#11 Wer braucht eigentlich einen Datenschutzbeauftragten?

Wer braucht eigentlich einen Datenschutzbeauftragten?

… und wer muss es ausbaden, wenn Sie keinen haben?

In den ersten Episoden unseres Podcasts haben wir uns mit aktuellen Themen rund um Datenschutz und IT-Sicherheit beschäftigt. Das bleibt natürlich auch weiterhin so – allerdings sollten wir uns unbedingt auch mit den Basics dazu beschäftigen. Tatsächlich hat sich eines in den mittlerweile schon 10 Jahren seit unserer Firmengründung nicht geändert: die meisten Fragen bekommen wir zu den Grundlagen gestellt. Wer muss etwas tun, und wenn ja was?

In den ersten Episoden unseres Podcasts haben wir uns mit aktuellen Themen rund um Datenschutz und IT-Sicherheit beschäftigt. Das bleibt natürlich auch weiterhin so – allerdings sollten wir uns unbedingt auch mit den Basics dazu beschäftigen. Tatsächlich hat sich eines in den mittlerweile schon 10 Jahren seit unserer Firmengründung nicht geändert: Über den ersten Teil dieser Frage unterhalten wir uns heute und damit herzlich willkommen bei „So geht sicher“, dem Podcast für Datenschutz und IT-Sicherheit in der Steuerkanzlei. Ich bin Christine Munker, Datenschutzberaterin und Geschäftsführerin der Munker Privacy Consulting GmbH.

Also, steigen wir direkt ein in unser heutiges Thema. Ich habe eben gesagt, dass sich die Art der Fragen, die uns oft gestellt werden, in den letzten 10 Jahren kaum geändert hat. Eins ist allerdings deutlich angestiegen: die Häufigkeit, mit der uns diese Fragen gestellt werden. Das leuchtet auch ein, wenn man sich vor Augen hält, welche rasante Entwicklung Internet, Cloud, Digitalisierung, Automatisierung und nun die KI in diesem Zeitraum erfahren haben. Sie haben im wahrsten Sinne des Wortes digitale Kanzleitüren bekommen. Und die zu schützen ist wohl eine der wichtigsten Sicherheitsmaßnahmen in unserer Zeit. Datenschutz und IT-Sicherheit – Hand in Hand und sinnvoll umgesetzt – leisten ihnen dabei großartige Dienste. Aber brauchen Sie dafür einen Datenschutzbeauftragten?

Also, steigen wir direkt ein in unser heutiges Thema. Ich habe eben gesagt, dass sich die Art der Fragen, die uns oft gestellt werden, in den letzten 10 Jahren kaum geändert hat. Eins ist allerdings deutlich angestiegen: Es gibt drei verschiedene Faktoren, die Sie zur Benennung eines Datenschutzbeauftragten verpflichten. Für Sie ist allerdings nur einer davon relevant. Private Unternehmen und Organisationen – zu denen Sie mit Ihrer Kanzlei zählen – benötigen einen Datenschutzbeauftragten, wenn Sie in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen. Gezählt werden hier tatsächlich „Köpfe“ – das klingt immer ein bisschen komisch – und nicht vollzeitäquivalente Beschäftigungsverhältnisse. Die regelmäßige automatisierte Verarbeitung personenbezogener Daten trifft in der Kanzlei auf jeden Sachbearbeiter zu, genauso natürlich auf die Geschäftsführung und auf die Mitarbeiter im Sekretariat. Zählen Sie all diese Personen in Ihrer Kanzlei zusammen und kommen bis 20 oder darüber hinaus, sind Sie also zur Benennung eines internen oder externen Datenschutzbeauftragten verpflichtet.

