Datenschutz-Basics: Der Datenschutzbeauftragte in der Kanzlei

Wer braucht einen Datenschutzbeauftragten? Welche besonderen Verpflichtungen hat er? Und wer darf überhaupt zum Datenschutzbeauftragen bestimmt werden? – Fast täglich erreichen mich und meinen Kollegen Thomas Althammer viele Fragen zum Thema „Datenschutzbeauftragter in der Anwalts- und Steuerberaterkanzlei“.

In diesem Artikel möchte ich Ihnen deshalb einen kurzen Überblick zu den Basics des Datenschutzes in der Anwalts- und Steuerberaterkanzlei geben und die wichtigsten Fragen beantworten. Also, starten wir gleich los!

Datenschutz und Verschwiegenheit: Doppelte Belastung für Anwälte und Steuerberater?

Eine der wohl häufigsten Fragen Ihrer Kollegen an mich: Als Mitglied der Steuerberater- oder Rechtsanwaltschaft unterliegen Sie bereits besonderen beruflichen Verschwiegenheitspflichten – warum sollten Sie da auch noch eine Doppelbelastung durch das Bundesdatenschutzgesetz (BDSG) erfahren?

Die h. M. vertritt mittlerweile die Ansicht, dass berufliche Verschwiegenheitspflichten und das BDSG zwei Regelungskreise darstellen, die sich untereinander sinnvoll ergänzen müssen.

Die berufliche Verschwiegenheitspflicht beschränkt sich nicht auf personenbezogene Daten. Somit schützt sie alle gewonnenen Informationen aus der Mandatsbearbeitung, wie z. B. Geschäfts- und Betriebsgeheimnisse.
 

Das BDSG schützt hingegen das Grundrecht auf informationelle Selbstbestimmung jeder natürlichen Person. Im Rahmen Ihrer Berufsausübung sind dies nicht nur Mandanten, sondern z. B. auch Mitarbeiter, Geschäftspartner und potenzielle Mandanten.

Zu den Bestimmungen des BDSG gehören auch Vorschriften, die sich auf die Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten mit Hilfe von IT-gestützten Verfahren beziehen und den Betroffenen diesbezüglich umfassende Rechte zur Seite stellen.

Wer benötigt einen Datenschutzbeauftragten?

Grundsätzlich empfehlen wir jeder Kanzlei, gleich welcher Größe, einen Datenschutzbeauftragten zu bestellen – einerseits bündeln Sie so die notwendigen Kompetenzen in einer Person.

Andererseits, und das vernachlässigen leider viel zu viele Ihrer Kollegen, ist die Benennung eines Datenschutzbeauftragten auch eine öffentlichkeitswirksame Maßnahme: Denn durch einen Datenschutzbeauftragten kommunizieren Sie nach außen (also gegenüber Ihren Mandanten), dass Sie nicht nur datenschutzrechtliche Aspekte bei Ihrer Arbeit berücksichtigen, sondern auch, dass die Mandantendaten bei Ihnen in den besten Händen sind. Das schafft Vertrauen und kann manchmal das „Zünglein an der Waage“ sein, warum sich ein potentieller Mandant für Sie entscheidet.

Die wichtigste Frage: Wann müssen Steuerberater und Anwälte einen Datenschutzbeauftragten bestellen?

Als Kanzleiinhaber bzw. als Leitung der juristischen Person, der das Unternehmen gehört, sind Sie grundsätzlich selbst verantwortlich für die Einhaltung der datenschutzrechtlichen Vorgaben. Das gilt unabhängig davon, ob Sie einen Datenschutzbeauftragten bestellt haben oder nicht.

Werden i.d.R. mehr als neun Personen (die Art des Beschäftigungsverhältnisses spielt hierbei keine Rolle) ständig mit der automatisierten Verarbeitung von personenbezogenen Daten betraut, ergibt sich aber die Pflicht zur Bestellung eines Datenschutzbeauftragten aus § 4 f I Satz 4 BDSG.

Wichtiger Hinweis: Die Begriffe „ständig“ und „i.d.R.“ sind in diesem Zusammenhang weit auszulegen. Alternativ müssten gem. § 4 f I Satz 3 BDSG mindestens zwanzig Personen an der herkömmlichen Verarbeitung personenbezogener Daten beteiligt sein.

Achtung: Automatisierte Verarbeitung auch in der Kanzlei!

