Die neue DSGVO: Was bedeutet die Datenschutz-Grundverordnung für die Praxis?
Ab dem 28. Mai 2018 ist die neue Datenschutz-Grundverordnung (DSGVO) verpflichtend umzusetzen. In Kraft getreten ist sie bereits am 24. Mai 2016. Allerdings hat der europäische Gesetzgeber eine zweijährige Übergangsfrist gewährt. Die Grundverordnung regelt den Datenschutz innerhalb der Europäischen Union in vielen Bereichen neu. Sie betrifft sowohl die Erhebung als auch die Verarbeitung von personenbezogenen Daten. Zusammenfassend muss festgestellt werden, dass der Datenschutz künftig sehr streng geregelt ist. Sämtliche Prozesse sowie Dokumente müssen an die neue Regelung angepasst werden. Im Falle einer Zuwiderhandlung drohen empfindliche Strafen bis zu einem Bußgeld in Höhe von 20 Millionen €.
Das informationelle Selbstbestimmungsrecht des Kunden
In der Praxis werden Datenschutz und das Thema IT Sicherheit häufig miteinander vermischt. Es handelt sich jedoch nicht um die selbe Kategorie. Personenbezogene Daten unterliegen selbstverständlich auch einem körperlichen Schutz vor dem unberechtigten Zugriff durch Dritte. Dabei handelt es sich allerdings nur um eine Seite der Medaille. Datenschutz reguliert die informationelle Selbstbestimmung einer natürlichen Person. Im Kern geht es darum, dass die Person vor einem unberechtigten Umgang ihrer Daten geschützt werden soll. Dazu zählen beispielsweise die werbliche Nutzung, die ungewollte Speicherung oder Auswertung der hochsensiblen und persönlichen Datensätze. Es soll durch die neue Datenschutz-Grundverordnung verhindert werden, dass die Person zu einem gläsernen Mensch wird.
Datenschutz und Verschwiegenheitspflicht in der steuerberatenden Praxis:
Insbesondere Steuerberater sind von Berufs wegen zur absoluten Verschwiegenheit verpflichtet. Ein Verstoß gegen die Verschwiegenheitspflicht kann eine Straftat im Sinne des § 203 StGB (Strafgesetzbuch) sein. Zudem sind stets die §§ 57, 62 StBerG (Steuerberatungsgesetz) zu beachten. Im Umkehrschluss bedeutet die Verschwiegenheitspflicht allerdings nicht, dass dem neuen Datenschutz damit abgeholfen ist. Die DSGVO geht nämlich einen Schritt weiter. Sowohl die Grundverordnung als auch die Regelung im BDSG (Bundesdatenschutzgesetz) sind um speziellere Normen erweitert worden. Es ist insofern unerlässlich, zusätzliche Maßnahmen zum Schutz der Daten einzuführen. Der Alltag der Steuerberater wird künftig nicht nur von der Verschwiegenheitspflicht, sondern eben auch vom Datenschutz bestimmt.
Der Einstieg in das neue Datenschutzrecht:
Eine zentrale Frage, die Unternehmer beschäftigt, ist, wer sich in Zukunft mit den Anforderungen auseinandersetzen soll. Vorausgesetzt ist das speziellen Know-how. Arbeiten in dem Unternehmen oder der Steuerberaterkanzlei mehr als neun Mitarbeiter, ist die Bestellung eines Datenschutzbeauftragten verpflichtend umzusetzen. Der stellte Datenschutzbeauftragte muss über die entsprechende Sach- und Fachkunde verfügen. Es darüber hinaus dazu verpflichtet, regelmäßig an Fortbildungen teilzunehmen. Außerdem darf er nicht zur Kanzleileitung gehören oder als IT Verantwortlicher bzw. Personaler beschäftigt sein. Ansonsten könnte eine Interessenskollision drohen, die das Gesetz gerade verhindern möchte.
In der Praxis kann ein Mitarbeiter als interner Datenschutzbeauftragter eingesetzt werden. Selbstverständlich ist es auch möglich, einen externen Beauftragten zu benennen. Bei der Wahl sollte berücksichtigt werden, dass die Zeit, die für die Aus- sowie Fortbildung investiert werden muss, beachtlich sein wird. Es handelt sich um eine sehr spezielle Materie, die sicherlich nicht von heute auf morgen erlernt werden kann. Diese Zeit fehlt im Alltagsgeschäft, sodass bei erhöhter Auftragslage ohnehin überlegt werden müsste, einen zusätzlichen Mitarbeiter einzustellen. Darüber hinaus genießen interne Datenschutzbeauftragte besonderen Kündigungsschutz.
