Praxis |

Sensible Daten schützen

DSGVO im Kanzleiumfeld

0Kommentare

Auch Steuer­be­rater und Anwälte unterliegen grund­sätzlich den neuen Daten­schutz­vor­schriften. Gleich­wohl gelten zu­guns­ten der Berufs­träger einige Aus­nahmen, da sie bei kon­se­quenter An­wen­dung der neuen Regeln gegen ihre Berufs­pflichten ver­stoßen würden.

Seit dem 25. Mai 2018 ist die bereits am 24. Mai 2016 in Kraft getretene europäische Datenschutz-Grundverordnung (DSGVO) zu beachten. Trotz einer zweijährigen Über­gangs­zeit bestehen bei vielen Steuerberatungs- und Rechtsanwaltskanzleien weiterhin Un­sicher­hei­ten im Hinblick auf die An­wend­bar­keit des Datenschutzes sowie die er­for­der­lichen Maßnahmen zum Schutz per­so­nen­be­zo­ge­ner Daten.

Was sind überhaupt personenbezogene Daten?

Der Begriff der personenbezogenen Daten wird in Art. 4 Abs. 1 DSGVO definiert. Danach betrifft der Datenschutz überhaupt nur solche Daten, die einen Personenbezug haben, die also Rückschlüsse auf eine bestimmte natürliche Person zulassen. Das ist bei­spiels­weise der Fall, wenn es sich um In­for­ma­tio­nen über persönliche oder finanzielle Verhältnisse einer Person handelt. Namen, Anschriften, Tele­fon­nummern, E-Mail-Adressen, IP-Adressen, Geburts­datum und Kontodaten eines Menschen sind hingegen die klassischen personenbezogenen Daten. In einer Steuerberatungs- oder Anwaltskanzlei werden meist zahlreiche weitere personenbezogene Daten, wie etwa Steuerdaten, Gehälter, Vermögen, familiäre Verhältnisse, intime Details, verarbeitet. Um keine personenbezogenen Daten handelt es sich hingegen bei finanziellen Kennzahlen einer Kapital­gesellschaft wie Umsatzzahlen, Lagerbestände oder Inventar.

Anwendung in den Kanzleien

Einige Steuerberater und Rechtsanwälte sind der Ansicht, die DSGVO sei aufgrund der ohnehin bestehenden standesrechtlichen Ge­heim­hal­tungs­pflichten nicht auf sie anwendbar. Doch unabhängig von besonderen Berufspflichten gelten die Daten­schutz­be­stim­mungen für jede natürliche oder juristische Person, die eigen­ver­ant­wort­lich oder im Auftrag eines Dritten personenbezogene Daten zumindest teilweise automatisiert verarbeitet, beispielsweise mithilfe von Computern. Das ist schon der Fall, wenn ein Praktikant Daten in den Computer eingibt. Folglich erfasst die DSGVO auch Steuer­be­rater und Anwälte. Für die Frage, ob die Ver­ord­nung für Anwälte und Steuerberater gilt, ist daher auch der Streit nicht weiter relevant, ob der Berufsträger Daten nur im Auftrag verarbeitet oder – so die mittlerweile überwiegende Meinung – eigenverantwortlich.

Die wichtigsten Neuerungen

Zunächst die gute Nachricht: Trotz der Neuregelung durch die DSGVO haben sich die seit über 40 Jahren geltenden Grundprinzipien des Datenschutzes nicht geändert – allen voran das Verbot mit Er­laub­nis­vor­be­halt, wonach die Verarbeitung personenbezogener Daten grundsätzlich verboten ist, wenn sie nicht ausnahmsweise auf eine rechtliche Grundlage gestützt werden kann. An Neuerungen bringt die DSGVO vor allem zahlreiche, auf den ersten Blick nicht so offensichtliche Pflichten mit sich. Der Verantwortliche muss innerhalb seines Betriebs lückenlos dafür sorgen, dass der Datenschutz auf allen Ebenen umgesetzt wird. Seine Maßnahmen muss er nachvollziehbar dokumentieren, indem er über die relevanten datenschutzrechtlichen Vorgänge ein Verzeichnis führt (Verfahrensverzeichnis). Zudem muss er sich regelmäßig fragen, ob seine Maß­nah­men zum Datenschutz (noch) wirksam sind, und anhand einer Folgenabschätzung die Risiken von Verstößen abschätzen und seine Maßnahmen laufend anpassen. Datenschutz ist also ein fortdauernder Prozess. Durch die neuen Prinzipien des Privacy by Design und Privacy by Default (Art. 25 DSGVO) ist der Datenschutz bereits bei der Entwicklung von neuen Technologien zu be­rück­sich­ti­gen. Zudem müssen Verantwortliche online sowie offline für daten­schutz­freund­liche Voreinstellungen sorgen, damit der Betroffene datenschutzfreundliche Einstellungen nicht selbst vornehmen muss. Besonders gravierend sind die hohen Bußgelder von bis zu 20 Millionen Euro oder vier Prozent des weltweiten Jahres­um­satzes, je nachdem, welcher Betrag höher ist. Damit gilt mit der DSGVO nun auch für Groß­kon­zerne ein äußerst empfindlicher Buß­geld­rahmen.

