Datenschutz

Informationen der EU-Kommission für KMU zum neuen Datenschutzrecht

Informationen der EU-Kommission für kleine und mittlere Unternehmen zum neuen Datenschutzrecht

Zu den am 25. Mai 2018 verschärften Datenschutzvorschriften hat die Europäische Kommission die Internetseite Datenschutz – Bessere Vorschriften für kleine Unternehmen eingerichtet, die in übersichtlicher Form Informationen zu folgenden Themen gibt:

  • Was sind personenbezogene Daten?
  • Warum werden die Vorschriften geändert?
  • Was muss Ihr Unternehmen tun?
  • Die Kosten von Datenschutzverstößen.

Neues Datenschutzrecht und Berufsverschwiegenheit

Neues Datenschutzrecht und Berufsverschwiegenheit – Auf welche Ausnahmeregelungen WP/vBP achten müssen

  • Das ab dem 25. Mai 2018 geltende neue Bundesdatenschutzgesetz enthält auch Regelungen zur Verschwiegenheit des WP/vBP.
  • Danach gelten bestimmte Informationspflichten oder Auskunftsrechte nach der EU-Datenschutz-Grundverordnung nicht, wenn diese mit der Schweigepflicht des WP/vBP kollidieren.
  • Auch die Ermittlungsbefugnisse der Datenschutzaufsichtsbehörden werden entsprechend beschränkt.
WP/StB Evi Lang, Mitglied des Vorstandes und stellvertretende Vorsitzende der Vorstandsabteilung Berufsaufsicht der WPK

Im Mai 2016 trat die europäische Datenschutz-Grundverordnung in Kraft (im Folgenden: DSGVO)[1]. Sie gilt ab dem 25. Mai 2018 unmittelbar in allen Mitgliedstaaten.

Ergänzend erließ der deutsche Gesetzgeber im Juni 2017 ein neues Bundesdatenschutzgesetz (im Folgenden: BDSG-neu)[2], welches ebenfalls am 25. Mai 2018 in Kraft treten und das noch geltende BDSG ablösen wird. Das neue BDSG nutzt von der DSGVO eröffnete Mitgliedstaatenwahlrechte.

Auch wenn die Regelungen der DSGVO noch nicht gelten, werden sie von Betroffenen und Aufsichtsbehörden derzeit intensiv diskutiert und zum Teil unterschiedlich ausgelegt. Es wird Jahre dauern, bis sich ein Auslegungsstandard herausgebildet hat, der eine rechtssichere Anwendung der neuen Vorschriften ermöglicht. Noch komplexer wird dieser Prozess durch die auf Länderebene zuständigen Datenschutzaufsichten.

Grundsätzliches zum Verhältnis Datenschutzrecht – Berufsrecht

Nach dem noch geltenden BDSG haben unter anderem spezielle berufsrechtliche Regelungen Vorrang vor dem allgemeinen Datenschutzrecht (§ 1 Abs. 3). Sachverhalte, die durch berufsrechtliche Vorschriften, zum Beispiel zur Verschwiegenheit, abweichend geregelt werden, sind ausschließlich nach diesen zu beurteilen. Das allgemeine Datenschutzrecht tritt insoweit zurück.

Zwar enthält auch das BDSG-neu eine entsprechende Vorrangregelung (§ 1 Abs. 2), allerdings kennt die DSGVO als unmittelbar geltendes europäisches Recht eine solche Regelung zugunsten spezieller nationaler Vorschriften nicht, da sie gerade zu dem Zweck erlassen wurde, den Datenschutzstandard europaweit zu vereinheitlichen. Kollidieren berufsrechtliche Regelungen des nationalen Rechts mit der DSGVO, sind daher ausschließlich die Vorschriften der DSGVO anzuwenden (Anwendungsvorrang des Europarechts).

Der deutsche Gesetzgeber stand vor der Herausforderung, im Bereich des Geheimnisschutzes der Freien Berufe die Kollisionslagen zwischen deutschem Berufsrecht und der Verordnung herauszuarbeiten und die Mitgliedstaatenwahlrechte in Art. 23 Abs. 1 DSGVO, soweit einschlägig, für entsprechende Ausnahmeregelungen zu nutzen.

