Datenschutz in der Steuerkanzlei - was sind die Herausforderungen der DSGVO - Wie sensibilisieren Sie Ihre Mitarbeiter? - COLLEGA
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
144. Collega-Tag am 30.11.2018
Datenschutzvortrag
Datenschutz in der Steuerkanzlei
– was sind die Herausforderungen der DSGVO -
Wie sensibilisieren Sie Ihre Mitarbeiter?
144. Collega-Tag am 30.11.2018
Datenschutzvortrag
Referent
Stefan Maier
Politikwissenschaftler, M.A.
Medienrechtler
Datenschutzbeauftragter (TÜV)
Mehr als 7 Jahre Erfahrung im Datenschutz,
darunter u.a. als Produktmanager Datenschutz
verantwortlich für die inhaltliche und konzeptionelle
Ausrichtung von Veranstaltungen und Ausbildungen
im Bereich Datenschutz und IT-Security.
Über 6 Jahre konzeptionell und fachlich verantwortlich
für den größten süddeutschen Datenschutzkongress.
Munker Privacy Consulting GmbH
Pähler Str. 5a
82399 Raisting
Tel.: 08807-9281710
E-Mail: datenschutz@munker.info
Internet: www.munker.info 2
144. Collega-Tag am 30.11.2018
Datenschutzvortrag
Munker Privacy Consulting GmbH
Pähler Str. 5a
82399 Raisting
Tel.: 08807-9281710
E-Mail: datenschutz@munker.info
Internet: www.munker.info 3
144. Collega-Tag am 30.11.2018
Datenschutzvortrag
4
144. Collega-Tag am 30.11.2018
Datenschutzvortrag
144. Collega-Tag am 30.11.2018
Datenschutzvortrag
Abmahnwellen gegen Steuerberater
Ziel:
Steuerkanzleien, die eine Homepage mit Kontaktformular betreiben.
Begründung:
Datenschutzrechtliche Hinweise zur Verwendung der über das
Kontaktformular übermittelten Daten fehlen.
Begründung:
Verwendung eines Kontaktformulars erfordert Verschlüsselung des
Internetauftritts (https)
144. Collega-Tag am 30.11.2018
Datenschutzvortrag
Chronologie Datenschutz in Deutschland
30.09.1970 1. Hessisches Datenschutzgesetz
01.02.1977 1. Bundesdatenschutzgesetz (in Kraft ab 1978)
…….
14.04.2016 Beschluss der EU-Datenschutz-Grundverordnung (EU-Parlament)
25.05.2016 In-Kraft-Treten der EU-Datenschutz-Grundverordnung (DS-GVO)
25.05.2018 EU-weite Geltung der DSGVO
25.05.2018 BDSG „neu“
??.??.20?? E-Privacy-Verordnung (bislang nur Entwurf EU-Kommission!)
7
144. Collega-Tag am 30.11.2018
Datenschutzvortrag
EU-Datenschutz-Grundverordnung
Erwägungsgründe u. a.
• Stärkung und Präzisierung der Rechte der betroffenen Personen,
• Verschärfung der Auflagen,
• gleiche Befugnisse der Mitgliedstaaten,
• gleiche Sanktionen im Falle der Verletzung der DS-GVO.
Vorrang einer EU-Verordnung vor nationalem Recht
• Eine EU-Verordnung hat grds. Anwendungsvorrang vor jedem
nationalen Gesetz,
• Sofern in VO vorgesehen, dann nationale Regelungen möglich.
Ausgestaltungspflicht durch nationalen Gesetzgeber,
sofern durch VO angeordnet.
8
144. Collega-Tag am 30.11.2018
Datenschutzvortrag
EU-Datenschutz-Grundverordnung
regelt das Recht auf Schutz persönlicher Daten als
Grundrecht innerhalb der EU
…vereinheitlicht weitgehend die derzeit bestehenden 28
nationalen Gesetze innerhalb der EU
…erhöht die Sanktionen bei Vergehen drastisch
(bis zu 20 Mio. € bzw. 4 % des weltweiten Umsatzes),
Öffnungsklausel für öffentliche Stellen
9
144. Collega-Tag am 30.11.2018
Datenschutzvortrag
EU-Datenschutz-Grundverordnung
wird über die Aufsichtsbehörde voraussichtlich wesentlich strenger
exekutiert als das bisher der Fall war
beinhaltet eine Meldepflicht von Datenschutzpannen (innerhalb von
72 Stunden an die Aufsichtsbehörde) und eine Beweislastumkehr
beinhaltet eine Meldepflicht des Datenschutzbeauftragten
setzt wesentlich mehr an Dokumentation voraus als das BDSG
gilt seit 25. Mai 2018 EU-weit
10144. Collega-Tag am 30.11.2018
Datenschutzvortrag
EU-Datenschutz-Grundverordnung
Datenschutz zwischen 2 Stühlen:
DSGVO und BDSG-neu seit 25.05.2018
BDSG-alt bis 24.05.2018
11144. Collega-Tag am 30.11.2018
Datenschutzvortrag
Was sind personenbezogene Daten?
