Datenschutz - 18. April 2017

Herausforderung und Chance

Seminarangebote, Fach­artikel, Son­der­aus­gaben von Zeit­schriften: Das Thema Daten­schutz scheint in der Wahr­neh­mung in eine andere Liga vor­ge­stoßen zu sein. Grund dafür ist die Daten­schutz-Grund­ver­ord­nung, die ab Mai 2018 un­mittel­bar gelten wird.

Verschärfte Sanktionen bis zu 20 Millionen Euro beziehungsweise vier Prozent des weltweiten Jahresumsatzes lassen deutlich werden, dass durch den europäischen Gesetzgeber der Grundrechtsschutz der personenbezogenen Daten in Zeiten von Big Data und digitalen Datenspuren sehr wichtig genommen wird. Für Unternehmen und Kanzleien bedeutet das die Prüfung und eventuelle Anpassung von bestehenden Verarbeitungen, internen Prozessen, Verträgen und Einwilligungen.

Europaweit einheitliche Vorgaben

Die letzte große Änderung im Datenschutzrecht erfolgte in Deutschland 2009 mit der Novelle II des Bundesdatenschutz­gesetzes (BDSG). In deren Umsetzung wurden unter anderem die vertraglichen Anforderungen an die Auftragsdatenverarbeitung sehr detailliert vorgegeben. Verstöße dagegen werden aktuell mit einem Bußgeld bis 50.000 Euro gegenüber dem Auftraggeber bewehrt. Im Rahmen der Datenschutz-Grundverordnung (DS-GVO) werden auch diese Vorgaben ab Mai 2018 ­ab­gelöst durch europaweit einheitliche datenschutzrechtliche Regelungen für die Einbindung von Dienstleistern bei der Verarbeitung personenbezogener Daten. Bis zu diesem Zeitpunkt sollten dann auch alle vertraglichen Grundlagen auf die neuen rechtlichen Anforderungen umgestellt sein.

DATEV kümmert sich

Bei Auftragsverarbeitern wie DATEV, die standardisierte Leistungen einem sehr großen Kundenkreis anbieten, wird das idealerweise durch den Dienstleister erfolgen. Nicht zuletzt deshalb beschäftigt sich die Genossenschaft intensiv mit den Änderungen, die sich durch die DS-GVO ergeben. In verschiedenen Projekten werden die Auswirkungen der Verordnung auf Verträge, Prozesse und Dienstleistungen analysiert und bewertet. Erforderliche Änderungen müssen bis Mai 2018 durch eine rechtskonforme Gestaltung beziehungsweise Anpassung rechtlicher Grundlagen, interner Prozesse und Dokumentationen umgesetzt sein. Zu berücksichtigen sind dabei auch rechtliche Vorgaben, die der nationale Gesetzgeber im Rahmen der DS-GVO noch selbst regeln kann und auch regeln wird. Beispiele sind die Benennungspflicht von Datenschutzbeauftragten, der Beschäftigtendatenschutz oder Leitlinien der europäischen Aufsichts­behörden, die für die Auslegung und Umsetzung heranzuziehen sind. Das ist insbesondere erforderlich mit Blick auf Vorgaben, für die es bislang noch keine bewährten Anhaltspunkte gibt, wie etwa eine Bewertung der Risiken für die Freiheiten und Rechte der betroffenen Person, die durch eine Datenverarbeitung entstehen können.

Berufsrechtliche Aspekte

Dabei ist immer im Blick zu halten, in welchem Kontext die Datenverarbeitung erfolgt: Ein Auftragsverarbeiter kann dieses Risiko beispielsweise nur in Abhängigkeit der Vorgaben des jeweiligen Auftraggebers bewerten, hat dabei aber hinsichtlich der angemessenen Schutzmaßnahmen häufig die speziellere Expertise. Schließlich sind im Fall der DATEV auch berufsrechtliche Gesichtspunkte bei den Daten aus dem Mandatsverhältnis zu berücksichtigen. Im Ergebnis müssen daher Prozesse definiert werden, die ausgehend von dem jeweiligen Risiko für die Rechte und Freiheiten der betroffenen Person geeignete Schutzmaßnahmen unter Berücksichtigung der jeweiligen Eintrittswahrscheinlichkeit und Schwere der Verletzung vorsehen, um den Anforderungen der DS-GVO nachzukommen.

Konsequenzen

Das wird bei den Berufsgeheimnisträgern selbst zu einer Überprüfung und gegebenenfalls Anpassung der Prozesse führen müssen. Auch die Verarbeitung personenbezogener Daten im Rahmen der Mandatsbetreuung wird davon betroffen sein. Denn die Mandanten werden künftig noch stärker als bisher auf eine regelkonforme Verarbeitung ihrer Daten beim Steuerberater, Wirtschaftsprüfer oder Rechtsanwalt achten und diesbezüglich auch gelegentlich Fragen stellen. Sowohl innerhalb der Kanzlei als auch bei der Einbindung von Dienstleistern wird hier ein stärkeres Augenmerk darauf zu legen sein, die Datenschutzkonformität in einer nachweisfähigen Weise zu dokumentieren.

Ausblick

Es darf bei der Prüfung der Anforderungen und deren Um­setzung nicht außer Acht gelassen werden, dass die Mitgliedstaaten auch Regelungsbefugnisse erhalten haben, die sie über nationales Recht selbst ausüben dürfen. Das betrifft etwa den Beschäftigtendatenschutz, aber auch die Berücksichtigung berufsrechtlicher Verschwiegenheitspflichten bei den Rechten der Betroffenen beziehungsweise die Einschränkung der Befugnisse der Aufsichtsbehörden gegenüber Berufsgeheimnisträgern. Die Bundesregierung hat bereits deutlich gemacht, dass sie diese Regelungsmöglichkeit nutzen will, und am 1. Februar den Entwurf des Datenschutz-Anpassungs- und -Umsetzungsgesetzes EU (DSAnpUG-EU) auf den Weg gebracht. Mit diesem Gesetz wird auch das BDSG zum 25. Mai 2018 neu gefasst. Der Entwurf des künftigen BDSG ist bereits sehr starker Kritik ausgesetzt, zum einen mit Blick auf die Rechte der öffentlichen Stellen und die Einschränkung der Rechte der Betroffenen, zum anderen wegen der Regelung des Beschäftigtendatenschutzes sowie der Beschränkung von Rechten der Aufsichtsbehörden. Gleichwohl wird das neue Datenschutzrecht über die DS-GVO und das darauf abgestimmte BDSG ab dem 25. Mai 2018 unmittelbar für alle Unternehmen und Kanzleien anzuwenden sein.

Foto: Oez/Getty Images

Zum Autor

JS
Dr. Jörg Spilker

Datenschutzbeauftragter und leitender Angestellter im Bereich Datenschutz und Informationssicherheit, DATEV eG

Weitere Artikel vom Autor