Am 28. Januar 1981 hat der Europarat das Übereinkommen zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten abgeschlossen. Diese Konvention Nr. 108 ist seitdem die Basis europäischer Datenschutzgrundsätze, sodass seit 2007 der Europäische Datenschutztag begangen wird.
Mit dem Übereinkommen wollten die unterzeichnenden Staaten den Datenschutz im Geltungsbereich der Konvention sicherstellen. Angesichts des zunehmenden grenzüberschreitenden Datenverkehrs sollte innerhalb der Unterzeichnerstaaten ein einheitliches Datenschutzniveau hergestellt werden. Im Hintergrund stand aber auch die Erwägung, dass ein übertriebener Datenschutz den Informationsaustausch zwischen den einzelnen Staaten hemmen könnte. In Deutschland gab es bereits seit 1977 das bundesweit geltende Bundesdatenschutzgesetz (BDSG). Ziel des Übereinkommens sollte sein, die Rechte und Grundfreiheiten – insbesondere die Persönlichkeitsrechte – der in ihrem Hoheitsgebiet lebenden Menschen bei der automatisierten Verarbeitung personenbezogener Daten zu schützen und zugleich den freien Datentransfer in andere Unterzeichnerstaaten grundsätzlich zu erlauben.
Grundsätze seit 1981
Wesentliche Datenschutzprinzipien wurden damals auf europäischer Ebene herausgearbeitet, um sie anschließend in innerstaatliches Recht umzusetzen. Darunter fielen der Grundsatz der Datenverarbeitung nach Treu und Glauben, der Zweckbindungsgrundsatz, das Erforderlichkeitsprinzip sowie der Informationsanspruch des Betroffenen, dessen Berichtigungsanspruch, aber auch dessen Recht, Rechtsmittel einzulegen. Diese Grundsätze gelten gemäß der Konvention nur für personenbezogene Daten, die automatisiert verarbeitet werden. Personenbezogene Daten, die ausschließlich manuell verarbeitet werden, wie etwa Mitarbeiterdaten in Personalakten, waren vom damaligen Scope noch nicht umfasst. Durch die Richtlinie 95/46/EG aus dem Jahr 1995 gab es dann europaweite Vorgaben zum Datenschutzrecht, das bis 1998 durch die Mitgliedstaaten umzusetzen war. Es folgten unterschiedliche Herangehensweisen in den am Ende 28 Mitgliedstaaten, wodurch die Ziele der europäischen Datenschutzregularien – Schutz der natürlichen Person und freier Datenverkehr – nicht erreicht werden konnten. Letztlich gab auch der technologische Fortschritt Anlass, Europa auf ein gemeinsames Umsetzungsniveau zu heben. Eine europäische Verordnung gilt unmittelbar, also ohne weitere Umsetzungsakte der Mitgliedstaaten. Die Datenschutz-Grundverordnung (DSGVO) löste die Richtlinie 95/46/EG dann 2018 ab, behielt jedoch deren Ziele bei. Doch wie hat sie sich entwickelt?
Neues Recht mit neuen Regelungen
Zwar änderten sich die Grundsätze nicht, aber es kamen neue, detailliertere Anforderungen hinzu. Die Meldepflichten bei Datenschutzverstößen, die nur ein kleines Risiko für die betroffenen Personen darstellen, die Erweiterung des Detaillierungsgrads bei den Informationspflichten sowie das Recht auf Datenübertragbarkeit. Hinzu kam auch eine unsichere Rechtslage durch noch nicht geklärte Interpretationen auf europäischer Ebene: die unzureichende Umsetzung von Gestaltungsmöglichkeiten sowie weiterhin nicht vorhandene Ergänzungen angepasster datenschutzrechtlicher Regularien im Bereich der elektronischen Kommunikation durch die noch ausstehende E-Privacy-Verordnung. Aus Sicht der Anwender eine äußerst unbefriedigende Situation.
Behördenflut
In Deutschland kümmern sich mindestens 18 Datenschutzaufsichtsbehörden um die Kontrolle, wobei sie sich in den wesentlichen Fragen erst einigen müssen. Neben den Datenschutzaufsichtsbehörden der Bundesländer – in Bayern sind sie getrennt nach öffentlichen und nicht öffentlichen Stellen – ist das noch der Bundesbeauftragte für Datenschutz und Informationsfreiheit, der für Bundesbehörden sowie für Unternehmen zuständig ist, die früher ihre Leistungen als Staatseinrichtungen erbrachten, wie etwa die Bahn, die Telekom oder die Post. Hinzu kommen noch die Aufsichtsbehörden für Rundfunkanstalten, aber auch für die kirchlichen Einrichtungen, die über Art. 91 DSGVO ihre eigenen Regelungen sowie Aufsichten behalten konnten. So verwundert es nicht, dass es zwischen den unterschiedlichen Behörden zu differenzierenden Auslegungen bei noch nicht entschiedenen Fragestellungen kam.
