelassen werden, dass die Mitgliedstaaten auch Regelungsbefugnisse erhalten haben, die sie über nationales Recht selbst ausüben dürfen. Das betrifft etwa den Be­schäf­tig­ten­daten­schutz, aber auch die Berücksichtigung berufsrechtlicher Ver­schwie­gen­heits­pflichten bei den Rechten der Betroffenen beziehungsweise die Einschränkung der Befugnisse der Aufsichtsbehörden gegenüber Berufs­ge­heim­nis­trägern. Die Bundes­regierung hat bereits deutlich gemacht, dass sie diese Regelungsmöglichkeit nutzen will, und am 1. Februar den Entwurf des Datenschutz-Anpassungs- und -Umsetzungs­gesetzes EU (DSAnpUG-EU) auf den Weg gebracht. Mit diesem Gesetz wird auch das BDSG zum 25. Mai 2018 neu gefasst. Der Entwurf des künftigen BDSG ist bereits sehr starker Kritik ausgesetzt, zum einen mit Blick auf die Rechte der öffentlichen Stellen und die Einschränkung der Rechte der Betroffenen, zum anderen wegen der Regelung des Beschäftigtendatenschutzes sowie der Beschränkung von Rechten der Aufsichts­behörden. Gleichwohl wird das neue Datenschutzrecht über die DS-GVO und das darauf abgestimmte BDSG ab dem 25. Mai 2018 unmittelbar für alle Unternehmen und Kanzleien anzuwenden sein.

Foto: Oez/Getty Images

0Kommentare Neuen Kommentar verfassen

Einen neuen Kommentar verfassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Die Zeit ist abgelaufen. Bitte Captcha neu laden!

"Bitte lösen Sie diese Rechenaufgabe, um Ihren Kommentar abzugeben."