Bevor Sie jetzt allzu lautstark durchatmen, weil Sie die 20 beim Zählen nicht erreicht haben: es ist ein weit verbreitetes Missverständnis, dass kleinere Kanzleien keinen Datenschutz betreiben müssten. Für alle Kanzleien – vom Einzelkämpfer bis zur großen Sozietät – gelten exakt die gleichen Regeln. Der Unterschied: wer keinen Datenschutzbeauftragten benennt, muss sich als Kanzleileitung selbst um die Einhaltung und Umsetzung all dieser Regelungen bemühen. Es steht Ihnen allerdings offen, freiwillig einen Datenschutzbeauftragten zu erfüllen, egal ob intern oder extern.

Was bedeutet das, intern oder extern? Ganz einfach: ein interner Datenschutzbeauftragter ist eine Person aus Ihrem Team, die die Funktion des Datenschutzbeauftragten Ihrer Kanzlei übernimmt. Ein externer Datenschutzbeauftragter ist dementsprechend ein externer Dienstleister – so wie wir – auf den Sie die Funktion auslagern können.

Was bedeutet das, intern oder extern? Ganz einfach: Hier landen wir direkt beim nächsten großen Missverständnis. Sie könnten demnach ja nun einfach einen Mitarbeiter zum Datenschutzbeauftragten machen, der liest sich ein bisschen ein, und alles ist gut.

Sorry, aber das klappt nicht. Es gibt durchaus einige Voraussetzungen, die ein interner Datenschutzbeauftragter zu erfüllen hat. Zum einen betreffen diese Anforderungen die fachliche Qualifikation: Aufsichtsbehörden erwarten eine fundierte Grundausbildung im Datenschutz und die Teilnahme an regelmäßigen Fortbildungen. Dazu kommen die zeitlichen Anforderungen an die Funktion des Datenschutzbeauftragten: sie sollten der betreffenden Person ein ausreichendes Zeitkontingent für die Wahrnehmung seiner Aufgaben – die gesetzlich vorgeschrieben sind – zur Verfügung stellen. Man geht von ca. 10% der Arbeitszeit, je nach Kanzleistruktur etwas mehr oder weniger, aus, was in Zeiten des Fachkräftemangels zu wahren Freudentänzen in Steuerkanzleien führt. Dabei geht man von einer Vollzeitarbeitskraft aus, legen wir einfach mal eine 40 Stunden Woche zu Grunde. Dann sind wir bei einem halben Tag wöchentlichem Zeitaufwand für den Datenschutz, was wir, wenn Fortbildung, Recherchezeiten etc. mit einbezogen werden, als durchaus realistisch ansehen.

Sorry, aber das klappt nicht. Es gibt durchaus einige Voraussetzungen, die ein interner Datenschutzbeauftragter zu erfüllen hat. Zum einen betreffen diese Anforderungen die fachliche Qualifikation: Und Sie brauchen natürlich eine Person, die sich mit dem Thema auch beschäftigen möchte, einen Zugang zu den technischen Aspekten hat und bei den Mitarbeitern das entsprechende Standing besitzt, auch mal eine Regelung durchzusetzen. Unterschätzen Sie letzteres bitte nicht, dem Datenschutzbeauftragten kommt nämlich per Gesetz eine Kontrollfunktion zu, deren Wahrnehmung auch Dokumentationspflichtig ist. Und auf all das legen Aufsichtsbehörden großen Wert und reagieren nicht unbedingt kooperativ, wenn sie den Eindruck gewinnen, der Datenschutzbeauftragte sei in einer Kanzlei nur Pro Forma benannt und ist gar nicht in der Lage, seine Funktion ernsthaft auszuüben.

Sorry, aber das klappt nicht. Es gibt durchaus einige Voraussetzungen, die ein interner Datenschutzbeauftragter zu erfüllen hat. Zum einen betreffen diese Anforderungen die fachliche Qualifikation: Welche Aufgaben hat er denn nun, der Datenschutzbeauftragte?

