1 Welche wesentlichen Pflichten ergeben sich für Anwalts- und Steuerkanzleien aus der DSGVO?
2 Wie verträgt sich die DSGVO mit den berufsrechtlichen Regelungen?
3 Welche konkreten Schritte sind nun von Steuer- und Anwaltskanzleien zu unternehmen?
4 DSGVO – Unterstützungsangebote von DATEV
Die Datenschutzgrundverordnung (DSGVO) gilt seit dem 25.5.2018 in Deutschland. Als EU-Verordnung entfaltet sie direkte Wirkung in allen Mitgliedstaaten. Zudem hat der deutsche Gesetzgeber das Bundesdatenschutzgesetz (BDSG) angepasst. Die DSGVO gilt auch für Anwalts- und Steuerkanzleien und ist daher auch von diesen zu beachten, da sonst teilweise empfindliche Bußgelder drohen können.
Wer bereits vor der DSGVO mit dem alten BDSG im Einklang arbeitete, muss auch unter Geltung der DSGVO keine exorbitanten zusätzlichen Pflichten fürchten. Es gelten ähnliche Regeln wie bereits vor dem Erlass der DSGVO nach dem alten BDSG. Dies sind insbes. die aus dem BDSG so ähnlich bekannten Pflichten zur Transparenz und Dokumentation (Art. 13, 14, 30 DSGVO, also insbes. die Information von Mandanten nach Art. 13 DSGVO), Anweisung von Mitarbeitern (Art. 29, 32 Abs. 4 DSGVO) und technische Sicherstellung von Datenschutz (Art. 24, 25, 32 DSGVO). Neu eingeführt hat die DSGVO unter anderem eine »Rechenschaftspflicht« (Art. 5 Abs. 2 DSGVO), die fordert, den Einhalt der DSGVO-Pflichten nachweisen zu können. Beispiele sind Löschkonzepte und Prozesse zur Einhaltung von Betroffenenrechten.
Es gilt der Grundsatz, dass BRAO bzw. StBerG lex specialis zum BDSG sind. Allerdings regeln die BRAO und das StBerG nur die Verschwiegenheitspflicht, nicht aber den Umgang mit personenbezogenen Daten bei der Versendung von E-Mails und vor allem nicht die erforderlichen technischen und organisatorischen Maßnahmen. Daher greift dort das BDSG, insbes. § 9 BDSG. Rechtsanwälte und Steuerberater gelten als nicht-öffentliche Stelle i.S.d. § 9 BDSG. Die DSGVO hat vor dem nationalen Recht grds. Anwendungsvorrang.
Allerdings lässt die DSGVO Ausnahmen zu, der deutsche Gesetzgeber hat davon Gebrauch gemacht. Er hat auf die berufsrechtliche Verschwiegenheitspflicht Rücksicht genommen und diese in ihrer Wertigkeit vor das Datenschutzrecht gestellt. Dies zeigt sich an folgenden Regelungen:
Nach § 29 Abs. 3 BDSG haben Aufsichtsbehörden kein Recht auf Zugang zu den Kanzleiräumen;
Nach § 29 Abs. 3 BDSG dürfen Aufsichtsbehörden keine Einblicke in die anwaltliche Datenverarbeitung nehmen, Server und Rechner sind tabu;
Prozessgegner und andere Außenstehende können keine Informations- und Auskunftsrechte geltend machen, wenn es um Daten geht, die dem Steuer- und Anwaltsgeheimnis unterliegen.
Zu erwähnen ist insbes. für Steuerberater, dass die lange offene Frage, ob diese etwa bei der Erstellung von Lohn- oder Gehaltsabrechnungen als Auftragsverarbeiter i.S.d. Art. 4 Nr. 8 DSGVO zu sehen sind, nun verneinend durch den neuen § 11 Abs. 2 Satz 1 StBerG geklärt wurde. Eine Auftragsverarbeitungsvereinbarung muss somit nicht abgeschlossen werden. Nach überwiegender Meinung gilt das auch für Rechtsanwälte.
Das sind im Wesentlichen:
Es ist ein betrieblicher Datenschutzbeauftragter zu bestellen, wenn folgende Voraussetzungen erfüllt sind:
Ab der 20. Person, die ständig mit Daten beschäftigt ist, muss ein Datenschutzbeauftragter bestellt werden, Art. 37 Abs. 4 DSGVO, § 38 Abs. 1 Satz 1 BDSG. Die früher geltende Grenze von zehn Beschäftigten gilt nicht mehr. Dabei kommt es auf die Kopfzahl an, nicht auf der Art der Beschäftigung. Wegen Art. 37 Abs. 6 DSGVO ist strittig, ob diese Rolle ein Partner in seiner leitenden Rolle einnehmen kann und eine gewisse Sach- und Fachkunde haben muss, sodass Angestellte (etwa IT-affine angestellte Rechtsanwälte) empfehlenswert sind. Diese sind dann in dieser Rolle nicht weisungsgebunden und unterliegen nach §§ 6 Abs. 4 Satz 2, 3, 38 Abs. 2 BDSG einem besonderen Kündigungsschutz. In Betracht kommt auch die Beauftragung eines externen Datenschutzbeauftragten. Entsprechende Dienstleister sind heutzutage bereits für überschaubare Vergütungen beauftragbar.
Es muss eine Datenschutz-Folgeabschätzung erstellt werden.
