Datenschutz in der Steuerkanzlei - was sind die Herausforderungen der DSGVO - Wie sensibilisieren Sie Ihre Mitarbeiter? - COLLEGA

 
Datenschutz in der Steuerkanzlei - was sind die Herausforderungen der DSGVO - Wie sensibilisieren Sie Ihre Mitarbeiter? - COLLEGA
144. Collega-Tag am 30.11.2018
                     Datenschutzvortrag

        Datenschutz in der Steuerkanzlei
– was sind die Herausforderungen der DSGVO -

    Wie sensibilisieren Sie Ihre Mitarbeiter?
Datenschutz in der Steuerkanzlei - was sind die Herausforderungen der DSGVO - Wie sensibilisieren Sie Ihre Mitarbeiter? - COLLEGA
144. Collega-Tag am 30.11.2018
                                       Datenschutzvortrag

                                         Referent

                                        Stefan Maier
                                        Politikwissenschaftler, M.A.
                                        Medienrechtler
                                        Datenschutzbeauftragter (TÜV)

                                        Mehr als 7 Jahre Erfahrung im Datenschutz,
                                        darunter u.a. als Produktmanager Datenschutz
                                        verantwortlich für die inhaltliche und konzeptionelle
                                        Ausrichtung von Veranstaltungen und Ausbildungen
                                        im Bereich Datenschutz und IT-Security.
                                        Über 6 Jahre konzeptionell und fachlich verantwortlich
                                        für den größten süddeutschen Datenschutzkongress.

Munker Privacy Consulting GmbH
Pähler Str. 5a
82399 Raisting

Tel.:       08807-9281710
E-Mail:     datenschutz@munker.info
Internet:   www.munker.info                                                                      2
Datenschutz in der Steuerkanzlei - was sind die Herausforderungen der DSGVO - Wie sensibilisieren Sie Ihre Mitarbeiter? - COLLEGA
144. Collega-Tag am 30.11.2018
                                       Datenschutzvortrag

Munker Privacy Consulting GmbH
Pähler Str. 5a
82399 Raisting

Tel.:       08807-9281710
E-Mail:     datenschutz@munker.info
Internet:   www.munker.info                                       3
Datenschutz in der Steuerkanzlei - was sind die Herausforderungen der DSGVO - Wie sensibilisieren Sie Ihre Mitarbeiter? - COLLEGA
144. Collega-Tag am 30.11.2018
      Datenschutzvortrag

                                 4
Datenschutz in der Steuerkanzlei - was sind die Herausforderungen der DSGVO - Wie sensibilisieren Sie Ihre Mitarbeiter? - COLLEGA
144. Collega-Tag am 30.11.2018
      Datenschutzvortrag
Datenschutz in der Steuerkanzlei - was sind die Herausforderungen der DSGVO - Wie sensibilisieren Sie Ihre Mitarbeiter? - COLLEGA
144. Collega-Tag am 30.11.2018
                            Datenschutzvortrag

     Abmahnwellen gegen Steuerberater

                                    Ziel:
Steuerkanzleien, die eine Homepage mit Kontaktformular betreiben.

                         Begründung:
  Datenschutzrechtliche Hinweise zur Verwendung der über das
          Kontaktformular übermittelten Daten fehlen.

                         Begründung:
 Verwendung eines Kontaktformulars erfordert Verschlüsselung des
                    Internetauftritts (https)
Datenschutz in der Steuerkanzlei - was sind die Herausforderungen der DSGVO - Wie sensibilisieren Sie Ihre Mitarbeiter? - COLLEGA
144. Collega-Tag am 30.11.2018
                             Datenschutzvortrag

 Chronologie Datenschutz in Deutschland
30.09.1970   1. Hessisches Datenschutzgesetz

01.02.1977   1. Bundesdatenschutzgesetz (in Kraft ab 1978)

…….

14.04.2016   Beschluss der EU-Datenschutz-Grundverordnung (EU-Parlament)

25.05.2016   In-Kraft-Treten der EU-Datenschutz-Grundverordnung (DS-GVO)

25.05.2018   EU-weite Geltung der DSGVO

25.05.2018   BDSG „neu“

??.??.20??   E-Privacy-Verordnung (bislang nur Entwurf EU-Kommission!)

                                                                           7
Datenschutz in der Steuerkanzlei - was sind die Herausforderungen der DSGVO - Wie sensibilisieren Sie Ihre Mitarbeiter? - COLLEGA
144. Collega-Tag am 30.11.2018
                          Datenschutzvortrag

     EU-Datenschutz-Grundverordnung
Erwägungsgründe u. a.
•   Stärkung und Präzisierung der Rechte der betroffenen Personen,
•   Verschärfung der Auflagen,
•   gleiche Befugnisse der Mitgliedstaaten,
•   gleiche Sanktionen im Falle der Verletzung der DS-GVO.

Vorrang einer EU-Verordnung vor nationalem Recht
•   Eine EU-Verordnung hat grds. Anwendungsvorrang vor jedem
    nationalen Gesetz,
•   Sofern in VO vorgesehen, dann nationale Regelungen möglich.

