Zu personenbezogenen Daten zählen im Allgemeinen:
- Name
- Geburtsdatum
- Familienstand
- Adresse
- Telefonnummer
- Staatsangehörigkeit
- Ausweisnummer
- Beruf
- Erscheinungsbild (auch Darstellung in Bild und Ton)
- politische oder religiöse Überzeugungen
- statische IP-Adresse
- eine den Inhaber benennende E-Mail-Adresse
Folgende Tätigkeiten in einer Kanzlei betreffen beispielsweise das Arbeiten mit personenbezogenen Daten:
- (zentrale) Stammdaten bearbeiten
- Finanz- und Lohnbuchhaltung
- Jahresabschluss
- Wirtschafts- und Rechtsberatung
Der Begriff Datenverarbeitung umfasst dabei Tätigkeiten, bei denen mit personenbezogenen Daten umgegangen wird, wie beispielsweise:
- Datenerhebung,
- Datenspeicherung,
- Datenänderung,
- Datennutzung,
- Datenübermittlung,
- Datenverknüpfung und
- Datenlöschung.
In allen diesen Fällen handelt es sich um ein Verarbeiten im Sinne der EU-DSGVO.
Abzugrenzen ist von einer Datenverarbeitung ausschließlich für persönliche und familiäre Tätigkeiten (z. B. private Adressbücher oder Fotos), die nicht in den Anwendungsbereich der EU-DSGVO fällt.
Hinweis: Jeder Kanzleimitarbeiter muss mit personenbezogenen Daten sorgfältig und achtsam umgehen, da ihm ansonsten strafrechtliche, arbeitsrechtliche als auch schadensersatzpflichtige Konsequenzen drohen.
Datenschutzgrundverordnung: Es gilt das Marktortprinzip
Die DSGVO ist auch von allen Kanzleien zu beachten, deren Angebot sich an einen bestimmten nationalen Markt innerhalb der EU richtet. Es gilt das Marktortprinzip, wonach Firmensitz und auch der Ort einer Datenverarbeitung keine Rolle spielen.
Hinweis: Die Datenschutzgrundverordnung gilt nicht für die Verarbeitung personenbezogener Daten zum Zweck der Verhütung, Ermittlung, Aufdeckung, Verfolgung oder Ahndung von Steuerstraftaten oder Steuerordnungswidrigkeiten (Art. 2 Abs. 2 Buchst. d DSGVO). Insoweit gelten die Vorschriften des Ersten und des Dritten Teils des BDSG, soweit gesetzlich nichts anderes bestimmt ist (§ 2a Abs. 4 AO).
Zulässigkeit der Datenverarbeitung nach EU-DSGVO 2018
Der Kanzleiinhaber trägt als verantwortliche Stelle die Verantwortung für die Verarbeitung personenbezogene Daten, sei es mittels IT oder in strukturierten Datensammlungen wie z.B. Mandanten- oder Personalakten. Die Zulässigkeit der Verarbeitung ist nicht auf Dateien beschränkt; vielmehr unterliegt jede personenbezogene Information dem Datenschutz.
Die Beachtung der Grundsätze der Datenverarbeitung und des Datenschutzmanagements müssen vom Kanzleiinhaber nachgewiesen werden.
Zu den Grundsätzen der Verarbeitung personenbezogener Daten nach Art. 5 DSGVO gehören:
- Zweckbindung
- Datenminimierung
- Speicherdauerbegrenzung
- Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz
- Richtigkeit
- Speicherdauerbegrenzung
- Integrität und Vertraulichkeit
Die EU-DSGVO fordert von einem Kanzleiinhaber ein Datenschutzmanagement, dessen technische und organisatorische Maßnahmen umgesetzt, überprüft und aktualisiert werden.
EU-DSGVO 2018: Verbot mit Erlaubnisvorbehalt
Jede Datenverarbeitung bedarf einer gesetzlichen Rechtfertigung. Bei einer Datenerhebung ist außerdem der Zweck, für den die Daten verarbeitet werden sollen, konkret festzulegen.
