Datenschutzrecht und Berufsverschwiegenheit – Auf welche Ausnahmeregelungen WP/vBP achten müssen
Weitere Praxishinweise
- Abschlussprüfung
- Arbeitsproben bei Ausschreibungen
- Auftragsdatei und Siegelliste
- Datenschutz
- Durchsuchung und Beschlagnahme
- Elektronische Prüfungsvermerke und -berichte
- Informationspflichten (E-Mails/Internet/AGB)
- International Standards on Auditing (ISA)
- Internes Hinweisgebersystem („Whistleblowing“)
- Kundmachung/Werbung
- Mitwirkung Dritter an der Berufsausübung
- Netzwerk
- Siegelführung
- Softwareentwicklung (Kooperation)
- Vergabeverfahren
- Verpackungsgesetz – Prüfung und Bestätigung von Vollständigkeitserklärungen
- Versicherung
Information (Art. 14 Abs. 1 bis 4 DSGVO)
Der für die Datenverarbeitung Verantwortliche hat die von der Datenerhebung betroffene Person auch dann umfassend unter anderem über den Zweck der Datenverarbeitung sowie zu den Empfängern der Daten zu informieren, wenn die Daten nicht bei der betroffenen Person erhoben wurden (Art. 14 Abs. 1 bis 4 DSGVO). Dies würde die Verschwiegenheitspflicht (VSP) durchbrechen, da die Informationspflicht in der Regel nicht gegenüber dem Mandanten, sondern gegenüber Dritten (Arbeitnehmern, Kunden des Mandanten) besteht. Art. 14 Abs. 5 d) DSGVO sieht eine Ausnahmeregelung für den Fall vor, dass die erhobenen Daten nach dem Unionsrecht oder dem Recht der Mitgliedstaaten einer VSP unterliegen. § 29 Abs. 1 Satz 1 BDSG ergänzt diese Ausnahme auf der Basis von Art. 23 Abs. 1 DSGVO in Bezug auf Informationen, die „ihrem Wesen nach, insbesondere wegen der Überwiegenden berechtigten Interessen eines Dritten, geheim gehalten werden müssen“.
Auskunft (Art. 15 Abs. 1 DSGVO)
Der von der Datenerhebung Betroffene kann unabhängig davon, bei wem die Daten erhoben wurden, von dem für die Datenverarbeitung Verantwortlichen umfassende Auskünfte verlangen, unter anderem zum Zweck der Verarbeitung seiner Daten sowie zu Empfängern, gegenüber denen diese Daten offengelegt werden (Art. 15 Abs. 1 DSGVO). Anders als Art. 14 DSGVO enthält Art. 15 DSGVO keine Bereichsausnahme für das Berufsgeheimnis. Daher trifft § 29 Abs. 1 Satz 2 BDSG eine Ausnahmeregelung. Danach besteht das Auskunftsrecht gemäß Art. 15 DSGVO nicht, soweit durch die Auskunft Informationen offenbart würden, die nach einer Rechtsvorschrift (zum Beispiel berufsrechtliche VSP) oder ihrem Wesen nach, insbesondere wegen der Überwiegenden berechtigten Interessen eines Dritten, geheim gehalten werden müssen. Ein Auskunftsrecht nach Art. 15 DSGVO besteht demzufolge zum Beispiel dann nicht, wenn die Daten der betroffenen Person bei einer anderen Person (Mandant) erhoben wurden und eine Auskunft an den Betroffenen (zum Beispiel Arbeitnehmer, Kunde des Mandanten) nach der genannten Vorschrift eine Durchbrechung der Verschwiegenheit darstellen würde. Die in § 29 Abs. 1 Satz 2 BDSG geregelte Ausnahme zum Auskunftsrecht nach Art. 15 DSGVO verhält sich daher spiegelbildlich zur Ausnahme von der Informationspflicht gemäß Art. 14 Abs. 5 DSGVO.