Ausgestaltungspflicht durch nationalen Gesetzgeber,
sofern durch VO angeordnet.
                                                                     8
Datenschutz in der Steuerkanzlei - was sind die Herausforderungen der DSGVO - Wie sensibilisieren Sie Ihre Mitarbeiter? - COLLEGA
144. Collega-Tag am 30.11.2018
                         Datenschutzvortrag

     EU-Datenschutz-Grundverordnung

regelt das Recht auf Schutz persönlicher Daten als
Grundrecht innerhalb der EU

 …vereinheitlicht weitgehend die derzeit bestehenden 28
nationalen Gesetze innerhalb der EU

…erhöht die Sanktionen bei Vergehen drastisch
(bis zu 20 Mio. € bzw. 4 % des weltweiten Umsatzes),
Öffnungsklausel für öffentliche Stellen

                                                          9
Datenschutz in der Steuerkanzlei - was sind die Herausforderungen der DSGVO - Wie sensibilisieren Sie Ihre Mitarbeiter? - COLLEGA
144. Collega-Tag am 30.11.2018
                            Datenschutzvortrag

      EU-Datenschutz-Grundverordnung

wird über die Aufsichtsbehörde voraussichtlich wesentlich strenger
exekutiert als das bisher der Fall war

beinhaltet eine Meldepflicht von Datenschutzpannen (innerhalb von
72 Stunden an die Aufsichtsbehörde) und eine Beweislastumkehr

beinhaltet eine Meldepflicht des Datenschutzbeauftragten

setzt wesentlich mehr an Dokumentation voraus als das BDSG

gilt seit 25. Mai 2018 EU-weit

                                                                     10
144. Collega-Tag am 30.11.2018
                        Datenschutzvortrag

        EU-Datenschutz-Grundverordnung

 Datenschutz zwischen 2 Stühlen:

          DSGVO und BDSG-neu seit 25.05.2018
BDSG-alt bis 24.05.2018
                                                   11
144. Collega-Tag am 30.11.2018
                                    Datenschutzvortrag

             Was sind personenbezogene Daten?
„Personenbezogene Daten“ sind alle Informationen, die sich auf eine identifizierte
oder identifizierbare natürliche Person (im Folgenden „betroffene Person“)
beziehen, z. B.

  Persönliche Verhältnisse:
    •    Name, Anschrift, Geburtsdatum, Familienstand, Anzahl der Kinder
    •    Aussehen, Fingerabdruck, Iris, Blutgruppe
    •    Telefonnummer (priv. u. berufl.)
    •    Arbeitgeber und Beruf
    •    Zeugnisse / berufl. Bewertungen
    •    Kontonummer / Bankverbindung
    •    Hobbys
    •    ...

  Sachliche Verhältnisse:
    •    Einkommen , Vermögen
    •    Kfz-Typ
    •    Steuern, Versicherungen
    •    Grundbesitz
    •    Vertragsbeziehungen
    •    Führen von Telefonaten, Schreiben von E-Mails, Umfang der Internet-Nutzung
    •    ...

                                                                                      12
144. Collega-Tag am 30.11.2018
                                   Datenschutzvortrag

      „Besondere Arten“ personenbezogene Daten
Die Verarbeitung personenbezogener Daten, aus denen die

   rassische und ethnische Herkunft,

   politische Meinungen,

   religiöse oder weltanschauliche Überzeugungen

   Gewerkschaftszugehörigkeit hervorgehen, sowie die

   Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen
   Identifizierung einer natürlichen Person,

   Gesundheitsdaten oder

   Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person

                                                                                    13
144. Collega-Tag am 30.11.2018
                             Datenschutzvortrag

              Verbot mit Erlaubnisvorbehalt

Grundsatz:
Personenbezogene Daten dürfen gar nicht erhoben, verarbeitet
oder genutzt werden.

Nach DSG-VO erlaubt (Art. 6 Abs. 1 lit. a-f):

 •   Einwilligung ,
 •   Erfüllung eines Vertrags,
 •   rechtliche Verpflichtung,
 •   lebenswichtige Interessen schützen,
 •   Wahrnehmung einer Aufgabe … im öffentlichen Interesse oder in Ausübung
     öffentlicher Gewalt,
 •   Wahrung der berechtigten Interessen des Verantwortlichen oder eines
     Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und
     Grundfreiheiten der betroffenen Person, die den Schutz
     personenbezogener Daten erfordern, überwiegen, insbesondere dann,
     wenn es sich bei der betroffenen Person um ein Kind handelt.

                                                                        14
144. Collega-Tag am 30.11.2018
                          Datenschutzvortrag

              Grundsätze der DSGVO

Art. 5 DSGVO, Abs. 1 (Grundsätze für die Verarbeitung
personenbezogener Daten):

  Rechtmäßigkeit
  Verarbeitung nach Treu und Glauben
  Transparenz
  Zweckbindung
  Datenminimierung
  Richtigkeit
  Speicherbegrenzung
  Integrität
  Vertraulichkeit                                       15
144. Collega-Tag am 30.11.2018
                           Datenschutzvortrag

                Rechenschaftspflicht

Art. 5 Abs. 2 DSGVO (Grundsätze für die Verarbeitung
personenbezogener Daten ):

„Der Verantwortliche ist für die Einhaltung des Absatzes 1
verantwortlich und muss dessen Einhaltung nachweisen
können (Rechenschaftspflicht).“

                                                             16
144. Collega-Tag am 30.11.2018
                                  Datenschutzvortrag

Datenschutz + datenschutzfreundliche Voreinstellungen
EW 78 und Art. 25 DS-GVO: Interne Strategien festlegen und Maßnahmen
ergreifen, die insbesondere den Grundsätzen des

   Datenschutzes durch Technik (data protection by design) und durch

   datenschutzfreundliche Voreinstellungen (data protection by default)
   Genüge tun.

