Ab Mai 2018 gilt in der Europäischen Union ein neues Datenschutzrecht. Von der Umsetzung betroffen sind auch die DATEV und ihre Mitglieder.
Vier Jahre dauerten die Verhandlungen auf europäischer Ebene für ein neues Datenschutzrecht, das in allen EU-Mitgliedstaaten unmittelbar gilt. Behörden und Unternehmen müssen ihre Prozesse, Regelwerke und vertraglichen Formulierungen anpassen und haben dazu nicht einmal mehr ein Jahr Zeit. Ein drastisch angehobener Sanktionsrahmen bis 20 Millionen Euro beziehungsweise bei Unternehmen bis zu vier Prozent des weltweiten Jahresumsatzes – je nachdem, welcher Betrag größer ist – lassen die Bedeutung erkennen, die der Gesetzgeber dem regelkonformen Umgang mit personenbezogenen Daten künftig zumisst.
Nationale Regelung
Der deutsche Gesetzgeber hat von seinen Regelungsmöglichkeiten ebenfalls Gebrauch gemacht. Mit dem Datenschutz-Anpassungs- und -Umsetzungsgesetz EU (DSAnpUG-EU) wurden erforderliche Festlegungen zu Aufsichtsbehörden, zu Beschränkungen der Rechte der betroffenen Personen sowie zur Einschränkung der Befugnisse von Aufsichtsbehörden getroffen. Diese Regelungen finden sich im neuen Bundesdatenschutzgesetz (BDSG-neu) wieder. Es wird das bisherige BDSG ablösen und wie die DS-GVO ebenfalls ab dem 25. Mai 2018 gelten.
Was tut die DATEV?
Unter Koordination des Datenschutzbeauftragten der DATEV, Dr. Jörg Spilker, werden die Anforderungen und Vorgaben zur Umsetzung beziehungsweise zu den Anpassungen an die DS-GVO erarbeitet. Dabei werden die unterschiedlichen Rollen, die die DATEV bei der Verarbeitung personenbezogener Daten einnimmt, berücksichtigt:
- als Verantwortliche, wenn etwa Daten der DATEV-Mitarbeiter oder Stammdaten von DATEV-Mitgliedern betroffen sind;
- als Auftragsverarbeiter, der die Daten der jeweiligen Auftraggeber nach deren Weisungen verarbeitet, sowie
- als Software-Hersteller, der Produkte anbietet, die einen regelkonformen Einsatz ermöglichen.
Die DS-GVO nimmt den Auftragsverarbeiter stärker in die Pflicht. Dieser wird mit mehr Dokumentations- und Nachweisaufgaben konfrontiert, die künftig zu erfüllen sind, etwa dem Nachweis der ordnungsgemäßen Beauftragung.
Vereinbarung zur Auftragsdatenverarbeitung
Die vertraglichen Grundlagen zur Abwicklung der Auftragsverarbeitung zwischen den Mitgliedern beziehungsweise Kunden (Auftraggeber) und der DATEV (Auftragsverarbeiter) werden an die neuen gesetzlichen Regelungen angepasst. Die DATEV wird eine neue Vereinbarung zur Auftragsverarbeitung zur Verfügung stellen. Hierzu ist eine Zustimmung der Mitglieder und Kunden erforderlich, damit sie (Auftraggeber) und die DATEV (Auftragnehmer) den erweiterten Dokumentations- und Nachweispflichten der DS-GVO gerecht werden. Die Mitglieder und Kunden werden gesondert informiert. Anders als zur BDSG-Novelle 2009 können diese datenschutzrechtlichen Vertragsgrundlagen zur Abwicklung der Auftragsverarbeitung auch im „elektronischen Format“, also beispielsweise über die Zustimmung auf einer Internetseite, abgeschlossen werden.
