Für wen gilt die Verordnung?

Die Datenschutz-Grundverordnung gilt für ALLE Unternehmen, Organisationen, Handwerksbetriebe & Personen, wo mehr als 9 Mitarbeiter diese personenbezogene Daten von EU-Einwohnern verarbeiten und speichern. (z.B. Outlook)..

Sofern Daten verarbeitet werden, die Auskunft geben über rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben, ist ein betrieblicher Datenschutzbeauftragter unabhängig von der Personenzahl zu bestellen.

Sie haben eine Steuerkanzlei?

Der Einstieg für Steuerkanzleien

Quelle: https://www.haufe.de/steuern/kanzlei-co/steuerberater-datenschutz-massnahmen-ergreifen_170_429810.html

An erster Stelle steht die Frage nach dem entsprechenden Know-How: wer soll sich künftig um den Datenschutz kümmern? Für Kanzleien, in denen mehr als neun Personen beschäftigt sind, ist die Bestellung (zukünftig “Benennung”) eines Datenschutzbeauftragten vorgeschrieben. Die bestellte Person muss die entsprechende Fachkunde vorweisen können, sich regelmäßig fortbilden, und darf insbesondere nicht Mitglied der Kanzleileitung, IT-Verantwortlicher oder Personalverantwortlicher sein, um Interessenskollisionen zu vermeiden.

Grundsätzlich kann ein interner Datenschutzbeauftragter aus dem Kreise der Mitarbeiter oder ein externer Datenschutzbeauftragter benannt werden. Es gilt genau abzuwägen, ob die interne Lösung tatsächlich abbildbar ist, denn der Aus- und Fortbildungsaufwand des Datenschutzbeauftragten ist hoch. Auch der Zeitaufwand, der neben dem alltäglichen Geschäft zur Umsetzung und Kontrolle der notwendigen Maßnahmen entsteht, darf nicht unterschätzt werden. Zu erwähnen ist außerdem, dass ein interner Datenschutzbeauftragter einem besonderen Kündigungsschutz unterliegt.

Wer einen Datenschutzbeauftragten aus dem Kreis der Mitarbeiter benennen möchte, muss sich als erstes um die entsprechende Ausbildung kümmern. Hierzu bieten z.B. verschiedene Landessteuerberaterverbände oder die DATEV Ausbildungen mit Fokus auf die Anforderungen in der Steuerberatung an. Wird eine Person, die keine Fachkunde nachweisen kann, “pro Forma” zum Datenschutzbeauftragten benannt, ist diese Benennung hinfällig, da die gesetzlichen Voraussetzungen nicht erfüllt werden. Wer die Funktion an einen externen Spezialisten auslagern möchte, sollte ebenfalls bei den Landesverbänden oder bei den Kammern anfragen, ob Kooperationen mit auf die Besonderheiten der Steuerberatung spezialisierten Datenschutzberatern bestehen.

Datenschutz auch in kleinen Kanzleien ein Thema

Kanzleien, in denen höchstens neun Personen beschäftigt sind, müssen keinen Datenschutzbeauftragten benennen. Hier gibt es in der Praxis ein großes Missverständnis: das bedeutet nicht, dass diese Kanzleien Datenschutz nicht in gleichem Maße umsetzen müssen. Die Umsetzung darf in den Kanzleien aber auch von Personen durchgeführt werden, die nicht offiziell zum Datenschutzbeauftragten benannt sind. Das darf auch die Kanzleileitung sein. Die oben geschilderten Anforderungen an die Fachkunde und der zeitliche Aufwand für die Umsetzung und Kontrolle der Maßnahmen bleiben gleich. Auch hier sollte zunächst eine spezielle Ausbildung absolviert werden, um das Datenschutz-Know-How zu schaffen. Ist eine interne Lösung nicht möglich, dürfen selbstverständlich auch Kanzleien ohne Bestellpflicht die Aufgaben an externe Berater delegieren oder freiwillig einen Datenschutzbeauftragten bestellen.

