Titelthema | Neue Regeln

Zeit zu handeln

DS-GVO

0Kommentare

Ab Mai 2018 gilt in der Euro­pä­ischen Union ein neues Daten­schutz­recht. Von der Um­set­zung betroffen sind auch die DATEV und ihre Mitglieder.

Vier Jahre dauerten die Verhandlungen auf europäischer Ebene für ein neues Datenschutzrecht, das in allen EU-Mitgliedstaaten unmittelbar gilt. Behörden und Unternehmen müssen ihre Prozesse, Regelwerke und vertraglichen Formulierungen anpassen und haben dazu nicht einmal mehr ein Jahr Zeit. Ein drastisch angehobener Sanktionsrahmen bis 20 Millionen Euro be­zie­hungs­weise bei Unternehmen bis zu vier Prozent des weltweiten Jahresumsatzes – je nachdem, welcher Betrag größer ist – lassen die Bedeutung erkennen, die der Gesetzgeber dem regelkonformen Umgang mit personenbezogenen Daten künftig zumisst.

Nationale Regelung

Der deutsche Gesetzgeber hat von seinen Regelungsmöglichkeiten ebenfalls Gebrauch gemacht. Mit dem Datenschutz-Anpassungs- und -Umsetzungsgesetz EU (DSAnpUG-EU) wurden er­for­der­liche Festlegungen zu Aufsichtsbehörden, zu Beschränkungen der Rechte der betroffenen Personen sowie zur Einschränkung der Befugnisse von Aufsichtsbehörden getroffen. Diese Regelungen finden sich im neuen Bundesdatenschutzgesetz (BDSG-neu) wieder. Es wird das bisherige BDSG ablösen und wie die DS-GVO ebenfalls ab dem 25. Mai 2018 gelten.

Was tut die DATEV?

Unter Koordination des Datenschutzbeauftragten der DATEV, Dr. Jörg Spilker, werden die Anforderungen und Vorgaben zur Umsetzung beziehungsweise zu den Anpassungen an die DS-GVO erarbeitet. Dabei werden die unterschiedlichen Rollen, die die DATEV bei der Verarbeitung personenbezogener Daten einnimmt, berücksichtigt:

  • als Verantwortliche, wenn etwa Daten der DATEV-Mitarbeiter oder Stammdaten von DATEV-Mitgliedern betroffen sind;
  • als Auftragsverarbeiter, der die Daten der jeweiligen Auftraggeber nach deren Weisungen verarbeitet, sowie
  • als Software-Hersteller, der Produkte anbietet, die einen regelkonformen Einsatz ermöglichen.

Die DS-GVO nimmt den Auftragsverarbeiter stärker in die Pflicht. Dieser wird mit mehr Dokumentations- und Nachweisaufgaben konfrontiert, die künftig zu erfüllen sind, etwa dem Nachweis der ordnungsgemäßen Beauftragung.

Vereinbarung zur Auftragsdatenverarbeitung

Die vertraglichen Grundlagen zur Abwicklung der Auftragsverarbeitung zwischen den Mitgliedern beziehungsweise Kunden (Auftraggeber) und der DATEV (Auftragsverarbeiter) werden an die neuen gesetzlichen Regelungen angepasst. Die DATEV wird eine neue Vereinbarung zur Auftrags­verarbeitung zur Verfügung stellen. Hierzu ist eine Zustimmung der Mitglieder und Kunden erforderlich, damit sie (Auftraggeber) und die DATEV (Auftragnehmer) den erweiterten Dokumentations- und Nachweispflichten der DS-GVO gerecht werden. Die Mitglieder und Kunden werden gesondert informiert. Anders als zur BDSG-Novelle 2009 können diese daten­schutz­recht­lichen Vertragsgrundlagen zur Abwicklung der Auftragsverarbeitung auch im „elektronischen Format“, also beispielsweise über die Zustimmung auf einer Internetseite, abgeschlossen werden.

Anforderungen an die Kanzleien

Aber nicht nur Unternehmen wie die DATEV sind von dem neuen Datenschutzrecht betroffen. Auch die Kanzleien selbst müssen sich mit der DS-GVO beschäftigen. Insbesondere die Kanzlei­prozesse sind auf den Prüfstand zu stellen. Das gilt zunächst für den Fall einer Datenpanne, die ab Mai 2018 binnen 72 Stunden der zuständigen Aufsichtsbehörde zu melden ist (Art. 33 Abs. 1 DS-GVO). Auch die möglichen Betroffenen sind unverzüglich zu informieren (Art. 34 Abs. 1 DS-GVO). Das setzt bestehende Mechanismen voraus, die sicherstellen, dass unmittelbar nach einem Vorfall alle notwendigen Maßnahmen ergriffen werden. Zunächst ist festzustellen, ob die Daten­panne zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt. Dann sind alle Personen zu ermitteln, die betroffen sein könnten. Schließlich ist der Vorfall zu dokumentieren und an die zuständige Aufsichtsbehörde zu melden. Der Bußgeldrahmen bei einem Verstoß gegen diese Vorgaben endet bei zehn Millionen Euro oder zwei Prozent des weltweiten Jahresumsatzes des Verantwortlichen (Art. 83 Abs. 4 DS-GVO).