   Datenminimierung hinsichtlich

    •   Menge der erhobenen personenbezogenen Daten
    •   Umfang ihrer Verarbeitung
    •   Speicherfrist
    •   Zugänglichkeit

                                                                          17
144. Collega-Tag am 30.11.2018
             Datenschutzvortrag

 Der Zusammenhang zwischen
Datenschutz und Datensicherheit

                                                Verfügbarkeit
                                        Vertraulichkeit
                    Art. 32
                     DS-                      Verbindlichkeit
                     GVO
144. Collega-Tag am 30.11.2018
                                 Datenschutzvortrag

                Sicherheit der Verarbeitung

Art. 32 DSGVO (Sicherheit der Verarbeitung):

„Unter Berücksichtigung des Stands der Technik, der
Implementierungskosten und der Art, des Umfangs, der Umstände und der
Zwecke der Verarbeitung sowie der unterschiedlichen
Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und
Freiheiten natürlicher Personen treffen der Verantwortliche und der
Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen,
um ein dem Risiko angemessenes Schutzniveau zu gewährleisten“.

                                                                         19
144. Collega-Tag am 30.11.2018
                                  Datenschutzvortrag

                    Sicherheit der Verarbeitung

Artikel 32 Sicherheit der Verarbeitung

(3)Die Einhaltung genehmigter Verhaltensregeln gemäß Artikel 40 oder eines
genehmigten Zertifizierungsverfahrens gemäß Artikel 42 kann als Faktor
herangezogen werden, um die Erfüllung der in Absatz 1 des vorliegenden
Artikels genannten Anforderungen nachzuweisen.

Wie setzt man das jetzt alles für die Kanzlei um??

                                                                             20
144. Collega-Tag am 30.11.2018
                                   Datenschutzvortrag

        Arbeitsgruppe „Verhaltensregeln Datenschutz“
                   des DStV und der BStBK
Erste Sitzung im Mai 2017

Arbeitskreismitglieder
StBin Dipl.-Ök. Frauke Kaps-Offeney
RA Rudi Kramer
Dipl.-Staatswissenschaftler Dirk Munker
StB Dipl.-Volksw. Wolf Dieter Oberhauser
Dipl.-Ök. Stephan Rehfeld
RAin Nicole Schmidt, LL.M.

Ansprechpartner in der BStBK:
RAin Claudia Kalina-Kerschbaum, LL.M.
RA Martin Kader

Ansprechpartner beim DStV:
RA Dipl.-Verw. (FH) Christian Michel

                                                              21
144. Collega-Tag am 30.11.2018
                                                Datenschutzvortrag

   Arbeitsgruppe „Verhaltensregeln Datenschutz“

Antworten auf häufig gestellte Fragen zur Datenschutz-
Grundverordnung (DSGVO)
https://www.bstbk.de/export/sites/standard/de/ressourcen/Dokumente/04_presse/publikationen/02_steuerrecht_rechnungslegung/42_2018-04-
05_Praxishilfen_Datenschutz_Fragen_zur_Datenschutz-Grundverordnung.pdf

Hinweise für den Umgang mit personenbezogenen Daten durch
Steuerberater und Steuerberatungsgesellschaften
https://www.bstbk.de/export/sites/standard/de/ressourcen/Dokumente/04_presse/publikationen/02_steuerrecht_rechnungslegung/46_2018-05-
02_Hinweise_fuer_den_Umgang_mit_personenbezogenen_Daten_durch_Steuerberater_und_Steuerberatungsgesellschaften.pdf

Muster-Datenschutzerklärung für Webseiten
https://www.bstbk.de/de/ressourcen/Dokumente/04_presse/publikationen/02_steuerrecht_rechnungslegung/50_2018-05-08_Muster-
Datenschutzerklaerung-Kanzleiwebsite.docx

„Genehmigte Verhaltensregeln für Steuerberater“ ->
Beschluss der Bundeskammerversammlung vom 10.04.2018

                                                                                                                                  22
144. Collega-Tag am 30.11.2018
                        Datenschutzvortrag

Hinweise für den Umgang mit personenbezogenen Daten
durch Steuerberater und Steuerberatungsgesellschaften

                                                    23
144. Collega-Tag am 30.11.2018
                                 Datenschutzvortrag

 Hinweise für den Umgang mit personenbezogenen Daten
 durch Steuerberater und Steuerberatungsgesellschaften

Inhalt:

1. Einleitung

2. Begriffsbestimmungen

3. Grundsätze zur Datenverarbeitung

4. Grundsätze der Sicherheit bei der Verarbeitung personenbezogener Daten

5. Mandatierung

6. Organisation in der Kanzlei

7. Einbindung von Dienstleistern

8. Einsatz von Software

                                                                            24
144. Collega-Tag am 30.11.2018
                                   Datenschutzvortrag

 Hinweise für den Umgang mit personenbezogenen Daten
 durch Steuerberater und Steuerberatungsgesellschaften

Inhalt:

9. Informationspflichten bei Datenerhebung und Betroffenenrechte

10. Datenschutzorganisation

11. Meldeprozess bei Schutzverletzungen (Datenpannen)

12. Weitergabe von Daten

13. Aufbewahrungspflichten

14. Beendigung des Mandats

15. Datenschutz im Beschäftigungsverhältnis

16. Kanzleiübertragung

                                                                   25
144. Collega-Tag am 30.11.2018
                           Datenschutzvortrag

                Kapitel 5 - Mandatierung

Mandatsvertrag = Rechtsgrundlage zur Verarbeitung (Schriftlichkeit
empfohlen)

Fachleistung des Steuerberaters ≠ Auftragsverarbeitung

                                                                     26
144. Collega-Tag am 30.11.2018
                                  Datenschutzvortrag

Kapitel 6, 7 und 8 – Organisation in der Kanzlei, Einbindung von
             Dienstleistern und Einsatz von Software

    Sicherheit der Verarbeitung
    Risikobasierte Schutzkonzepte
     •   Hohes Risiko
     •   Mittleres Risiko
     •   Geringes Risiko

    Dokumentation und Kontrolle
    Außenauftritt der Kanzlei
    Rechtskonforme Newsletter
    Einbindung von Dienstleistern -> Auftragsverarbeiter

                                                             27
144. Collega-Tag am 30.11.2018
                                   Datenschutzvortrag

                    Sicherheit der Verarbeitung
                                                       Zutrittskontrolle
                                                       Zugangskontrolle
1. Vertraulichkeit
                                                       Zugriffskontrolle
(Art. 32 Abs. 1 lit. b) DS-GVO)
                                                       Trennungskontrolle
                                                       Pseudonymisierung
2. Integrität                                          Weitergabekontrolle
(Art. 32 Abs. 1 lit. b) DS-GVO)                        Eingabekontrolle
3. Verfügbarkeit und Belastbarkeit                     Verfügbarkeitskontrolle
(Art. 32 Abs. 1 lit. b DS-GVO)
                                                       Rasche Wiederherstellbarkeit
                                                       Datenschutz-Management
4. Verfahren zur regelmäßigen
                                                       Incident-Response-Management
Überprüfung, Bewertung und
Evaluierung                                            Datenschutzfreundliche
(Art. 32 Abs. 1 lit. d) DS-GVO; Art. 25 Abs.           Voreinstellungen               28

1 DS-GVO)
                                                       Auftragskontrolle
144. Collega-Tag am 30.11.2018
                                   Datenschutzvortrag

                    Sicherheit der Verarbeitung
                                                       Zutrittskontrolle
                                                       Zugangskontrolle
1. Vertraulichkeit
                                                       Zugriffskontrolle
(Art. 32 Abs. 1 lit. b) DS-GVO)
                                                       Trennungskontrolle
                                                       Pseudonymisierung
2. Integrität                                          Weitergabekontrolle
(Art. 32 Abs. 1 lit. b) DS-GVO)                        Eingabekontrolle
3. Verfügbarkeit und Belastbarkeit                     Verfügbarkeitskontrolle
(Art. 32 Abs. 1 lit. b DS-GVO)
                                                       Rasche Wiederherstellbarkeit
                                                       Datenschutz-Management
4. Verfahren zur regelmäßigen                          Incident-Response-Management
Überprüfung, Bewertung und Evaluierung                 Datenschutzfreundliche
(Art. 32 Abs. 1 lit. d) DS-GVO; Art. 25 Abs.           Voreinstellungen               29
1 DS-GVO)
                                                       Auftragskontrolle
144. Collega-Tag am 30.11.2018
                              Datenschutzvortrag

   Weitergabekontrolle – E-Mail-Verschlüsselung
E-Mail-Verschlüsselung ist grundsätzlich erforderlich (Ende-zu-Ende)

Problem: Akzeptanz bei den Mandanten

Einwilligung der Mandanten einholen mit Hinweis auf damit verbundene
Gefahren (wird ggf. nicht von allen Aufsichtsbehörden akzeptiert!)

Hinweis auf Lohn- und Gehaltsabrechnung -> Einwilligung der Mitarbeiter
sollte der Mandant im Innenverhältnis einholen (wird ggf. nicht von allen
Aufsichtsbehörden akzeptiert!)

                                                                            30
144. Collega-Tag am 30.11.2018
                                   Datenschutzvortrag

                    Sicherheit der Verarbeitung
                                                       Zutrittskontrolle
                                                       Zugangskontrolle
1. Vertraulichkeit
                                                       Zugriffskontrolle
(Art. 32 Abs. 1 lit. b) DS-GVO)
                                                       Trennungskontrolle
                                                       Pseudonymisierung
2. Integrität                                          Weitergabekontrolle
(Art. 32 Abs. 1 lit. b) DS-GVO)                        Eingabekontrolle
3. Verfügbarkeit und Belastbarkeit                     Verfügbarkeitskontrolle
(Art. 32 Abs. 1 lit. b DS-GVO)
                                                       Rasche Wiederherstellbarkeit
                                                       Datenschutz-Management
4. Verfahren zur regelmäßigen
                                                       Incident-Response-Management
Überprüfung, Bewertung und
Evaluierung                                            Datenschutzfreundliche
(Art. 32 Abs. 1 lit. d) DS-GVO; Art. 25 Abs.           Voreinstellungen               31

1 DS-GVO)
                                                       Auftragskontrolle
144. Collega-Tag am 30.11.2018
                                Datenschutzvortrag

       Meldung von Datenschutzverletzungen
Datenschutzverletzung (Panne!)