 

 

Grundsatzentscheidung steht am Anfang

Wer in Sachen Datenschutz noch am Anfang steht, muss im ersten Schritt noch nicht in die Details der Umsetzung eintauchen. Zuerst sollte entschieden werden, welche Lösung für die Kanzlei in Frage kommt: internes oder externes Know-How? Ist ein Mitarbeiter oder eine Mitarbeiterin gefunden, die zeitliche Ressourcen für Wissensaufbau und Umsetzung verfügbar hat und auch ein gutes Verständnis für betriebswirtschaftliche und technische Prozesse  mitbringt, sollte rasch eine entsprechende Ausbildung zum Datenschutzbeauftragten angestrebt werden. Das gilt auch für Kanzleien, die keinen Datenschutzbeauftragten benennen müssen – die Ausbildung ist unumgänglich. Wer das Thema lieber mit einem externen Fachmann abdecken möchte, sollte sich jetzt auf die Suche machen und z. B. Kammern und Verbände ansprechen. Damit ist der erste Schritt in Richtung Datenschutz getan.

Muss eine Arztpraxis zwingend einen Datenschutzbeauftragten haben?

Quelle

Die Standard-Juristen-Antwort „Es kommt darauf an“ passt auch hier mal wieder ganz wunderbar. Denn es kommt wirklich auf die konkreten Umstände an. Schauen wir also mal, was die DSGVO dazu sagt. Einschlägige Regelung zur Benennung eines Datenschutzbeauftragten ist Art. 37 DSGVO. Nach Art. 37 Abs. 1 DSGVO ist auf jeden Fall ein Datenschutzbeauftragter in einer Arztpraxis in drei Konstellationen zu benennen:

  1. Die Arztpraxis ist Teil einer Behörde oder öffentlichen Stelle .
  2. Die Kerntätigkeit der Arztpraxis besteht in der Durchführung von Datenverarbeitungen, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche, regelmäßige und systematische Überwachung von Patienten erforderlich macht.
  3. Die Kerntätigkeit der Arztpraxis besteht in der umfangreichen Verarbeitung von besonderen Kategorien von Daten i.S.d. Art. 9 DSGVO (insbesondere Gesundheitsdaten).

Auch wenn eine Arztpraxis theoretisch auch als öffentliche Stelle betrieben werden kann, ist der Regelfall in der Praxis doch der, dass die Arztpraxis eine privatrechtliche Einrichtung ist und damit keine öffentliche Stelle darstellt. Im Ergebnis ist Ziff. 1 der o.g. Auflistung hier nicht einschlägig.

Wie sieht es mit Ziff. 2 aus? Hier wäre ein Datenschutzbeauftragter zu benennen, wenn die Kerntätigkeit der Arztpraxis die Durchführung von Datenverarbeitungen betrifft. Auch wenn in einer Arztpraxis sicher eine Reihe von Daten anfällt, ist es jedoch nicht Kerntätigkeit einer Arztpraxis, Daten zu verarbeiten. Das wäre meiner Meinung nach nur dann zu bejahen, wenn z.B. die Arztpraxis eine klinische Studie durchführt und insoweit umfangreich Daten verarbeitet. Im Ergebnis führt die o.g. Ziff. 2 also hier auch noch nicht zur Pflicht einer Benennung eines Datenschutzbeauftragten in der Arztpraxis.

Kommen wir zu dem wohl entscheidenden und einschlägigen Kriterium, das in Ziff. 3 oben angeführt wurde. Danach ist von der Arztpraxis ein Datenschutzbeauftragter zu benennen, wenn die Kerntätigkeit der Praxis in der umfangreichen Verarbeitung von Gesundheitsdaten besteht.