Dieser Praxishinweis erläutert die Ausnahmeregelungen zum Schutz der Verschwiegenheit des WP/vBP und wirft einen Blick auf die Befugnisse der Datenschutzaufsichtsbehörden.

Umfassende Handlungsempfehlungen zur Umsetzung der gesamten datenschutzrechtlichen Regelungen in der beruflichen Praxis kann die WPK demgegenüber nicht geben, da ein spezifischer Bezug zu den Berufspflichten insoweit nicht erkennbar ist. Es handelt sich um „Jedermannsrecht“, das vom gesetzlichen Beratungsauftrag der WPK (§ 57 Abs. 2 Nr. 1 WPO) nicht erfasst ist. Zuständig insoweit sind die Datenschutzaufsichtsbehörden der Länder. Auf die Unsicherheiten bei der Anwendung des neuen Rechts wurde hingewiesen.

Rechte des von der Datenerhebung Betroffenen und berufliche Verschwiegenheit

Pflicht zur Information des Betroffenen

Regelung
Nach dem neuem Datenschutzrecht hat der für die Datenverarbeitung Verantwortliche die von der Datenerhebung betroffene Person auch dann umfassend unter anderem über den Zweck der Datenverarbeitung sowie zu den Empfängern der Daten zu informieren, wenn die Daten nicht bei der betroffenen Person erhoben wurden (Art. 14 Abs. 1 bis 4 DSGVO). Dies würde die berufliche Schweigepflicht durchbrechen, da die Informationspflicht in der Regel nicht gegenüber dem Mandanten, sondern gegenüber Dritten (Arbeitnehmern, Kunden des Mandanten) bestünde.

Ausnahme
Diesen Konflikt mit schützenswerten Rechten insbesondere der Träger Freier Berufe hat der Verordnungsgeber selbst gesehen und eine Ausnahmeregelung für den Fall aufgenommen, dass die erhobenen Daten gemäß dem Unionsrecht oder dem Recht der Mitgliedstaaten einer gesetzlichen Schweigepflicht unterliegen (Art. 14 Abs. 5 Buchstabe d DSGVO).

§ 29 Abs. 1 Satz 1 BDSG-neu ergänzt diese Ausnahme auf der Basis von Art. 23 Abs. 1 DSGVO in Bezug auf Informationen, die „ihrem Wesen nach, insbesondere wegen der überwiegenden berechtigten Interessen eines Dritten, geheim gehalten werden müssen“.

Auskunftsrecht des Betroffenen

Regelung
Der von der Datenerhebung Betroffene hat unabhängig davon, bei wem die Daten erhoben wurden, das Recht, von dem für die Datenverarbeitung Verantwortlichen umfassende Auskünfte zu verlangen, unter anderem zum Zweck der Verarbeitung seiner Daten sowie zu Empfängern, gegenüber denen diese Daten offen gelegt werden (Art. 15 Abs. 1 DSGVO). Eine Bereichsausnahme für Berufsgeheimnisträger unmittelbar auf Ebene der DSGVO existiert für den Anwendungsbereich des Art. 15 – anders als bei Art. 14 – unverständlicherweise nicht.

Ausnahme
Daher trifft § 29 Abs. 1 Satz 2 BDSG-neu insoweit eine Ausnahmeregelung. Danach besteht das Auskunftsrecht nicht, soweit durch die Auskunft Informationen offenbart würden, die nach einer Rechtsvorschrift (zum Beispiel berufsrechtliche Verschwiegenheitspflicht) oder ihrem Wesen nach, insbesondere wegen der überwiegenden berechtigten Interessen eines Dritten, geheim gehalten werden müssen.

Ein Auskunftsrecht nach Art. 15 DSGVO besteht demnach nicht, wenn die Daten der betroffenen Person bei einer anderen Person (Mandant) erhoben wurden und eine Auskunft an den Betroffenen (zum Beispiel Arbeitnehmer, Kunde des Mandanten) nach der genannten Vorschrift eine Durchbrechung der Verschwiegenheit darstellen würde.

