Datenschutz

WPK aktuell Mitgliederinformation zur DSGVO

WPK aktuell Mitgliederinformation zur DSGVO

Im Mai und Juni 2018 informierte die WPK ihre Mitglieder in sechs Veranstaltungen zu speziellen Aspekten der Datenschutzgrundverordnung.

Downloads

  • Projektbeispiel: Umsetzung der Anforderungen der DSGVO in der WPK (pdf 204 KB)

  • Neues Datenschutzrecht und Berufsverschwiegenheit - Auf welche Ausnahmeregelungen WP/vBP achten müssen (pdf 555 KB)


Informationen der EU-Kommission für KMU zum neuen Datenschutzrecht

Informationen der EU-Kommission für kleine und mittlere Unternehmen zum neuen Datenschutzrecht

Zu den am 25. Mai 2018 verschärften Datenschutzvorschriften hat die Europäische Kommission die Internetseite Datenschutz – Bessere Vorschriften für kleine Unternehmen eingerichtet, die in übersichtlicher Form Informationen zu folgenden Themen gibt:

  • Was sind personenbezogene Daten?
  • Warum werden die Vorschriften geändert?
  • Was muss Ihr Unternehmen tun?
  • Die Kosten von Datenschutzverstößen.

Neues Datenschutzrecht und Berufsverschwiegenheit

Neues Datenschutzrecht und Berufsverschwiegenheit – Auf welche Ausnahmeregelungen WP/vBP achten müssen

  • Das ab dem 25. Mai 2018 geltende neue Bundesdatenschutzgesetz enthält auch Regelungen zur Verschwiegenheit des WP/vBP.
  • Danach gelten bestimmte Informationspflichten oder Auskunftsrechte nach der EU-Datenschutz-Grundverordnung nicht, wenn diese mit der Schweigepflicht des WP/vBP kollidieren.
  • Auch die Ermittlungsbefugnisse der Datenschutzaufsichtsbehörden werden entsprechend beschränkt.

Im Mai 2016 trat die europäische Datenschutz-Grundverordnung in Kraft (im Folgenden: DSGVO)[1]. Sie gilt ab dem 25. Mai 2018 unmittelbar in allen Mitgliedstaaten.

Ergänzend erließ der deutsche Gesetzgeber im Juni 2017 ein neues Bundesdatenschutzgesetz (im Folgenden: BDSG-neu)[2], welches ebenfalls am 25. Mai 2018 in Kraft treten und das noch geltende BDSG ablösen wird. Das neue BDSG nutzt von der DSGVO eröffnete Mitgliedstaatenwahlrechte.

Auch wenn die Regelungen der DSGVO noch nicht gelten, werden sie von Betroffenen und Aufsichtsbehörden derzeit intensiv diskutiert und zum Teil unterschiedlich ausgelegt. Es wird Jahre dauern, bis sich ein Auslegungsstandard herausgebildet hat, der eine rechtssichere Anwendung der neuen Vorschriften ermöglicht. Noch komplexer wird dieser Prozess durch die auf Länderebene zuständigen Datenschutzaufsichten.

Grundsätzliches zum Verhältnis Datenschutzrecht – Berufsrecht

Nach dem noch geltenden BDSG haben unter anderem spezielle berufsrechtliche Regelungen Vorrang vor dem allgemeinen Datenschutzrecht (§ 1 Abs. 3). Sachverhalte, die durch berufsrechtliche Vorschriften, zum Beispiel zur Verschwiegenheit, abweichend geregelt werden, sind ausschließlich nach diesen zu beurteilen. Das allgemeine Datenschutzrecht tritt insoweit zurück.

Zwar enthält auch das BDSG-neu eine entsprechende Vorrangregelung (§ 1 Abs. 2), allerdings kennt die DSGVO als unmittelbar geltendes europäisches Recht eine solche Regelung zugunsten spezieller nationaler Vorschriften nicht, da sie gerade zu dem Zweck erlassen wurde, den Datenschutzstandard europaweit zu vereinheitlichen. Kollidieren berufsrechtliche Regelungen des nationalen Rechts mit der DSGVO, sind daher ausschließlich die Vorschriften der DSGVO anzuwenden (Anwendungsvorrang des Europarechts).

Der deutsche Gesetzgeber stand vor der Herausforderung, im Bereich des Geheimnisschutzes der Freien Berufe die Kollisionslagen zwischen deutschem Berufsrecht und der Verordnung herauszuarbeiten und die Mitgliedstaatenwahlrechte in Art. 23 Abs. 1 DSGVO, soweit einschlägig, für entsprechende Ausnahmeregelungen zu nutzen.