Die hier entscheidende Frage ist also, ob eine „umfangreiche“ Verarbeitung von Gesundheitsdaten in einer Arztpraxis erfolgt? Der Wortlaut der DSGVO ist hier nicht eindeutig. Das ist zunächst auch für Rechtsnormen nicht unüblich. Es gehört dann zum Handwerkszeug der Juristen, den unbestimmten Wortlaut „bestimmbar“ zu machen. Und das erfolgt durch Auslegung. Bei der Auslegung der DSGVO bietet sich zunächst immer an, die sog. Erwägungsgründe der DSGVO auf Hinweise zu durchforsten.

Die Erwägungsgründe befinden sich vor dem eigentlichen Text der DSGVO. Im Hinblick auf die Benennung von Datenschutzbeauftragten ist vor allem Erwägungsgrund 97 einschlägig. Allerdings hilft der uns hier nicht weiter. Denn auch dort finden sich keine Hinweise darauf, wann eine „umfangreiche“ Verarbeitung vorliegen soll.

Wenn wir die DSGVO und die Erwägungsgründe aber insgesamt angeschaut haben, dann ist uns vielleicht etwas aufgefallen. Denn es gibt noch an anderen Stellen der DSGVO das Thema der „umfangreichen Verarbeitung“. Und bei einer Stelle können wir tatsächlich weitere Hinweise finden? Wo? Tja…beim Thema der Datenschutz-Folgenabschätzung (Art. 35 DSGVO).

Nach Art. 35 Abs. 3 lit. b) DSGVO ist eine Datenschutz-Folgenabschätzung insbesondere erforderlich, wenn eine

umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten gemäß Artikel 9 Absatz 1 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10

erfolgt. Das ist eine sehr ähnliche Formulierung wie bei Art. 37 Abs. 1 Nr. 3 DSGVO (s.o.). Und mit der beschäftigen wir uns ja gerade.

Wie praktisch…beim Thema der Datenschutz-Folgenabschätzung in der DSGVO gibt es allerdings dann auch etwas in den Erwägungsgründen, das uns bei der Lösung der Frage, ob nun ein Datenschutzbeauftragter von der Arztpraxis zu benennen ist oder nicht, weiterhelfen kann. Dazu müssen wir in Erwägungsgrund 91 hineinschauen.

Denn dort befindet sich auch neben einer Beschreibung, wann eine umfangreiche Verarbeitung vorliegen soll, auch ein Hinweis darauf, wann eine umfangreiche Verarbeitung nicht vorliegen soll:

Die Verarbeitung personenbezogener Daten sollte nicht als umfangreich gelten, wenn die Verarbeitung personenbezogene Daten von Patienten oder von Mandanten betrifft und durch einen einzelnen Arzt, sonstigen Angehörigen eines Gesundheitsberufes oder Rechtsanwalt erfolgt.

Aha…das hilft uns schon einmal weiter. Was lernen wir also daraus? Wenn die Arztpraxis aus einem Einzelarzt (und etwas Personal) besteht, dann liegt in der Regel keine umfangreiche Verarbeitung von Gesundheitsdaten vor. Das führt im Ergebnis dazu, dass keine Datenschutz-Folgenabschätzung durchgeführt werden muss. Und es führt auch dazu, dass ein Einzelarzt keinen Datenschutzbeauftragten benennen muss.

Aber:
Bei einer Arztpraxis mit mehreren Berufsträgern wird man in aller Regel wohl davon ausgehen müssen, dass ein Datenschutzbeauftragter zwingend benannt werden muss. Das wird zumindest für Gemeinschaftspraxen mit mehreren Ärzten gelten.

Aktualisierung, 06.03.2018: In der rechtswissenschaftlichen Literatur wird mittlerweile allerdings auch vertreten, dass dies nicht zwingend der Fall ist, weil es an einer „umfangreichen Datenverarbeitung“ fehle (so z.B. Dochow, Notwendigkeit der Datenschutz-Folgenabschätzung und Benennung eines Datenschutzbeauftragten in der Arztpraxis?, PinG 2018, 51 (53 ff.)). Ob diese Begründung jedoch „trägt“, ist fraglich. Denn so sehr die Rechtsausführungen begründet und vertretbar sein mögen, gibt es ebenfalls gute und vertretbare Gründe für die Gegenauffassung. Mit Blick auf die Bußgeldrisiken sollte hier also im Zweifel die Aufsichtsbehörde befragt oder eben der sichere Weg der Benennung eines Datenschutzbeauftragten gegangen werden.

