22.11.2017 | Kanzleimanagement

Datenschutz-Grundverordnung: Viel Arbeit für Gerichte und Aufsichtsbehörden

Von Alexandra Buba **  / Interview mit Timo GehleDATEV eG *

Sie kommt, die Datenschutz-Grundverordnung (DS-GVO) und mit ihr einiger Veränderungsbedarf, so viel ist sicher. Dass dadurch die Bürokratie in Kanzleien erheblich zunimmt, glauben Experten aber nicht. Denn vieles ist – nach dem ersten Umstellungsaufwand – Formsache. Das bedeutet aber keineswegs, dass die deutsche Umsetzung der Richtlinie alle Fragen geklärt hätte, im Gegenteil. Timo Gehle, bei der DATEV eG zuständig für Datenschutz-Beratungen, sieht die Aufsichtsbehörden in der Pflicht, in den kommenden Jahren Rechtssicherheit herzustellen.

Die Datenschutz-Grundverordnung (DSGVO) ist eine EU-Verordnung, die 24. Mai 2016 in Kraft trat und ab 25. Mai 2018 anzuwenden ist. (Foto: © BillionPhotos.com - Fotolia.com)

STB Web:
Müssen sich Kanzleien vor der DS-GVO, die im Mai 2018 in Kraft tritt, fürchten?

Timo Gehle:
Nein, definitiv nicht. Wer als Kanzlei nach heutigem Recht gut aufgestellt ist, wird es auch nach der DS-GVO sein. Grundsätzliche, materielle Rechtsveränderungen gibt es nicht; neu sind im Wesentlichen die Rechenschaftspflicht sowie die Informationspflichten im Zusammenhang mit den Betroffenenrechten. Deswegen wird man mehr dokumentieren müssen.

STB Web:
Wie wird das in der Praxis aussehen?

Timo Gehle:
Das ist bis dato noch unklar. Ich kenne eine Ausarbeitung der Informationspflichten auf acht DINA-4-Seiten, die alles berücksichtigt, was das Gesetz als verbindlichen Informationsrahmen vorsieht. Dabei ist unumstritten, dass Betroffene informiert werden müssen – doch acht Seiten wird man ihnen kaum jedes Mal zumuten können.

STB Web:
Von welchen Betroffenen reden wir eigentlich?

Timo Gehle:
Betroffen ist immer derjenige, dessen Daten verarbeitet werden. Das ist häufiger der Fall als man so glaubt. Nehmen Sie beispielsweise ein Parkhaus. Dort wird üblicherweise Videoüberwachung eingesetzt. Theoretisch – nach den Vorgaben der Verordnung – müsste man jetzt an jeder Schranke die besagten acht Seiten aushängen. Ob das in der Praxis so kommen wird? Vermutlich nicht.

STB Web:
Gibt es denn Bereiche, die schon absehbarer sind?

Timo Gehle:
Ja, zum Beispiel die Tatsache, dass Unternehmen und Kanzleien einen Datenschutzbeauftragten benennen und – das ist neu – diesen der Aufsichtsbehörde melden müssen. Das wird den Druck verstärken, auch tatsächlich jemanden für diese Aufgabe auszuwählen.

Außerdem müssen Datenpannen künftig nicht nur unverzüglich, sondern innerhalb einer bestimmten Frist, und zwar innerhalb von 72 Stunden, gemeldet werden.

Wer Auftragsdaten verarbeitet, muss sich vergewissern, dass auch seine Zulieferer und Dienstleister zuverlässig arbeiten – auch das ist eigentlich nichts Neues.

STB Web:
Wie können sich Kanzleien schon jetzt auf die DS-GVO vorbereiten?

Timo Gehle:

Foto: Timo Gehle, DATEV eG

Indem sie einen Datenschutzbeauftragten finden und diesen schulen lassen. In einem zweiten Schritt geht es darum, zusätzlich zur Auftragsdatenverarbeitung nun auch die eigene Datenverarbeitung zu dokumentieren. Dazu wird es – zum Beispiel aus unserem Haus – Vorlagen geben. Wichtig ist außerdem, sich jetzt schon Gedanken zu machen, wie mit den Anfragen oder Beschwerden Betroffener umgegangen werden soll. Dafür muss es einen Prozess geben, der dokumentiert ist. Allerdings reicht dafür theoretisch der Passus: "Sobald sich ein Betroffener meldet, ist das an die Kanzleileitung weiter zu leiten. Die Kanzleileitung überprüft die Identität und bearbeitet die Anfrage innerhalb von vier Wochen."