Dieser Praxishinweis erläutert die Ausnahmeregelungen zum Schutz der Verschwiegenheit des WP/vBP und wirft einen Blick auf die Befugnisse der Datenschutzaufsichtsbehörden.

Umfassende Handlungsempfehlungen zur Umsetzung der gesamten datenschutzrechtlichen Regelungen in der beruflichen Praxis kann die WPK demgegenüber nicht geben, da ein spezifischer Bezug zu den Berufspflichten insoweit nicht erkennbar ist. Es handelt sich um „Jedermannsrecht“, das vom gesetzlichen Beratungsauftrag der WPK (§ 57 Abs. 2 Nr. 1 WPO) nicht erfasst ist. Zuständig insoweit sind die Datenschutzaufsichtsbehörden der Länder. Auf die Unsicherheiten bei der Anwendung des neuen Rechts wurde hingewiesen.

Rechte des von der Datenerhebung Betroffenen und berufliche Verschwiegenheit

Pflicht zur Information des Betroffenen

Regelung
Nach dem neuem Datenschutzrecht hat der für die Datenverarbeitung Verantwortliche die von der Datenerhebung betroffene Person auch dann umfassend unter anderem über den Zweck der Datenverarbeitung sowie zu den Empfängern der Daten zu informieren, wenn die Daten nicht bei der betroffenen Person erhoben wurden (Art. 14 Abs. 1 bis 4 DSGVO). Dies würde die berufliche Schweigepflicht durchbrechen, da die Informationspflicht in der Regel nicht gegenüber dem Mandanten, sondern gegenüber Dritten (Arbeitnehmern, Kunden des Mandanten) bestünde.

Ausnahme
Diesen Konflikt mit schützenswerten Rechten insbesondere der Träger Freier Berufe hat der Verordnungsgeber selbst gesehen und eine Ausnahmeregelung für den Fall aufgenommen, dass die erhobenen Daten gemäß dem Unionsrecht oder dem Recht der Mitgliedstaaten einer gesetzlichen Schweigepflicht unterliegen (Art. 14 Abs. 5 Buchstabe d DSGVO).

§ 29 Abs. 1 Satz 1 BDSG-neu ergänzt diese Ausnahme auf der Basis von Art. 23 Abs. 1 DSGVO in Bezug auf Informationen, die „ihrem Wesen nach, insbesondere wegen der überwiegenden berechtigten Interessen eines Dritten, geheim gehalten werden müssen“.

Auskunftsrecht des Betroffenen

Regelung
Der von der Datenerhebung Betroffene hat unabhängig davon, bei wem die Daten erhoben wurden, das Recht, von dem für die Datenverarbeitung Verantwortlichen umfassende Auskünfte zu verlangen, unter anderem zum Zweck der Verarbeitung seiner Daten sowie zu Empfängern, gegenüber denen diese Daten offen gelegt werden (Art. 15 Abs. 1 DSGVO). Eine Bereichsausnahme für Berufsgeheimnisträger unmittelbar auf Ebene der DSGVO existiert für den Anwendungsbereich des Art. 15 – anders als bei Art. 14 – unverständlicherweise nicht.

Ausnahme
Daher trifft § 29 Abs. 1 Satz 2 BDSG-neu insoweit eine Ausnahmeregelung. Danach besteht das Auskunftsrecht nicht, soweit durch die Auskunft Informationen offenbart würden, die nach einer Rechtsvorschrift (zum Beispiel berufsrechtliche Verschwiegenheitspflicht) oder ihrem Wesen nach, insbesondere wegen der überwiegenden berechtigten Interessen eines Dritten, geheim gehalten werden müssen.

Ein Auskunftsrecht nach Art. 15 DSGVO besteht demnach nicht, wenn die Daten der betroffenen Person bei einer anderen Person (Mandant) erhoben wurden und eine Auskunft an den Betroffenen (zum Beispiel Arbeitnehmer, Kunde des Mandanten) nach der genannten Vorschrift eine Durchbrechung der Verschwiegenheit darstellen würde.

Die in § 29 Abs. 1 Satz 2 BDSG-neu geregelte Ausnahme zum Auskunftsrecht nach Art. 15 DSGVO verhält sich daher spiegelbildlich zur Ausnahme von der Informationspflicht gemäß Art. 14 Abs. 5 DSGVO.

Benachrichtigung der Betroffenen bei Datenpannen

Regelung
Der Verantwortliche hat die Betroffenen unverzüglich von einer Verletzung des Schutzes ihrer personenbezogenen Daten zu benachrichtigen, wenn die Verletzung voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten dieser Personen zur Folge hat (Art. 34 Abs. 1 DSGVO).