Streiten wird man darüber können, wie es in Praxisgemeinschaften aussieht, in denen mehrere einzelne Ärzte unter gemeinsamer Nutzung der Infrastruktur aber mit getrennten Patientenakten und -abrechnungen, gemeinsam arbeiten. Im Zweifel sollte hier aber – mit Blick auf die Bußgeldrisiken – besser ein Datenschutzbeauftragter benannt werden.

Okay…und wie sieht es nun nach dem BDSG-neu aus? Die Rechtslage nach der DSGVO deckt sich mit den Regelungen des BDSG-neu. Einschlägige Regelung für Datenschutzbeauftragte in nichtöffentlichen Stellen (wie z.B. Arztpraxen) ist da § 38 BDSG-neu.

Nach § 38 Abs. 1 BDSG-neu ist von der Arztpraxis ein Datenschutzbeauftragter zu benennen, wenn

  1. in der Arztpraxis in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind oder
  2. in der Arztpraxis Datenverarbeitungen vorgenommen werden, die einer Datenschutz-Folgenabschätzung i.S.d. Artikel 35 DSGVO unterliegen.

Das bedeutet, dass in größeren Arztpraxen, in denen 10 oder mehr Mitarbeiter beschäftigt sind, in jedem Fall ein Datenschutzbeauftragter zu benennen ist.

Und was gilt nach dem BDSG-neu für kleinere Arztpraxen? Nun ja…das gleiche wie das, was wir oben schon herausgefunden haben. Denn das BDSG-neu sieht bei Arztpraxen mit weniger 10 Beschäftigten (nicht angestellte Berufsträger zählen nicht mit) eine Benennung eines Datenschutzbeauftragten vor, wenn die Arztpraxis Verarbeitungen vornimmt, die einer Datenschutz-Folgenabschätzung unterliegen. Und wann ist das wohl der Fall? Nun ja…bei umfangreichen Verarbeitungen. Und da schließt sich unser Kreis wieder. Denn diese Frage haben wir oben ja schon unter Zuhilfenahme von Erwägungsgrund 91 gelöst. Dort war grds. nur der einzelne Arzt ausgenommen.

So kommen wir also zusammengefasst zu folgendem Fazit, das meiner Meinung nach so ausfällt:

Ergebnis:

  1. Arztpraxen mit 10 oder mehr Beschäftigten müssen einen Datenschutzbeauftragten benennen.
  2. Gemeinschaftspraxen müssen ebenfalls einen Datenschutzbeauftragten benennen.
  3. Praxisgemeinschaften mit weniger als 10 Beschäftigten würde ich aufgrund der Bußgeldrisiken ebenfalls empfehlen, einen Datenschutzbeauftragten zu benennen.
  4. Einzelärzte mit weniger als 10 Beschäftigten können davon absehen, einen Datenschutzbeauftragten zu benennen. Zur Absicherung sollte dies bei Zweifeln mit der zuständigen Aufsichtsbehörde für den Datenschutz besprochen werden.

Author: RA Hansen-Oest

Sie haben einen Handwerksbetrieb, sind Kleinstunternehmer oder ein Service-Dienstleister?

Anders als man es vielleicht vermuten könnte, gelten auch Handwerksbetriebe als datenverarbeitende Unternehmen, wenn sie Mitarbeiterdaten erfassen und Kundendaten speichern. Damit unterliegen sie den Vorgaben des Bundesdatenschutzgesetzes und sind auch vom Inkrafttreten der neuen EU-Datenschutzgrundverordnung (DSGVO) betroffen.