„Personenbezogene Daten“ sind alle Informationen, die sich auf eine identifizierte
oder identifizierbare natürliche Person (im Folgenden „betroffene Person“)
beziehen, z. B.
Persönliche Verhältnisse:
• Name, Anschrift, Geburtsdatum, Familienstand, Anzahl der Kinder
• Aussehen, Fingerabdruck, Iris, Blutgruppe
• Telefonnummer (priv. u. berufl.)
• Arbeitgeber und Beruf
• Zeugnisse / berufl. Bewertungen
• Kontonummer / Bankverbindung
• Hobbys
• ...
Sachliche Verhältnisse:
• Einkommen , Vermögen
• Kfz-Typ
• Steuern, Versicherungen
• Grundbesitz
• Vertragsbeziehungen
• Führen von Telefonaten, Schreiben von E-Mails, Umfang der Internet-Nutzung
• ...
12144. Collega-Tag am 30.11.2018
Datenschutzvortrag
„Besondere Arten“ personenbezogene Daten
Die Verarbeitung personenbezogener Daten, aus denen die
rassische und ethnische Herkunft,
politische Meinungen,
religiöse oder weltanschauliche Überzeugungen
Gewerkschaftszugehörigkeit hervorgehen, sowie die
Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen
Identifizierung einer natürlichen Person,
Gesundheitsdaten oder
Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person
13144. Collega-Tag am 30.11.2018
Datenschutzvortrag
Verbot mit Erlaubnisvorbehalt
Grundsatz:
Personenbezogene Daten dürfen gar nicht erhoben, verarbeitet
oder genutzt werden.
Nach DSG-VO erlaubt (Art. 6 Abs. 1 lit. a-f):
• Einwilligung ,
• Erfüllung eines Vertrags,
• rechtliche Verpflichtung,
• lebenswichtige Interessen schützen,
• Wahrnehmung einer Aufgabe … im öffentlichen Interesse oder in Ausübung
öffentlicher Gewalt,
• Wahrung der berechtigten Interessen des Verantwortlichen oder eines
Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und
Grundfreiheiten der betroffenen Person, die den Schutz
personenbezogener Daten erfordern, überwiegen, insbesondere dann,
wenn es sich bei der betroffenen Person um ein Kind handelt.
14144. Collega-Tag am 30.11.2018
Datenschutzvortrag
Grundsätze der DSGVO
Art. 5 DSGVO, Abs. 1 (Grundsätze für die Verarbeitung
personenbezogener Daten):
Rechtmäßigkeit
Verarbeitung nach Treu und Glauben
Transparenz
Zweckbindung
Datenminimierung
Richtigkeit
Speicherbegrenzung
Integrität
Vertraulichkeit 15144. Collega-Tag am 30.11.2018
Datenschutzvortrag
Rechenschaftspflicht
Art. 5 Abs. 2 DSGVO (Grundsätze für die Verarbeitung
personenbezogener Daten ):
„Der Verantwortliche ist für die Einhaltung des Absatzes 1
verantwortlich und muss dessen Einhaltung nachweisen
können (Rechenschaftspflicht).“
16144. Collega-Tag am 30.11.2018
Datenschutzvortrag
Datenschutz + datenschutzfreundliche Voreinstellungen
EW 78 und Art. 25 DS-GVO: Interne Strategien festlegen und Maßnahmen
ergreifen, die insbesondere den Grundsätzen des
Datenschutzes durch Technik (data protection by design) und durch
datenschutzfreundliche Voreinstellungen (data protection by default)
Genüge tun.
Datenminimierung hinsichtlich
• Menge der erhobenen personenbezogenen Daten
• Umfang ihrer Verarbeitung
• Speicherfrist
• Zugänglichkeit
17144. Collega-Tag am 30.11.2018
Datenschutzvortrag
Der Zusammenhang zwischen
Datenschutz und Datensicherheit
Verfügbarkeit
Vertraulichkeit
Art. 32
DS- Verbindlichkeit
GVO144. Collega-Tag am 30.11.2018
Datenschutzvortrag
Sicherheit der Verarbeitung
Art. 32 DSGVO (Sicherheit der Verarbeitung):
„Unter Berücksichtigung des Stands der Technik, der
Implementierungskosten und der Art, des Umfangs, der Umstände und der
Zwecke der Verarbeitung sowie der unterschiedlichen
Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und
Freiheiten natürlicher Personen treffen der Verantwortliche und der
Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen,
um ein dem Risiko angemessenes Schutzniveau zu gewährleisten“.