Ausnahmen
Die Benachrichtigung der Betroffenen ist nach Art. 34 Abs. 3 DSGVO nicht erforderlich, wenn

  • die Daten durch geeignete technisch-organisatorische Maßnahmen (zum Beispiel Verschlüsselung) vor unbefugter Kenntnisnahme geschützt sind (Buchstabe a),
  • durch geeignete nachlaufende Maßnahmen sichergestellt ist, dass das in Absatz 1 genannte hohe Risiko aller Wahrscheinlichkeit nach nicht mehr besteht (Buchstabe b) oder
  • eine individuelle Benachrichtigung unzumutbar ist (Buchstabe c), allerdings schreibt die DSGVO in diesem Fall eine öffentliche Bekanntmachung oder eine vergleichbare Maßnahme vor.

Zusätzlich zu diesen Fällen schließt § 29 Abs. 1 Satz 3 BDSG-neu die Benachrichtigungspflicht auch dann aus, soweit durch die Benachrichtigung Informationen offenbart würden, die nach einer Rechtsvorschrift (zum Beispiel berufsrechtliche Verschwiegenheitspflicht) oder ihrem Wesen nach, insbesondere wegen der überwiegenden berechtigten Interessen eines Dritten, geheim gehalten werden müssen. Die betroffene Person ist jedoch zu benachrichtigen, wenn ihre Interessen, insbesondere unter Berücksichtigung drohender Schäden, gegenüber dem Geheimhaltungsinteresse überwiegen (§ 29 Abs. 1 Satz 4 BDSG-neu).

Damit hat der deutsche Gesetzgeber hinsichtlich der Information betroffener Dritter zwar grundsätzlich einen Vorrang der beruflichen Verschwiegenheit geregelt. Der WP/vBP hat allerdings in allen Fällen eine Güterabwägung im Sinne von § 29 Abs. 1 Satz 4 BDSG-neu vorzunehmen, um beurteilen zu können, ob die Verschwiegenheitspflicht wegen überwiegender Interessen des betroffenen Dritten zurücktritt.

Weitere Informationspflichten gegenüber dem Betroffenen

Regelung
Von den Regelungen in § 29 Abs. 1 BDSG-neu werden ausdrücklich nur die Informationspflichten und Auskunftsrechte nach Art. 14, 15 und 34 DSGVO erfasst. Die Art. 13 ff. DSGVO enthalten jedoch weitere, spezielle Verarbeitungssituationen betreffende Informationspflichten des Verantwortlichen gegenüber der von der Datenverarbeitung betroffenen Person. Auch insoweit kann es zu Kollisionen mit der Schweigepflicht kommen.

Vorsicht: hier keine Ausnahmen
Da es an einer umfassenden Ausnahmeregelung fehlt, verbleiben folgende Lücken:

  • Die Pflicht des Verantwortlichen, den Betroffenen, bei dem die Daten erhoben wurden, über Inhalt und Zweck der Datenverarbeitung zu informieren (Art. 13 Abs. 1 und 3 DSGVO), kann mit der Pflicht zur beruflichen Verschwiegenheit kollidieren, wenn personenbezogene Daten im Rahmen der Auftragsdurchführung nicht beim Mandanten, sondern in dessen Auftrag bei einem Dritten erhoben werden, soweit dieser selbst betroffene Person ist.
    Beispiel
    Der WP/vBP analysiert oder bewertet im Auftrag zum Beispiel eines Kaufinteressenten (Mandant) das Unternehmen eines Dritten und erhebt in diesem Rahmen Informationen zu den wirtschaftlichen Verhältnissen des Dritten bei diesem. Hier wäre der Dritte nicht Mandant, so dass eine Information über Inhalt und Zweck der (mandatsbezogenen) Verarbeitung der bei ihm erhobenen Daten mit der Schweigepflicht kollidieren kann.
  • Der Verantwortliche ist auch im Zusammenhang mit der Berichtigung oder Löschung personenbezogener Daten oder der Einschränkung ihrer Verarbeitung verpflichtet, Betroffene auf Verlangen über die Identität von Personen, denen gegenüber personenbezogene Daten offengelegt wurden, zu unterrichten (Art. 19 Satz 2 DSGVO).
    Auch diese Informationspflicht kollidiert mit der Pflicht zur verschwiegenen Berufsausübung, wenn im Rahmen der Auftragsdurchführung personenbezogene Daten Dritter, zu denen kein Mandatsverhältnis besteht, erhoben werden. Letzteres ist im Rahmen der Berufsausübung des WP/vBP häufig der Fall (vgl. das oben genannte Beispiel oder die Erhebung personenbezogener Daten von Mitarbeitern oder Kunden des Mandanten bei diesem).
  • Weiterhin hat der Verantwortliche zwingend schutzwürdige Gründe gegenüber einem Dritten nachzuweisen, welcher der Verarbeitung widerspricht und gegebenenfalls die Löschung seiner Daten verlangt (Art. 17 Abs. 1 Buchstabe c DSGVO), wenn der Verantwortliche die weitere Speicherung und Verarbeitung rechtfertigen will. Auch insoweit kann es zu einer Kollision mit der Verschwiegenheitspflicht kommen.
    Es ist offen, wie sich diese nicht von Ausnahmeregelungen erfassten Informationspflichten in der Praxis auswirken. Die WPK beobachtet die Entwicklung. Sollte es hier zu relevanten Beeinträchtigungen des Vertrauensverhältnisses zwischen WP/vBP und ihren Mandanten kommen, wird die WPK erneut an den Gesetzgeber herantreten und – wie bereits im Gesetzgebungsverfahren zum BDSG-neu geschehen – zusätzliche Ausnahmeregelungen einfordern.

