16 Antworten Neueste Antwort am 08.12.2017 14:20 von Martin KoIberg

    Datenschutz-Grundverordnung EU DSGVO - Fragen dazu

    4you-computer Einsteiger

      Als "nur" Techniker stellt sich mir folgende Fragestellung: „Wann ist ein Datenschutzbeauftragter für die Steuerkanzlei erforderlich?“ Dazu finden sich an sich drei Punkte:

       

      1. ) Unternehmensgröße / Anzahl der Mitarbeiter:  …
      2. ) Detailgrad der Daten: Werden personenbezogene Daten wie z.B. Rasse, ethnische Herkunft etc. verarbeitet…
      3. ) Geschäftsfeld: Sollten personenbezogene Daten geschäftsmäßig übermittelt, erhoben, verarbeitet oder genutzt werden, besteht ebenfalls unabhängig von der Anzahl der Beschäftigten eine Verpflichtung.

       

      An sich gelten doch damit nach meinem Verständnis für JEDE Kanzlei mindestens die Punkte 2+3? Also muss jede Kanzlei, egal wie klein, in Zukunft (25. Mai 2018) einen Datenschutzbeauftragten stellen. Sehe ich das richtig? Definitiv will ich diese Funktion für keinen meiner Kunden übernehmen aber es interessiert mich schon.

       

      Einmal in die Runde gefragt, welche technischen Vorraussetzungen könnte/sollte ich für die Kanzlei erbringen? Ich meine damit wirklich nur technische Dinge, nicht das als Serverraum die "Besenkammer" nicht geeignet ist - das kann nur der Inhaber durch seine Anweisung beeinflussen, nicht ich.

       

      Sicherlich bleiben mir Dinge wie:

       

      - Authentifikationsmechnismen (Benutzername / Passwort)

      - Benutzerprofile

      - Einsatz von VPN-Technologie

      - Einsatz von Intrustion-Detection-Systemen

      - Einsatz von Anti-Viren-Software

      - Hardware-Firewall / Software Firewall

      - Verwaltung der Rechte durch Systemadministrator

      - Passwortrichtlinie inkl. Passwortlänge, Passwortwechsel

      - Unterbrechungsfreie Stromversorgung (USV)

      - Testen von Datenwiederherstellung

      - Erstellen eines Backup- & Recoverykonzepts

      - physikalisch getrennte Speicherung auf gesonderten Systemen oder Datenträgern

       

      Alles Dinge, die vielleicht der Menschenverstand mit sich bringt. Aber was darüber hinaus kann/soll der Techniker noch leisten?

       

      Wie handhabt "ihr":

       

      - Nachvollziehbarkeit von Eingabe, Änderung und Löschung von Daten durch individuelle Benutzernamen (nicht Benutzergruppen) z.B. auf Office Dokumente, welche nur in einer Ordnerstruktur liegen (also nicht DMS etc.)

      - Protokollierung der Eingabe, Änderung und Löschung von Daten (auch hier simple Office-Dateien in Ordnern, nicht DMS etc.)

      - Verschlüsselung von Datenträgern

      - Was meint: E-Mail-Verschlüsselung? Das reine Übertragungsverfahren (meintewegen SSL) oder eine "echte" Verschlüsslung der Mails mittels was auch immer... Kennwort/Zerfikat oder sonst was.

        Alle Antworten
        • 1. Re: Datenschutz-Grundverordnung EU DSGVO - Fragen dazu
          0815 Fortgeschrittener

          Hallo,

           

          ich kann Ihnen zumindest mal ein paar Datev-Links geben. Vielleicht kommen Sie damit schon ein Stück weiter oder finden auch Tipps für die Kunden, die Sie betreuen.

           

          1 von 1 Personen fanden dies hilfreich
          • 2. Re: Datenschutz-Grundverordnung EU DSGVO - Fragen dazu
            jan Fortgeschrittener
            Definitiv will ich diese Funktion für keinen meiner Kunden übernehmen aber es interessiert mich schon.