Datenpanne (Art. 34 Abs. 1 DSGVO)
Der Verantwortliche hat die betroffenen Personen unverzüglich von einer Verletzung des Schutzes ihrer personenbezogenen Daten („Datenpanne“) zu benachrichtigen, wenn die Verletzung voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten dieser Personen zur Folge hat (Art. 34 Abs. 1 DSGVO). Die Benachrichtigung der Betroffenen ist nach Art. 34 Abs. 3 DSGVO nicht erforderlich, wenn
- die Daten durch geeignete technisch-organisatorische Maßnahmen (zum Beispiel Verschlüsselung) vor unbefugter Kenntnisnahme geschützt sind (Art. 34 Abs. 3 a),
- durch geeignete nachlaufende Maßnahmen sichergestellt ist, dass das in Absatz 1 genannte hohe Risiko aller Wahrscheinlichkeit nach nicht mehr besteht (Art. 34 Abs. 3 b) oder
- eine individuelle Benachrichtigung unzumutbar ist (Art. 34 Abs. 3 c). In diesem Fall schreibt die Verordnung allerdings ersatzweise eine öffentliche Bekanntmachung oder eine vergleichbare Maßnahme vor.
Zusätzlich zu diesen Fällen schließt § 29 Abs. 1 Satz 3 BDSG die Benachrichtigungspflicht auch dann aus, soweit durch die Benachrichtigung Informationen offenbart würden, die nach einer Rechtsvorschrift (zum Beispiel berufsrechtliche VSP) oder ihrem Wesen nach, insbesondere wegen der überwiegenden berechtigten Interessen eines Dritten, geheim gehalten werden müssen. Die betroffene Person ist jedoch zu benachrichtigen, wenn ihre Interessen, insbesondere unter Berücksichtigung drohender Schäden, gegenüber dem Geheimhaltungsinteresse überwiegen (§ 29 Abs. 1 Satz 4 BDSG). Damit ist hinsichtlich der Information betroffener Dritter zwar grundsätzlich ein Vorrang zugunsten der beruflichen VSP geregelt. Der WP hat allerdings in allen Fällen eine Güterabwägung im Sinne von § 29 Abs. 1 Satz 4 BDSG vorzunehmen, um beurteilen zu können, ob die VSP wegen überwiegender Interessen des betroffenen Dritten zurücktritt.
Verbleibende Lücken
Von den Regelungen in § 29 Abs. 1 BDSG werden ausdrücklich nur die Informationspflichten und Auskunftsrechte nach Art. 14, 15 und 34 DSGVO erfasst. Die Art. 13 ff. DSGVO enthalten jedoch weitere, spezielle Verarbeitungssituationen betreffende Informationspflichten des Verantwortlichen gegenüber der von der Datenverarbeitung betroffenen Person. Auch insoweit kann es zu Kollisionen mit der Schweigepflicht kommen. Da es an einer umfassenden Ausnahmeregelung fehlt, verbleiben folgende Lücken:
- Die Pflicht, den Betroffenen, bei dem die Daten erhoben wurden, über Inhalt und Zweck der Datenverarbeitung zu informieren (Art. 13 Abs. 1 und 3 DSGVO), kann mit der Pflicht zur beruflichen Verschwiegenheit kollidieren, wenn personenbezogene Daten im Rahmen der Auftragsdurchführung nicht beim Mandanten, sondern in dessen Auftrag bei einem Dritten erhoben werden, soweit dieser selbst betroffene Person ist. Dies wäre zum Beispiel der Fall, wenn der WP im Auftrag zum Beispiel eines Kaufinteressenten (Mandant) das Unternehmen eines Dritten analysiert oder bewertet und in diesem Rahmen Informationen zu den wirtschaftlichen Verhältnissen des Dritten bei diesem erhebt. Hier wäre der Dritte nicht Mandant, so eine Information über Inhalt und Zweck der (mandatsbezogenen) Verarbeitung der bei ihm erhobenen Daten mit der Schweigepflicht kollidieren kann.
- Der Verantwortliche ist auch im Zusammenhang mit der Berichtigung oder Löschung personenbezogener Daten oder der Einschränkung ihrer Verarbeitung verpflichtet, Betroffene auf Verlangen über die Identität von Personen, denen gegenüber personenbezogene Daten offengelegt wurden, zu unterrichten (Art. 19 Satz 2 DSGVO). Auch diese Informationspflicht kollidiert mit der Pflicht zur verschwiegenen Berufsausübung, wenn im Rahmen der Auftragsdurchführung personenbezogene Daten Dritter, zu denen kein Mandatsverhältnis besteht, erhoben werden. Letzteres ist im Rahmen der Berufsausübung des WP häufig der Fall (vgl. das oben genannte Beispiel oder die Erhebung personenbezogener Daten von Mitarbeitern oder Kunden des Mandanten bei diesem).