Befugnisse der Datenschutzaufsichtsbehörden

Regelung
Nach dem neuem Recht kann die Datenschutzaufsichtsbehörde von dem Verantwortlichen sowie von dessen Auftragsverarbeitern Zugang zu sämtlichen personenbezogenen Daten und Informationen verlangen, die zur Erfüllung ihrer Aufgaben notwendig sind (Art. 58 Abs. 1 Buchstabe e DSGVO). In Übereinstimmung mit dem geltenden Verfahrensrecht hat sie ein Zugangsrecht zu den Geschäftsräumen des Verantwortlichen sowie seiner Auftragsverarbeiter, einschließlich aller Datenverarbeitungsanlagen und -geräte (Art. 58 Abs. 1 Buchstabe f DSGVO).

Ausnahme
§ 29 Abs. 3 Satz 1 BDSG-neu sieht auch hierzu eine Ausnahme vor. Danach bestehen die genannten Befugnisse der Aufsichtsbehörde nicht, soweit ihre Inanspruchnahme zu einem Verstoß gegen die Geheimhaltungspflichten von Personen im Sinne von § 203 Abs. 1 Nr. 1, 2a und 3 StGB (unter anderem WP/vBP) oder ihrer Auftragsverarbeiter führen würde.

Dies kann nur so verstanden werden, dass die genannten Zugangs- und Einsichtsrechte der Aufsichtsbehörde gegenüber WP/vBP nur bestehen, soweit keine der beruflichen Schweigepflicht unterliegenden Informationen betroffen sind. Erlangt die Behörde im Rahmen einer Untersuchung dennoch Kenntnis von solchen Informationen, gilt die Pflicht zur Geheimhaltung auch für sie (§ 29 Abs. 3 Satz 2 BDSG-neu).

Stand: 9. Januar 2018

Fußnoten

  1. Verordnung [EU] 2016/679 vom 27. April 2016, ABl. L 119 vom 4.5.2016, abrufbar unter www.eur-lex-europa.de.
  2. Datenschutz-Anpassungs- und -Umsetzungsgesetz EU (DSAnpUG-EU), BGBl. I S. 2097, abrufbar unter www.bgbl.de > Kostenloser Bürgerzugang.

WP/vBP und Auftragsverarbeitung (Art. 4 Nr. 8, 28 DSGVO)

WP/vBP und Auftragsverarbeitung (Art. 4 Nr. 8, 28 DSGVO)

Seit Inkrafttreten der Datenschutzgrundverordnung im Jahr 2018 hat die Diskussion, ob und in welchen Fällen WP/vBP personenbezogene Daten auf Weisung ihres Auftraggebers verarbeiten und damit Auftragsverarbeiter i. S. v. Art. 4 Nr. 8, 28 DSGVO sind, wieder an Fahrt aufgenommen. Zuletzt diskutiert wurde die Problematik nach Inkrafttreten der BDSG-Novelle 2009 im Zusammenhang mit § 11 BDSG a. F., der ebenfalls die Datenverarbeitung im Auftrag regelte (vgl. hierzu WPK Magazin 1/2010, Seite 22).