             

            Nachdem ich als "Mitarbeiter des betreuenden Systemhauses" schon verschiedene solcher DSB-Szenarien "begleitet" habe, würde ich bei sowas abwarten, bis die Kanzlei in solchen Punkten (ggfs. mit einem DSB) auf mich zukommt. Wenn kein (externer) DSB vorhanden ist, würde ich immer an einen verweisen und anbieten, das Projekt eben zu begleiten.

             

            Bislang waren das immer Kanzleien mit einem externen DSB. Die anderen scheint sowas nicht zu interessieren. Bzw. gilt bei denen scheinbar "Et hätt noch emmer joot jejange." / "Wo kein Kläger, da kein Richter".

             

            In den Meetings mit externen DSBs wird immer viel erzählt und besprochen und bezahlen will es am Ende niemand Das ist dann der Punkt wo es auf "Alibi-Maßnahmen" (USB Ports sperren durch zukleben (Da kostenlos), BIOS PW setzen, Ggfs. "lokal" Internet sperren, Disketten- oder CD-LW abklemmen oder sonstiger B*llsh*t) herausläuft. Hauptsasche "irgendwas" gemacht..

             

            Die technischen Dinge, die dem Menschenverstand schonmal nachhelfen, sind in den meisten Fällen eh umgesetzt.

            • 3. Re: Datenschutz-Grundverordnung EU DSGVO - Fragen dazu
              Martin KoIberg Fachmann

              Sehr geehrter 0815,

               

              leider zeigen alle Links auf Artikel, die lange Zeit vor der Verabschiedung der Datenschutz-Grundverordnung veröffentlicht wurden.

               

              Die von Herrn Schulz als EU- Präsident unterschriebene Verordnung tritt bekanntlich am 28.Mai 2018 in Kraft und bislang fehlt uns seitens DATEV eine Roadmap, die wir als kleine Kanzleien gehen sollen.

               

              Sicherlich, es gibt verschiedene DATEV- Seminare...

               

              Nur beim Überfliegen von EUR-Lex - 32016R0679 - EN - EUR-Lex ist erkennbar, daß kleine Kanzleien zwingend eine Step- to- Step- Unterstützung in Form einer Abhak- Liste benötigen, um den gesetzlichen Vorgaben Genüge zu tun.

               

              Eine große Schwierigkeit beim Zusammensuchen von Fakten besteht leider auch darin, daß sich gefühlt 95% alle im Internet gefundenen Artikel auf die alte Rechtslage beschränken, die sich die Richtlinie 95/46/EG berufen, die zum 28.Mai aufgehoben wird, wie z.B. unser altes BSDG.

               

              Beim Lesen von Artikeln wie folgenden: https://www.haufe.de/steuern/kanzlei-co/neue-datenschutz-grundverordnung-in-steuerkanzleien_170_422220.html  erkennt man, daß sehr viel anzupacken ist und daß dies nicht ohne standardisierte Hilfe von DATEV funktionieren kann.

               

              Gibt es irgendwo eine ToDo- Liste zum Abarbeiten.

              Auch wäre es hilfreich, wenn uns die Genossenschaft mit einfachen Schulungsunterlagen (mit fertigen Formularen zur Unterschrift) für Mitarbeitern bzw. Checklisten für die EDV versorgen würde, so daß Schritt für schritt alle Kriterien erfüllt werden können.

               

              Das betrifft vermutlich insbesondere kleine Kanzleien, die ihre EDV selber oder durch Servicepartner administrieren lassen.

               

              erste Frage: Wer kann überhaupt die Aufgabe des Datenschutzbeauftragten übernehmen, wenn insbesondere bei Mitarbeitern der IT-Abteilung, Personalabteilung und der Geschäftsführung ein Interessenskonflikt angenommen wird?

              • 4. Re: Datenschutz-Grundverordnung EU DSGVO - Fragen dazu
                andreashofmeister Meister

                Seitens der Bundessteuerberaterkammer ist dazu etwas in Vorbereitung was im Januar erscheinen wird.

                 

                Ob man das als Roadmap bezeichnen kann, wird sich zeigen.

                 

                Es gab hier ein sehr interessantes Seminar dazu vom StB-Verband. Zumindest bekam man sehr gut vermittelt, was letztendlich zu tun ist.

