Datenschutzbeauftragter - Interne oder externe Lösung
In der Praxis hält sich hartnäckig das Gerücht, Datenschutzrecht sei erst dann zu beachten, wenn mehr als neun Personen mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Allerdings kommt es hier zur Vermischung zweier Sachverhalte: einerseits die grundsätzliche Umsetzung des Datenschutzes, andererseits die Bestellung eines Datenschutzbeauftragten (DSB).
Besondere Anforderungen stellt das Bundesdatenschutzgesetz an die Person des Datenschutzbeauftragten. So muss ein Kandidat zuverlässig sein und über die erforderliche Fachkunde verfügen, also fundierte Datenschutzkenntnisse, allgemeine Rechtskenntnisse und gute EDVKenntnisse haben.
Interner DSB muss sich qualifizieren
Erfüllt der DSB aber diese Kriterien nicht, kann ihn die zuständige Aufsichtsbehörde abberufen. Er gilt dann - rückwirkend - als nicht bestellt. Allerdings gibt es hier grundsätzlich ein Problem, denn - obwohl die Tätigkeit des Datenschutzbeauftragten ein Beruf im Sinne Art. 12 Abs. 1 Grundgesetz ist - gibt es bislang keine konkreten Ausbildungsrichtlinien. Wird eine interne Lösung angestrebt, muss ein geeigneter Mitarbeiter aus und fortgebildet, für die Tätigkeit freigestellt und mit erforderlichen Arbeitsmitteln ausgestattet werden. Gibt es aber keine interne Lösung, so muss die Kanzlei einen externen DSB bestellen. Ein externer Fachmann, so zeigt die Erfahrung, braucht in der Regel weniger Zeit für die Einarbeitung als ein interner Mitarbeiter, der sich um den Datenschutz kümmert.
Allerdings sollten Steuerberater, die sich mit dem Gedanken tragen, selbst als externer Datenbeauftragter aktiv zu werden, vorsichtig sein, schießlich wird die Tätigkeit des DSB als gewerblich eingestuft. Somit kann ein SteuerberaterKollege nicht als DSB für eine andere Kanzlei aktiv werden. Hingegen kann sich ein Kanzleimitarbeiter zum DSB ausbilden lassen und auch in anderen Kanzleien wirken. In einem solchen Fall kann es aber sein, dass er anderen Haftungsregeln unterliegt.
Externer DSB mit Fachwissen von Vorteil
Die Bestellung eines externen DSB kann für die Steuerkanzlei ein Vorteil sein, da dieser häufig über entsprechendes Fachwissen verfügen. Dennoch ist es für Kanzleichefs nicht einfach, sich ein Bild über seine Qualitäten zu verschaffen. Dies kann er aber indirekt überprüfen. So gelten als Indizien für einen qualifizierten DSB etwa Aus und Fortbildungsnachweise, eine entsprechende Haftpflichtversicherung, Mitgliedschaften in Berufsorganisationen oder auch Referenzen.
Externe DSBs erheben für ihre Tätigkeit in der Regel regional übliche Beraterhonorare. Für den Aufbau einer Datenschutzorganisation in einer Kanzlei benötigt ein versierter externer DSB erfahrungsgemäß durchschnittlich drei bis fünf Tage. Zusätzlich fallen für die Erfüllung seiner gesetzlichen Pflichten - wie Revisionstermine und Dokumentation - pro Jahr nochmals drei bis fünf Tage an.
Bei der Umsetzung des Datenschutzes in der Steuerberatungskanzlei müssen einige Anforderungen berücksichtigt werden:
- Kanzleien werden datenschutzrechtlich als nichtöffentliche Stelle qualifiziert und müssen daher das Datenschutzrecht grundsätzlich umsetzen.
- Verarbeiten weniger als zehn Personen personenbezogene Daten, muss die verantwortliche Stelle, also der Kanzleiinhaber beziehungsweise die Kanzleileitung, selbst den Datenschutz umsetzen.
- Wenn mehr als neun Personen personenbezogene Daten automatisiert verarbeiten, ist ein Datenschutzbeauftragter zu bestellen. Falls mehr als neun Personen automatisiert oder mindestens 20 Personen personenbezogene Daten nichtautomatisiert verarbeiten, ist ein DSB von einer nichtöffentlichen Stelle zu bestellen. Größenunabhängig ist ein DSB beispielsweise zu bestellen, wenn Verarbeitungen einer Vorabkontrolle unterliegen.
- Zu dem Personenkreis zählen auch Praktikanten, Auszubildende, Halbtagskräfte und Familienangehörige.
- Ob ein qualifizierter interner oder externer DSB bestellt wird, ist frei wählbar.
Veröffentlicht in: Steuer-Consultant 3/2008, Seite 47