Grundsatz: Auch Handwerksbetriebe mit mehr als 9 Mitarbeiter die mit Kundendaten (z.B. Outlook)in Verbindung kommen, brauchen einen Datenschutzbeauftragten

  • Einzelkämpfer bzw. Einzelunternehmer (z.B. Meister oder Geschäftsleiter und eine gelegentlich arbeitende Sekretärin) können davon absehen, einen Datenschutzbeauftragten zu benennen.

Die Regelung gilt nur, wenn die Verarbeitung von Daten wirklich nur gelegentlich erfolgt und Sie weniger als 9 Angestellte haben.

Die Ausnahme der Befreiung zur gelegentlichen Datenverarbeitung gilt nicht, wenn sensible Daten gespeichert werden. Dazu gehören unter anderem persönliche Daten von Kunden.

Um eine 100% Sicherheit zu haben, sollte JEDER einen Datenschutzbeauftragten benennen. Es schafft auch Vertrauen bei ihren Kunden. Dafür sind wir da!

Verein oder Club?

Bei all den Vorteilen, die ein gemeinnütziger Verein genießt, im Bereich des Datenschutzrechts erfährt dieser keine bevorzugte Behandlung.

Alle Personen im Verein, die Zugang zu Mitgliederdaten haben, sind unter anderem schriftlich auf das Datengeheimnis hinzuweisen.

Von Bedeutung sind auch

  • Nutzung von Telefon, E-Mail und Internet
  • Mitarbeiterfotos oder Fotos von Veranstaltungen
  • Nutzung von sozialen Medien
  • Videoüberwachung

Ja, auch Vereine brauchen einen Datenschutzbeauftragten, wenn der Verein mehr als 9 Personen hat die nachweislich mit Kundendaten oder Mitarbeiterdaten (z.B. E-Mail Adressen, Telefonnummern von Mitgliedern) in Berührung kommen!

Was ist die DSGVO?

Die Datenschutz-Grundverordnung (DSGVO) ist eine beschlossene Verordnung mit dem Ziel, die Rechte für EU-Bürger hinsichtlich des Datenschutzes zu stärken und zu vereinheitlichen.

Was ist das Ziel der Verordnung?

  1. Der Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten
  2. Der Schutz der Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf Schutz personenbezogener Daten.
  3. Sicherstellung das diese personenbezogener Daten weder eingeschränkt noch verboten werden.

Wann tritt die DSGVO in Kraft?

Ab dem 25. Mai 2018 tritt die Verordnung in allen EU-Mitgliedstaaten in Kraft und löst die bestehenden Datenschutzverordnungen ab (z.B. in Deutschland das BDSG)

Was hat sich geändert?

Wesentlichen Änderungen sind:

  • Die Dokumentatiospflichten werden deutlich ausgeweitet
  • Die Betroffenen-Rechte werden deutlich ausgeweitet und es wird eine Reaktionsfrist auf Anfragen betroffener Personen verbindlich festgelegt
  • Es werden neue Busgeldtatbestände eingeführt
  • Die Bußgelder erhöhen sich drastisch auf bis zu 20 Mio. oder 4% des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist

Wem und wo hilft der Datenschutzbeauftragte-Papenburg?

Im Raum Emsland & Ostfriesland sind wir Ihr Datenschutzbeauftragter (Extern)

  • Handwerksbetriebe
  • Praxen (Arztpraxen)
  • Vereine
  • Kleinstunternehmer

Es gibt deutschlandweit agierende Kanzleien, wir kennen uns und bleiben vor Ort im Raum Papenburg, Leer und Umgebung.

Was sind personenbezogene Daten?

Zu den personenbezogenen Daten, die ein Betrieb erheben, nutzen und speichern darf, zählen die Daten, die Betriebe zur Erfüllung ihrer Pflichten als Arbeitgeber oder als Auftragnehmer gegenüber ihren Kunden benötigen. Für die Einstellung eines Mitarbeiters und die Zahlung des Lohns samt Abführung der Lohnnebenkosten sind z.B. die Kontonummer, die Krankenkasse, der Familienstand etc. erforderlich.