                 

                Ja, und auch DATEV bietet dazu was an.

                • 5. Re: Datenschutz-Grundverordnung EU DSGVO - Fragen dazu
                  m.fehlau Aufsteiger

                  Am 07.11. ist eine neue Serie auf Haufe-Online gestartet, die sich mit den neuen datenschutzrechtlichen Anforderungen beschäftigt:

                   

                  Teil 1: https://www.haufe.de/steuern/kanzlei-co/steuerberater-datenschutz-massnahmen-ergreifen_170_429810.html

                   

                  Teil 2: https://www.haufe.de/steuern/kanzlei-co/dsgvo-verzeichnis-der-verarbeitungstaetigkeiten_170_431248.html

                   

                  Teil 3: Folgt sicherlich die Tage.

                   

                  Herr Kolberg, in Teil 1 ist auch die Antwort auf Ihre Frage zu entnehmen: Bis neun Angestellte benötigen auch Steuerkanzleien keinen Datenschutzbeauftragten. Der Datenschutz kann in diesen kleinen Kanzleien also auch von der Kanzleileitung etc. übernommen werden.

                   

                  Teil 2 der Serie gibt einen sehr guten Einstieg in das Verzeichnis der Verarbeitungstätigkeiten, inkl. Beispieldatei. Da dieses Verzeichnis in den Grundzügen einer StB-Kanzlei wohl ähnlich sein wird (Fibu, JA, Lohn, etc...) wäre eine Unterstützung dahingehend seitens der DATEV eG sicherlich sehr lobenswert.

                   

                  Viele Grüße, M. Fehlau

                  2 von 2 Personen fanden dies hilfreich
                  • 6. Re: Datenschutz-Grundverordnung EU DSGVO - Fragen dazu
                    grandfunck Einsteiger

                    Moin, moin,

                     

                    auch ich wäre für eine Hilfestellung unserer Genossenschaft mit fettem G dankbar. Es gibt einfach zu viele Baustellen, die sich z. B. Politiker einfallen lassen, wir können als kleine Kanzlei das nicht alles vollständig und rechtssicher bewerkstelligen. Die Genossenschaft soll den Genossen ja hilfreich und dienlich sein, wir müssen ja nicht alle das Rad neu erfinden und unsere Tätigkeit ähnelt sich ohnehin sehr. Die Feinheiten sollten dann individuell anzupassen sein...

                     

                    Dank im Voraus

                     

                    WF

                    1 von 1 Personen fanden dies hilfreich
                    • 7. Re: Datenschutz-Grundverordnung EU DSGVO - Fragen dazu
                      m.fehlau Aufsteiger

                      Durch einen großen Banner auf der Startseite der DATEV-Webpräsenz bin ich auf folgendes PDF gestoßen:

                       

                      https://www.datev.de/web/de/media/datev_de/pdf/allgemeine_fragen_zur_ds-gvo.pdf

                       

                      Leider plant DATEV scheinbar keine entsprechende Unterstützung der Genossen bei der Erstellung des Verarbeitungstätigkeitsverzeichnisses (siehe hierzu Punkt 11+13).

                       

                      Ich lasse mich gerne eines Besseren belehren *hoff*

                       

                      Liebe Grüße, M. Fehlau

                      1 von 1 Personen fanden dies hilfreich
                      • 8. Re: Datenschutz-Grundverordnung EU DSGVO - Fragen dazu
                        4you-computer Einsteiger

                        Besten Dank für die beiden Links von Heise. Wenn ich mir das in Ruhe durchlese, vor allem Teil 2 der Serie - was alles in das Verzeichnis der Verarbeitungstätigkeiten aufgenommen werden muß, sehe ich eine Menge Kopfarbeit...

                         

                        Aber das ist zum Glück nicht mein Bier...

                        • 9. Re: Datenschutz-Grundverordnung EU DSGVO - Fragen dazu
                          Martin KoIberg Fachmann

                          Jetzt, 1/2 Jahr vor Inkrafttreten möchte man sich fachkundig machen.
                          Was liegt näher, als einen Blick in die Seminartermine https://www.datev.de/web/de/datev-shop/wissensvermittlung/praesenzseminare/datenschutz-aktuell/ zu werfen?