Sorry, aber das klappt nicht. Es gibt durchaus einige Voraussetzungen, die ein interner Datenschutzbeauftragter zu erfüllen hat. Zum einen betreffen diese Anforderungen die fachliche Qualifikation: Grundsätzlich besteht seine Hauptaufgabe darin, die Einhaltung der Datenschutzvorschriften sicherzustellen und den Schutz personenbezogener Daten zu gewährleisten. Dabei handelt er grundsätzlich unabhängig und im Interesse des Datenschutzes. Er nimmt also als interner Datenschutzbeauftragter hier auch eine Sonderrolle als Berater der Geschäftsleitung ein, in der Ausübung seiner Funktion ist er weisungsunabhängig.

Die Aufgaben des Datenschutzbeauftragten umfassen laut DSGVO klar vorgegebene Bereiche:

Beratung und Schulung: Er berät, wie schon erwähnt, die Kanzleileitung und die Kanzleimitarbeiter zu allen Fragen des Datenschutzes, er informiert über alle geltenden Vorschriften und sorgt dafür, dass diese in der Praxis umgesetzt werden. Achtung: die definierte Aufgabe des Datenschutzbeauftragten ist es nicht, diese Vorgaben alle selbst umzusetzen, es geht tatsächlich um eine beratende und überwachende Aufgabe. Da der Datenschutzbeauftragte in der Regel aber die Person mit dem höchsten Kenntnisstand in der Kanzlei ist, wird er automatisch auch die Umsetzung der Vorgaben in der Praxis auf seinem Schreibtisch wiederfinden. Beachten Sie das unbedingt auch bei der Planung des Zeitbudgets.

Die zweite Aufgabe ist bereits die Überwachung: Der Datenschutzbeauftragte überwacht die Datenverarbeitungsprozesse in der Kanzlei, um sicherzustellen, dass sie den gesetzlichen Anforderungen entsprechen. Dazu gehört auch die Kontrolle der technischen und organisatorischen Maßnahmen im Datenschutz. Was das ist besprechen wir im Detail noch in einer gesonderten Folge. Nur soweit vorab: hier finden wir die direkte Schnittmenge zur IT-Sicherheit, es wird also technisch.

Die zweite Aufgabe ist bereits die Überwachung: Die Kommunikation mit Aufsichtsbehörden ist der dritte Aufgabenbereich. Der Datenschutzbeauftragte ist Ansprechpartner für die Aufsichtsbehörden und meldet Datenschutzverletzungen, wenn sie auftreten. Er kooperiert mit den Behörden bei Prüfungen und Untersuchungen.

Last but not least: Die Datenschutz-Folgenabschätzung: in bestimmten Fällen, insbesondere wenn Datenverarbeitungsprozesse ein hohes Risiko für die Rechte und Freiheiten von betroffenen Personen darstellen, muss der Datenschutzbeauftragte sogenannte Datenschutz-Folgenabschätzungen durchführen. Diesen Begriff werden wir bestimmt auch bald näher erläutern, da eine solche Abschätzung z.B. vor dem Einsatz von Office 365 notwendig ist.

In der Praxis ist die wichtigste Aufgabe des Datenschutzbeauftragten wahrscheinlich die, die im Gesetz gar nicht festgeschrieben ist: die Umsetzung aller Regelungen im Alltag. Wie schon erwähnt sollte der Datenschutzbeauftragte diese eigentlich nur überwachen und beratend tätig sein, in der Praxis ist er aber oft der einzige Anwesende, der das Knowhow hat, für eine korrekte Umsetzung zu sorgen.