Risiko für die betroffene Person?

-> Nein: Dokumentieren!

-> Ja: Meldung an die Aufsichtsbehörde innerhalb von 72 Stunden!

Hohes Risiko für die betroffene Person?

-> Nein: Keine weiteren Maßnahmen – Dokumentieren!

-> Ja. Information der betroffenen Personen, ggf. auch durch
   öffentliche Bekanntmachung oder eine ähnliche Maßnahme!

                                                                   32
144. Collega-Tag am 30.11.2018
                                   Datenschutzvortrag

                    Sicherheit der Verarbeitung
                                                       Zutrittskontrolle
                                                       Zugangskontrolle
1. Vertraulichkeit
                                                       Zugriffskontrolle
(Art. 32 Abs. 1 lit. b) DS-GVO)
                                                       Trennungskontrolle
                                                       Pseudonymisierung
2. Integrität                                          Weitergabekontrolle
(Art. 32 Abs. 1 lit. b) DS-GVO)                        Eingabekontrolle
3. Verfügbarkeit und Belastbarkeit                     Verfügbarkeitskontrolle
(Art. 32 Abs. 1 lit. b DS-GVO)
                                                       Rasche Wiederherstellbarkeit
                                                       Datenschutz-Management
4. Verfahren zur regelmäßigen
                                                       Incident-Response-Management
Überprüfung, Bewertung und
Evaluierung                                            Datenschutzfreundliche
(Art. 32 Abs. 1 lit. d) DS-GVO; Art. 25 Abs.           Voreinstellungen               33

1 DS-GVO)
                                                       Auftragskontrolle
144. Collega-Tag am 30.11.2018
                       Datenschutzvortrag

               Einsatz von Software

Die Kanzlei muss bei der Auswahl und beim Einsatz von
Softwarelösungen prüfen, ob mit diesen die
Anforderungen der DSGVO erfüllt werden können!

                                                    34
144. Collega-Tag am 30.11.2018
                                   Datenschutzvortrag

                    Sicherheit der Verarbeitung
                                                       Zutrittskontrolle
                                                       Zugangskontrolle
1. Vertraulichkeit
                                                       Zugriffskontrolle
(Art. 32 Abs. 1 lit. b) DS-GVO)
                                                       Trennungskontrolle
                                                       Pseudonymisierung
2. Integrität                                          Weitergabekontrolle
(Art. 32 Abs. 1 lit. b) DS-GVO)                        Eingabekontrolle
3. Verfügbarkeit und Belastbarkeit                     Verfügbarkeitskontrolle
(Art. 32 Abs. 1 lit. b DS-GVO)
                                                       Rasche Wiederherstellbarkeit
                                                       Datenschutz-Management
4. Verfahren zur regelmäßigen
                                                       Incident-Response-Management
Überprüfung, Bewertung und
Evaluierung                                            Datenschutzfreundliche
(Art. 32 Abs. 1 lit. d) DS-GVO; Art. 25 Abs.           Voreinstellungen               35

1 DS-GVO)
                                                       Auftragskontrolle
144. Collega-Tag am 30.11.2018
                              Datenschutzvortrag

     Beispiele für Datenverarbeitung im Auftrag
Rechenzentren, Copyshops.

Externe Dienstleister EDV und TK mit „Remote-Zugriff“ (Server,
Aktivkomponenten, Datenbanken, Wartungsverträge, Softwarepflege,
Wartung TK-Anlagen etc.).

Externe Dienstleister Peripherie IT/TK (Faxgeräte, Drucker,
Multifunktionsgeräte, Scanner, Kopiergeräte, etc.).

Entsorger (IT / TK) und Entsorger Papier.

Application Service Provider (Fremdsoftware als Dienstleistung), z. B.
Addison, Agenda, DATEV, DATEV, Simba, Systempartner…

                                                                         36
144. Collega-Tag am 30.11.2018
                               Datenschutzvortrag

     Auftragsverarbeitung nach Art. 28 DS-GVO
Sorgfältige Auswahl der Auftragnehmer. Hinreichende Garantien!

Kriterien für die Auswahl der Auftragnehmer: geeignete technische und
organisatorische Maßnahmen.

Detaillierte Regelungen der Unterauftragsverhältnisse. Einsatz und Wechsel
von Subunternehmen nur mit schriftlicher Genehmigung.

Detaillierte Regelungen der Auftragsverhältnisse (schriftlich oder
elektronisch).

                                                                        37
144. Collega-Tag am 30.11.2018
                               Datenschutzvortrag

       Auftragsverarbeitung nach Art. 28 DS-GVO

Muster BayLDA: https://www.lda.bayern.de/media/muster_adv.pdf   38
144. Collega-Tag am 30.11.2018
                                    Datenschutzvortrag

§ 203 Strafgesetzbuch - Neue Rechtliche Situation
960. Sitzung des Bundesrats am 22. September 2017: „Gesetz zur Neuregelung des
Schutzes von Geheimnissen bei der Mitwirkung Dritter an der Berufsausübung
schweigepflichtiger Personen“ -> Veröffentlichung im Bundesgesetzblatt am 09.11.2017:

§ 203 c) Abs. 3 wird wie folgt geändert:

Kein Offenbaren im Sinne dieser Vorschrift liegt vor, wenn die in den Absätzen 1 und 2
genannten Personen Geheimnisse den bei ihnen berufsmäßig tätigen Gehilfen oder den
bei ihnen zur Vorbereitung auf den Beruf tätigen Personen zugänglich machen.

