07.11.2017

Die Benennung eines Datenschutzbeauftragten nach DSGVO

Trennlinie

Die Benennung eines Datenschutzbeauftragten nach DSGVO

Da die Kriterien zur Benennung eines Datenschutzbeauftragten (DSB) im Vergleich zum BDSG wesentlich komplexer geworden sind, soll auf diese Kriterien ein genauerer Blick geworfen werden. Ferner soll die Position des DSB näher betrachtet werden, da sich sein Aufgabengebiet unter der DSGVO wesentlich verändert.

Ein Beitrag von Stephan Rehfeld, Geschäftsführer der scope & focus Service-Gesellschaft mbH, 07.11.2017

Irrglaube bei vielen Verantwortlichen

In der Beratungspraxis stellen wir immer wieder fest, dass von Verantwortlichen, also auch Steuerberatungskanzleien, der Auffassung vertreten wird, wenn kein Datenschutzbeauftragter zu bestellen sei, muss die Steuerberatungskanzlei auch das Datenschutzgesetz nicht beachten. Diese Auffassung ist gefährlich, weil sie absolut falsch ist. Stattdessen gilt folgendes:

  • Die DSGVO (oder auch das BDSG) ist durch alle Steuerberatungskanzleien zu beachten und einzuhalten.
  • Ist kein Datenschutzbeauftragter zu bestellen, so sind seine Aufgaben durch die Leitung wahrzunehmen.

Eine Befreiung von der Einhaltung des Datenschutzrechts, weil der Verantwortliche keinen Datenschutzbeauftragten bestellen muss, kann aus dem Verordnungstext nicht entnommen werden.

Neue Bestellkriterien

Der europäische Gesetzgeber hat mit der DSGVO neue Kriterien zur Bestellung eines Kanzleidatenschutzbeauftragten eingeführt und dem nationalen Gesetzgeber eine Öffnungsklausel zugestanden, um zusätzlich nationale Bestellkriterien zuzulassen. Der deutsche Gesetzgeber hat in der letzten Legislaturperiode im Rahmen des DSAnpUG-EU (oder einfacher im Folgenden BDSG 2018) seine Gestaltungsmöglichkeit genutzt. In den folgenden Fällen muss ab dem 25.5.2018 ein Kanzleidatenschutzbeauftragter bestellt werden:

1. Beobachtung von Betroffenen
Artikel 37 Abs. 1 lit. b) DSGVO: Eine Kerntätigkeit des Verantwortlichen ist die umfangreiche und systematische Beobachtung von Betroffenen, z. B. Detekteien, Marketing auf Basis von Kundenprofilen.

2. Verarbeitung sensibler Daten / besondere Verarbeitungen
Artikel 37 Abs. 1 lit. c) Eine Kerntätigkeit des Verantwortlichen ist die Umfangreiche Verarbeitung besonderer Kategorien von Daten (Artikel 9 DSGVO) oder von Daten über strafrechtliche Verurteilungen und Straftaten (Artikel 10 DSGVO).

§ 38 Abs. 1 Satz 2 BDSG 2018: Nehmen der Verantwortliche oder der Auftragsverarbeiter Verarbeitungen vor, die einer Datenschutz-Folgenabschätzung nach Artikel 35 der Verordnung (EU) 2016/679 unterliegen, oder verarbeiten sie personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung, haben sie unabhängig von der Anzahl der mit der Verarbeitung beschäftigten Personen eine Datenschutzbeauftragte oder einen Datenschutzbeauftragten zu benennen.

3. Größengrenze
§ 38 Abs. 1 Satz 2 BDSG 2018: Der Verantwortliche und der Auftragsverarbeiter müssen einen Datenschutzbeauftragten benennen, soweit sie in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen.

Die überwiegende Anzahl an Steuerberatungskanzleien werden aufgrund des Größenkriteriums des § 38 Abs. 1 Satz 1 BDSG 2018 einen DSB bestellen müssen. Erfüllt eine Kanzlei das Größenkriterium nicht, so werden aber wahrscheinlich die beiden Kriterien zur Verarbeitung sensibler Daten greifen.

Interner oder externer Datenschutzbeauftragter?

Bei der Benennung eines DSB gibt der Gesetzgeber den Verantwortlichen explizit die Möglichkeit einen externen oder einen internen DSB zu bestellen. Bei beiden Varianten muss der Verantwortliche darauf achten, dass der DSB „auf der Grundlage seiner beruflichen Qualifikation und insbesondere des Fachwissens benannt, das er auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis besitzt, sowie auf der Grundlage seiner Fähigkeit zur Erfüllung der in Artikel 39 DSGVO genannten Aufgaben.“ (Artikel 37 Absatz 5 DSGVO). Vor einer Bestellung sollte sich die Leitung der Steuerberatungskanzlei durch Vorlage eines Fachkundenachweises davon überzeugen, dass externe DSBs auch über die erforderliche Fachkunde verfügen. Bei internen DSBs wird diese Fachkunde meistens erst aufzubauen sein.

Benennung und Meldung

Der DSB ist nicht mehr zwingend schriftlich zu bestellen. Dennoch empfiehlt es sich dringend eine Benennung nur schriftlich vorzunehmen. Nach der Benennung sind die Kontaktdaten des DSB der Steuerberatungskanzlei zu veröffentlichen und der zuständigen Aufsichtsbehörde unverzüglich zu melden. Dies gilt auch für eine Abberufung (Artikel 37 Absatz 7 DSGVO).

Das DSB-Register wird von der/dem Landesbeauftragte/r für den Datenschutz für den öffentlichen Bereich geführt, in dem der Hauptsitz einer Steuerberatungskanzlei liegt.

Stellung des DSB

Der DSB führt seine fachlichen Tätigkeiten generell weisungsunabhängig aus. Er muss der Leitung unmittelbar berichten können.

Damit er seine Beratungstätigkeit ausführen kann, muss er

  • Frühzeitig in alle datenschutzrelevanten Vorhaben eingebunden werden,
  • bei seiner Aufgabenerfüllung unterstützt werden,
  • über ausreichende Ressourcen zur Aufgabenerfüllung verfügen,
  • seine Fachkunde erhalten können.

Der DSB ist im Rahmen seiner Beratungstätigkeit zur Geheimhaltung verpflichtet. Ferner vertritt er auch die Interessen der Betroffenen.

Aufgaben des DSB

In Artikel 39 DSGVO werden die Aufgaben des DSB definiert, dies sind:

  • Unterrichtung und Beratung
  • Überwachung der Einhaltung des Datenschutzes
  • Beratung bei Datenschutz-Folgenabschätzungen
  • Zusammenarbeit mit der Aufsichtsbehörde
  • Pflicht zur risikoorientierten Tätigkeit.