                          Aber leider gibt es Ddeutschlandweit für dieses Jahr noch exakt 8 freie Plätze... für ca. 40.000 Kanzleien. Dazu noch 36 freie Plätze im I- Quartal 2018, aber im Müncher- Raum wird überhaupt nichts angeboten..

                           

                          -> DATEV- Seminare kommen für die Vorbereitung bei Klein- Kanzleien nicht in Frage, und ich würde mir wünschen, wenn es von DATEV eine Checkliste für uns gäbe, die ausschließlich für Kanzleien vorbereitet ist, die mit DATEV- Software, insbes. dem üblichen Mehrwert- Paket arbeiten. Bitte diese Checkliste nach den Größenordnungen aufteilen.

                          PS: Gilt die Pflicht zur Berufung des Datenschutzbeauftragten ab 10 Angestellten oder ab 10 Mitarbeitern (incl. Geschäftsleitung & IT- Mann)

                           

                          Gibt es irgendwo eine FAQ für Praxisfälle?

                           

                          Beispiel: Ein Angestellter eines Mandanten verlangt nach Beendigung seines Arbeitsverhältnisses die Löschung seiner Daten und der Mandant teilt uns das per unverschlüsselter email unverfroren einfach so mit.

                           

                          Die Daten dieses Angestellten liegen an folgenden Stellen:

                          - Notizen in diversen archivierten Emails.

                          - In irgendwelchen Excel- Tabellen für Urlaubsberechnungen

                          - Lohnauswertungen im Auswertungsarchiv

                          - in den Altjahren von LODAS

                          -> in allen entsprechenden Langzeit- Datensicherungen

                           

                          Frage: Was muß unternommen werden bzw. was kann dem Mandanten geantwortet werden?

                           

                          Was wird ein BP sagen, wenn wir ihm sagen: Wir mußten die Daten leider löschen, da die Einwilligung des Angestellten widerrufen wurde?

                          • 10. Re: Datenschutz-Grundverordnung EU DSGVO - Fragen dazu
                            m.fehlau Aufsteiger

                            So viele Fragen auf einmal, Herr Kolberg Auch ich habe mal in die DATEV-Seminare geschaut und mir gedacht: 7,5 Stunden Seminar für solch ein komplexes Thema, wo - wie Sie bereits erwähnen - die Kniffligkeiten direkt aus dem Alltag entspringen.

                             

                            Nach dem bisher gültigen BDSG ist die Grenze von 10 nicht auf "Mitarbeiter", sondern auf Personen die ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. Das hieß für mich immer: Sachbearbeiter ja, Kanzleileitung ja, externer IT-Dienstleister nein, Putzfrau nein. .... Ob das auch unter der DS-GVO noch so bestand hat? Keine Ahnung!

                             

                            Was ich aber den Haufe-Artikeln entnommen habe: Selbst wenn kein Datenschutzbeauftragter zu benennen ist, muss die Kanzlei die gleichen Regelungen beachten. Es ist also nicht die Frage, was für die DS-GVO umgesetzt werden muss, sondern nur, wer dafür verantwortlich ist.

                             

                            Grüße M. Fehlau

                            • 11. Re: Datenschutz-Grundverordnung EU DSGVO - Fragen dazu
                              4you-computer Einsteiger

                              Qualifikation / Schulung zum (externen) Datenschutzbeauftragten - unterm Strich eine Gelddruckmaschine für div. Institute, die IHK und den TÜV, oder?

                               

                              Warum findet man keine Prüfungsfragen?

                              Warum gibt´s keine konkreten Lerninhalte die frei zugänglich sind?

                              Ich könnte mich darauf quasi nicht selbstständig vorbereiten, oder?

                               

                              Vielleicht bin ich zu doof zum suchen - kann sein...