Die in den Absätzen 1 und 2 Genannten dürfen fremde Geheimnisse gegenüber sonstigen
Personen offenbaren, die an ihrer beruflichen oder dienstlichen Tätigkeit mitwirken, soweit
dies für die Inanspruchnahme der Tätigkeit der sonstigen mitwirkenden Personen
erforderlich ist; das Gleiche gilt für sonstige mitwirkende Personen, wenn diese sich
weiterer Personen bedienen, die an der beruflichen oder dienstlichen Tätigkeit der in den
Absätzen 1 und 2 Genannten mitwirken.

Lösung:

Verpflichtung der Dienstleister auf die Verschwiegenheit nach § 203 StGB!

-> Muster: Zusatzvereinbarung zum Auftragsverarbeitungsvertrag
                                                                                          39
144. Collega-Tag am 30.11.2018
                               Datenschutzvortrag

      Die Steuerkanzlei als Auftragsverarbeiter?
Kann eine Steuerberaterkanzlei Auftragsverarbeiter eines Mandanten sein?

Hierzu gab es in der Vergangenheit unterschiedliche Auffassungen:

Einhellige Meinung Bundessteuerberaterkammer und Bayerisches
Landesamt für Datenschutzaufsicht in der „Welt BDSG-alt“:

-> Nein, da die freiberufliche, eigenverantwortliche Tätigkeit die enge
Weisungsgebundenheit im Sinne des § 11 BDSG nicht zulässt.

DS-GVO und BDSG-neu -> DSK Kurzpapier Nr. 13, Anhang B -> Nein!

                                                                          40
144. Collega-Tag am 30.11.2018
                  Datenschutzvortrag

Die Steuerkanzlei als Auftragsverarbeiter?

                                             41
144. Collega-Tag am 30.11.2018
      Datenschutzvortrag

                                 42
144. Collega-Tag am 30.11.2018
                                  Datenschutzvortrag

 Kapitel 9 – Informationspflichten bei Datenerhebung
                 und Betroffenenrechte
Betroffenenrechte:
  Informationspflicht bei Datenerhebung (Art. 13, Art. 14)
  Auskunftsrecht inkl. Kopie der Daten (Art. 15)
  Berichtigung, Korrekturbegehren (Art. 16)
  Löschung, Löschungsbegehren (Art. 17)
  Einschränkung (Art. 18)
  Mitteilungspflicht bei Berichtigung, Löschung, Einschränkung der
  Verarbeitung (Art. 19)
  Datenübertragbarkeit (Art. 20)
  Widerspruch, Widerruf (Art. 21)
  Profiling (Art. 22)

                                                                     43
144. Collega-Tag am 30.11.2018
                                       Datenschutzvortrag

                               Informationspflicht
Informationspflicht bei Erhebung von personenbezogenen Daten bei der betroffenen
Person

1. Verantwortlicher (Name und Kontaktdaten, ggf. auch des Vertreters)

2. Kontaktdaten des Datenschutzbeauftragten (funktionsbezogene E-Mail-Adresse ist
   ausreichend, unter der der Datenschutzbeauftragte erreichbar ist, z. B. datenschutz@.....de)

3. Zwecke und Rechtsgrundlagen (z. B. Einkommensteuererklärung, Mandatsvertrag)

4. Datenkategorien

5. Berechtigte Interessen

6. Empfänger oder Kategorien von Empfängern (z. B. Sachbearbeiter, Auftragsverarbeiter)

7. Drittstaatentransfer

                                                                                              44
144. Collega-Tag am 30.11.2018
                                            Datenschutzvortrag

                                   Informationspflicht
Folgende Informationen sind der betroffenen Person mitzuteilen, die notwendig sind, um
eine faire und transparente Verarbeitung zu gewährleisten:

   geplante Speicherdauer oder, falls dies nicht möglich ist, die Kriterien für die Festlegung der
   Speicherdauer,

   Betroffenenrechte: Auskunft-, Löschungs-, Einschränkungs- und Widerspruchsrechte sowie das Recht
   auf Datenübertragbarkeit,

   Recht auf jederzeitigen Widerruf der Einwilligung,

   Beschwerderecht bei einer Aufsichtsbehörde,

   Pflicht des Verantwortlichen zur Bereitstellung der Daten (nur bei Direkterhebung),

   Angabe der Datenquelle (nicht bei Direkterhebung),

   im Fall einer automatisierten Entscheidungsfindung -> aussagekräftige Informationen über die
   angewendete Logik, Tragweite und angestrebten Auswirkung einer solchen Verarbeitung.

                                                                                                      45
144. Collega-Tag am 30.11.2018
                                Datenschutzvortrag

       Informationspflicht nach Artikel 13 DSGVO
Ausnahmen:

  Betroffene Person verfügt bereits über die Informationen

  Lohn- und Gehaltsabrechnung: Keine Information an den Beschäftigten des
  Mandaten -> Schweigepflicht!

  Private Steuererklärung: Auch bei der Erhebung der Daten Dritter erfolgt
  keine Information der Dritten durch den Steuerberater.

