Datenschutzbeauftragte - 25. Mai 2022

Externer Unterstützer

DATEV unterstützt den steuerlichen Berater auch bei der Einhaltung des Datenschutzes. Vor welchen Herausforderungen Kanzleien stehen und was die Genossenschaft auch für die IT-Sicherheit ihrer Mitglieder unternimmt, erläutert der Datenschutzbeauftragte Bernd Bosch.

Herr Bosch, Sie sind seit vielen Jahren im Außendienst von DATEV als externer Datenschutzbeauf­tragter im Einsatz. Wie muss ich mir einen typischen Arbeitstag vorstellen?

BOSCH: Datenschutz ist für den Berufsstand und für DATEV zentrale Grundvoraussetzung. Die Mandantinnen und Man­danten vertrauen einfach auf einen verlässlichen Daten­schutz. Datenpannen oder Datenschutzverstöße würden die­ses Vertrauen in den Grundfesten erschüttern. Durch die fortschreitende Digitalisierung werden immer mehr Daten in IT-Systemen verarbeitet. Deshalb steht das Thema natürlich im Fokus. Ich berate und unterstütze Kanzleien und Man­danten zu ihren Datenschutzpflichten, überwache deren Ein­haltung und schule Mitarbeiter. Das geschieht in regelmäßi­gen Terminen vor Ort – seit Pandemiezeiten auch per Video­konferenz – und in telefonischen Beratungen. Daneben gibt es weitere gesetzliche Aufgaben, wie zum Beispiel eine erste Anlaufstelle für die Aufsichtsbehörde einzurichten. Zudem bin ich Referent in Seminaren zur Ausbildung kanzleiinter­ner Datenschutzbeauftragter.

Lassen Sie uns über die DS-GVO sprechen. Seit 2018 hat sich sicher viel getan, es besteht aber weiterhin noch große Unsicherheit.

Das ist richtig. Unsere Mitglieder haben sich der Thematik sehr unterschiedlich angenommen. Wir hatten im Jahr 2018 einen regelrechten Run auf unser Angebot, durch einen exter­nen Datenschutzbeauftragten von DATEV betreut zu werden. Zeitweise konnten wir der starken Nachfrage nicht mehr nach­kommen und mussten unsere Kunden vertrösten. Mittlerweile haben wir unser Team vergrößert und können problemlos Ter­mine anbieten. Durch die große Nachfrage sieht man, dass sich der Berufsstand von Anfang an sehr intensiv mit der DS-GVO beschäftigt hat. Die Herangehensweisen variierten von abwartend und zögerlich bis zu sehr ambitioniert.

Viele Kanzleien haben sich also für ganz unterschiedliche Wege bei der Umsetzung der DS-GVO-Vorgaben entschie­den. Wie haben Sie das wahrgenommen?

Da gibt es in der Tat große Unterschiede. Zunächst einmal muss nicht jede Kanzlei oder jedes Unternehmen einen Datenschutz­beauftragten benennen. Das ist von der Anzahl derer abhängig, die ständig mit der automatisierten Verarbeitung von personen­bezogenen Daten beschäftigt sind, aber auch von einigen ande­ren Faktoren. Wichtig ist aber, dass alle Kanzleien und Unter­nehmen – unabhängig von der Pflicht zur Benennung eines Da­tenschutzbeauftragten – die Vorgaben der DS-GVO einhalten müssen. Und da beginnt die eigentliche Herausforderung.

Können Sie näher erläutern, worin die Unterschiede zwischen einem internen und einem externen Datenschutzbeauftragten bestehen?

Viele Kanzleien und Unternehmen haben jemanden aus den ei­genen Reihen benannt. Man spricht dann von einem internen Datenschutzbeauftragten. Der interne Datenschutzbeauftragte erscheint auf den ersten Blick kostengünstiger. Der Mitarbeiter ist ja ohnehin schon im Unternehmen beschäftigt. Das stimmt aber nur bedingt, denn natürlich fällt diese Person dann zeitwei­se für ihre eigentliche Tätigkeit aus. Es ergeben sich auch einige arbeitsrechtliche Besonderheiten. Der Datenschutzbeauftragte ist in seiner Tätigkeit gegenüber dem Arbeitgeber weisungsfrei. Außerdem genießt er einen besonderen Kündigungsschutz. Die regelmäßige Weiterbildung zum Erhalt der Fachkunde sorgt zum Teil für hohe Kosten und Ausfallzeiten. Da kommen monat­lich schnell mehrere Hundert Euro zusammen. Bei der Wahl ei­nes externen Datenschutzbeauftragten hingegen gilt es, auf ei­nem nahezu unüberschaubaren Markt einen seriösen Dienstleis­ter zu finden. Dieser Markt hat sich aufgrund der hohen Nachfra­ge durch die DS-GVO 2018 sprunghaft entwickelt. Von der One-Man-Show bis zu großen Beratungshäusern ist alles vertre­ten. Die Preise variieren allerdings erheblich. Oft sind Kosten in­transparent und die enthaltenen Leistungen nicht klar.

Welche Rolle spielen Sie in diesem ganzen Angebot?