                               

                              Wenn ich in Deutschland ein "gutes altes" Diplom erlangen wollte - also ein richtigen Titel wie den Dipl.- Ing., wie ich ihn noch habe, dann melde ich an einer Fachhochschule oder Uni an, mache meine laufenden Prüfungen und am Ende mache ich meine Diplom-Arbeit. Zumindest bei mir war ein Lernen komplett autodidaktisch möglich. Ich brauchte da nicht hinfahren. Ich kannte die Prüfungeninhalte, sie sind waren frei Zugänglich. Das Wissen kann ich aus Büchern erhalten. Vorlesungen habe ich i.d.R. nicht besucht. Um am Ende eine Prüfung erfolgreich abzulegen, benötige ich nichts ausser meinen Grips und Lerninhalte - es kostete kaum Geld (nur den früher wirklich geringen Semesterbetrag). Und diese Prüfungen waren im Studium der Elektrotechnik bei weitem nicht einfach. Ich denke, sie waren definitiv komplexer als der "Datenschutzbeauftragte", den ich in wenigen Tagen "machen" kann.

                               

                              Frech und Frei raus: Besitzt jemand Schulungsunterlagen, Prüfungen, Lerninhalte für den "Datenschutzbeauftragten EU-DSGVO"? Ich nehme sie gerne!

                              Geändert am 28.11.17 um 13:30 Uhr
                              • 12. Re: Datenschutz-Grundverordnung EU DSGVO - Fragen dazu
                                andreashofmeister Meister

                                Wenn ich die Veranstaltung beim StB-Verband Köln letzte Woche richtig interpretiere, gibt es kein grundsätzliches Anforderungsprofil an einen Datenschutzbeauftragen. Natürlich sollte mein einen haben, wenn er denn vorgeschrieben ist.

                                 

                                Was seine Fachkunde angeht, so gibt es wie gesagt, wohl kein eindeutiges "Berufsbild".

                                 

                                Und einen Studiengang (so er denn die Themen tangiert) mit entsprechender Berücksichtigung des Lernstoffes sollte doch durchaus als Fachkundenachweis dienen, oder?

                                 

                                Mehr dazu morgen im DATEV-Seminar in Dortmund....

                                • 13. Re: Datenschutz-Grundverordnung EU DSGVO - Fragen dazu
                                  Martin KoIberg Fachmann

                                  Ich habe soeben an anderer Stelle folgendes Zitat gefunden:


                                  "Solange das berühmte „L-Laufwerk“ seitens Datev für alle User auf dem Server unbeschränkt zugänglich sein muss, kann DATEV meines Erachtens die Bestimmung der Datenschutzgrundverordnung ab 28. Mai gar nicht erfüllen"

                                   

                                  Da ich diese Dinge nicht selber beurteilen möchte, bitte ich unseren Softwarelieferanten darum, daß er uns IT-ler eine vorformulierte Verfahrensdokumentation in die Hand gibt, die sich auf eine DATEV - Mehrwert- Installation nach Handbuch unter Einbezug der üblichen Erweiterungen, wie Waren- und Kassenerfassung (Excel- Kasse), DATEV- Import aus Fremdbuchhaltungen und Versenden von diversen Auswertungen und Informationen  per Email mit einbezieht. - Also ein Dokument als Vorgabe für die Standard- Kanzlei. Das könnte jeder Admin (auch der Sohn vom Kanzleiinhaber) abarbeiten, um die Kanzlei innerhalb der nächsten 6 Monate auf das von DATEV geforderte Niveau zu heben.

                                   

                                  Irgendwie sehe ich uns von dieser Verordnung nur tangential betroffen, da diese Verordnung für völlig andere Zwecke erlassen wurde, wie Datenschutz in öffentlichen Netzwerken, Sozialplattformen (Facebook), Banken mit Kunden- Login usw.

                                   

                                  Für Kanzleien greift das Berufsrecht und durch die DS-GVO wurde meines Erachtens lediglich die Möglichkeit eröffnet, exorbitante Busgelder zu verlangen, solange Formalien nicht erfüllt sind.

                                   

                                  Es stellt sich sogar die Frage, ob diese Verordnung nicht sogar zum Haftungsproblem wird. Früher sollte die Berufshaftpflicht- Versicherung einspringen, wenn es zu einem Schaden aufgrund einer Datenschutzverletzung käme. Wie sieht das heute aus, wenn die Vorschriften der DS-GVO in dem betroffenen Punkt nicht zu 100% eingehalten wurden?

