Das neue Datenschutzrecht, das ab Mai 2018 gilt, wirft viele Fragen auf – auch zu den Personen, deren Auftrag der Schutz der Daten ist.
Es gibt ihn festangestellt oder extern beauftragt, er agiert unabhängig und wacht über die Einhaltung des Datenschutzes in Unternehmen oder Behörden – der Datenschutzbeauftragte (DSB). Durch die EU-Datenschutz-Grundverordnung (DS-GVO), deren Bestimmungen am 25. Mai 2018 wirksam werden, ändern sich einige Eckpunkte seine Stellung betreffend. Unter anderem wird diskutiert, wann ein Unternehmen einen DSB benennen muss, denn dies ist ja auch mit Kosten verbunden.
Wann braucht man einen Datenschutzbeauftragten?
Klar ist: Ab zehn Mitarbeitern, die in einem Unternehmen mit der automatisierten Verarbeitung von Daten beschäftigt sind, muss dort ein DSB existieren. Die DS-GVO selbst sieht zwar ein derartiges, quantitatives Kriterium nicht vor, doch die nationale Ausgestaltung in Form des neuen Bundesdatenschutzgesetzes (BDSG) regelt diese Anzahl ganz klar.
Spannend wird es, wenn weniger als zehn Mitarbeiter mit automatisierter Datenverarbeitung betraut sind. Für diesen Fall greift die Regelung der DS-GVO. Einen DSB benötigt ein Unternehmen demnach, wenn die Verarbeitung von besonders sensiblen Daten, etwa religiöse Überzeugung oder Gesundheitsdaten, zur Kerntätigkeit des Unternehmens zählt oder die Kerntätigkeit eine Datenverarbeitung betrifft, die eine Überwachung von Personen erforderlich macht. Auch umfangreiche Datenverarbeitung, die ein Risiko für die Rechte und Freiheiten von Personen bedeutet und eine Datenschutz-Folgenabschätzung nötig macht, macht einen DSB erforderlich. Klingt kompliziert, und genau von der Auslegung dieser Formulierung hängt vieles auch ab.
Datenschutzbeauftragte auch für Kanzleien?
Im Vorfeld der DS-GVO wird viel darüber diskutiert. Oft gestellte Fragen sind: Was ist die Kerntätigkeit des Unternehmens? Und mit Blick auf Steuerberater: Ist nicht schon durch die Lohnabrechnung, in der ja auch die Religionszugehörigkeit oder Krankheitsdaten verarbeitet werden, das Kriterium der DS-GVO erfüllt und folglich immer ein DSB zu bestellen? Bislang gibt es darauf noch keine verlässliche Antwort, wie im Übrigen auf viele Fragen zur Auslegung der DS-GVO.
Auch nach Ansicht einiger Experten ist es mehr als fraglich, ob die Verarbeitung von Daten für den Steuerberater eine Kerntätigkeit oder vielmehr nur ein Mittel zum Zweck, beispielsweise der Lohnabrechnung, darstellt. Bis eine verbindliche Antwort auf diese Fragen vorliegt, dürfte es – wenn es überhaupt dazu kommt – noch dauern. Denn von der europaweiten Auslegung was für Unternehmen gilt, die unterhalb der 10-Mitarbeiter-Grenze liegen, wird es abhängen, inwieweit ein DSB benötigt wird. Bleibt also nur eines: Ruhe bewahren, da zur Sorge momentan kein Grund besteht.
Ganz anders als bei der Frage, ob eine neue Vereinbarung zur Auftragsverarbeitung benötigt wird. Eine solche ist im Zuge der DS-GVO auf jeden Fall nötig, wenn Sie Daten durch DATEV verarbeiten lassen. Andernfalls, und das ist sicher, drohen hohe Bußgelder, nicht nur Ihnen, sondern auch DATEV. Unter www.datev.de/av können Sie die Vereinbarung schnell und einfach unterzeichnen.
Mehr zur Datenschutz-Grundverordnung finden Sie auch unter www.datev.de/dsgvo