                                                                             46
144. Collega-Tag am 30.11.2018
                                    Datenschutzvortrag

                            Informationspflicht
Zeitpunkt

   Direkterhebung: Zum Zeitpunkt de Erhebung

   Keine Direkterhebung:

   a) längstens innerhalb eines Monats,

   b) falls die personenbezogenen Daten zur Kommunikation mit der betroffenen
   Person verwendet werden sollen, spätestens zum Zeitpunkt der ersten
   Mitteilung an sie

   c) falls die Offenlegung an einen anderen Empfänger beabsichtigt ist,
   spätestens zum Zeitpunkt der ersten Offenlegung.

Arbeitshilfe – Verfahrensdokumentation zur Erfüllung der Informationspflichten
                                                                                 47
144. Collega-Tag am 30.11.2018
                                  Datenschutzvortrag

                           Informationspflicht
An wen?

  Internetauftritt

  Mandant

  Mitarbeiter / Bewerber

                                                             48
144. Collega-Tag am 30.11.2018
                                      Datenschutzvortrag

                                 Auskunftsrecht
Verarbeitungszwecke und Kategorien personenbezogener Daten, die verarbeitet werden

die Empfänger oder Kategorien von Empfängern (z. B. Finanzbehörden, Sozialversicherungsträger
etc.), …

falls möglich die geplante Dauer, für die die personenbezogenen Daten gespeichert werden…

das Bestehen eines Rechts auf Berichtigung oder Löschung … auf Einschränkung der Verarbeitung
… oder eines Widerspruchsrechts

das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde

wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben werden, alle
verfügbaren Informationen über die Herkunft der Daten (z. B. Rückmeldungen von Finanzbehörden
und Sozialversicherungsträgern)

das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling …

                                                                                            49
144. Collega-Tag am 30.11.2018
                                   Datenschutzvortrag

                              Auskunftsrecht
Besonderheiten

   Negativauskunft ebenfalls erforderlich

   Identitätsprüfung

   Versagung aus berufsrechtlichen Gründen im Einzelfall

   Fristwahrung und Protokollierung

Arbeitshilfe – Verfahrensdokumentation zur Erfüllung der Auskunftspflichten

                                                                        50
144. Collega-Tag am 30.11.2018
                               Datenschutzvortrag

         Kapitel 10 – Datenschutzorganisation
Die Kanzleileitung ist verantwortlich für das Datenschutzmanagement in der
Kanzlei

Notwendigkeit der Bestellung eines Datenschutzbeauftragten nach § 38 BDSG-
neu:

mindestens 10 Personen bei automatisierter Datenverarbeitung
(Inhaber/Partner zählen mit, vgl. Beschluss der Konferenz der unabhängigen
Datenschutzbehörden des Bundes und der Länder – Düsseldorf, 26. April 2018 )

                                               Voraussetzungen nach Art. 37 DS-GVO
                                                              •   Berufliche Qualifikation
                                                                      •      Fachwissen
                                                                       •     Fähigkeiten

                                    Interner oder externer Datenschutzbeauftragter

                                                                                       51
144. Collega-Tag am 30.11.2018
                                   Datenschutzvortrag

         Die Stellung des Datenschutzbeauftragten

frühzeitige Einbindung des Datenschutzbeauftragten in Datenschutzvorhaben,

Bereitstellung der erforderlichen Ressourcen zur Aufgabenerfüllung,

Bereitstellung der Ressourcen zur Fortbildung des Datenschutzbeauftragten,

Unabhängigkeit des Datenschutzbeauftragten bei Ausübung seiner Aufgabe,

Verbot, den Datenschutzbeauftragten zu benachteiligen,

Unmittelbare Unterstellung unter die Kanzleileitung,

Recht, dass betroffene Personen sich direkt an den Datenschutzbeauftragten wenden
können,

Wahrung der Geheimhaltung und der Vertraulichkeit durch den Datenschutzbeauftragten.

                                                                                       52
144. Collega-Tag am 30.11.2018
                             Datenschutzvortrag

              Der Datenschutzbeauftragte
Ist nicht Teil des Datenschutzmanagements der Kanzlei –
er überwacht das Datenschutzmanagement!

Interessenkollision bei
•   Vorstand oder Geschäftsführer, Klinikleitung
•   Leiter EDV, Systemadministrator,
•   Leiter Personal,
•   ...

Ggf. Delegation der Mitarbeiterschulung (Verantwortung der
Kanzleileitung)

Meldung der Kontaktdaten des Datenschutzbeauftragten an
die zuständige Aufsichtsbehörde seit 25.05.2018

                                                             53
144. Collega-Tag am 30.11.2018
                                   Datenschutzvortrag

 Das Verzeichnis der Verarbeitungstätigkeiten nach Art. 30
                  beim Verantwortlichen

   Schriftlich, sprich auch elektronisch möglich.

   Auf Anfrage an Aufsichtsbehörde.

