Vier Jahre dauerten die Verhandlungen auf europäischer Ebene für ein neues Datenschutzrecht, das in allen EU- Mitgliedstaaten unmittelbar gilt. Behörden und Unternehmen müssen ihre Prozesse, Regelwerke und vertraglichen Formulierungen anpassen und haben dazu nicht einmal mehr ein Jahr Zeit. Ein drastisch angehobener Sanktionsrahmen bis 20 Millionen Euro beziehungsweise bei Unternehmen bis zu vier Prozent des weltweiten Jahresumsatzes - je nachdem, welcher Betrag größer ist - lassen die Bedeutung erkennen, die der Gesetzgeber dem regelkonformen Umgang mit personenbezogenen Daten künftig zumisst.

Nationale Regelung

Der deutsche Gesetzgeber hat von seinen Regelungsmöglichkeiten ebenfalls Gebrauch gemacht. Mit dem Datenschutz - Anpassung - und Umsetzungsgesetz EU wurden erforderliche Festlegungen zu Aufsichtsbehörden, zu Beschränkungen der Rechte der betroffenen Personen sowie zur Einschränkung der Befugnisse von Aufsichtsbehörden getroffen. Diese Regelungen finden sich im neuen Bundesdatenschutzgesetz wieder. Es wird das bisherige Bundesdatenschutzgesetz ablösen und ab dem 25. Mai 2018 gelten.

Vereinbarung zur Auftragsdatenverarbeitung

Die vertraglichen Grundlagen zur Abwicklung der Auftragsverarbeitung zwischen den Mitgliedern bzw. Kunden (Auftraggeber) und der DATEV (Auftragsverarbeiter) werden an die neuen gesetzlichen Regelungen angepasst. Die DATEV wird eine neue Vereinbarung zur Auftragsverarbeitung zur Verfügung stellen. Hierzu ist eine Zustimmung der Mitglieder und Kunden erforderlich, damit sie (Auftraggeber) und die DATEV (Auftragnehmer) den erweiterten Dokumentations - und Nachweispflichten gerecht werden. Die Mitglieder und Kunden werden gesondert informiert. Diese datenschutzrechtlichen Vertragsgrundlagen zur Abwicklung der Auftragsverarbeitung können auch im elektronischen Format abgeschlossen werden.

Anforderungen an die Kanzlei

Aber nicht nur Unternehmen wie die DATEV sind von dem neuen Datenschutzrecht betroffen, sondern auch die Kanzleien selbst. Insbesondere die Kanzleiprozesse sind auf den Prüfstand zu stellen. Das gilt zunächst für den Fall einer Datenpanne, die ab Mai 2018 binnen 72 Stunden der zuständigen Aufsichtsbehörde zu melden ist. Auch die möglichen Betroffenen sind unverzüglich zu informieren. Das setzt bestehende Mechanismen voraus, die sicherstellen, dass unmittelbar nach einem Vorfall alle notwendigen Maßnahmen ergriffen werden. Zunächst ist festzustellen, ob die Datenpanne zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt. Dann sind alle Personen zu ermitteln, die betroffen sein könnten. Schließlich ist der Vorfall zu dokumentieren und an die zuständigen Aufsichtsbehörden zu melden. Der Bußgeldrahmen bei einem Verstoß gegen diese Vorgaben endet bei zehn Millionen Euro oder zwei Prozent des weltweiten Jahresumsatzes des Verantwortlichen.

Rechenschaftspflicht

Auch die Rechenschafts - beziehungsweise Nachweispflicht wird Auswirkungen auf die Prozesse und Abläufe in den Kanzleien haben. Die verantwortliche Stelle muss jederzeit nachweisen können, dass die Datenverarbeitung rechtmäßig erfolgt, etwa durch Einwilligung oder Verträge mit dem Mandanten. Die Verarbeitung darf nur für bestimmte und festgelegte Zwecke erfolgen und erhoben werden dürfen dafür nur die notwendigen Daten. Darüber hinaus muss es Maßnahmen geben, damit unrichtige Daten unverzüglich berichtigt oder gelöscht werden. Zudem darf man keine Daten mehr speichern, die nicht mehr benötigt werden. Schließlich ist nachzuweisen, dass personenbezogene Daten angemessen gegen unrechtmäßige Verarbeitung sowie unbeabsichtigten Verlust und unbeabsichtigte Zerstörung gesichert sind. Der Bußgeldrahmen bei Verstößen gegen die Rechenschaftspflicht endet bei 20 Millionen Euro oder vier Prozent des weltweiten Jahresumsatzes der verantwortlichen Stelle. Der gleiche Bußgeldrahmen kommt auch zur Anwendung bei Verstößen gegen die Betroffenenrechte (Informationspflicht, Auskunftsrecht, Recht auf Berichtigung und Löschung). Deshalb bietet es sich auch hier an, entsprechende Prozesse einzuführen.

Datenschutzbeauftragte

Die Institution des Datenschutzbeauftragten bleibt erhalten. Ab Mai 2018 sind die Kontaktdaten des Datenschutzbeauftragten zu veröffentlichen und den Aufsichtsbehörden zu melden.

Von Timo Gehle, „Zeit zu handeln“ in DATEV Magazin 08/2017

In eigener Sache

Der Steuerberater hat gegenüber seinen Mandanten ein spezielles Vertrauensverhältnis, das ausnahmslos gepflegt und gewahrt werden muss. Um eine ideale Betreuung dennoch möglich zu machen, arbeitet die Kanzlei „Fürsattel und Collegen“ bereits seit einigen Jahren mit einem externen Datenschutzbeauftragten zusammen. Näheres finden Sie auf unserer Homepage unter Impressum.