Anforderungen an die Kanzleien
Aber nicht nur Unternehmen wie die DATEV sind von dem neuen Datenschutzrecht betroffen. Auch die Kanzleien selbst müssen sich mit der DS-GVO beschäftigen. Insbesondere die Kanzleiprozesse sind auf den Prüfstand zu stellen. Das gilt zunächst für den Fall einer Datenpanne, die ab Mai 2018 binnen 72 Stunden der zuständigen Aufsichtsbehörde zu melden ist (Art. 33 Abs. 1 DS-GVO). Auch die möglichen Betroffenen sind unverzüglich zu informieren (Art. 34 Abs. 1 DS-GVO). Das setzt bestehende Mechanismen voraus, die sicherstellen, dass unmittelbar nach einem Vorfall alle notwendigen Maßnahmen ergriffen werden. Zunächst ist festzustellen, ob die Datenpanne zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt. Dann sind alle Personen zu ermitteln, die betroffen sein könnten. Schließlich ist der Vorfall zu dokumentieren und an die zuständige Aufsichtsbehörde zu melden. Der Bußgeldrahmen bei einem Verstoß gegen diese Vorgaben endet bei zehn Millionen Euro oder zwei Prozent des weltweiten Jahresumsatzes des Verantwortlichen (Art. 83 Abs. 4 DS-GVO).
Rechenschaftspflicht
Auch die Rechenschafts- beziehungsweise Nachweispflicht (Art. 5 Abs. 2 DS-GVO) wird Auswirkungen auf die Prozesse und Abläufe in den Kanzleien haben. Die verantwortliche Stelle muss nach Art. 5 Abs. 1 DS-GVO jederzeit nachweisen können, dass die Datenverarbeitung rechtmäßig erfolgt, etwa durch Einwilligungen oder Verträge mit dem Mandanten. Die Verarbeitung darf nur für bestimmte und festgelegte Zwecke erfolgen und erhoben werden dürfen dafür nur die notwendigen Daten. Darüber hinaus muss es Maßnahmen geben, damit unrichtige Daten unverzüglich berichtigt oder gelöscht werden. Zudem darf man keine Daten mehr speichern, die nicht mehr benötigt werden. Schließlich ist nachzuweisen, dass personenbezogene Daten angemessen gegen unrechtmäßige Verarbeitung sowie unbeabsichtigten Verlust und unbeabsichtigte Zerstörung gesichert sind (technisch-organisatorische Maßnahmen). Der Bußgeldrahmen bei Verstößen gegen die Rechenschaftspflicht endet bei 20 Millionen Euro oder vier Prozent des weltweiten Jahresumsatzes der verantwortlichen Stelle (Art. 83 Abs. 5 DS-GVO). Der gleiche Bußgeldrahmen kommt auch zur Anwendung bei Verstößen gegen die Betroffenenrechte (Informationspflicht, Auskunftsrecht, Recht auf Berichtigung und Löschung). Deshalb bietet es sich auch hier an, entsprechende Prozesse einzuführen.
Datenschutzbeauftragte
Die Institution des Datenschutzbeauftragten (DSB) bleibt erhalten (§ 38 BDSG-neu in Verbindung mit Art. 37 DS-GVO). Die Qualifikation des DSB sollte auf Basis seiner Aufgaben nach Art. 39 DS-GVO gegebenenfalls noch einmal überprüft werden. Ab Mai 2018 sind die Kontaktdaten des Datenschutzbeauftragten zu veröffentlichen und den Aufsichtsbehörden zu melden (Art. 37 Abs. 7 DS-GVO).
Ausblick
DATEV-Consulting unterstützt Kanzleien und deren Mandanten ab dem zweiten Halbjahr 2017 mit der Beratung „Fit für die EU-Datenschutz-Grundverordnung“ bei der Identifizierung des Handlungsbedarfs sowie der Vorbereitung auf das neue Recht. Mit der Dienstleistung „Der Datenschutzbeauftragte von DATEV“ bieten wir die Möglichkeit der Auslagerung dieser Tätigkeit und eine kompetente Begleitung durch das Datenschutzrecht. Aber auch internen Datenschutzbeauftragten bieten wir ein Unterstützungsangebot sowie Aus- und Weiterbildungsmöglichkeiten an. Daher sollten alle Unternehmen und auch Kanzleien spätestens jetzt aktiv werden, denn die Bußgelder für Datenverstöße werden sich gegenüber heute in jedem Fall erhöhen – auch wenn der oben skizzierte Bußgeldrahmen aufgrund der Vorgaben des deutschen Ordnungswidrigkeitenrechts sicher nur in den seltensten Fällen ausgeschöpft werden wird.
Foto: Morsa Images, Science Photo Library, Westend61 / Getty Images