Die in § 29 Abs. 1 Satz 2 BDSG-neu geregelte Ausnahme zum Auskunftsrecht nach Art. 15 DSGVO verhält sich daher spiegelbildlich zur Ausnahme von der Informationspflicht gemäß Art. 14 Abs. 5 DSGVO.

Benachrichtigung der Betroffenen bei Datenpannen

Regelung
Der Verantwortliche hat die Betroffenen unverzüglich von einer Verletzung des Schutzes ihrer personenbezogenen Daten zu benachrichtigen, wenn die Verletzung voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten dieser Personen zur Folge hat (Art. 34 Abs. 1 DSGVO).

Ausnahmen
Die Benachrichtigung der Betroffenen ist nach Art. 34 Abs. 3 DSGVO nicht erforderlich, wenn

  • die Daten durch geeignete technisch-organisatorische Maßnahmen (zum Beispiel Verschlüsselung) vor unbefugter Kenntnisnahme geschützt sind (Buchstabe a),
  • durch geeignete nachlaufende Maßnahmen sichergestellt ist, dass das in Absatz 1 genannte hohe Risiko aller Wahrscheinlichkeit nach nicht mehr besteht (Buchstabe b) oder
  • eine individuelle Benachrichtigung unzumutbar ist (Buchstabe c), allerdings schreibt die DSGVO in diesem Fall eine öffentliche Bekanntmachung oder eine vergleichbare Maßnahme vor.

Zusätzlich zu diesen Fällen schließt § 29 Abs. 1 Satz 3 BDSG-neu die Benachrichtigungspflicht auch dann aus, soweit durch die Benachrichtigung Informationen offenbart würden, die nach einer Rechtsvorschrift (zum Beispiel berufsrechtliche Verschwiegenheitspflicht) oder ihrem Wesen nach, insbesondere wegen der überwiegenden berechtigten Interessen eines Dritten, geheim gehalten werden müssen. Die betroffene Person ist jedoch zu benachrichtigen, wenn ihre Interessen, insbesondere unter Berücksichtigung drohender Schäden, gegenüber dem Geheimhaltungsinteresse überwiegen (§ 29 Abs. 1 Satz 4 BDSG-neu).

Damit hat der deutsche Gesetzgeber hinsichtlich der Information betroffener Dritter zwar grundsätzlich einen Vorrang der beruflichen Verschwiegenheit geregelt. Der WP/vBP hat allerdings in allen Fällen eine Güterabwägung im Sinne von § 29 Abs. 1 Satz 4 BDSG-neu vorzunehmen, um beurteilen zu können, ob die Verschwiegenheitspflicht wegen überwiegender Interessen des betroffenen Dritten zurücktritt.

Weitere Informationspflichten gegenüber dem Betroffenen

Regelung
Von den Regelungen in § 29 Abs. 1 BDSG-neu werden ausdrücklich nur die Informationspflichten und Auskunftsrechte nach Art. 14, 15 und 34 DSGVO erfasst. Die Art. 13 ff. DSGVO enthalten jedoch weitere, spezielle Verarbeitungssituationen betreffende Informationspflichten des Verantwortlichen gegenüber der von der Datenverarbeitung betroffenen Person. Auch insoweit kann es zu Kollisionen mit der Schweigepflicht kommen.