Es ist nicht ausreichend, dass ein interner Mitarbeiter lediglich pro forma benannt wird. Der Beschäftigte muss speziell ausgebildet werden, wobei die Ausbildung über Landessteuerberaterverbände oder in DATEV Kursen zumindest für Steuerberater dringend zu empfehlen ist. Denn die speziellen Fortbildungsangebote sind auf die tatsächlichen Bedürfnisse der Steuerberater ausgerichtet.
Datenschutz in kleinen Kanzleien:
Die Verpflichtung, einen Datenschutzbeauftragten beschäftigen zu müssen, wenn in einer Kanzlei oder in einem Unternehmen mehr als neun Mitarbeiter beschäftigt werden, darf nicht zu dem Irrtum führen, dass der Datenschutz in kleineren Kanzleien oder Firmen keine Relevanz hat. Diese sind zwar von der Beauftragung eines Datenschutzbeauftragten befreit. Allerdings muss der Datenschutz nichtsdestotrotz gleichermaßen umgesetzt werden. Der einzige Unterschied besteht darin, dass die Umsetzung auch durch eine Person übernommen werden kann, die offiziell nicht den Status eines Datenschutzbeauftragten hat. Insofern kann auch die Kanzleileitung in kleineren Betriebsstätten tätig werden, da hier kein Interessenkonflikt zu befürchten ist. Die spezielle Fachkunde ist dennoch Pflicht. Das bedeutet auch, dass der zeitliche Aufwand in etwa gleich hoch sein wird. Daher ist eine strukturierte Ausbildung zu empfehlen, die das Wissen vom Datenschutz vermittelt. Unbenommen bleibt auch kleinen Organisationen das Recht, freiwillig einen Datenschutzbeauftragten zu benennen. Dieser kann auch aus externen Kreisen in die Büroorganisation eingebunden werden.
Die Neuerungen der europäischen Datenschutz-Grundverordnung:
Im Gegensatz zur bisherigen Rechtslage im Hinblick auf das Thema Datenschutz ergeben sich zahlreiche Neuerungen durch die Datenschutz-Grundordnung.
Wichtig sind Unternehmer dazu verpflichtet, eine Einwilligung der betroffenen Person einzuholen, wenn sie die erhobenen personenbezogenen Daten speichern möchten. Es ist zwingend erforderlich, dass der Betroffene über den Zweck der Speicherung sowie die Verarbeitung aufgeklärt wird, damit er seine Einverständniserklärung wirksam abgeben kann. Der Unternehmer darf zu einem späteren Zeitpunkt auch nicht von diesem Maßstab abweichen.
In Zukunft müssen die Daten minimiert werden. Das bedeutet, dass die personenbezogenen Informationen lediglich zur Erfüllung des Zwecks erhoben werden dürfen. Das bedeutet, dass Daten, die mit dem Zweck nicht in Zusammenhang stehen, vom Unternehmer nicht verarbeitet werden dürfen.
Die Identifizierung des Betroffenen darf nur so lange möglich sein, wie der Verarbeitungszweck es erfordert.
Entschließt sich der Kunde dazu, dass Unternehmen oder die Kanzlei zu wechseln, hat er einen weiteren Anspruch. Der bisherige Anbieter bzw. Dienstleister muss die von ihm gespeicherten Datensätze an den neuen Versorger übermitteln. Ziel ist es, dem Verbraucher einen Anbieterwechsel zu vereinfachen.
Besonders wichtig ist die Einhaltung und Einführung von gewissen Sicherheitsstandards. Der Unternehmer oder Steuerberater muss alles unternehmen, damit die personenbezogenen Daten vor unbefugtem Zugriff geschützt werden. Darüber hinaus ist eine Sicherung gegen Beschädigung sowie Zerstörung verpflichtend.
Besondere Beachtung sollte auch die Beweislastumkehr finden. Es ist in umstrittenen Fällen der Unternehmer, der den Nachweis erbringen muss, dass er geeignete organisatorische sowie technische Maßnahmen getroffen hat, um den Datenschutz zu gewährleisten. Die Beweislast liegt mit der Neuregelung somit nicht mehr beim Kunden.
Fazit der neuen Datenschutz-Grundverordnung:
Neben den vorstehenden Neuerungen gehen mit dem europäischen Datenschutzrecht weitere Verpflichtungen einher. Das bedeutet, dass sich Unternehmer und Steuerberater sowie andere Selbstständige möglichst frühzeitig um die Realisierung innerhalb ihrer Unternehmensstruktur kümmern sollten. Es ist zu erwarten, dass ein Großteil der Firmen die Umstellung nicht rechtzeitig vollziehen wird. In Anbetracht der drohenden Konsequenzen sollte verspätetes Handeln allerdings unbedingt vermieden werden. Die hochkomplexe Materie erfordert viel Einarbeitungszeit, sodass frühzeitiges Reagieren auch dem Unternehmer notwendigen Schutz bietet.
Da wir keine Juristen sind, übernehmen wir deshalb keine Haftung für unsere Inhalte!