Hinweispflichten gegenüber Mandanten

Webseiten sind besonders anfällig für Abmahnungen, da sie für jedermann einsehbar sind.

Gemäß Art. 13 DSGVO ist jeder Mandant beim erstmaligen Erheben seiner personenbezogenen Daten – also bei erstmaliger Mandatsaufnahme – unter anderem darauf hinzuweisen, zu welchem Zweck welche Kategorien per­so­nen­be­zo­gener Daten erhoben werden, auf welcher Rechtsgrundlage die Daten­ver­ar­bei­tung erfolgt und vor allem, welche Rechte der Mandant im Hinblick auf seine Daten hat. Zu empfehlen ist hier ein sorgfältig erarbeitetes Hinweisblatt, das dem Mandanten bei Unter­zeich­nung der Mandatsunterlagen zur Kenntnisnahme ausgehändigt wird – selbstverständlich können die Daten­schutz­hinweise dem Mandanten auch vorab per E-Mail übermittelt werden. Gleiches gilt aber auch für eigene Mitarbeiter und externe Dienstleister, deren personenbezogene Daten die Kanzlei verarbeitet. Auch beim Aufruf der Kanzlei-Webseite – dem Aus­hänge­schild – werden personenbezogene Daten des jeweiligen Besuchs verarbeitet, was zu eben genannten Hinweispflichten führt. Webseiten sind besonders anfällig für Abmahnungen, da sie für jedermann einsehbar sind. Man sollte daher ein besonderes Augenmerk auf die Datenschutzhinweise legen.

Technisch-organisatorische Maßnahmen

Auch kanzleiintern gilt es, den Datenschutz auf allen Ebenen umzusetzen. Art. 32 DSGVO zwingt jeden Verantwortlichen, den Schutz personenbezogener Daten durch technische und organisatorische Maßnahmen (TOM) sicherzustellen. Daher müssen auch innerhalb der Kanzlei Maßnahmen getroffen werden, die eine unrechtmäßige Datenverarbeitung verhindern. Eine Selbstverständlichkeit ist, dass die Kanzleiräume zu keiner Zeit von Unbefugten betreten werden können. Akten dürfen im Publikumsbereich nicht frei herumliegen. Die Kanzlei hat stets den vollständigen Überblick über sämtliche Schlüssel und Schlüsselkarten zu behalten. Aber auch innerhalb der Räume ist zu gewährleisten, dass nur diejenigen Zutritt zu vertraulichen Daten haben, die dazu befugt sind, zum Beispiel im Server-Raum oder in der Buchhaltung. Um die IT-Sicherheit zu gewährleisten, sind alle Daten nach dem aktuellen Stand der Technik gegen unbefugten Zugriff zu sichern, etwa durch Passwortschutz, Verschlüsselung oder Firewall. Hierbei muss die Kanzlei ihren IT-Dienstleister verpflichten, für die entsprechende Umsetzung der technischen An­for­de­rungen zu sorgen und das auch zu dokumentieren. Damit diese Maßnahmen nicht nur auf dem Papier stehen, müssen alle Angestellten der Kanzlei über die sie betreffende Daten­ver­ar­bei­tung informiert und vertraglich zur Beachtung der geltenden Datenschutzgesetze verpflichtet werden, etwa im Arbeitsvertrag oder per Dienstanweisung. Kritisch zu bewerten ist insbesondere die Nutzung von privaten Mobil­te­le­fonen zu betrieblichen Zwecken, wenn sich darauf Dienste wie WhatsApp befinden, die auf die Kontaktdaten von Mandanten zugreifen und diese Daten ins Ausland übermitteln.