Vorsicht: hier keine Ausnahmen
Da es an einer umfassenden Ausnahmeregelung fehlt, verbleiben folgende Lücken:

  • Die Pflicht des Verantwortlichen, den Betroffenen, bei dem die Daten erhoben wurden, über Inhalt und Zweck der Datenverarbeitung zu informieren (Art. 13 Abs. 1 und 3 DSGVO), kann mit der Pflicht zur beruflichen Verschwiegenheit kollidieren, wenn personenbezogene Daten im Rahmen der Auftragsdurchführung nicht beim Mandanten, sondern in dessen Auftrag bei einem Dritten erhoben werden, soweit dieser selbst betroffene Person ist.
    Beispiel
    Der WP/vBP analysiert oder bewertet im Auftrag zum Beispiel eines Kaufinteressenten (Mandant) das Unternehmen eines Dritten und erhebt in diesem Rahmen Informationen zu den wirtschaftlichen Verhältnissen des Dritten bei diesem. Hier wäre der Dritte nicht Mandant, so dass eine Information über Inhalt und Zweck der (mandatsbezogenen) Verarbeitung der bei ihm erhobenen Daten mit der Schweigepflicht kollidieren kann.
  • Der Verantwortliche ist auch im Zusammenhang mit der Berichtigung oder Löschung personenbezogener Daten oder der Einschränkung ihrer Verarbeitung verpflichtet, Betroffene auf Verlangen über die Identität von Personen, denen gegenüber personenbezogene Daten offengelegt wurden, zu unterrichten (Art. 19 Satz 2 DSGVO).
    Auch diese Informationspflicht kollidiert mit der Pflicht zur verschwiegenen Berufsausübung, wenn im Rahmen der Auftragsdurchführung personenbezogene Daten Dritter, zu denen kein Mandatsverhältnis besteht, erhoben werden. Letzteres ist im Rahmen der Berufsausübung des WP/vBP häufig der Fall (vgl. das oben genannte Beispiel oder die Erhebung personenbezogener Daten von Mitarbeitern oder Kunden des Mandanten bei diesem).
  • Weiterhin hat der Verantwortliche zwingend schutzwürdige Gründe gegenüber einem Dritten nachzuweisen, welcher der Verarbeitung widerspricht und gegebenenfalls die Löschung seiner Daten verlangt (Art. 17 Abs. 1 Buchstabe c DSGVO), wenn der Verantwortliche die weitere Speicherung und Verarbeitung rechtfertigen will. Auch insoweit kann es zu einer Kollision mit der Verschwiegenheitspflicht kommen.
    Es ist offen, wie sich diese nicht von Ausnahmeregelungen erfassten Informationspflichten in der Praxis auswirken. Die WPK beobachtet die Entwicklung. Sollte es hier zu relevanten Beeinträchtigungen des Vertrauensverhältnisses zwischen WP/vBP und ihren Mandanten kommen, wird die WPK erneut an den Gesetzgeber herantreten und – wie bereits im Gesetzgebungsverfahren zum BDSG-neu geschehen – zusätzliche Ausnahmeregelungen einfordern.

Befugnisse der Datenschutzaufsichtsbehörden

Regelung
Nach dem neuem Recht kann die Datenschutzaufsichtsbehörde von dem Verantwortlichen sowie von dessen Auftragsverarbeitern Zugang zu sämtlichen personenbezogenen Daten und Informationen verlangen, die zur Erfüllung ihrer Aufgaben notwendig sind (Art. 58 Abs. 1 Buchstabe e DSGVO). In Übereinstimmung mit dem geltenden Verfahrensrecht hat sie ein Zugangsrecht zu den Geschäftsräumen des Verantwortlichen sowie seiner Auftragsverarbeiter, einschließlich aller Datenverarbeitungsanlagen und -geräte (Art. 58 Abs. 1 Buchstabe f DSGVO).

Ausnahme
§ 29 Abs. 3 Satz 1 BDSG-neu sieht auch hierzu eine Ausnahme vor. Danach bestehen die genannten Befugnisse der Aufsichtsbehörde nicht, soweit ihre Inanspruchnahme zu einem Verstoß gegen die Geheimhaltungspflichten von Personen im Sinne von § 203 Abs. 1 Nr. 1, 2a und 3 StGB (unter anderem WP/vBP) oder ihrer Auftragsverarbeiter führen würde.