Vorgaben für steuerliche Berater
Das betraf auch das Mandatsverhältnis der Steuerberater, inwieweit hier eine weisungsabhängige Tätigkeit und eine damit verbundene Auftragsverarbeitung anzunehmen sei. Letztlich musste der Gesetzgeber durch eine Klarstellung in § 11 Steuerberatungsgesetz eingreifen. Nun ist klar, dass Steuerberater aufgrund ihrer weisungsfreien Berufsausübung nicht als weisungsabhängige Auftragsverarbeiter zu klassifizieren sind. Gleichwohl aber müssen sich auch die Steuerberater an die Vorgaben der DSGVO halten. Dies betrifft sowohl die bei ihnen beschäftigten Personen wie auch die Daten, die sie im Rahmen des Mandatsverhältnisses verarbeiten. Insoweit sind angemessene Schutzmaßnahmen zu ergreifen, die sich nach Art. 32 DSGVO richten.
Angemessene Schutzmaßnahmen
Die Vertraulichkeit sicherzustellen, ist für Berufsgeheimnisträger Tagesgeschäft, droht doch eine Strafbarkeit nach § 203 Abs. 1 Strafgesetzbuch (StGB) im Falle einer unbefugten Offenbarung. Und jederzeit auf die erforderlichen Daten zugreifen zu können, liegt ebenfalls im Interesse des Steuerberaters, da er für sich und den Mandanten die Verfügbarkeit der jeweils erforderlichen Daten stets gewährleisten muss. Das Bayerische Landesamt für Datenschutzaufsicht hat im Herbst 2020 eine generische Übersicht für mögliche Schutzmaßnahmen veröffentlicht, die für verschiedene Situationen verwendet werden können und die sich an den Vorgaben des Art. 32 DSGVO orientieren. Diese Maßnahmen werden nun allein aufgrund der DSGVO angepasst. Die Auswahl, was angemessen ist, orientiert sich nun am risikobasierten Ansatz hinsichtlich der Rechte und Freiheiten natürlicher Personen, deren Daten verarbeitet werden. Und auch für Unternehmensdaten, die einer berufsrechtlichen Schweigepflicht unterliegen, sind Schutzmaßnahmen erforderlich, die sich daraus ableiten können.
Bewahrung vor staatlichem Zugriff
Berufsgeheimnisträger unterliegen zwar der datenschutzrechtlichen Aufsicht, jedoch hat der europäische Gesetzgeber die Kollision erkannt, die sich aus einer staatlichen Aufsichtsbehörde und einer berufsrechtlichen Verschwiegenheit in Verbindung mit einem Zeugnisverweigerungsrecht ergeben kann. Daher wurde den Mitgliedstaaten über den Art. 90 DSGVO eingeräumt, die Befugnisse der Datenschutzaufsichtsbehörden einzuschränken, sofern dies notwendig und verhältnismäßig ist, um das Recht auf Schutz der personenbezogenen Daten mit der Pflicht zur Geheimhaltung in Einklang zu bringen. Diese Berechtigung gilt aber nur, wenn die Aufsichtsbehörden aufgrund der ihnen übertragenen Befugnisse mit der Pflicht zur Geheimhaltung kollidieren würden. Der deutsche Gesetzgeber schränkt daher auch die Befugnisse der deutschen Aufsichtsbehörden in § 29 Abs. 3 BDSG gegenüber den in § 203 Abs. 1, 2a und 3 StGB zur Verschwiegenheit Verpflichteten ein. Dies geschieht, wenn die Inanspruchnahme der Befugnisse mit Blick auf die zur Verfügung gestellten Informationen oder den Zugang zu Räumlichkeiten zu einem Verstoß gegen die Geheimhaltungspflichten der betreffenden Person führen würde.
Erhöhung des Aufwands
In vielen Unternehmen und Kanzleien hat sich der Aufwand erhöht, nicht allein, weil die Anforderungen gestiegen sind, sondern weil das Bewusstsein für die Belange sowie die Konsequenzen im Falle einer Nichterfüllung bedrohlicher geworden sind. Schon vor der DSGVO gab es für die Unternehmen Dokumentations- und Nachweispflichten, die – sofern sie nicht umgesetzt wurden – mit Einführung der neuen Verordnung zu einem Mehraufwand führten. Insoweit ist ein Datenschutzmanagement Grundlage dafür, die erforderlichen Schutzmaßnahmen am richtigen Platz einzuführen. Geschulte Mitarbeiter wissen im Fall der Fälle, wie sie sich zu verhalten haben und welche Informationswege bei Verdacht einer Datenschutzverletzung zu beschreiten sind.