Löschkonzept und Notfallplan

Ferner muss die Kanzlei ein Löschkonzept erarbeiten, das gewährleistet, dass per­so­nen­be­zogene Daten regelmäßig daraufhin überprüft werden, ob sie noch benötigt werden. Ist Letzteres nicht der Fall, fehlt es an einer Rechtsgrundlage und die Daten sind zu löschen. Auch andere im Unternehmen tätige Personen, wie zum Beispiel Hausmeister, Fenster­putzer oder Reinigungspersonal, sind vertraglich zur Geheimhaltung zu verpflichten. Zudem ist zu gewährleisten, dass solche Personen keinen Zugriff auf vertrauliche Daten, wie etwa Akten oder Server-Raum haben. Auftragsverarbeiter – etwa IT-Firmen, Webhoster und andere – sind gemäß Art. 28 DSGVO vertraglich zur Einhaltung ihrer daten­schutz­recht­lichen Pflichten als Auftrags­ver­ar­beiter zu ver­pflichten. Für den Fall, dass trotz Beachtung der eben genannten Ausnahmen Daten unrechtmäßig verarbeitet werden, muss ein Notfallplan existieren, der gewährleistet, dass die Verletzung des Datenschutzes innerhalb von 72 Stunden an die entsprechende Aufsichtsbehörde gemeldet wird, wie es Art. 33 DSGVO vorschreibt.

Verträge mit Auftragsverarbeitern

Wie eingangs bereits erwähnt, betrifft die DSGVO auch Auftragsverarbeiter. Damit die Ver­ant­wort­lich­keits­kette lückenlos ist, muss der Verantwortliche – hier die Kanzlei – auch Dritte, die Daten in seinem Auftrag verarbeiten, vertraglich zur Einhaltung des Datenschutzes verpflichten. Verstößt der Auftrags­ver­ar­beiter gegen diese Pflichten, hat der Betroffene Ansprüche sowohl gegen den Ver­ant­wort­lichen als auch gegen den Auf­trags­ver­ar­beiter.

Benennung eines Datenschutzbeauftragten

Sofern der Verantwortliche nicht weniger als zehn Personen beschäftigt (dazu zählen auch Teil­zeit­be­schäf­tig­te, freie Mitarbeiter oder Praktikanten), zwingen Art. 37 DSGVO und § 38 Bundes­daten­schutz­gesetz (BDSG) den Verantwortlichen regelmäßig zur Bestellung eines Daten­schutz­be­auf­trag­ten, also einer Person, die im Unternehmen weisungsfrei für die Einhaltung des Datenschutzes sorgt und die dafür notwendige Sach­kom­pe­tenz mitbringt. Die Benennung des Daten­schutz­be­auftragten ist der Behörde un­auf­ge­fordert zu melden.

Verarbeitungsverzeichnis

Damit Aufsichtsbehörden bei Anfragen oder Meldungen schnell und einfach erkennen können, ob ein Steuerberater oder Rechtsanwalt daten­schutz­konform agiert, zwingt Art. 30 DSGVO jeden Verantwortlichen, der nicht nur gelegentlich automatisiert personenbezogene Daten verarbeitet, zum Führen eines sogenannten Ver­ar­bei­tungs­ver­zeich­nisses. Mit diesem Verzeichnis beschreibt jeder Verantwortliche tabellarisch, welche Kategorien per­so­nen­be­zogener Daten er verarbeitet, welche Kategorien an Personen von der jeweiligen Datenverarbeitung betroffen sind und welche technisch-organisatorischen Maßnahmen er zum Schutz personenbezogener Daten trifft. Die technischen Maßnahmen werden meist als Anlage beigefügt. Dieses Verzeichnis muss nahezu jeder Verantwortliche führen, weil eine automatisierte Datenverarbeitung bereits vorliegt, wenn manuell Daten in einen Computer eingetippt werden. Ein Muster für ein Verarbeitungsverzeichnis stellt beispielsweise der Deutsche Anwaltverein auf seiner Website zur Verfügung.