19144. Collega-Tag am 30.11.2018
Datenschutzvortrag
Sicherheit der Verarbeitung
Artikel 32 Sicherheit der Verarbeitung
(3)Die Einhaltung genehmigter Verhaltensregeln gemäß Artikel 40 oder eines
genehmigten Zertifizierungsverfahrens gemäß Artikel 42 kann als Faktor
herangezogen werden, um die Erfüllung der in Absatz 1 des vorliegenden
Artikels genannten Anforderungen nachzuweisen.
Wie setzt man das jetzt alles für die Kanzlei um??
20144. Collega-Tag am 30.11.2018
Datenschutzvortrag
Arbeitsgruppe „Verhaltensregeln Datenschutz“
des DStV und der BStBK
Erste Sitzung im Mai 2017
Arbeitskreismitglieder
StBin Dipl.-Ök. Frauke Kaps-Offeney
RA Rudi Kramer
Dipl.-Staatswissenschaftler Dirk Munker
StB Dipl.-Volksw. Wolf Dieter Oberhauser
Dipl.-Ök. Stephan Rehfeld
RAin Nicole Schmidt, LL.M.
Ansprechpartner in der BStBK:
RAin Claudia Kalina-Kerschbaum, LL.M.
RA Martin Kader
Ansprechpartner beim DStV:
RA Dipl.-Verw. (FH) Christian Michel
21144. Collega-Tag am 30.11.2018
Datenschutzvortrag
Arbeitsgruppe „Verhaltensregeln Datenschutz“
Antworten auf häufig gestellte Fragen zur Datenschutz-
Grundverordnung (DSGVO)
https://www.bstbk.de/export/sites/standard/de/ressourcen/Dokumente/04_presse/publikationen/02_steuerrecht_rechnungslegung/42_2018-04-
05_Praxishilfen_Datenschutz_Fragen_zur_Datenschutz-Grundverordnung.pdf
Hinweise für den Umgang mit personenbezogenen Daten durch
Steuerberater und Steuerberatungsgesellschaften
https://www.bstbk.de/export/sites/standard/de/ressourcen/Dokumente/04_presse/publikationen/02_steuerrecht_rechnungslegung/46_2018-05-
02_Hinweise_fuer_den_Umgang_mit_personenbezogenen_Daten_durch_Steuerberater_und_Steuerberatungsgesellschaften.pdf
Muster-Datenschutzerklärung für Webseiten
https://www.bstbk.de/de/ressourcen/Dokumente/04_presse/publikationen/02_steuerrecht_rechnungslegung/50_2018-05-08_Muster-
Datenschutzerklaerung-Kanzleiwebsite.docx
„Genehmigte Verhaltensregeln für Steuerberater“ ->
Beschluss der Bundeskammerversammlung vom 10.04.2018
22144. Collega-Tag am 30.11.2018
Datenschutzvortrag
Hinweise für den Umgang mit personenbezogenen Daten
durch Steuerberater und Steuerberatungsgesellschaften
23144. Collega-Tag am 30.11.2018
Datenschutzvortrag
Hinweise für den Umgang mit personenbezogenen Daten
durch Steuerberater und Steuerberatungsgesellschaften
Inhalt:
1. Einleitung
2. Begriffsbestimmungen
3. Grundsätze zur Datenverarbeitung
4. Grundsätze der Sicherheit bei der Verarbeitung personenbezogener Daten
5. Mandatierung
6. Organisation in der Kanzlei
7. Einbindung von Dienstleistern
8. Einsatz von Software
24144. Collega-Tag am 30.11.2018
Datenschutzvortrag
Hinweise für den Umgang mit personenbezogenen Daten
durch Steuerberater und Steuerberatungsgesellschaften
Inhalt:
9. Informationspflichten bei Datenerhebung und Betroffenenrechte
10. Datenschutzorganisation
11. Meldeprozess bei Schutzverletzungen (Datenpannen)
12. Weitergabe von Daten
13. Aufbewahrungspflichten
14. Beendigung des Mandats
15. Datenschutz im Beschäftigungsverhältnis
16. Kanzleiübertragung
25144. Collega-Tag am 30.11.2018
Datenschutzvortrag
Kapitel 5 - Mandatierung
Mandatsvertrag = Rechtsgrundlage zur Verarbeitung (Schriftlichkeit
empfohlen)
Fachleistung des Steuerberaters ≠ Auftragsverarbeitung
26144. Collega-Tag am 30.11.2018
Datenschutzvortrag
