Pflicht zur Benennung eines Kanzlei-Datenschutzbeauftragten bald für alle Steuerberatungskanzleien?

Trennlinie

Pflicht zur Benennung eines Kanzlei-Datenschutzbeauftragten bald für alle Steuerberatungskanzleien?

Hannover im Juni 2017

Mit der Datenschutzgrundverordnung führt der europäische Gesetzgeber in der gesamten EU eine Benennungspflicht für Datenschutzbeauftragte ein. In Art. 37 Abs. 4 DSGVO ist eine Öffnungsklausel vorgesehen, die es auf der Ebene des nationalen Rechts ermöglicht, im Verhältnis zur DSGVO weitergehende Verpflichtungen zur Benennung von Datenschutzbeauftragten vorzusehen.

Ein Beitrag von Stephan Rehfeld, scope & focus Service-Gesellschaft mbH.

Größengrenze von mindestens 10 Personen

Der deutsche Gesetzgeber nutzt die Öffnungsklausel des Art. 37 Abs. 4 DS-GVO und regelte in § 38 Abs. 1 DSAnpUG-EU (Datenschutz-Anpassungs- und -Umsetzungsgesetz EU), dass „Verantwortliche und der Auftragsverarbeiter eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten, [zu benennen haben,] soweit sie in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen.“ Insoweit bleiben die Größengrenzen zur Benennung eines Kanzlei-Datenschutzbeauftragten mit den bisherigen identisch. Im Bereich der Steuerberatungskanzleien ist davon auszugehen, dass das Größenkriterium das Hauptkriterium zur Benennung eines Datenschutzbeauftragten bleiben wird.

Datenschutz-Folgenabschätzung: Benennungspflicht für alle Steuerberatungskanzleien, die Lohnbuchhaltung für Mandanten durchführen?

Größenunabhängig ist vom Verantwortlichen und dem Auftragsverarbeiter eine Datenschutzbeauftragte oder ein Datenschutzbeauftragter zu bestellen, wenn Verarbeitungen vorgenommen werden, die einer Datenschutz-Folgenabschätzung (Art. 35 DSGVO) unterliegen (§ 38 Abs. 1 DSAnpUG-EU). Auch diese Regelung ist nicht überraschend, da sie lediglich die bisherige Regelung ersetzt, dass ein Datenschutzbeauftragter zu benennen ist, wenn Steuerberatungskanzlei ein Verfahren betreiben, dass der Vorabkontrolle unterliegt.

Datenschutz-Folgenabschätzungen sind von Steuerberatungskanzleien allerdings bereits durchzuführen, wenn eine „umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten gemäß Artikel 9 Absatz 1 […]“ in der Kanzlei stattfindet (Art. 35 Abs. 3 DSGVO). Eine Beurteilung, ob in Steuerberatungskanzleien Datenschutz-Folgenabschätzungen durchzuführen sind, hängt also maßgeblich von der Auslegung des Begriffs „umfangreiche Verarbeitung“ ab. Leider wird dieser Begriff in der Verordnung nicht näher bestimmt. Etwas Schärfe wird aus dem Art. 35 Abs. 3 DSGVO in Erwägungsgrund 91 genommen:

Die Verarbeitung personenbezogener Daten sollte nicht als umfangreich gelten, wenn die Verarbeitung personenbezogene Daten von Patienten oder von Mandanten betrifft und durch einen einzelnen Arzt, sonstigen Angehörigen eines Gesundheitsberufes oder Rechtsanwalt erfolgt. In diesen Fällen sollte eine Datenschutz-Folgenabschätzung nicht zwingend vorgeschrieben sein.

Es ist aber zu beachten, dass in dem Erwägungsgrund auf Mandanten abgestellt wird. Wird von einer Kanzlei die Lohnbuchhaltung für Mandanten erledigt, so steigt die Anzahl der Betroffenen und der Umfang an besonderen Kategorien von personenbezogenen Daten erheblich. Es ist daher anzunehmen, dass Steuerberatungskanzleien mit dem beschriebenen Leistungsspektrum größenunabhängig einen Kanzlei-Datenschutzbeauftragten zu bestellen haben.

Anforderungen an den Kanzlei-Datenschutzbeauftragten

Art. 37 Abs. 5 DS-GVO fordert, dass ein Datenschutzbeauftragter „auf der Grundlage seiner beruflichen Qualifikation und insbesondere des Fachwissens benannt [wird], das er auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis besitzt, sowie auf der Grundlage seiner Fähigkeit zur Erfüllung der in Artikel 39 genannten Aufgaben.“

Die Bestellung eines externen Kanzlei-Datenschutzbeauftragten ist weiterhin möglich.

Benennung und Meldung des Kanzlei-Datenschutzbeauftragten

Eine schriftliche Benennung des Kanzlei-Datenschutzbeauftragten ist nicht mehr erforderlich. Dennoch bietet sich die Benennung des Kanzlei-Datenschutzbeauftragten zumindest in Textform an. Im Verhältnis zum bisherigen nationalen Recht sieht die DS-GVO müssen die Kontaktdaten des Datenschutzbeauftragten veröffentlicht und der Aufsichtsbehörde mitgeteilt werden (Art. 37 Abs. 7 DS-GVO).

Aufgaben des Datenschutzbeauftragten (Art. 39 DS-GVO)

Das Aufgabenspektrum des Datenschutzbeauftragten hat sich im Vergleich zum BDSG verändert. Ein Kanzlei-Datenschutzbeauftragter hat künftig die folgenden Aufgaben zu erfüllen:

  • Unterrichtung und Beratung des Verantwortlichen oder des Auftragsverarbeiters und der Beschäftigten, die Verarbeitungen durchführen, hinsichtlich ihrer Pflichten nach dieser Verordnung sowie nach sonstigen Datenschutzvorschriften der Union bzw. der Mitgliedstaaten;
  • Überwachung der Einhaltung dieser Verordnung, anderer Datenschutzvorschriften der Union bzw. der Mitgliedstaaten sowie der Strategien des Verantwortlichen oder des Auftragsverarbeiters für den Schutz personenbezogener Daten einschließlich der Zuweisung von Zuständigkeiten, der Sensibilisierung und Schulung der an den Verarbeitungsvorgängen beteiligten Mitarbeiter und der diesbezüglichen Überprüfungen;
  • Beratung – auf Anfrage – im Zusammenhang mit der Datenschutz-Folgenabschätzung und Überwachung ihrer Durchführung gemäß Artikel 35;
  • Zusammenarbeit mit der Aufsichtsbehörde;
  • Tätigkeit als Anlaufstelle für die Aufsichtsbehörde in mit der Verarbeitung zusammenhängenden Fragen, einschließlich der vorherigen Konsultation gemäß Artikel 36, und gegebenenfalls Beratung zu allen sonstigen Fragen.