Apropos Bußgeld?

Zum Vergleich:

Das alten Gesetz BDSG:

  • formalen Verstößen (bis 50.000 €) und
  • materiellen Verstößen (bis 300.000 €)

Neue Gesetz DSGVO:

  • 4 % des gesamten erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs

Bei Verstößen ist der Datenschutzbeauftragte Schuld?

Alle unangenehmen Dinge zum Datenschutz auf den Datenschutzbeauftragten abwälzen? Das geht nicht mehr! Neu ist, dass dieser nicht mehr für die Abschätzung der Folgen verantwortlich ist, sondern das Unternehmen selbst. Der Datenschutzbeauftragte muss lediglich zur Beratung hinzugezogen werden. Kommt das Unternehmen nach der Folgenabschätzung zu dem Schluss, dass ein Fall vorliegt, der ein hohes Risiko für die Rechte und Freiheiten von Betroffenen bedeutet, muss es die zuständige Aufsichtsbehörde informieren. Diese kann eine schriftliche Empfehlung für das Projekt erteilen oder die Datenverarbeitung untersagen.

Was hat der Datenschutzbeauftragte mit der Aufsichtsbehörde zu tun?

Die DSGVO erfordert zukünftig die Benennung eines Datenschutzbeauftragten und die Mitteilung an die Aufsichtsbehörden, sofern eine „Benennungspflicht“ (Mehr als 9 Mitarbeiter die mit Personendaten arbeiten wie E-Mails) besteht.

Wir übernehmen für sie die Behördengänge! Kontaktieren Sie uns!

Datenklau! Was nun?

Denken Sie beispielsweise an Daten zu Bank- oder Kreditkartenkonten. Diese können eine Informationspflicht bei unrechtmäßiger Kenntniserlangung von Daten (§ 42a BDSG) auslösen.

Zukünftig muss bei einer Datenschutzverletzung die Aufsichtsbehörde binnen 72 Stunden informiert werden, wenn eine solche Verletzung zu einem Risiko für die Rechte und Freiheiten der natürlichen Personen führt (vgl. Art. 33 DS-GVO). Das dürfte etwa bei Bank- und Kreditkartendaten praktisch immer der Fall sein.

Datenschutzerklärung auf der Webseite. Was muß ich beachten?

ALLE Unternehmer und jeder Webseitenbetreiber muss nun mit Abmahnungen rechnen, wenn er keine oder eine unvollständige Datenschutzerklärung auf seiner Webseite eingebunden hat.

Was müssen Seitenbetreiber jetzt tun?

Jeder Seitenbetreiber, der personenbezogene Daten auf seiner Seite verarbeitet, muss ab sofort über eine korrekte und aktuelle Datenschutzerklärung verfügen, die all diese Punkte vollständig abdeckt. Sonst drohen Abmahnungen.

Muss ich als Kleinst-Unternehmer, als Arztpraxis den Datenschutzbeauftragte bestellen und bennen?

Pflicht ist es: Unternehmen müssen einen Datenschutzbeauftragten bestellen!

Ratsam ist es: Den Datenschutzbeauftragten auf ihrer Internetpräsenz zu benennen! So kann den Verbrauchern und Kunden ein sehr positives Sicherheitsgefühl vermittelt werden, wenn sie nicht nur darauf vertrauen können, dass das Unternehmen einen Beauftragten für Datenschutz hat, sondern im Zweifelsfall auch wissen, wer dieser ist und wie sie ihn erreichen können. Durch diese Nennung wirbt das Unternehmen implizit damit, die Frage des Datenschutzes von Kundendaten ernst zu nehmen.

Lassen Sie Ihre Datenschutzerklärung überprüfen, besser gleich Ihre ganze Webseite! Hier informieren!

Alle Erklärungen hier im Gesetz!