Kapitel 6, 7 und 8 – Organisation in der Kanzlei, Einbindung von
Dienstleistern und Einsatz von Software
Sicherheit der Verarbeitung
Risikobasierte Schutzkonzepte
• Hohes Risiko
• Mittleres Risiko
• Geringes Risiko
Dokumentation und Kontrolle
Außenauftritt der Kanzlei
Rechtskonforme Newsletter
Einbindung von Dienstleistern -> Auftragsverarbeiter
27144. Collega-Tag am 30.11.2018
Datenschutzvortrag
Sicherheit der Verarbeitung
Zutrittskontrolle
Zugangskontrolle
1. Vertraulichkeit
Zugriffskontrolle
(Art. 32 Abs. 1 lit. b) DS-GVO)
Trennungskontrolle
Pseudonymisierung
2. Integrität Weitergabekontrolle
(Art. 32 Abs. 1 lit. b) DS-GVO) Eingabekontrolle
3. Verfügbarkeit und Belastbarkeit Verfügbarkeitskontrolle
(Art. 32 Abs. 1 lit. b DS-GVO)
Rasche Wiederherstellbarkeit
Datenschutz-Management
4. Verfahren zur regelmäßigen
Incident-Response-Management
Überprüfung, Bewertung und
Evaluierung Datenschutzfreundliche
(Art. 32 Abs. 1 lit. d) DS-GVO; Art. 25 Abs. Voreinstellungen 28
1 DS-GVO)
Auftragskontrolle144. Collega-Tag am 30.11.2018
Datenschutzvortrag
Sicherheit der Verarbeitung
Zutrittskontrolle
Zugangskontrolle
1. Vertraulichkeit
Zugriffskontrolle
(Art. 32 Abs. 1 lit. b) DS-GVO)
Trennungskontrolle
Pseudonymisierung
2. Integrität Weitergabekontrolle
(Art. 32 Abs. 1 lit. b) DS-GVO) Eingabekontrolle
3. Verfügbarkeit und Belastbarkeit Verfügbarkeitskontrolle
(Art. 32 Abs. 1 lit. b DS-GVO)
Rasche Wiederherstellbarkeit
Datenschutz-Management
4. Verfahren zur regelmäßigen Incident-Response-Management
Überprüfung, Bewertung und Evaluierung Datenschutzfreundliche
(Art. 32 Abs. 1 lit. d) DS-GVO; Art. 25 Abs. Voreinstellungen 29
1 DS-GVO)
Auftragskontrolle144. Collega-Tag am 30.11.2018
Datenschutzvortrag
Weitergabekontrolle – E-Mail-Verschlüsselung
E-Mail-Verschlüsselung ist grundsätzlich erforderlich (Ende-zu-Ende)
Problem: Akzeptanz bei den Mandanten
Einwilligung der Mandanten einholen mit Hinweis auf damit verbundene
Gefahren (wird ggf. nicht von allen Aufsichtsbehörden akzeptiert!)
Hinweis auf Lohn- und Gehaltsabrechnung -> Einwilligung der Mitarbeiter
sollte der Mandant im Innenverhältnis einholen (wird ggf. nicht von allen
Aufsichtsbehörden akzeptiert!)
30144. Collega-Tag am 30.11.2018
Datenschutzvortrag
Sicherheit der Verarbeitung
Zutrittskontrolle
Zugangskontrolle
1. Vertraulichkeit
Zugriffskontrolle
(Art. 32 Abs. 1 lit. b) DS-GVO)
Trennungskontrolle
Pseudonymisierung
2. Integrität Weitergabekontrolle
(Art. 32 Abs. 1 lit. b) DS-GVO) Eingabekontrolle
3. Verfügbarkeit und Belastbarkeit Verfügbarkeitskontrolle
(Art. 32 Abs. 1 lit. b DS-GVO)
Rasche Wiederherstellbarkeit
Datenschutz-Management
4. Verfahren zur regelmäßigen
Incident-Response-Management
Überprüfung, Bewertung und
Evaluierung Datenschutzfreundliche
(Art. 32 Abs. 1 lit. d) DS-GVO; Art. 25 Abs. Voreinstellungen 31
1 DS-GVO)
Auftragskontrolle144. Collega-Tag am 30.11.2018
Datenschutzvortrag
Meldung von Datenschutzverletzungen
Datenschutzverletzung (Panne!)
Risiko für die betroffene Person?
-> Nein: Dokumentieren!
-> Ja: Meldung an die Aufsichtsbehörde innerhalb von 72 Stunden!
Hohes Risiko für die betroffene Person?
-> Nein: Keine weiteren Maßnahmen – Dokumentieren!
-> Ja. Information der betroffenen Personen, ggf. auch durch
öffentliche Bekanntmachung oder eine ähnliche Maßnahme!