Ob sich die Anwendung des § 4 f BDSG auch auf mandantenbezogene Datenverarbeitung beziehen soll, wird überwiegend bejaht.

Lediglich die BRAK vertritt diesbezüglich eine andere Meinung, welche allerdings weder von Literatur noch von Datenschutzaufsichtsbehörden und Interessenvertretungen geteilt wird.

Wichtiger Hinweis: An dieser Stelle soll auch kurz erwähnt werden, dass der Gesetzgeber keinen sog. „Konzernbeauftragten“ vorgesehen hat. Das bedeutet, dass für jede Tochtergesellschaft muss der Datenschutzbeauftragte einzeln bestellt werden muss. Es kann sich dabei um dieselbe Person handeln.

Wer darf zum Datenschutzbeauftragten bestellt werden?

Als Datenschutzbeauftragter bestellt werden dürfen Angehörige der eigenen Kanzlei sowie externe Dienstleister, die über die erforderliche Fachkunde verfügen.

Nach § 4 f II Satz 2 BDSG bestimmt sich das Maß der erforderlichen Fachkunde nach dem Umfang der Datenverarbeitung und dem Schutzbedarf der personenbezogenen Daten. Eine besondere berufliche Qualifikation wird nicht vorausgesetzt.

Grundsätzlich kann in einer Steuerberater- und/oder Rechtsanwaltskanzlei von einem hohen Schutzbedarf ausgegangen werden, sodass auch das Know-how des Datenschutzbeauftragten bezüglich der eingesetzten IT-Systeme und der entsprechenden Absicherung dieser überdurchschnittlich sein sollte. Die Bestellung eines kanzleiinternen Datenschutzbeauftragten ist also nur bedingt zu empfehlen.

Nicht bestellt werden dürfen Kanzleiinhaber oder die Unternehmensleitung. Das ergibt sich aus § 4 f III Satz 1 BDSG. Um Interessenskonflikte zu vermeiden, sollten Sie ebenfalls nicht in Erwägung ziehen, IT- und Personalverantwortliche sowie IT-Systemadministratoren als Datenschutzbeauftragten zu bestellen.

Welche besonderen Pflichten hat der Datenschutzbeauftragte?

Datenschutzbeauftragte unterliegen der Zeugnisverweigerungs- und Schweigepflicht. Sie sind grundsätzlich gem. § 4 f IV BDSG berechtigt und verpflichtet über die Identität und die näheren Umstände des Betroffenen Stillschweigen zu bewahren. Stillschweigen betrifft in diesem Zusammenhang den Fall, dass ein (Nicht-)Betroffener sich an den Datenschutzbeauftragten wendet.

Das Recht zur Verschwiegenheit gilt auch gegenüber dem Kanzleiinhaber oder der Unternehmensleitung. Ausnahmen resultieren nur aus der Klärung von Unregelmäßigkeiten innerhalb der Verarbeitung von personenbezogenen Daten, jedoch stets unter Wahrung des Datenschutzes.

Die strafbewehrte Schweigepflicht der mandantenbezogenen Datenverarbeitung wird gem. § 203 II a StGB deutlich auf die (externen) Datenschutzbeauftragten ausgeweitet.

Gem. § 4 f IV a BDSG wird der Schutz des Berufsgeheimnisses mit einem Zeugnisverweigerungsrecht des Datenschutzbeauftragten ergänzt. Allerdings entscheideen Sie als Kanzleiinhaber, ob und in welchem Umfang der Datenschutzbeauftragte dieses Recht ausüben darf.

Im Rahmen dieses Zeugnisverweigerungsrechts besteht darüber hinaus für Akten und andere Schriftstücke des Datenschutzbeauftragten ein Beschlagnahmeverbot.

Der Datenschutzbeauftragte in der Anwalts- und Steuerberatungskanzlei: Weitere Informationen

Ich hoffe, ich konnte Ihnen mit diesem Grundlagenartikel schon einige Fragen zum Thema „Datenschutzbeauftragter in der Anwalts- und Steuerberaterkanzlei“ beantworten.

Ich möchte Sie auch auf unseren kostenfreien Newsletter aufmerksam machen. Mit diesem informieren wir Sie regelmäßig zu neuen Artikeln und Downloads, die wir auf Datenschutz-News veröffentlichten. Melden Sie sich gleich hier zu unserem kostenfreien Newsletter an!
 

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.