Rechenschaftspflicht

Auch die Rechenschafts- beziehungsweise Nachweispflicht (Art. 5 Abs. 2 DS-GVO) wird Auswirkungen auf die Prozesse und Abläufe in den Kanzleien haben. Die verantwortliche Stelle muss nach Art. 5 Abs. 1 DS-GVO jederzeit nachweisen können, dass die Datenverarbeitung rechtmäßig erfolgt, etwa durch Einwilligungen oder Verträge mit dem Mandanten. Die Ver­ar­bei­tung darf nur für bestimmte und festgelegte Zwecke erfolgen und erhoben werden dürfen dafür nur die notwendigen Daten. Darüber hinaus muss es Maßnahmen geben, damit unrichtige Daten unverzüglich berichtigt oder gelöscht werden. Zudem darf man keine Daten mehr speichern, die nicht mehr benötigt werden. Schließlich ist nachzuweisen, dass personen­be­zogene Daten angemessen gegen unrechtmäßige Verarbeitung sowie un­be­ab­sich­tigten Verlust und unbeabsichtigte Zerstörung gesichert sind (technisch-organisatorische Maßnahmen). Der Bußgeldrahmen bei Verstößen gegen die Rechenschaftspflicht endet bei 20 Millionen Euro oder vier Prozent des weltweiten Jahresumsatzes der verantwortlichen Stelle (Art. 83 Abs. 5 DS-GVO). Der gleiche Bußgeldrahmen kommt auch zur Anwendung bei Verstößen gegen die Be­trof­fe­nen­rechte (Informationspflicht, Auskunftsrecht, Recht auf Berichtigung und Löschung). Deshalb bietet es sich auch hier an, entsprechende Prozesse einzuführen.

Datenschutzbeauftragte

Die Institution des Datenschutzbeauftragten (DSB) bleibt erhalten (§ 38 BDSG-neu in Verbindung mit Art. 37 DS-GVO). Die Qualifikation des DSB sollte auf Basis seiner Aufgaben nach Art. 39 DS-GVO gegebenenfalls noch einmal überprüft werden. Ab Mai 2018 sind die Kontaktdaten des Datenschutzbeauftragten zu veröffentlichen und den Aufsichtsbehörden zu melden (Art. 37 Abs. 7 DS-GVO).

Ausblick

DATEV-Consulting unterstützt Kanzleien und deren Mandanten ab dem zweiten Halbjahr 2017 mit der Beratung „Fit für die EU-Datenschutz-Grundverordnung“ bei der Identifizierung des Hand­lungs­bedarfs sowie der Vorbereitung auf das neue Recht. Mit der Dienstleistung „Der Daten­schutz­be­auftragte von DATEV“ bieten wir die Möglichkeit der Auslagerung dieser Tätigkeit und eine kompetente Begleitung durch das Datenschutzrecht. Aber auch internen Daten­schutz­be­auf­tragten bieten wir ein Unterstützungsangebot sowie Aus- und Weiter­bil­dungs­mög­lich­keiten an. Daher sollten alle Unternehmen und auch Kanzleien spätestens jetzt aktiv werden, denn die Bußgelder für Datenverstöße werden sich gegenüber heute in jedem Fall erhöhen – auch wenn der oben skizzierte Bußgeldrahmen aufgrund der Vorgaben des deutschen Ordnungs­widrig­kei­ten­rechts sicher nur in den seltensten Fällen ausgeschöpft werden wird.

Foto: Morsa Images, Science Photo Library, Westend61 / Getty Images

0Kommentare Neuen Kommentar verfassen
RonNobexems schrieb am 2017-10-17 02:52:36

Acyclovir 800 Mg Tablets For Sale Viagra Pressione Shallaki cialis Propecia Genuine Cialis 2 Day Delivery Cialis Viagra Alcool

Einen neuen Kommentar verfassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Die Zeit ist abgelaufen. Bitte Captcha neu laden!

"Bitte lösen Sie diese Rechenaufgabe, um Ihren Kommentar abzugeben."