Als wichtigster Fall für eine zulässige Datenverarbeitung gilt auch nach der Datenschutzgrundverordnung der allgemeine Grundsatz des Verbots mit Erlaubnisvorbehalt. Danach ist grundsätzlich verboten, was nicht ausdrücklich erlaubt ist. Hieraus folgt, dass die Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten verboten sind, es sei denn,
- sie sind durch eine Rechtsvorschrift ausdrücklich erlaubt oder angeordnet oder
- der Betroffene hat dazu seine Einwilligung erklärt.
Soll eine Einwilligung Grundlage für eine Erhebung, Verarbeitung oder Nutzung sein, ist zu beachten, dass
- sie freiwillig erfolgen muss,
- grundsätzlich der Schriftform bedarf (es sei denn, wegen besonderer Umstände ist eine andere Form angemessen),
- der Betroffene auch darüber zu informieren ist, was geschieht, wenn er nicht einwilligt.
Bei der Verarbeitung besonderer Arten personenbezogener Daten muss sich die Einwilligung ausdrücklich auf diese Daten beziehen. Es handelt sich hierbei um Angaben über
- rassische und ethnische Herkunft
- politische Meinungen
- religiöse oder politische Überzeugungen
- Gewerkschaftszugehörigkeit
- Gesundheit
- Sexualleben
Personenbezogene Daten: Keine Verwendung für andere Zwecke
Die Möglichkeiten der Erhebung, Verarbeitung und Nutzung personenbezogener Daten unterliegen einer Vielzahl von Einschränkungen. Bereits bei der Erhebung personenbezogener Daten sind die Zwecke, für die die Daten verarbeitet oder genutzt werden sollen, konkret festzulegen. Dies gilt auch für die geschäftsmäßige Datenverarbeitung. Eine Verwendung für andere Zwecke kommt u.a. nur in Betracht:
- zur Wahrung berechtigter Interessen der verantwortlichen Stelle oder eines Dritten oder
- wenn die Daten allgemein zugänglich sind oder veröffentlicht werden dürften.
Hinweis: Verantwortliche Stelle ist jede Person oder Stelle, die personenbezogene Daten für sich selbst erhebt, verarbeitet oder nutzt oder dies durch andere im Auftrag vornehmen lässt (= Kanzleiinhaber).
Grundsätzliches Zweckbindungsgebot
Es muss stets zwischen den entgegenstehenden schutzwürdigen Interessen des Betroffenen und dem Interesse an der Zweckänderung abgewogen werden. Es besteht eine grundsätzliche Zweckbindung, von der nicht ohne weiteres abgewichen werden darf. Änderungen des Verarbeitungszwecks sind grundsätzlich nur erlaubt, wenn sie mit dem ursprünglichen Erhebungszweck vereinbar sind. Die DSGVO sieht Kriterien vor, die bei der Beurteilung der Vereinbarkeit einer Zweckänderung zu berücksichtigen sind. Hierzu gehört u. a.:
- die Verbindung zwischen den Zwecken,
- der Gesamtkontext, in dem die Daten erhoben wurden,
- die Art der personenbezogenen Daten,
- mögliche Konsequenzen der zweckändernden Verarbeitung für den Betroffenen oder
- das Vorhandensein von angemessenen Sicherheitsmaßnahmen (z.B. eine Verschlüsselung).
Eine Zweckänderung liegt vor, wenn die Daten verwendet werden für:
- die Rechnungsprüfung,
- die Wahrnehmung von Aufsichts- und Kontrollbefugnissen,
- Organisationsuntersuchungen sowie
- Ausbildungs- und Prüfungszwecke der speichernden Stelle.
Eine strikte Zweckbindung besteht für Daten, die ausschließlich zur Datenschutzkontrolle, Datensicherung, zur Sicherung eines ordnungsgemäßen Betriebs einer Datenverarbeitungsanlage oder zur wissenschaftlichen Forschung gespeichert werden.
Datensparsamkeit: Prinzip muss beachtet werden
Auch nach der Datenschutzgrundverordnung gilt das Prinzip der Datensparsamkeit, wonach die Erhebung und Verarbeitung personenbezogener Daten dem Zweck angemessen und sachlich relevant sowie auf das für den Zweck der Datenverarbeitung notwendige Maß beschränkt sein muss.