Das muss letztendlich jeder Kunde für sich entscheiden. Von großem Vorteil ist, dass wir die Kanzleiprozesse unserer Mitglie­der sehr gut kennen sowie die vielfach eingesetzte DATEV-Soft­ware. Somit bieten wir eine Komplettlösung für unsere Kunden aus erster Hand, und das bei transparenten Kosten. Die Dienst­leistung wird über eine vereinbarte monatliche Pauschale abgerechnet. Dafür bekommen unsere Kunden eine sehr individuelle Betreuung. Im Hintergrund arbeitet ein ganzes Team von Daten­schützern, sodass wir auch Ausfallzeiten sehr gut ausgleichen können. Und im Datenschutz kommt es manchmal auf Stunden an – beispielsweise bei der Meldung von Datenschutzverstößen an die Aufsichtsbehörden oder bei Antwor­ten auf sogenannte Betroffenenanfragen. Im Paket ist neben der dauerhaften persönli­chen Betreuung ein Jahrestermin enthalten, bei dem wir vor Ort oder online aktuelle The­menstellungen besprechen. Zusätzlich be­kommen unsere Kunden ein umfangreiches Vorlagenpaket – wahlweise als ProCheck-Va­riante oder als Word-Vorlage, mit deren Hilfe den datenschutzrechtlichen Dokumentationspflichten nachge­kommen werden kann. Darüber hinaus sind in unserer Dienst­leistung die jährlich aktualisierten Lernvideos zur Mitarbeiter­sensibilisierung kostenfrei dabei. Kanzleien, bei denen keiner aus unserem Team als Datenschutzbeauftragter benannt ist, bie­ten wir selbstverständlich auch unsere Beratungsleistungen an, beispielsweise in Form einer Datenschutzanalyse. Übrigens sind wir als Datenschutzbeauftragte nicht nur für Kanzleien tätig, sondern auch in Unternehmen. Unser gesamtes Dienstleistungs­angebot gilt auch für Mandanten im sogenannten mitgliedsge­bundenen Mandantengeschäft.

Datenschutzverstöße müssen den Aufsichtsbehörden gemeldet werden. Was heißt das konkret?

Den Aufsichtsbehörden sind durch die datenschutzrechtlich Verantwortlichen binnen 72 Stunden seit Bekanntwerden Da­tenschutzverstöße zu melden, außer es liegt kein Risiko für die Betroffenen vor. Bei hohem Risiko sind auch die Betroffenen proaktiv zu informieren. Für die Erkennung von Datenschutz­verstößen und der Einschätzung daraus resultierender Risiken müssen in allen Kanzleien und Unternehmen entsprechende Prozesse vorhanden sein. Die Aufsichtsbehörden kommen aber auch dann ins Spiel, wenn Datenschutzverstöße von Drit­ten, etwa von Mandanten, Kunden oder Mitarbeitern, ange­zeigt werden. Zudem führen Aufsichtsbehörden regelmäßig Routineüberprüfungen bei zufällig ausgewählten Unterneh­men durch. Bei Verstößen kann es dann teilweise zu empfind­lichen Geldbußen kommen.

Welche Anlässe treiben die meisten um? Geben Sie uns abschließend ein kleines Fazit?

Meine Kunden vertrauen auf die schnelle Unterstützung bei Da­tenschutzverstößen und der Beurteilung, ob diese an die Auf­sichtsbehörde oder die Betroffenen gemeldet werden müssen. Anfragen dazu erreichen mich fast täglich. Ein großes Einfalls­tor für Datenschutzverstöße, nicht zuletzt seit Einführung des Telekommunikation-Telemedien-Datenschutz-Gesetzes im ver­gangenen Dezember, stellt aber auch die eigene Website dar. Hier seien nur die Stichwörter Cookies, Tracking-Tools und Google-Dienste, wie Google Analytics, Google Fonts oder Goog­le Maps, genannt. Es wird immer noch sehr viel falsch gemacht, interessanterweise auch von professionellen Webseitenerstellern. Deshalb haben wir un­ser Portfolio um eine Website-Analyse er­weitert. Neben der Datenschutzerklärung wird dabei auch der technische Aufbau der Seite auf veraltete Komponenten mit poten­ziellen Sicherheitslücken überprüft. Seit 2021 unterstützen wir unsere Kunden zu­dem bei der Durchführung von IT-Sicher­heits- und Datenschutz-Audits ihrer Man­danten, die immer häufiger vorkommen. Bei der Beantwortung dieser meist sehr um­fangreichen Fragebögen arbeiten wir eng mit anderen DATEV-Abteilungen zusammen. Da die Audits oftmals für den englisch­sprachigen Raum benötigt werden, stellen wir diese auf Nach­frage auch zweisprachig zur Verfügung. Weitere Highlights sind Beratungen zu Datenschutz im Homeoffice und zur Nut­zung von Cloud-Anwendungen, zum Beispiel Microsoft 365. Die Themen gehen uns jedenfalls nicht aus.

Mehr dazu

finden Sie unter www.datev.de/dsb:

Zum Autor

Robert Brütting

Rechtsanwalt in Nürnberg und Fachjournalist Recht sowie Redakteur beim DATEV magazin

Weitere Artikel des Autors