32144. Collega-Tag am 30.11.2018
Datenschutzvortrag
Sicherheit der Verarbeitung
Zutrittskontrolle
Zugangskontrolle
1. Vertraulichkeit
Zugriffskontrolle
(Art. 32 Abs. 1 lit. b) DS-GVO)
Trennungskontrolle
Pseudonymisierung
2. Integrität Weitergabekontrolle
(Art. 32 Abs. 1 lit. b) DS-GVO) Eingabekontrolle
3. Verfügbarkeit und Belastbarkeit Verfügbarkeitskontrolle
(Art. 32 Abs. 1 lit. b DS-GVO)
Rasche Wiederherstellbarkeit
Datenschutz-Management
4. Verfahren zur regelmäßigen
Incident-Response-Management
Überprüfung, Bewertung und
Evaluierung Datenschutzfreundliche
(Art. 32 Abs. 1 lit. d) DS-GVO; Art. 25 Abs. Voreinstellungen 33
1 DS-GVO)
Auftragskontrolle144. Collega-Tag am 30.11.2018
Datenschutzvortrag
Einsatz von Software
Die Kanzlei muss bei der Auswahl und beim Einsatz von
Softwarelösungen prüfen, ob mit diesen die
Anforderungen der DSGVO erfüllt werden können!
34144. Collega-Tag am 30.11.2018
Datenschutzvortrag
Sicherheit der Verarbeitung
Zutrittskontrolle
Zugangskontrolle
1. Vertraulichkeit
Zugriffskontrolle
(Art. 32 Abs. 1 lit. b) DS-GVO)
Trennungskontrolle
Pseudonymisierung
2. Integrität Weitergabekontrolle
(Art. 32 Abs. 1 lit. b) DS-GVO) Eingabekontrolle
3. Verfügbarkeit und Belastbarkeit Verfügbarkeitskontrolle
(Art. 32 Abs. 1 lit. b DS-GVO)
Rasche Wiederherstellbarkeit
Datenschutz-Management
4. Verfahren zur regelmäßigen
Incident-Response-Management
Überprüfung, Bewertung und
Evaluierung Datenschutzfreundliche
(Art. 32 Abs. 1 lit. d) DS-GVO; Art. 25 Abs. Voreinstellungen 35
1 DS-GVO)
Auftragskontrolle144. Collega-Tag am 30.11.2018
Datenschutzvortrag
Beispiele für Datenverarbeitung im Auftrag
Rechenzentren, Copyshops.
Externe Dienstleister EDV und TK mit „Remote-Zugriff“ (Server,
Aktivkomponenten, Datenbanken, Wartungsverträge, Softwarepflege,
Wartung TK-Anlagen etc.).
Externe Dienstleister Peripherie IT/TK (Faxgeräte, Drucker,
Multifunktionsgeräte, Scanner, Kopiergeräte, etc.).
Entsorger (IT / TK) und Entsorger Papier.
Application Service Provider (Fremdsoftware als Dienstleistung), z. B.
Addison, Agenda, DATEV, DATEV, Simba, Systempartner…
36144. Collega-Tag am 30.11.2018
Datenschutzvortrag
Auftragsverarbeitung nach Art. 28 DS-GVO
Sorgfältige Auswahl der Auftragnehmer. Hinreichende Garantien!
Kriterien für die Auswahl der Auftragnehmer: geeignete technische und
organisatorische Maßnahmen.
Detaillierte Regelungen der Unterauftragsverhältnisse. Einsatz und Wechsel
von Subunternehmen nur mit schriftlicher Genehmigung.
Detaillierte Regelungen der Auftragsverhältnisse (schriftlich oder
elektronisch).
37144. Collega-Tag am 30.11.2018
Datenschutzvortrag
Auftragsverarbeitung nach Art. 28 DS-GVO
Muster BayLDA: https://www.lda.bayern.de/media/muster_adv.pdf 38144. Collega-Tag am 30.11.2018
Datenschutzvortrag
§ 203 Strafgesetzbuch - Neue Rechtliche Situation
960. Sitzung des Bundesrats am 22. September 2017: „Gesetz zur Neuregelung des
Schutzes von Geheimnissen bei der Mitwirkung Dritter an der Berufsausübung
schweigepflichtiger Personen“ -> Veröffentlichung im Bundesgesetzblatt am 09.11.2017:
§ 203 c) Abs. 3 wird wie folgt geändert:
Kein Offenbaren im Sinne dieser Vorschrift liegt vor, wenn die in den Absätzen 1 und 2
genannten Personen Geheimnisse den bei ihnen berufsmäßig tätigen Gehilfen oder den
bei ihnen zur Vorbereitung auf den Beruf tätigen Personen zugänglich machen.
Die in den Absätzen 1 und 2 Genannten dürfen fremde Geheimnisse gegenüber sonstigen
Personen offenbaren, die an ihrer beruflichen oder dienstlichen Tätigkeit mitwirken, soweit
dies für die Inanspruchnahme der Tätigkeit der sonstigen mitwirkenden Personen
erforderlich ist; das Gleiche gilt für sonstige mitwirkende Personen, wenn diese sich
weiterer Personen bedienen, die an der beruflichen oder dienstlichen Tätigkeit der in den
Absätzen 1 und 2 Genannten mitwirken.