Bei Unternehmen wird der größte Teil der personenbezogenen Daten (u.a. Kundendaten) zur Erfüllung eigener Geschäftszwecke verwendet. Die Daten sind grundsätzlich beim Betroffenen zu erheben. Es ist ihm mitzuteilen, zu welchem Zweck dies geschieht. Ohne Mitwirkung des Betroffenen dürfen Daten nur erhoben werden, wenn
- eine Rechtsvorschrift dies vorsieht oder zwingend voraussetzt oder
- die Erhebung beim Betroffenen einen unverhältnismäßig hohen Aufwand zur Folge hätte und keine Anhaltspunkte dafür bestehen, dass schutzwürdige Interessen des Betroffenen beeinträchtigt werden.
Ob die befragte Stelle die erbetenen Daten übermitteln darf, muss besonders geprüft werden. Wenn die personenbezogenen Daten beim Betroffenen erhoben werden, muss er informiert werden. Er hat Anspruch darauf zu erfahren,
- welche die verantwortliche Stelle ist, die die Daten erhoben hat und
- welche Zweckbestimmung der Datenerhebung zugrunde liegt.
Nur so ist gewährleistet, dass der Betroffene seine Datenschutzrechte wahrnehmen kann.
Hinweis: Die Aufsichtsbehörde kann von dem Kanzleiinhaber verlangen, dass er nachweisen kann, welche personenbezogenen Daten von Mitarbeitern, Kunden, Lieferanten oder Vereinsmitgliedern er verarbeitet, auf welcher Rechtsgrundlage er dies konkret macht, für welchen Zweck er die Daten verwendet und wie lange er sie noch speichern möchte.
Auftragsdatenverarbeitung im Kanzleialltag
Auftragsverarbeitung liegt vor, wenn eine natürliche oder juristische Person (z. B. GmbH, KG, AG), Behörde, Einrichtung oder andere Stelle personenbezogene Daten im Auftrag eines Verantwortlichen verarbeitet.
Entschließt sich eine Kanzlei zum Outsourcing einzelner Tätigkeiten, müssen dabei verschiedene rechtliche, technische und organisatorische Voraussetzungen erfüllt werden.
Der Auftragnehmer darf und muss im Rahmen der Weisungen seines Auftraggebers tätig werden. Der Kanzleiinhaber muss sich vor Beginn der Datenverarbeitung und anschließend regelmäßig über die Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen überzeugen (Kontrollrechte) und das Ergebnis dieser Überprüfung dokumentieren.
Es ist möglich, diese Aufgabe gegebenenfalls an vertrauenswürdige Dritte (z.B. durch unabhängige Sachverständige) zu delegieren, welche die Einhaltung der Vorgaben mittels Zertifikat bescheinigen.
Beendigung der Auftragsvergabe
Auch die Beendigung einer Auftragsvergabe muss datenschutzrechtlich geregelt sein. Hierzu gehört u.a. die Festlegung, wann Unterlagen zurückzugeben oder Daten zu löschen bzw. zu vernichten sind.
Umgekehrt stellt sich in der Praxis häufig die Frage, ob ein Steuerberater oder Rechtsanwalt selber Auftragnehmer im Sinne des Datenschutzrechts ist.
Beispiel: Soweit der Steuerberater beispielsweise „klassische“ Steuerberatungstätigkeiten erbringt (Erstellung Jahresabschluss, Steuerberatung etc.) handelt er ausweislich § 32 Abs. 2 Steuerberatungsgesetz („StBerG“) i. V. m. den tätigkeitsbeschreibenden Normen im StBerG eigenverantwortlich und damit aufgrund gesetzlicher Vorgaben weisungsfrei.
Aus dieser Weisungsfreiheit ergibt sich bereits, dass ein Steuerberater hinsichtlich dieser Tätigkeiten nicht den Vorgaben der Auftragsdatenverarbeitung und damit der Weisungsgebundenheit des Auftraggebers unterworfen werden kann.