In der Praxis ist die wichtigste Aufgabe des Datenschutzbeauftragten wahrscheinlich die, die im Gesetz gar nicht festgeschrieben ist: Ein externer Datenschutzbeauftragter hat natürlich genau die gleichen Aufgaben wie ein interner Datenschutzbeauftragter. Und naturgemäß deutlich mehr Knowhow, mehr Ausbildung, mehr Erfahrung und einfach mehr Handlungssicherheit in der Praxis. Da auch wir alle mal mit einer Ausbildung zum Datenschutz angefangen haben – vor vielen vielen Jahren – wissen wir nur allzu gut, wie schwer man sich nach einem solchen Seminar mit all der Theorie im Hinterkopf tut, wenn man das ganze dann in die Praxis umsetzen möchte. Wir haben über all die Zeit ein umfangreiches Beratungssystem aufgebaut, wir haben die verschiedensten und komplexesten Fälle auf dem Tisch gehabt, und wir tun uns daher logischerweise wesentlich leichter mit dem Aufbau einer Datenschutzorganisation in der Kanzlei als Ihre Mitarbeiter als interne Datenschutzbeauftragte. Dafür sind Ihre Mitarbeiter in der Lage, eine Finanzbuchhaltung zu führen, die beim Finanzamt nicht direkt alle Glocken klingen lässt – im Gegensatz zu mir. So ist das eben mit uns Experten.

In der Praxis ist die wichtigste Aufgabe des Datenschutzbeauftragten wahrscheinlich die, die im Gesetz gar nicht festgeschrieben ist: Ein externer Datenschutzbeauftragter rechnet sich übrigens in vielerlei Hinsicht für Sie. Wenn wir von 10% der Arbeitszeit des internen Datenschutzbeauftragten ausgehen, sind wir bei ungefähr 20 Arbeitstagen pro Jahr. Nun ist es ja nicht so, dass Sie von uns oder unseren Mittbewerbern jährlich Rechnungen über 20 Beratertage bekommen. Unser Aufwand liegt deutlich darunter, wir sprechen eher über 2 Arbeitstage im Durchschnitt. Das liegt zum einen daran, dass wir Fortbildungen und Recherchezeiten auf alle Kunden umlegen können, mittlerweile sind das ca. 500 Unternehmen und Kanzleien in Deutschland. Gerade bei Steuerkanzleien haben wir uns über die Jahre auch ein sehr fein gestricktes Beratungssystem zusammengestellt, mit dem wir vieles blitzschnell umsetzen können, wofür ein interner Datenschutzbeauftragter ohne Praxiserfahrung, Vorlagen und speziellen Softwaretools richtig lange braucht – und manchmal inhaltlich trotzdem im dunkeln tappt. Und damit Ende des Werbeblocks für die externe Lösung.

In der Praxis ist die wichtigste Aufgabe des Datenschutzbeauftragten wahrscheinlich die, die im Gesetz gar nicht festgeschrieben ist: Was kann passieren, wenn Sie keinen Datenschutzbeauftragten benennen und auch selbst nichts umsetzen? Das wissen Sie im Grunde alles. Es kann zu Bußgeldern kommen, es kann zu unangenehmer Kommunikation mit ihren Mandanten kommen und so weiter. Das spielt natürlich alles eine große Rolle, ist für uns aber bei weitem nicht das wichtigste Thema.

Auch im Datenschutz – der oft schon als arg lästig betrachtet wird – finden sich viele Themen, mit denen Sie aktiv zum Schutz ihrer digitalen Kanzleitüren beitragen können. Als ein Beispiel möchte ich das Thema Auftragsdatenverarbeitung nennen: dabei klopfen wir Ihre Dienstleister – also z.B. Hostingpartner, Softwarepartner, Clouddienstleister – auf deren Sicherheitsvorkehrung bei der Verarbeitung Ihrer Kanzleidaten ab. Nicht ganz unwesentlich, oder?

Auch im Datenschutz – der oft schon als arg lästig betrachtet wird – finden sich viele Themen, mit denen Sie aktiv zum Schutz ihrer digitalen Kanzleitüren beitragen können. Als ein Beispiel möchte ich das Thema Auftragsdatenverarbeitung nennen: Es wird also Zeit, den Datenschutz aus der verstaubten „Gesetze, die wir achten sollten“ Ecke herauszuholen und ihn gemeinsam mit sinnvollen Maßnahmen zur IT-Sicherheit als wichtigen Schutzmechanismus für Ihre Kanzlei mehr in den Vordergrund zu stellen.