   Löschfristen in separatem Dokument

Anlagen:

Muster für ein Löschkonzept

Muster: Verzeichnis von Verarbeitungstätigkeiten der Steuerberatungskanzlei

                                                                          54
144. Collega-Tag am 30.11.2018
                               Datenschutzvortrag

Das Verzeichnis der Verarbeitungstätigkeiten nach Art. 30
                 beim Verantwortlichen

 Namen und die Kontaktdaten des Verantwortlichen
 Datenschutzbeauftragter
 Zwecke der Verarbeitung
 Beschreibung der Kategorien betroffener Personen und der Kategorien
 personenbezogener Daten
 Kategorien von Empfängern,
 Übermittlungen von personenbezogenen Daten an ein Drittland oder an
 eine internationale Organisation
 Fristen für die Löschung der verschiedenen Datenkategorie
 Beschreibung der technischen und organisatorischen Maßnahmen

                                                                       55
144. Collega-Tag am 30.11.2018
                              Datenschutzvortrag

Risikobewertung im Verzeichnis der Verarbeitungstätigkeiten

  Risikobewertung!
   •   Eintrittswahrscheinlichkeit
   •   Risiko für den Betroffenen

  Ggf. Zusammenfassung in Kategorien

  Hohes Risiko

  -> Datenschutz-Folgenabschätzung

                                                         56
144. Collega-Tag am 30.11.2018
                                                      Datenschutzvortrag

     Risikobewertung im Verzeichnis der Verarbeitungstätigkeiten

Quelle: https://www.datenschutzkonferenz-online.de/media/kp/dsk_kpnr_18.pdf
                                                                                 57
144. Collega-Tag am 30.11.2018
                                 Datenschutzvortrag

               Datenschutz-Folgenabschätzung

Hohes Risiko durch

   Verwendung neuer Technologien
   Art, Umfang, Umstände und Zwecke der Verarbeitung

    -> Datenschutz-Folgenabschätzung, insbesondere bei

   systematische und umfassende Bewertung persönlicher Aspekte natürlicher
   Personen, die sich auf automatisierte Verarbeitung einschließlich Profiling
   gründet
   umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen
   Daten
   umfangreiche Verarbeitung von personenbezogenen Daten über strafrechtliche
   Verurteilungen und Straftaten
   systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche
   (Videoüberwachung).
                                                                             58
144. Collega-Tag am 30.11.2018
                                     Datenschutzvortrag

          Stichpunkte aus den Kapiteln 11 - 16
Umgang mit E-Mails
 •   Unsinnige E-Mails
 •   Fragwürdige E-Mails
 •   E-Mails von unbekannten Absendern
 •   E-Mail-Anhänge und ausführbare Dateien
 •   Aufforderungen zur Weiterleitung
 •   Spam-Ordner regelmäßig prüfen

Webformulare
 •   Datenminimierung
 •   Datenschutzhinweis
 •   Verschlüsselung (https)

Aufbewahrungspflichten und Aufbewahrungsfristen - Löschkonzept

                                                                 59
144. Collega-Tag am 30.11.2018
                                  Datenschutzvortrag

          Stichpunkte aus den Kapiteln 11 - 16
Beendigung des Mandates

Arbeitnehmerdatenschutz
 •   Information nach Art. 13 DGSVO bereithalten
 •   Privatnutzung regeln
 •   Bilder von Beschäftigten -> Einwilligung

Bewerberdaten

Bei Kanzleiübertragung decken sich die datenschutzrechtlichen Regelungen
mit den berufsrechtlichen Grundsätzen. Es ist zu beachten, dass sich durch
eine Kanzleiübertragung die Aufbewahrungs- und Löschfristen nicht
automatisch verlängern.

                                                                        60
144. Collega-Tag am 30.11.2018
                       Datenschutzvortrag

Checkliste: Die wichtigsten To-Do´s zur Umsetzung
   der DSGVO in Steuerberatungskanzleien

                                                  61
144. Collega-Tag am 30.11.2018
                       Datenschutzvortrag

Checkliste: Die wichtigsten To-Do´s zur Umsetzung
   der DSGVO in Steuerberatungskanzleien

                                                  62
144. Collega-Tag am 30.11.2018
                                 Datenschutzvortrag

 Hinweise für den Umgang mit personenbezogenen Daten
 durch Steuerberater und Steuerberatungsgesellschaften

Anlagen:

  Arbeitshilfe – Verfahrensdokumentation zur Erfüllung der Auskunftspflichten

  Arbeitshilfe – Verfahrensdokumentation zur Erfüllung der Informationspflichten

  Checkliste: Die wichtigsten to-do‘s zur Umsetzung der DSGVO

  Muster für ein Löschkonzept

  Muster: Zusatzvereinbarung zum Auftragsverarbeitungsvertrag

  Muster: Verzeichnis von Verarbeitungstätigkeiten der Steuerberatungskanzlei

                                                                                63
144. Collega-Tag am 30.11.2018
                                   Datenschutzvortrag

                                          Fazit
Datenschutz ist Chefsache!

Der Datenschutzbeauftragte berät, überwacht und kontrolliert!

Seit 25.05.2018 umzusetzen:

 •   DSB an die Aufsichtsbehörde melden!

 •   Neue Datenschutzerklärungen im Internet und für die Mandanten (u.a. mit Kontaktdaten
     des DSB)!

 •   Verträge zur Auftragsverarbeitung!

 •   Danach Checkliste Stück für Stück abarbeiten!

Mitarbeitersensibilisierung durchführen!

                                                                                            64
144. Collega-Tag am 30.11.2018
            Datenschutzvortrag

Wie werden die Mitarbeiter
im Datenschutz sattelfest?
Sie können auch lesen
NÄCHSTE FOLIEN ... Stornieren