Lösung:
Verpflichtung der Dienstleister auf die Verschwiegenheit nach § 203 StGB!
-> Muster: Zusatzvereinbarung zum Auftragsverarbeitungsvertrag
39144. Collega-Tag am 30.11.2018
Datenschutzvortrag
Die Steuerkanzlei als Auftragsverarbeiter?
Kann eine Steuerberaterkanzlei Auftragsverarbeiter eines Mandanten sein?
Hierzu gab es in der Vergangenheit unterschiedliche Auffassungen:
Einhellige Meinung Bundessteuerberaterkammer und Bayerisches
Landesamt für Datenschutzaufsicht in der „Welt BDSG-alt“:
-> Nein, da die freiberufliche, eigenverantwortliche Tätigkeit die enge
Weisungsgebundenheit im Sinne des § 11 BDSG nicht zulässt.
DS-GVO und BDSG-neu -> DSK Kurzpapier Nr. 13, Anhang B -> Nein!
40144. Collega-Tag am 30.11.2018
Datenschutzvortrag
Die Steuerkanzlei als Auftragsverarbeiter?
41144. Collega-Tag am 30.11.2018
Datenschutzvortrag
42144. Collega-Tag am 30.11.2018
Datenschutzvortrag
Kapitel 9 – Informationspflichten bei Datenerhebung
und Betroffenenrechte
Betroffenenrechte:
Informationspflicht bei Datenerhebung (Art. 13, Art. 14)
Auskunftsrecht inkl. Kopie der Daten (Art. 15)
Berichtigung, Korrekturbegehren (Art. 16)
Löschung, Löschungsbegehren (Art. 17)
Einschränkung (Art. 18)
Mitteilungspflicht bei Berichtigung, Löschung, Einschränkung der
Verarbeitung (Art. 19)
Datenübertragbarkeit (Art. 20)
Widerspruch, Widerruf (Art. 21)
Profiling (Art. 22)
43144. Collega-Tag am 30.11.2018
Datenschutzvortrag
Informationspflicht
Informationspflicht bei Erhebung von personenbezogenen Daten bei der betroffenen
Person
1. Verantwortlicher (Name und Kontaktdaten, ggf. auch des Vertreters)
2. Kontaktdaten des Datenschutzbeauftragten (funktionsbezogene E-Mail-Adresse ist
ausreichend, unter der der Datenschutzbeauftragte erreichbar ist, z. B. datenschutz@.....de)
3. Zwecke und Rechtsgrundlagen (z. B. Einkommensteuererklärung, Mandatsvertrag)
4. Datenkategorien
5. Berechtigte Interessen
6. Empfänger oder Kategorien von Empfängern (z. B. Sachbearbeiter, Auftragsverarbeiter)
7. Drittstaatentransfer
44144. Collega-Tag am 30.11.2018
Datenschutzvortrag
Informationspflicht
Folgende Informationen sind der betroffenen Person mitzuteilen, die notwendig sind, um
eine faire und transparente Verarbeitung zu gewährleisten:
geplante Speicherdauer oder, falls dies nicht möglich ist, die Kriterien für die Festlegung der
Speicherdauer,
Betroffenenrechte: Auskunft-, Löschungs-, Einschränkungs- und Widerspruchsrechte sowie das Recht
auf Datenübertragbarkeit,
Recht auf jederzeitigen Widerruf der Einwilligung,
Beschwerderecht bei einer Aufsichtsbehörde,
Pflicht des Verantwortlichen zur Bereitstellung der Daten (nur bei Direkterhebung),
Angabe der Datenquelle (nicht bei Direkterhebung),
im Fall einer automatisierten Entscheidungsfindung -> aussagekräftige Informationen über die
angewendete Logik, Tragweite und angestrebten Auswirkung einer solchen Verarbeitung.
45144. Collega-Tag am 30.11.2018
Datenschutzvortrag
Informationspflicht nach Artikel 13 DSGVO
Ausnahmen:
Betroffene Person verfügt bereits über die Informationen
Lohn- und Gehaltsabrechnung: Keine Information an den Beschäftigten des
Mandaten -> Schweigepflicht!
Private Steuererklärung: Auch bei der Erhebung der Daten Dritter erfolgt
keine Information der Dritten durch den Steuerberater.
46144. Collega-Tag am 30.11.2018
Datenschutzvortrag
Informationspflicht
Zeitpunkt
Direkterhebung: Zum Zeitpunkt de Erhebung
Keine Direkterhebung:
a) längstens innerhalb eines Monats,
b) falls die personenbezogenen Daten zur Kommunikation mit der betroffenen
Person verwendet werden sollen, spätestens zum Zeitpunkt der ersten
Mitteilung an sie
c) falls die Offenlegung an einen anderen Empfänger beabsichtigt ist,
spätestens zum Zeitpunkt der ersten Offenlegung.