Datenschutzbeauftragter
Unterstützen kann hier ein interner oder externer Datenschutzbeauftragter (DSB). Der deutsche Gesetzgeber hat gemäß § 38 BDSG von der Möglichkeit Gebrauch gemacht, die weiteren Voraussetzungen für die Benennungspflicht eines Datenschutzbeauftragten zu regeln und inhaltlich zunächst die bisherigen Vorgaben beibehalten. Mittlerweile ist die Grenze zur Benennung eines DSB auf 20 Beschäftigte angehoben, die sich ständig mit der Verarbeitung personenbezogener Daten befassen. Aber das scheint manchen noch nicht auszureichen, sodass man auf den Gesetzgeber einwirkt, diese Grenze noch weiter anzuheben oder sie gar fallen zu lassen. Jedoch darf nicht erwartet werden, dass nur die Unternehmen die Vorgaben der DSGVO zu beachten hätten, die einen DSB benannt haben. Ein Unternehmen unterliegt schließlich auch dem Steuerrecht, wenn es keinen Steuerberater hat. Der DSB hat sich hierzulande zum Vertrauensanker entwickelt, der mit seiner Expertise zur Compliance bei Unternehmen und Behörden beitragen kann. Er ist zudem vertrauensvoller Ansprechpartner für diejenigen, deren Daten verarbeitet werden, nicht zuletzt, weil er komplexe Vorgänge erklären kann. Mittlerweile ist auch geklärt, dass sich allein durch die Tätigkeit eines Steuerberaters keine Benennungspflicht gemäß Art. 37 DSGVO ergeben kann; genauso wenig wie eine Datenschutzfolgenabschätzung, die nicht aufgrund der Tätigkeit eines Steuerberaters, sondern nur aufgrund der eingesetzten Werkzeuge und Methoden infrage kommen und dann zu einer Benennungspflicht nach § 38 Abs. 1 BDSG führen könnte.
Sanktionsrisiko
Die drohenden Szenarien waren groß, die bei Einführung der DSGVO insbesondere von unseriösen Beratungsunternehmen skizziert wurden. Schon geringe Verstöße würden mit vier Prozent des Vorjahresumsatzes oder 20 Millionen Euro geahndet. Insgesamt aber sind die Datenschutzaufsichtsbehörden mit Sanktionen und Bußgeldmaßnahmen sehr zurückhaltend gewesen. Wohl auch deshalb, weil die Anforderung, ein Bußgeld rechtskonform zu gestalten, sehr ambitioniert ist, sind doch gemäß Art. 83 Abs. 2 DSGVO insgesamt elf Faktoren zu berücksichtigen, deren jeweilige Gewichtung vom Gesetzgeber nicht weiter spezifiziert wurde. Für Klarheit und Rechtssicherheit können nur die ersten Urteile zur Bußgeldberechnung sorgen, wobei die DSGVO der Rechtsprechung des Europäischen Gerichtshofs unterworfen ist. Bis zu diesem Zeitpunkt werden die Unternehmen entscheiden müssen, inwieweit sie bereit sind, Risiken einzugehen. Das Streben, auch im Datenschutz die Compliance-Regeln zu beachten, ist für Unternehmen und Kanzleien – unabhängig von möglichen finanziellen Sanktionen – ein Selbstverständnis geworden mit Blick auf die Unternehmenskultur und das eigene Image.
Mehr dazu
DATEV unterstützt Sie mit professionellen Beratern als externe Datenschutzbeauftragte für Kanzleien und Mandanten, im Rahmen einer Datenschutzbetreuung für kleinere Kanzleien und Unternehmen, aber auch punktuell zur Erstellung eines Löschkonzepts:
- Beratung online: Erstellung und Individualisierung eines Löschkonzepts
- Beratung und Schulung vor Ort: Erstellung und Individualisierung eines Löschkonzepts
- Beratung online: Datenschutz-Dokumentation und Löschkonzept mit Beratung online
oder mit dem Vorlagenpaket Datenschutz-Dokumentation (Art.-Nr. 77998) und mit Lernvideos zur Mitarbeiterunterweisung (Art.-Nr. 78900 und 78901).
Besuchen Sie uns auf www.datev.de/datenschutz-beratungen