Die für die Auslegung der datenschutzrechtlichen Regelungen zuständigen Datenschutzaufsichtsbehörden vertreten diesbezüglich unterschiedliche Auffassungen. Unter den Kammern und Verbänden der wirtschaftsprüfenden und steuerberatenden Berufe wird insbesondere diskutiert, ob die Verarbeitung personenbezogener Daten auf Weisung des Auftraggebers mit der Berufspflicht zur eigenverantwortlichen Berufsausübung (für WP/vBP: § 43 Abs. 1 Satz 1 WPO, § 12 BS WP/vBP) vereinbar ist. Von der Beantwortung dieser Frage hängt ab, ob Berufsangehörige eine Auftragsverarbeitungsvereinbarung nach Art. 28 Abs. 3 DSGVO (im Folgenden: AVV) unterzeichnen dürfen.

Der Ausschuss „Berufsrecht“ der WPK (ASBR) vertritt hierzu unverändert folgende Auffassung:

Im Grundsatz verarbeiten WP/vBP personenbezogene Daten ihrer Mandanten oder Dritter (z. B. Arbeitnehmer/Kunden) verantwortlich zu eigenen Geschäftszwecken und sind daher keine Auftragsverarbeiter, sondern selbst Verantwortliche i. S. v. Art. 4 Nr. 7 DSGVO (sog. Funktionsübertragung). Folglich ist der Abschluss einer AVV mit einem WP/vBP grundsätzlich nicht geboten.

Es kann jedoch die Situation auftreten, dass Mandanten aufgrund der für sie verbindlichen Rechtsauffassung der zuständigen Datenschutzaufsichtsbehörde von einer Auftragsverarbeitung ausgehen müssen und den WP/vBP unter Verweis darauf auffordern, eine AVV zu unterzeichnen. Wie schon zu § 11 BDSG a. F. vertritt der ASBR die Auffassung, dass der WP/vBP diesem Ansinnen in einem solchen Ausnahmefall nachkommen kann, ohne hierdurch gegen seine berufsrechtlichen Pflichten zu verstoßen.

Von entscheidender Bedeutung hierfür ist, dass die in Art. 28 Abs. 3 Satz 2 lit. a DSGVO angesprochene „Verarbeitung auf dokumentierte Weisung des Verantwortlichen“ sich lediglich auf die Art und Weise der Verarbeitung personenbezogener Daten im Rahmen des Auftragsverhältnisses bezieht (z. B. Zweck der Datenverarbeitung, Vorsehung angemessener technisch-organisatorischer Maßnahmen etc.). Dort, wo die geschuldete berufliche Leistung des WP/vBP betroffen ist, kann dieser die im Rahmen des Auftrags zu treffenden beruflichen Entscheidungen gemäß den berufsrechtlichen Anforderungen weiterhin in eigener Verantwortung treffen.

Die Unterzeichnung einer AVV durch WP/vBP wäre daher erst dann berufsrechtlich unzulässig, wenn diese über den Anwendungsbereich der datenschutzrechtlichen Regelungen hinaus darauf abzielt, den WP/vBP auch in Bezug auf seine berufliche Entscheidungsfreiheit zu binden, so dass dieser im konkreten Fall keine eigenverantwortliche berufliche Entscheidung mehr treffen könnte.

Der ASBR befasste sich nur mit der Frage, ob die Unterzeichnung einer AVV per se einen Verstoß gegen den Berufsgrundsatz der Eigenverantwortlichkeit darstellt. Unbeschadet dessen bleibt aber in jedem Fall individuell zu prüfen, ob angesichts der zu erbringenden Leistungen und des Verarbeitungsvorgangs überhaupt eine Datenverarbeitung im Auftrag i. S. v. Art. 4 Nr. 8, 28 DSGVO vorliegt. Wie bereits oben ausgeführt, wird dies bei Tätigkeiten eines WP/vBP nach §§ 2, 129 WPO typischerweise nicht der Fall sein.


Literaturauswahl DSGVO

Literaturauswahl DSGVO

Die Geltung der Datenschutzgrundverordnung (DSGVO) seit dem 25. Mai 2018 wirft eine Vielzahl von Fragen zu ihren Auswirkungen auf den Praxisalltag auf. Viele dieser Aspekte sind bereits in der Fachliteratur besprochen worden. Wir haben für Sie eine Auswahl erstellt, die Ihnen einführende Hinweise für die praktische Umsetzung der Anforderungen geben soll.

Downloads

  • Literaturauswahl DSGVO (pdf 76 KB)


Informationen der Landesbeauftragten für den Datenschutz zur DSGVO

Informationen der Landesbeauftragten für den Datenschutz zur DSGVO

Im Folgenden sind die Links zu den Internetauftritten der Landesbeauftragten für den Datenschutz mit Informationen zur DSGVO zusammengestellt.