Arbeitshilfe – Verfahrensdokumentation zur Erfüllung der Informationspflichten
47144. Collega-Tag am 30.11.2018
Datenschutzvortrag
Informationspflicht
An wen?
Internetauftritt
Mandant
Mitarbeiter / Bewerber
48144. Collega-Tag am 30.11.2018
Datenschutzvortrag
Auskunftsrecht
Verarbeitungszwecke und Kategorien personenbezogener Daten, die verarbeitet werden
die Empfänger oder Kategorien von Empfängern (z. B. Finanzbehörden, Sozialversicherungsträger
etc.), …
falls möglich die geplante Dauer, für die die personenbezogenen Daten gespeichert werden…
das Bestehen eines Rechts auf Berichtigung oder Löschung … auf Einschränkung der Verarbeitung
… oder eines Widerspruchsrechts
das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde
wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben werden, alle
verfügbaren Informationen über die Herkunft der Daten (z. B. Rückmeldungen von Finanzbehörden
und Sozialversicherungsträgern)
das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling …
49144. Collega-Tag am 30.11.2018
Datenschutzvortrag
Auskunftsrecht
Besonderheiten
Negativauskunft ebenfalls erforderlich
Identitätsprüfung
Versagung aus berufsrechtlichen Gründen im Einzelfall
Fristwahrung und Protokollierung
Arbeitshilfe – Verfahrensdokumentation zur Erfüllung der Auskunftspflichten
50144. Collega-Tag am 30.11.2018
Datenschutzvortrag
Kapitel 10 – Datenschutzorganisation
Die Kanzleileitung ist verantwortlich für das Datenschutzmanagement in der
Kanzlei
Notwendigkeit der Bestellung eines Datenschutzbeauftragten nach § 38 BDSG-
neu:
mindestens 10 Personen bei automatisierter Datenverarbeitung
(Inhaber/Partner zählen mit, vgl. Beschluss der Konferenz der unabhängigen
Datenschutzbehörden des Bundes und der Länder – Düsseldorf, 26. April 2018 )
Voraussetzungen nach Art. 37 DS-GVO
• Berufliche Qualifikation
• Fachwissen
• Fähigkeiten
Interner oder externer Datenschutzbeauftragter
51144. Collega-Tag am 30.11.2018
Datenschutzvortrag
Die Stellung des Datenschutzbeauftragten
frühzeitige Einbindung des Datenschutzbeauftragten in Datenschutzvorhaben,
Bereitstellung der erforderlichen Ressourcen zur Aufgabenerfüllung,
Bereitstellung der Ressourcen zur Fortbildung des Datenschutzbeauftragten,
Unabhängigkeit des Datenschutzbeauftragten bei Ausübung seiner Aufgabe,
Verbot, den Datenschutzbeauftragten zu benachteiligen,
Unmittelbare Unterstellung unter die Kanzleileitung,
Recht, dass betroffene Personen sich direkt an den Datenschutzbeauftragten wenden
können,
Wahrung der Geheimhaltung und der Vertraulichkeit durch den Datenschutzbeauftragten.
52144. Collega-Tag am 30.11.2018
Datenschutzvortrag
Der Datenschutzbeauftragte
Ist nicht Teil des Datenschutzmanagements der Kanzlei –
er überwacht das Datenschutzmanagement!
Interessenkollision bei
• Vorstand oder Geschäftsführer, Klinikleitung
• Leiter EDV, Systemadministrator,
• Leiter Personal,
• ...
Ggf. Delegation der Mitarbeiterschulung (Verantwortung der
Kanzleileitung)
Meldung der Kontaktdaten des Datenschutzbeauftragten an
die zuständige Aufsichtsbehörde seit 25.05.2018
53144. Collega-Tag am 30.11.2018
Datenschutzvortrag
Das Verzeichnis der Verarbeitungstätigkeiten nach Art. 30
beim Verantwortlichen
Schriftlich, sprich auch elektronisch möglich.
Auf Anfrage an Aufsichtsbehörde.