Die Datenschutz-Folgeabschätzung (DSFA) ist immer dann durchzuführen, wenn besonders sensible Daten nach Art. 9 Abs. 1 DSGVO, § 46 Nr. 14 BDSG verarbeitet werden oder die Datenverarbeitung dazu bestimmt war, die Persönlichkeit des Betroffenen, einschließlich seiner Fähigkeiten, Leistungen oder seines Verhaltens zu bewerten. Besondere Arten personenbezogener Daten sind Angaben über die rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben. Insbes. sind dies in einzelnen Rechtsgebieten:
im Familienrecht: Staatsangehörigkeit;
im Arbeitsrecht: Gewerkschaftszugehörigkeit, Religion;
im Sozial-/Medizinrecht: Gesundheit.
Art. 30 DSGVO schreibt die Führung eines Verzeichnisses aller Verarbeitungstätigkeiten vor. Das Verzeichnis dient dem Nachweis der DSGVO-konformen Datenverarbeitung. Verarbeitungstätigkeiten fallen z.B. an bei:
Elektronischer Aktenverwaltung
Anwendung von Kanzleisoftware, Diktier-, Spracherkennung, Buchhaltungssoftware
Adressdatenbanken
Anwendung von E-Mail-Programmen
Terminverwaltung
Homepageerstellung und -verwaltung
Kanzleidarstellung in sozialen Netzwerken
Elektronischen Personalakten
Betrieblichem Intranet
Urlaubslisten
Ein Muster dazu findet man unter https://anwaltverein.de/de/praxis/datenschutz nebst weiteren nützlichen Merkblättern.
Eine Handlungsempfehlung der BStBK und viele nützliche Muster für Steuerberater finden sich hier: https://www.bstbk.de/de/themen/brennpunktthemen/datenschutz.
Das gerade beschriebene Verarbeitungsverzeichnis ist im Grunde die Grundlage dafür, datenschutzrechtliche Lücken in der Kanzlei aufzudecken, d.h. jeder Verarbeitungsprozess wird auf Schwachstellen untersucht. Dazu hilft ein Fragenkatalog, der mindestens folgende Fragen enthalten sollte:
Ist die Vorhaltung von Daten und deren Verarbeitung notwendig?
Ist gewährleistet, dass Mandantennamen stets auf dem neuesten Stand sind, Fehler berichtigt werden, Unrichtiges gelöscht wird?
Ist die Datenverarbeitung rechtlich zulässig?
Dient die Datenverarbeitung der Erfüllung eines Vertrages?
Gibt es Einwilligungen der Betroffenen?
Liegen berechtigte Interessen zur Datenverarbeitung vor?
Werden Daten gelöscht, sobald sie nicht mehr benötigt werden?
Gibt es Löschroutinen?
Haben ausschließlich Mitarbeiter Zugang zu Daten, die sie zur Aufgabenerfüllung brauchen?
Sind die Rechner der Kanzlei ausreichend gegen den Zugang durch Unbefugte geschützt?
Gibt es eine Firewall?
Sind aktuelle Virenscanner installiert?
Um die Datensicherheit zu gewährleisten, sind verschiedene technische und organisatorische Maßnahmen zu ergreifen, siehe hierzu auch https://anwaltverein.de/de/praxis/datenschutz.
Die wichtigsten Maßnahmen sind:
Verschlüsselung jeglicher Kommunikation
Sicherstellung der Stabilität des IT-Systems
Wiederherstellbarkeit von Daten durch z.B. Datensicherungen
Regelmäßige Überprüfung aller Sicherungsmaßnahmen
Nicht vergessen werden darf die schriftliche Fixierung aller Verträge rund um die IT. Verträge zur Datenverarbeitung mit dem IT-Dienstleister müssen entweder schriftlich niedergelegt oder angepasst werden. Datenschutzinformationen müssen erstellt werden für das Personal, für die Homepage und für den Mandatsvertrag.
Die Überprüfung der Einhaltung all dieser Vorschriften und Maßnahmen obliegt der jeweils zuständigen Aufsichtsbehörde. Dabei ist wichtig zu wissen: Aufsichtsbehörde ist die örtlich zuständige Datenschutzbehörde, nicht die Rechtsanwalts- oder Steuerberaterkammer!
Die Datenschutzbehörde kann empfindliche Bußgelder verhängen, wenn gegen die DSGVO oder das BSDSG festgestellt werden. Hier besteht jedoch kein Grund zur Unruhe. Wer allein schon ein Verarbeitungsverzeichnis vorweisen kann, wird auf Wohlwollen bei der Aufsichtsbehörde treffen. Es gilt dokumentieren zu können, dass man sich mit den bestehenden datenschutzrechtlichen Pflichten auseinandergesetzt hat und versucht, diese bestmöglich einzuhalten.
Immer noch wird leider auch heute der Anwaltsmarkt mit immer neuen Abmahnwellen überrollt. Auch das ist aber kein Grund zur Unruhe. Oft lässt sich diesen Abmahnungen mit einfachen Schriftsätzen entgegentreten. Man sollte daher nicht voreilig eine Unterlassungserklärung abgeben oder gar Anwaltskosten/Schadenersatz zahlen.
DSGVO für Steuerberater
DSGVO für Rechtsanwälte
DSGVO für Wirtschaftsprüfer
DSGVO für Unternehmer
DSGVO für den Public Sector
Redaktioneller Hinweis:
Redaktioneller Hinweis:
Steuerspar-Tipps, wichtige Fristen und Termine – alles im Blick.
Zum Newsletter anmelden