Dies kann nur so verstanden werden, dass die genannten Zugangs- und Einsichtsrechte der Aufsichtsbehörde gegenüber WP/vBP nur bestehen, soweit keine der beruflichen Schweigepflicht unterliegenden Informationen betroffen sind. Erlangt die Behörde im Rahmen einer Untersuchung dennoch Kenntnis von solchen Informationen, gilt die Pflicht zur Geheimhaltung auch für sie (§ 29 Abs. 3 Satz 2 BDSG-neu).

Stand: 9. Januar 2018

Fußnoten

  1. Verordnung [EU] 2016/679 vom 27. April 2016, ABl. L 119 vom 4.5.2016, abrufbar unter www.eur-lex-europa.de.
  2. Datenschutz-Anpassungs- und -Umsetzungsgesetz EU (DSAnpUG-EU), BGBl. I S. 2097, abrufbar unter www.bgbl.de > Kostenloser Bürgerzugang.

Informationen der Landesbeauftragten für den Datenschutz zur DSGVO

Informationen der Landesbeauftragten für den Datenschutz zur DSGVO

Im Folgenden sind die Links zu den Internetauftritten der Landesbeauftragten für den Datenschutz mit Informationen zur DSGVO zusammengestellt.


Datenschutz in der WP/vBP-Praxis

Datenschutz in der WP/vBP-Praxis

§ 4 des Bundesdatenschutzgesetzes (BDSG) verlangt von nichtöffentlichen Stellen, die personenbezogene Daten verarbeiten, die Bestellung eines betrieblichen Datenschutzbeauftragten (bDSB). Durch das „Erste Gesetz zum Abbau bürokratischer Hemmnisse insbesondere in der mittelständischen Wirtschaft“ (Gesetz vom 22.08.2006, BGBl. I, Seite 1970) ist das BDSG nunmehr geändert worden. Dies dürfte insbesondere kleinen und mittleren WP-/vBP-Praxen entgegenkommen und zudem bisher bestehende Unklarheiten beseitigen - insbesondere bzgl. des Verhältnisses zwischen Datenschutzrecht und berufsrechtlicher Verschwiegenheitspflicht gemäß § 43 Abs. 1 WPO. Die Gesetzesänderung ist am 26. August 2006 in Kraft getreten.

Die Bestellung eines bDSB ist jetzt nur noch dann erforderlich, wenn mehr als 9 Personen mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt werden. Sofern das Gesetz nunmehr von „Personen“ und nicht mehr wie früher von „Arbeitnehmern“ spricht, ist dies keine Verschärfung der Gesetzeslage, sondern lediglich eine Klarstellung der schon bisher geltenden Rechtsauffassung. Schon nach der alten BDSG-Fassung war nicht der Arbeitnehmerbegriff im sozialversicherungsrechtlichen Sinne maßgeblich, sondern ausschließlich die Tatsache, ob eine im Betrieb beschäftigte Person mit der Datenverarbeitung beschäftigt ist. Hierzu können neben den Sozien, Partnern und Angestellten WP/vBP auch Sekretariatskräfte und sonstige Mitarbeiter gehören. Mitzuzählen sind auch Teilzeitkräfte, Auszubildende, Praktikanten und ggf. freie Mitarbeiter.

Sofern es um die Datenverarbeitung auf sonstige Weise geht, gilt unverändert ein Schwellenwert von mehr als 20 Personen. Dies dürfte aber in der Praxis kaum relevant sein, da die Verarbeitung personenbezogener Daten regelmäßig nur noch EDV-mäßig erfolgt.

Zu betonen ist auch, dass sich die Schwellenwerte nur auf das Erfordernis der Bestellung eines bDSB beziehen, nicht jedoch den Praxisinhaber von der Verpflichtung zur Einhaltung des BDSG insgesamt entbinden. Auch unterhalb der Schwellenwerte ist der Praxisinhaber also verpflichtet, die datenschutzrechtlichen Vorschriften im Übrigen einzuhalten.

Die Bestellung eines bDSB muss schriftlich dokumentiert und in der WP-/vBP-Praxis bekannt gegeben werden. Dies ist schon deshalb erforderlich, weil der bDSB auch als Ansprechpartner für die Mitarbeiter in datenschutzrechtlichen Belangen fungiert. Seine Aufgaben richten sich nach § 4g BDSG.