Löschfristen in separatem Dokument
Anlagen:
Muster für ein Löschkonzept
Muster: Verzeichnis von Verarbeitungstätigkeiten der Steuerberatungskanzlei
54144. Collega-Tag am 30.11.2018
Datenschutzvortrag
Das Verzeichnis der Verarbeitungstätigkeiten nach Art. 30
beim Verantwortlichen
Namen und die Kontaktdaten des Verantwortlichen
Datenschutzbeauftragter
Zwecke der Verarbeitung
Beschreibung der Kategorien betroffener Personen und der Kategorien
personenbezogener Daten
Kategorien von Empfängern,
Übermittlungen von personenbezogenen Daten an ein Drittland oder an
eine internationale Organisation
Fristen für die Löschung der verschiedenen Datenkategorie
Beschreibung der technischen und organisatorischen Maßnahmen
55144. Collega-Tag am 30.11.2018
Datenschutzvortrag
Risikobewertung im Verzeichnis der Verarbeitungstätigkeiten
Risikobewertung!
• Eintrittswahrscheinlichkeit
• Risiko für den Betroffenen
Ggf. Zusammenfassung in Kategorien
Hohes Risiko
-> Datenschutz-Folgenabschätzung
56144. Collega-Tag am 30.11.2018
Datenschutzvortrag
Risikobewertung im Verzeichnis der Verarbeitungstätigkeiten
Quelle: https://www.datenschutzkonferenz-online.de/media/kp/dsk_kpnr_18.pdf
57144. Collega-Tag am 30.11.2018
Datenschutzvortrag
Datenschutz-Folgenabschätzung
Hohes Risiko durch
Verwendung neuer Technologien
Art, Umfang, Umstände und Zwecke der Verarbeitung
-> Datenschutz-Folgenabschätzung, insbesondere bei
systematische und umfassende Bewertung persönlicher Aspekte natürlicher
Personen, die sich auf automatisierte Verarbeitung einschließlich Profiling
gründet
umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen
Daten
umfangreiche Verarbeitung von personenbezogenen Daten über strafrechtliche
Verurteilungen und Straftaten
systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche
(Videoüberwachung).
58144. Collega-Tag am 30.11.2018
Datenschutzvortrag
Stichpunkte aus den Kapiteln 11 - 16
Umgang mit E-Mails
• Unsinnige E-Mails
• Fragwürdige E-Mails
• E-Mails von unbekannten Absendern
• E-Mail-Anhänge und ausführbare Dateien
• Aufforderungen zur Weiterleitung
• Spam-Ordner regelmäßig prüfen
Webformulare
• Datenminimierung
• Datenschutzhinweis
• Verschlüsselung (https)
Aufbewahrungspflichten und Aufbewahrungsfristen - Löschkonzept
59144. Collega-Tag am 30.11.2018
Datenschutzvortrag
Stichpunkte aus den Kapiteln 11 - 16
Beendigung des Mandates
Arbeitnehmerdatenschutz
• Information nach Art. 13 DGSVO bereithalten
• Privatnutzung regeln
• Bilder von Beschäftigten -> Einwilligung
Bewerberdaten
Bei Kanzleiübertragung decken sich die datenschutzrechtlichen Regelungen
mit den berufsrechtlichen Grundsätzen. Es ist zu beachten, dass sich durch
eine Kanzleiübertragung die Aufbewahrungs- und Löschfristen nicht
automatisch verlängern.
60144. Collega-Tag am 30.11.2018
Datenschutzvortrag
Checkliste: Die wichtigsten To-Do´s zur Umsetzung
der DSGVO in Steuerberatungskanzleien
61144. Collega-Tag am 30.11.2018
Datenschutzvortrag
Checkliste: Die wichtigsten To-Do´s zur Umsetzung
der DSGVO in Steuerberatungskanzleien
62144. Collega-Tag am 30.11.2018
Datenschutzvortrag
Hinweise für den Umgang mit personenbezogenen Daten
durch Steuerberater und Steuerberatungsgesellschaften
Anlagen:
Arbeitshilfe – Verfahrensdokumentation zur Erfüllung der Auskunftspflichten
Arbeitshilfe – Verfahrensdokumentation zur Erfüllung der Informationspflichten
Checkliste: Die wichtigsten to-do‘s zur Umsetzung der DSGVO
Muster für ein Löschkonzept
Muster: Zusatzvereinbarung zum Auftragsverarbeitungsvertrag
Muster: Verzeichnis von Verarbeitungstätigkeiten der Steuerberatungskanzlei
63144. Collega-Tag am 30.11.2018
Datenschutzvortrag
Fazit
Datenschutz ist Chefsache!
Der Datenschutzbeauftragte berät, überwacht und kontrolliert!
Seit 25.05.2018 umzusetzen:
• DSB an die Aufsichtsbehörde melden!
• Neue Datenschutzerklärungen im Internet und für die Mandanten (u.a. mit Kontaktdaten
des DSB)!
• Verträge zur Auftragsverarbeitung!
• Danach Checkliste Stück für Stück abarbeiten!
Mitarbeitersensibilisierung durchführen!
64144. Collega-Tag am 30.11.2018
Datenschutzvortrag
Wie werden die Mitarbeiter
im Datenschutz sattelfest?Sie können auch lesen