Beschränkte Befugnisse der Aufsichtsbehörden

Grundsätzlich haben Aufsichtsbehörden gemäß Art. 58 DSGVO sehr weitgehende Befugnisse, wie etwa Zugriff auf Informationen, Datenschutzprüfungen vor Ort einschließlich Zugang zu allen Informationen und Daten und Zutritt zu den jeweiligen Räumlichkeiten. Da es sich aber bei Rechtsanwälten und Steuer­be­ra­tern um geheim­hal­tungs­pflichtige Personen handelt, die sich bei Verletzung ihrer Geheim­hal­tungs­pflichten gemäß § 203 Strafgesetzbuch (StGB) strafbar machen würden, schränkt § 29 Abs. 3 BDSG die Befugnisse der Auf­sichts­be­hörden deutlich ein. Rechtsanwälte und Steuerberater müssen Aufsichtsbehörden keinen Zutritt zu den Kanzleiräumen und keinen Zugang zu mandatsbezogenen Daten oder Informationen, wie zum Beispiel Handakten, gewähren.

Beschränkung des Informationsanspruchs

Zudem enthält Art. 14 Abs. 5d DSGVO für alle Berufsträger eine Ausnahme von der allgemeinen Pflicht, den Betroffenen vor Erhebung seiner personenbezogenen Daten auf die Daten­ver­ar­bei­tung hinzuweisen. Geheimhaltungspflichtige Berufsträger müssen einen Betroffenen, zum Beispiel einen Gegner, nicht darüber informieren, dass sie ihn betreffende personenbezogene Daten übermittelt bekommen haben. Das ist logisch, denn der Rechtsanwalt oder Steuerberater würde gegen seine Geheimhaltungspflichten verstoßen und sich gemäß § 203 StGB strafbar machen, wenn er den Dritten über die Aufnahme des Mandatsverhältnisses informiert, ohne dass der Mandant dem zustimmt. Aber auch der Mandant muss vor der Übermittlung per­so­nen­be­zogener Daten, die einen Dritten betreffen, zum Beispiel den Gegner oder Beteiligten eines Rechtsstreits, gemäß § 29 Abs. 2 BDSG nicht informieren. Denn die Erfüllung der Hinweis­pflichten könnte das Man­dats­ver­hält­nis sowie eine effektive Rechts- beziehungsweise Steuerberatung gefährden – der Mandant ist nicht verpflichtet, sein Mandatsverhältnis offenzulegen.

Beschränkung weiterer Betroffenenrechte

Auch weitere Rechte des Betroffenen sind eingeschränkt. Steuerberater und Rechtsanwälte sind gemäß § 29 Abs. 1 BDSG nicht verpflichtet, einer von der Datenverarbeitung betroffenen Person Auskunft gemäß Art. 15 DSGVO darüber zu erteilen, ob und gegebenenfalls welche personenbezogenen Daten sie im Rahmen des Mandats­ver­hält­nisses zu dessen Person erhoben haben. Beschränkt wird ferner das Benachrichtigungsrecht nach Art. 34 DSGVO. Kommt es zu Datenschutzverstößen, müssen Betroffene wegen § 29 Abs. 1 Satz 3 DSGVO ausnahmsweise nicht darüber benachrichtigt werden, wie es an sich Art. 34 DSGVO vorsieht.

Wer hilft bei der Umsetzung in der Kanzlei?

Wichtige Schritte können Steuerberater und Rechtsanwälte –vor allem im Fall von kleineren Kanzleien – zunächst selbst erledigen. So können sie selbstständig ihren Datenschutzbeauftragten benennen und die ihnen obliegenden Hin­weis­pflichten gegen­über den Betroffenen erfüllen. Muster finden sich im Netz zuhauf. Das Anlegen des Ver­ar­bei­tungs­ver­zeich­nisses ist schon etwas aufwendiger, aber unerlässlich. Bei den technisch-or­ga­ni­sa­to­rischen Maßnahmen hilft zumeist der IT-Dienstleister. Externe Dienstleister stellen in der Regel selbst Verträge zur Auftragsverarbeitung bereit. Größere Unternehmen tun gut daran, einen externen Datenschutzbeauftragten zu verpflichten, der die notwendige Expertise hat, ein unternehmensinternes Audit durch­zu­führen, um die Schwachstellen (Gap) festzustellen und diese zu schließen. Ebenso können auf Datenschutz spezialisierte Rechtsanwälte weiter­helfen.

Fotos: Marcin Jastrzebski / Getty Images

0Kommentare Neuen Kommentar verfassen

Einen neuen Kommentar verfassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.