In der Regel wird der Betroffene die verlangten Auskünfte bekommen, sofern, und das spielt in Kanzleien eine große Rolle, nicht Daten anderer mit betroffen sind. Denkbar ist das zum Beispiel in der Arbeitgeber-Arbeitnehmerkonstellation. Welche Daten bekommt der Mitarbeiter eines Mandanten, wenn er wissen will, was über ihn im Zusammenhang mit der Lohnabrechnung gespeichert ist? Zudem müssen stets die berufsständischen Verschwiegenheitspflichten berücksichtigt werden.

STB Web:
Können Kanzleien ihre Mandanten in diesen Punkten überhaupt sinnvoll unterstützen?

Timo Gehle:
Inhaltlich ist das zum jetzigen Zeitpunkt schwierig. Die Steuerberater sollten ihre Mandanten aber informieren, dass sie aktiv werden müssen, da die Verordnung im Mai kommenden Jahres geltendes Recht wird und alle Unternehmen betrifft.

Wovor ich aber warne: Insbesondere größere Mandanten gehen derzeit auf die Kanzleien zu und bitten sie, Erklärungen hinsichtlich der Auftragsverarbeitung zu unterschreiben. Steuerberater sind nach jetzigem Rechtsverständnis aber keine Auftragsdatenverarbeiter; denn das steht im Widerspruch zur Freiberuflichkeit. Das sollten sie klarstellen und die entsprechenden Formulare nicht unterzeichnen. Auch die Bundessteuerberaterkammer gibt im Übrigen diese Empfehlung. Wie sich die zukünftige Rechtsauffassung entwickelt, müssen wir abwarten.

STB Web:
Das klingt alles nicht nach übermäßig großer Rechtssicherheit...

Timo Gehle:
Tatsächlich können wir Rechtssicherheit derzeit nicht erwarten, da die Verordnung interpretationsbedürftig ist. Es werden zehn oder fünfzehn Jahre ins Land ziehen, ehe die Aufsichtsbehörden, der EU-Datenschutzausschuss und die Gerichte für die Klärung der einzelnen Aspekte gesorgt haben.

STB Web:
Ist die DS-GVO also ein unnötiges bürokratisches Monstrum?

Timo Gehle:
Es ist wie oft: Man zielt auf die großen Player in Übersee und trifft dabei auch die KMU. Sie müssen jetzt den Umstellungsaufwand tragen und dafür sorgen, dass sie am 25. Mai 2018 compliant sind.

Dabei sollte man aber auch die Vorteile, die die DS-GVO mit sich bringt, nicht vergessen. Schließlich stammt das bisherige Datenschutzrecht in seinen Grundzügen aus den 1990er Jahren. Das neue Recht ist modern und macht manches möglich, was bis dato nicht erlaubt war, zum Beispiel im Bereich von Big Data-Analysen.

STB Web:
Vielleicht noch ein Satz zu den horrenden Bußgeldern, von denen im Falle von Verstößen die Rede war...

Timo Gehle:
Bußgelder im Millionen Bereich sind sicher für kleine Kanzleien nicht zu erwarten. Wir haben in Deutschland ein Ordnungswidrigkeitenrecht, das den Grundsatz der Verhältnismäßigkeit kennt. Nach diesem werden sich im Zweifelsfall die Sanktionen bemessen.

* Timo Gehle ist Diplom-Kaufmann und seit zehn Jahren bei der DATEV eG in Nürnberg im Consulting tätig, seit fünf Jahren in der Beratung zum Thema Datenschutz.


** Autorin:

Alexandra Buba ist freie Journalistin und spezialisiert auf die Themen der Steuerberatungsbranche. Ihr besonderer Schwerpunkt sind Management- und IT-Themen (www.medientext.com). Sie schreibt regelmäßig für die STB Web-Redaktion.