                                   

                                  Bei einem Bussgeld in 5- stelligem EUR- Betrag kann doch keine Fahrlässigkeit mehr unterstellt werden, wenn es zu einer Panne kommt (Laptop mit Daten wird gestohlen)

                                   

                                  PS. Aus alter Schule bewahre ich eine Datensicherung außerhalb der Kanzlei- Räumlichkeiten auf, die auf jedem DATEV- PC lesbar gemacht werden kann. Eigentlich müßte diese USB- Platte bei Transport und Lagerung behandelt werden, als würde es sich um einen 500 g- Goldbarren handeln und die Daten dürften außerhalb der Kanzlei nicht einmal zu Testzwecken "verarbeitet" werden. Bislang ist man so vorgegangen, aber mit den neuen Bussgeldern muß wohl jede Datenhaltung außerhalb der Serverplatten und speziellen verschlossenen Backup- Arrays komplett unterbunden werden.

                                  Eine Backup- Platte in der Schreibtischhublade ist damit wohl ein NoGo ....
                                  OK, so sind bei Großprovidern wohl in der Vergangenheit  auch Kennwort- Listen entwendet worden...

                                  Geändert am 29.11.17 um 06:04 Uhr
                                  • 14. Re: Datenschutz-Grundverordnung EU DSGVO - Fragen dazu
                                    4you-computer Einsteiger

                                    Wer muss einen Datenschutzbeauftragten (DSB) bestellen. Dazu habe ich folgende Ausführung (auf der Website eines externen Anbieters, Quelle leider entfallen) im Internet gelesen.

                                     

                                    Nicht-öffentliche Stellen, wie z. B. Unternehmen, Organisationen, Gesellschaften oder Vereine, in denen mehr als 9 Personen mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind müssen einen DSB haben.

                                     

                                    Bei weniger 9 Kann es die Leitung / Inhaber selber "machen". Aber:

                                     

                                    Neben der mitarbeiteranzahlabhängigen Bestellungspflicht kann sich Selbige auch ergeben, wenn besonders sensible personenbezogene Daten – wie Angaben zu Gesundheit, Religion oder rassischer Herkunft verarbeitet werden.

                                     

                                    Das ist doch in jeder Kanzlei der Fall?!?!

                                     

                                    Darüber hinaus ergibt sich die Pflicht zur Bestellung eines Datenschutzbeauftragten, wenn die verantwortliche Stelle Verfahren, die einer Vorabkontrolle unterliegen einsetzen möchte oder bereits im Einsatz hat – hierzu ein paar Beispiele:

                                     

                                    • ...
                                    • Zeiterfassungssysteme
                                    • ...

                                     

                                    Zwei ganz konkrete dumme Fragen:

                                     

                                    1. ) Beispiel: Kanzlei mit einer Angestellten: Benötigt diese Kanzlei einen bestellten DSB? Also nicht der Inhaber selber. Es sind zwar weniger als 9 Personen aber es wird mit "besonders sensiblen Daten gearbeitet".

                                     

                                    2.) Beispiel:Firma mit 2 Angestellten. Es befindet sich eine elektronische Arbeits-Zeiterfassung, meinetwegen eine Stempeluhr mit "Kellnerschluss"-Transponder im Einsatz.

                                     

                                    Benötigene 1+2) einen bestellten DSB? Darf es hir nicht die Leitung "machen"?

                                    • 15. Re: Datenschutz-Grundverordnung EU DSGVO - Fragen dazu
                                      maurice.dippold DATEV-Mitarbeiter

                                      Hallo Herr Windmann,

                                       

                                      in Deutschland wird ein Datenschutzbeauftragter benötigt, wenn mindestens 10 Personen in einem Unternehmen mit automatisierter Datenverarbeitung beschäftigt sind oder besonders schutzwürdige Daten verarbeitet werden.