- Weiterhin muss der Verantwortliche zwingende schutzwürdige Gründe als Rechtfertigung für die weitere Speicherung und Verarbeitung gegenüber einem Dritten nachweisen können (Art. 21 Abs. 1 Satz 2 DSGVO), welcher der Verarbeitung widerspricht und gegebenenfalls die Löschung seiner Daten verlangt (Art. 17 Abs. 1 c) DSGVO). Auch insoweit kann es zu einer Kollision mit der VSP kommen.
Es empfiehlt sich, die möglichen Kollisionsfälle und die Möglichkeit der Inanspruchnahme auf die Weitergabe von Mandanteninformationen in den Aufträgen mit Mandanten zumindest in allgemeiner Form anzusprechen. Die WPK rät außerdem, sich bei relevanten Zweifelsfragen zum Datenschutzrecht an die für sie zuständigen Landesbeauftragten für den Datenschutz zu wenden (Links zu den Internetauftritten der Landesbeauftragten für den Datenschutz mit Informationen zur DSGVO sind weiter unten aufgeführt).
Auftragsverarbeitung (Art. 4 Nr. 8, 28 DSGVO)
Der Abschluss eines Auftragsverarbeitungsvertrages (AVV) mit einem Mandanten ist nicht geboten. WP/vBP verarbeiten personenbezogene Daten ihrer Mandanten oder Dritter verantwortlich zu eigenen Geschäftszwecken und sind daher keine Auftragsverarbeiter, sondern selbst Verantwortliche im Sinne von Art. 4 Nr. 7 DSGVO (sogenannte Funktionsübertragung).
Der Ausschuss „Berufsrecht“ ist jedoch der Auffassung, dass der Abschluss eines AVV ausnahmsweise zulässig sein kann (vgl. WPK Magazin 3/2019, Seite 35). Wenn der Mandant aufgrund der für ihn verbindlichen Rechtsauffassung der zuständigen Datenschutzaufsichtsbehörde von einer Auftragsverarbeitung ausgehen muss und den WP/vBP unter Verweis darauf auffordert, eine AVV zu unterzeichnen, kann der WP/vBP diesem Ansinnen in einem solchen Ausnahmefall nachkommen, ohne hierdurch gegen seine berufsrechtlichen Pflichten zu verstoßen. Von entscheidender Bedeutung hierfür ist, dass die in Art. 28 Abs. 3 Satz 2 lit. a DSGVO angesprochene „Verarbeitung auf dokumentierte Weisung des Verantwortlichen“ sich lediglich auf die Art und Weise der Verarbeitung personenbezogener Daten im Rahmen des Auftragsverhältnisses bezieht (zum Beispiel Zweck der Datenverarbeitung, Vorsehung angemessener technisch-organisatorischer Maßnahmen etc.). Die Unterzeichnung einer AVV durch WP/vBP wäre daher erst dann berufsrechtlich unzulässig, wenn diese über den Anwendungsbereich der datenschutzrechtlichen Regelungen hinaus darauf abzielt, den WP/vBP auch in Bezug auf seine berufliche Entscheidungsfreiheit zu binden, sodass dieser im konkreten Fall keine eigenverantwortliche berufliche Entscheidung mehr treffen könnte.
Informationen der Landesbeauftragten für den Datenschutz
Im Folgenden sind die Links zu den Internetauftritten der Landesbeauftragten für den Datenschutz mit Informationen zur DSGVO zusammengestellt.
Informationen der EU-Kommission für kleine und mittlere Unternehmen zum Datenschutzrecht
Die Europäische Kommission hat die Internetseite Data Protection Guide for Small Business eingerichtet, die nunmehr auch auf Deutsch verfügbar ist und in übersichtlicher Form Informationen unter anderem zu folgenden Themen gibt:
- Was sind personenbezogene Daten?
- Welche Rechte haben Einzelpersonen im Rahmen der DSGVO?
- Was muss Ihr Unternehmen tun?
- Die Kosten von Datenschutzverstößen
Stand: 10. Juni 2025