Datenschutz

§ 4 des Bundesdatenschutzgesetzes (BDSG) verlangt von nichtöffentlichen Stellen, die personenbezogene Daten verarbeiten, die Bestellung eines betrieblichen Datenschutzbeauftragten (bDSB). Durch das „Erste Gesetz zum Abbau bürokratischer Hemmnisse insbesondere in der mittelständischen Wirtschaft“ (Gesetz vom 22.08.2006, BGBl. I, Seite 1970) ist das BDSG nunmehr geändert worden. Dies dürfte insbesondere kleinen und mittleren WP-/vBP-Praxen entgegenkommen und zudem bisher bestehende Unklarheiten beseitigen - insbesondere bzgl. des Verhältnisses zwischen Datenschutzrecht und berufsrechtlicher Verschwiegenheitspflicht gemäß § 43 Abs. 1 WPO. Die Gesetzesänderung ist am 26. August 2006 in Kraft getreten.

Die Bestellung eines bDSB ist jetzt nur noch dann erforderlich, wenn mehr als 9 Personen mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt werden. Sofern das Gesetz nunmehr von „Personen“ und nicht mehr wie früher von „Arbeitnehmern“ spricht, ist dies keine Verschärfung der Gesetzeslage, sondern lediglich eine Klarstellung der schon bisher geltenden Rechtsauffassung. Schon nach der alten BDSG-Fassung war nicht der Arbeitnehmerbegriff im sozialversicherungsrechtlichen Sinne maßgeblich, sondern ausschließlich die Tatsache, ob eine im Betrieb beschäftigte Person mit der Datenverarbeitung beschäftigt ist. Hierzu können neben den Sozien, Partnern und Angestellten WP/vBP auch Sekretariatskräfte und sonstige Mitarbeiter gehören. Mitzuzählen sind auch Teilzeitkräfte, Auszubildende, Praktikanten und ggf. freie Mitarbeiter.

Sofern es um die Datenverarbeitung auf sonstige Weise geht, gilt unverändert ein Schwellenwert von mehr als 20 Personen. Dies dürfte aber in der Praxis kaum relevant sein, da die Verarbeitung personenbezogener Daten regelmäßig nur noch EDV-mäßig erfolgt.

Zu betonen ist auch, dass sich die Schwellenwerte nur auf das Erfordernis der Bestellung eines bDSB beziehen, nicht jedoch den Praxisinhaber von der Verpflichtung zur Einhaltung des BDSG insgesamt entbinden. Auch unterhalb der Schwellenwerte ist der Praxisinhaber also verpflichtet, die datenschutzrechtlichen Vorschriften im Übrigen einzuhalten.

Die Bestellung eines bDSB muss schriftlich dokumentiert und in der WP-/vBP-Praxis bekannt gegeben werden. Dies ist schon deshalb erforderlich, weil der bDSB auch als Ansprechpartner für die Mitarbeiter in datenschutzrechtlichen Belangen fungiert. Seine Aufgaben richten sich nach § 4g BDSG.

Als bDSB bestellt werden kann zum einen ein zuverlässiger Mitarbeiter des WP/vBP, der sich die erforderliche Fachkunde erarbeitet (interner bDSB). Voraussetzung ist allerdings, dass die erforderliche Unabhängigkeit gewahrt bleibt und mögliche Interessenkollisionen vermieden werden. Insbesondere Kanzleiinhaber bzw. Geschäftsführer oder IT/EDV-Mitarbeiter kommen daher regelmäßig nicht für die Position des bDSB in Betracht.

Als weitere Möglichkeit besteht die Bestellung eines externen bDSB. Durch § 4f Abs. 2 Satz 3 BDSG wird klargestellt, dass sich die Kontrollbefugnis sowohl von internen als auch von externen bDSB ausdrücklich auch auf personenbezogene Daten erstreckt, die einem Berufsgeheimnis unterliegen. Damit kommt es auf die bisher teils problematische Abgrenzung zwischen solchen personenbezogenen Daten, die der beruflichen Verschwiegenheitspflicht des WP/vBP unterliegen (insbesondere Mandantendaten) und anderen personenbezogenen Daten, die in der Praxis verarbeitet werden (z. B. Personaldaten der Mitarbeiter) nicht mehr an.

Bisher war die Zulässigkeit eines externen bDSB für Freiberuflerpraxen aufgrund der berufsrechtlichen Verschwiegenheitspflicht umstritten. Um die Tätigkeit insbesondere des externen bDSB rechtlich abzufedern, überträgt der neu eingefügte § 4f Abs. 4a BDSG das berufliche Aussageverweigerungsrecht nunmehr ausdrücklich auch auf den bDSB und dessen Hilfspersonal. Zudem besteht für die Reichweite des Aussageverweigerungsrechts ein Beschlagnahmeverbot. Über die Ausübung des Aussageverweigerungsrechts entscheidet der Berufsträger, dem es aus beruflichen Gründen zusteht, es sei denn, dies ist aufgrund Eilbedürftigkeit nicht möglich.

Arbeitsgrundlage für die Tätigkeit des betrieblichen Datenschutzbeauftragten ist das so genannte Verfahrensverzeichnis (§ 4e BDSG). In diesem ist schriftlich zu erfassen, welche Regeln im Betrieb für den Umgang mit persönlichen Daten gelten und welche Daten erhoben werden. Dazu gehören z. B. nicht nur Regelungen für den Umgang mit Mandantenakten, sondern auch bzgl. der Nutzung von Telefon, Telefax, Internet, E-Mail usw. durch die Mitarbeiter. Oftmals wird in den Betrieben eine bestimmte Praxis „gelebt“, ohne dass diese schriftlich dokumentiert ist.

Der WP/vBP hat vor der erstmaligen Erfassung und Speicherung von personenbezogenen Daten im EDV-System die Mandanten darauf hinzuweisen, dass er die Daten erfasst und speichert und wie er sie nutzt (vgl. § 4 Abs. 3 BDSG). Der Begriff der „personenbezogenen Daten“ gilt allerdings grundsätzlich nicht bei juristischen Personen, jedenfalls soweit Daten über diese zwangsläufig nicht auch Angaben über natürliche Personen beinhalten.

Die Verkündung des „Ersten Gesetzes zum Abbau bürokratischer Hemmnisse insbesondere in der mittelständischen Wirtschaft“ kann unter www.bundesgesetzblatt.de eingesehen werden (Pfad: BaBL Teil I 2006>Bundesgesetzblatt Nr. 40 vom 25. August 2006).

Nützliche Links

www.bundesdatenschutzbeauftragter.de (dort insbesondere die Rubriken „Materialien zum Datenschutz“ und „Datenschutz und Technik“)
www.externer-datenschutz.de (Liste mit Anbietern für Freiberufler)
www.bvdnet.de (externe Datenschutzberater mit Selbstverpflichtung)