                                       

                                      Ein Datenschutzbeauftragter ist künftig nach Art. 37 Abs. 1 DS-GVO zu benennen, bei

                                       

                                      a) Behörden und sonstigen öffentlichen Stellen,

                                      b) einer Kerntätigkeit mit umfangreicher oder systematischer Überwachung von Personen oder

                                      c) einer Kerntätigkeit mit umfangreicher Verarbeitung besonderer Kategorien von Daten.

                                       

                                      Aufgrund der Befugnisnorm in Art. 37 Abs. 4 DS-GVO wird dies durch das neue Bundesdatenschutzgesetz (BDSGneu) erweitert, das zeitgleich mit der DS-GVO wirksam wird. In § 38 Abs. 1 BDSGneu erweitert der deutsche Gesetzgeber den Passus des Art. 37 DSGVO um folgende Punkte:

                                       

                                      Ein Datenschutzbeauftragter ist somit ebenfalls zu benennen, wenn

                                      d) in der Regel mindestens 10 Personen ständig mit der automatisierten Verarbeitung beschäftigt sind,

                                      e) Verarbeitungen durchgeführt werden, welche der Datenschutz-Folgenabschätzung (Art. 35 DS-GVO) unterliegen oder

                                      f) personenbezogene Daten zum Zwecke der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung verarbeitet werden.

                                       

                                      Im Falle der Punkte e) und f) ist die Anzahl der beschäftigten Personen nicht mehr relevant. Ein Datenschutzbeauftragter muss hier auf jeden Fall benannt werden, da es sich hierbei um Verarbeitungen durch besonders risikoreiche Prozesse (§ 38 Abs. 1 S. 2 BDSGneu i.V.m. Art. 35 DS-GVO) oder besonders schutzwürdige Daten (z.B. Gesundheitsdaten, religiöse Überzeugungen, etc.) (Art. 37 Abs. 1 lit. c DS-GVO i.V.m. Art. 9 DS-GVO) handelt.

                                       

                                      Zu Ihren beiden Beispielen:

                                       

                                      Inwieweit hier für die Benennungspflicht durch einen Steuerberater die Voraussetzungen erfüllt werden ist, aufgrund der unbestimmten Rechtsbegriffe noch nicht abschließend geklärt.

                                       

                                      Beispiel 1:

                                      Der Kanzleiinhaber darf hierbei jedoch nicht der Datenschutzbeauftragte sein. Dies ergibt sich aus Art. 38 Abs. 6 DS-GVO.

                                      „Der Datenschutzbeauftragte kann andere Aufgaben und Pflichten wahrnehmen. Der Verantwortliche oder der Auftragsverarbeiter stellt sicher, dass derartige Aufgaben und Pflichten nicht zu einem Interessenskonflikt führen."

                                      => Der Kanzleiinhaber hat nach Meinung der Aufsichtsbehörden – Stellungnahmen nach aktuellem BDSG – ein Interessenskonflikt und scheidet somit als Datenschutzbeauftragter aus, auch wenn es nur zwei Beschäftigte sind.

                                       

                                      Beispiel 2:

                                      Hier gilt vorab zu prüfen, ob durch die Stempeluhr ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen existiert. Ist dies der Fall, so gilt die selbe Schlussfolgerung wie in Beispiel 1.

                                       

                                      Allgemeines Fazit:

                                      Ein Kanzleiinhaber darf nach derzeitiger und künftiger Rechtslage kein Datenschutzbeauftragter sein. In kleineren Kanzleien bliebe somit nur die Möglichkeit, einen Mitarbeiter oder einen externen Datenschutzbeauftragten zu benennen.

                                       

                                      Ich hoffe, dass ich Ihnen mit dieser Antwort die Situation etwas näher gebracht und Ihre Fragen beantwortet habe.    

                                      Geändert am 08.12.17 um 14:11 Uhr
                                      • 16. Re: Datenschutz-Grundverordnung EU DSGVO - Fragen dazu
                                        Martin KoIberg Fachmann

                                        Punkt < f > ist damit durch jede Statistik erfüllt, also auch durch die simple jährliche Handelsstatistik, wo unsere Lohnjournale nach Geschlecht ausgewertet werden?