10 Schritte zur Compliance mit der Datenschutz-Grundverordnung (DSGVO)

10 Schritte zur Compliance mit der Datenschutz-Grundverordnung (DSGVO)

In ungefähr sieben Monaten ist der 25. Mai 2018. Der Countdown zur Umstellung vom BDSG auf die DSGVO tickt herunter. Jeder, der mit der Umsetzung der DSGVO beginnen möchte, steht vor dem Problem der Komplexität und dem Umfang dieser Regelungen. Um Steuerberatungskanzleien den Einstieg in den Regelungsdschungel zu erleichtern, schlagen wir die folgenden 10 Schritte vor, um die DSGVO in der eigenen Steuerberatungskanzlei umzusetzen.

Ein Beitrag von Stephan Rehfeld, Geschäftsführer der scope & focus Service-Gesellschaft mbH, 21.9.2017

1. Sensibilisierung der Leitung

Im ersten Schritt sollte sich die Leitung über den Umfang und auch von der Wichtigkeit des Projektes (DSGVO-Compliance) überzeugen und sich mit den neuen Regeln vertraut machen.

2. Datenschutzbeauftragten bestellen, wenn gesetzlich vorgeschrieben

Sofern die Steuerberatungskanzlei zur Benennung eines Datenschutzbeauftragten gesetzlich verpflichtet ist, sollte sie dem auch nachkommen. Der Datenschutzbeauftragte ist der Berater der Leitung. Ihm kommt eine besondere Rolle bei der Beurteilung der Angemessenheit des Datenschutz-Managementsystems der Kanzlei zu. Seine Benennung oder Abberufung ist ab dem 25. Mai 2018 der zuständigen Aufsichtsbehörde zu melden.

3. Identifikation der personenbezogenen Daten in der Steuerberatungskanzlei

Steuerberatungskanzleien müssen identifi zieren und dokumentieren, welche personenbezogenen Daten sie von welchen Betroffenen haben, von wem die personenbezogenen Daten stammen und an wen die personenbezogenen Daten weitergegeben werden (sogenanntes Verzeichnis der Verarbeitungstätigkeiten).

4. Rechtsgrundlagen

Für alle Verarbeitungstätigkeiten in einer Steuerberatungskanzlei müssen die rechtlichen Erlaubnisnormen identifiziert und dokumentiert sein. Die Dokumentation erfolgt standardmäßig im Verzeichnis der Verarbeitungstätigkeiten.

5. Informationssicherheit bei der Verarbeitung personenbezogener Daten

Die Steuerberatungskanzlei muss die Informationssicherheitsmaßnahmen, die sie ergreift an den Risiken für die Freiheiten und Rechte der Betroffenen ausrichten. Der Maßstab im Datenschutz ist dabei also nicht der Schaden, den bei einem Datenschutzvorfall die Kanzlei erleidet, der Maßstab ist die physische oder monetäre Auswirkung auf den oder die Betroffenen.

6. Datenlecks

Steuerberatungskanzleien müssen über Verfahren verfügen, um Datenlecks zeitnah erkennen zu können. Datenlecks müssen dann umgehend behandelt werden und bei Verlust personenbezogener Daten der zuständigen Aufsichtsbehörde innerhalb von 72 Stunden gemeldet werden. Werden personenbezogene Daten verloren, die ein hohes Risiko für die Rechte und Freiheiten der Betroffenen darstellen, dann müssen auch die Betroffenen über dieses Datenleck informiert werden. Aber Achtung: Berufsgeheimnisträger müssen auch bei Datenlecks das Berufsgeheimnis beachten und einhalten.

7. Betroffenenrechte

Steuerberatungskanzleien müssen Verfahren zur Sicherstellung der Betroffenenrechte auf Auskunft, Berichtigung, Einschränkung der Verarbeitung, Löschung und Datenportabilität erarbeiten und umsetzen. Das Berufsrecht stellt den Berufsgeheimnisträger vor besondere Herausforderungen, da die Regelungen des Berufsrechts neben dem Datenschutzrecht auf jeden Fall einzuhalten sind.

8. Datenschutz-Erklärungen

Bei der Erhebung personenbezogener Daten müssen auch Kanzleien die neuen Transparenzvorschriften der DSGVO einhalten und überdies die Einhaltung auch nachweisen können. Kanzleien sollten die Fälle identifi zieren, in denen sie die Transparenzvorschriften umsetzen müssen und entsprechende Hinweise entwerfen und eventuell auch juristisch prüfen lassen.

9. Einwilligungen

Steuerberatungskanzleien müssen identifi zieren, in welchen Fällen sie von den Betroffenen Einwilligungen einholen müssen. In diesen Fällen müssen Steuerberatungskanzleien datenschutzkonforme Einwilligungen formulieren, einholen und archivieren.