Als bDSB bestellt werden kann zum einen ein zuverlässiger Mitarbeiter des WP/vBP, der sich die erforderliche Fachkunde erarbeitet (interner bDSB). Voraussetzung ist allerdings, dass die erforderliche Unabhängigkeit gewahrt bleibt und mögliche Interessenkollisionen vermieden werden. Insbesondere Kanzleiinhaber bzw. Geschäftsführer oder IT/EDV-Mitarbeiter kommen daher regelmäßig nicht für die Position des bDSB in Betracht.

Als weitere Möglichkeit besteht die Bestellung eines externen bDSB. Durch § 4f Abs. 2 Satz 3 BDSG wird klargestellt, dass sich die Kontrollbefugnis sowohl von internen als auch von externen bDSB ausdrücklich auch auf personenbezogene Daten erstreckt, die einem Berufsgeheimnis unterliegen. Damit kommt es auf die bisher teils problematische Abgrenzung zwischen solchen personenbezogenen Daten, die der beruflichen Verschwiegenheitspflicht des WP/vBP unterliegen (insbesondere Mandantendaten) und anderen personenbezogenen Daten, die in der Praxis verarbeitet werden (z. B. Personaldaten der Mitarbeiter) nicht mehr an.

Bisher war die Zulässigkeit eines externen bDSB für Freiberuflerpraxen aufgrund der berufsrechtlichen Verschwiegenheitspflicht umstritten. Um die Tätigkeit insbesondere des externen bDSB rechtlich abzufedern, überträgt der neu eingefügte § 4f Abs. 4a BDSG das berufliche Aussageverweigerungsrecht nunmehr ausdrücklich auch auf den bDSB und dessen Hilfspersonal. Zudem besteht für die Reichweite des Aussageverweigerungsrechts ein Beschlagnahmeverbot. Über die Ausübung des Aussageverweigerungsrechts entscheidet der Berufsträger, dem es aus beruflichen Gründen zusteht, es sei denn, dies ist aufgrund Eilbedürftigkeit nicht möglich.

Arbeitsgrundlage für die Tätigkeit des betrieblichen Datenschutzbeauftragten ist das so genannte Verfahrensverzeichnis (§ 4e BDSG). In diesem ist schriftlich zu erfassen, welche Regeln im Betrieb für den Umgang mit persönlichen Daten gelten und welche Daten erhoben werden. Dazu gehören z. B. nicht nur Regelungen für den Umgang mit Mandantenakten, sondern auch bzgl. der Nutzung von Telefon, Telefax, Internet, E-Mail usw. durch die Mitarbeiter. Oftmals wird in den Betrieben eine bestimmte Praxis „gelebt“, ohne dass diese schriftlich dokumentiert ist.

Der WP/vBP hat vor der erstmaligen Erfassung und Speicherung von personenbezogenen Daten im EDV-System die Mandanten darauf hinzuweisen, dass er die Daten erfasst und speichert und wie er sie nutzt (vgl. § 4 Abs. 3 BDSG). Der Begriff der „personenbezogenen Daten“ gilt allerdings grundsätzlich nicht bei juristischen Personen, jedenfalls soweit Daten über diese zwangsläufig nicht auch Angaben über natürliche Personen beinhalten.

Die Verkündung des „Ersten Gesetzes zum Abbau bürokratischer Hemmnisse insbesondere in der mittelständischen Wirtschaft“ kann unter www.bundesgesetzblatt.de eingesehen werden (Pfad: BaBL Teil I 2006>Bundesgesetzblatt Nr. 40 vom 25. August 2006).

Nützliche Links

www.bundesdatenschutzbeauftragter.eu (dort insbesondere die Rubriken „Materialien zum Datenschutz“ und „Datenschutz und Technik“)
www.externer-datenschutz.de (Liste mit Anbietern für Freiberufler)
www.bvdnet.de (externe Datenschutzberater mit Selbstverpflichtung)