Ziehen wir ein Fazit:

Ziehen wir ein Fazit: Zählen Sie 20 oder mehr relevante Köpfe in Ihrer Kanzlei, sind Sie zur Benennung eines Datenschutzbeauftragten verpflichtet.

Ziehen wir ein Fazit: Zählen Sie maximal 19 relevante Köpfe können Sie sich um die Aufgaben des Datenschutzbeauftragten selbst kümmern, oder freiwillig einen benennen.

Ziehen wir ein Fazit: Entscheiden Sie sich für einen internen Datenschutzbeauftragten, sollte dieser auch die Anforderungen erfüllen und die Aufgaben umsetzen können. Eine Pro-Forma-Benennung hilft nichts.

Ziehen wir ein Fazit: Die Aufgaben des Datenschutzbeauftragten sind nicht ganz ohne, vor allem weil eine fundierte Aus- und Fortbildung und nicht wenig Zeit für die Umsetzung der Vorgaben im Praxisalltag notwendig sind.

Last but not Least: Datenschutz ist längst kein „Nice to have“ mehr. In der digitalen Welt sprechen wir von einem Must-Have, das einen echten Unterschied für Ihre Kanzleisicherheit macht.

Last but not Least: Damit bin ich wieder einmal am Ende unseres Podcast bzw. unserer heutigen Episode, die diesmal deutlich weniger technisch war als sonst.

Last but not Least: Wenn Sie sich dazu entschieden haben, das Thema Datenschutz in Ihrer Kanzlei intern umzusetzen, habe ich einen Lesetipp für Sie, nämlich das Buch „Datenschutz in der Steuerberatung“, dass mein Mann und ich gemeinsam geschrieben haben. Das Buch ist im Erich Schmidt Verlag erschienen und vermittelt neben den wichtigsten Grundlagen auch einen Leitfaden für den Einstieg in den Datenschutz. Den Link zum Buch finden Sie in den Shownotes.

Last but not Least: Außerdem empfehle ich Ihnen einen Blick auf die Webseite der Bundessteuerberaterkammer, die gemeinsam mit dem Deutschen Steuerberaterverband konkrete Hinweise, Muster und Praxishilfen im Rahmen der „Hinweise für den Umgang mit personenbezogenen Daten durch Steuerberater und Steuerberatungsgesellschaften“ zur Verfügung stellt. Diese enthalten u.a. die wichtigsten To-Dos und Vorlagen zur Umsetzung des aktuellen EU-Datenschutzrechts in den Steuerberatungskanzleien. Ich möchte an dieser Stelle natürlich nicht unerwähnt lassen, dass Dirk Munker sich von Anfang an aktiv in den Arbeitskreis zur Erstellung und Aktualisierung der Unterlagen einbringt und sein Praxisknowhow in Teile der Unterlagen eingeflossen ist. Den Link dorthin finden Sie auf der Website www.bstbk.de unter „Themen“ und dort bei „Brennpunktthemen“, ich stelle ihn auch hier in die Shownotes dieser Episode.

Last but not Least: All die Informationen, die Sie hier im Podcast hören, können Sie übrigens auch in Schriftform direkt in Ihr E-Mail-Postfach bekommen. Für alle, die lieber lesen als hören, gibt es nämlich den „So geht sicher.“ Newsletter, damit liefern wir Ihnen die gleichen News und Infos als Text auf den Tisch. Abonnieren können Sie den Newsletter auf unserer Webseite www.munker.info unter dem Menüpunkt „Kontakt“, den Link dazu stelle ich auch noch hier in die Shownotes.

Last but not Least: Wenn Sie spezielle Themenwünsche haben, oder Fragen zur heutigen Episode, Hinweise oder Kritik, dann schreiben Sie uns gerne, die Kontaktdaten finden Sie wie immer in den heute wirklich viel zitierten Shownotes. Und wenn Sie mehr von diesem Podcast hören wollen, sollten Sie „so geht sicher“ JETZT GLEICH abonnieren. Bis bald!