DS-GVO ab 25.05.2018 (Kurzinfo`s)
Ende März veröffentlichte das Bayerische Landesamt für Datenschutzaufsicht neue Handreichungen bezüglich der neuen Datenschutz-Anforderungen für kleinere Unternehmen.
Sofern Betriebe externe Dienstleistungen (z.B. Buchhaltung) in Anspruch nehmen, um personenbezogene Daten in ihrem Auftrag durch andere Unternehmen verarbeiten zu lassen, müssen Sie mit dem Dienstleister einen schriftlichen Vertrag zur Auftragsverarbeitung abschließen.
Der Steuerberater gilt jedoch nicht als Auftragsverarbeiter, sondern als eigenständiger Verantwortlicher, mit diesem ist daher kein Vertrag zur Auftragsverarbeitung erforderlich.
Eine Steuerkanzlei mit weniger als zehn Mitarbeitern muss auch ab 25.05.2018 keinen Datenschutzbeauftragten benennen und eine Datenschutz-Folgeabschätzung (DSFA) dürfte in nahezu keiner Kanzlei erforderlich sein.
Dies schließt natürlich nicht aus, dass sich ein Mandant nach dem Datenschutzniveau seiner Kanzlei erkundigen darf. Um so mehr als er ab dem 25.05.2018 ein Anrecht darauf hat, eine Information in Form einer Datenschutzerklärung im Sinne des Art. 13 DSGVO zu erhalten.
Einwilligung nach der DS-GVO
Nach dem BDSG ist eine Einwilligung nur wirksam, wenn sie freiwillig und informiert, d. h. in Kenntnis des geplanten Zwecks der Erhebung, Verarbeitung oder Nutzung der personenbezogen Daten, und in aller Regel schriftlich erfolgt. Soweit mit besonderen Arten personenbezogener Daten, z. B. Daten zu politischer Meinung, religiöser Überzeugung oder Gesundheitsdaten, umgegangen werden soll, muss sich die Einwilligung ausdrücklich auf diese Daten beziehen (§ 4a BDSG).
Anders als bisher haben Verantwortliche gemäß Art. 5 Abs. 2 DS-GVO die Einhaltung der Rechtmäßigkeitsvoraussetzungen der Daten-verarbeitung nachzuweisen (Rechenschafts-pflicht - Accountability). Um dieser Verpflich-tung nachzukommen, wird wohl auch in Zukunft der Verantwortliche sich um eine Ein-willigung in Schriftform mit handschriftlicher Unterschrift oder mindestens in Textform (z. B. E-Mail) bemühen.
Lohnbuchführung
Grundsätzlich gilt spätestens mit der neuen Rechtslage: Wer personenbezogene Daten verwendet, der ist für sie verantwortlich. Auch wenn ein externes Lohnbüro mit der Durchführung der Lohnabrechnung beauftragt wird – der Arbeitgeber ist die „verantwortliche Stelle“ dafür, dass der Schutz der personenbezogenen Daten seiner Mitarbeiter gewahrt wird, auch beim Dienstleister. Umgekehrt gelten die datenschutzrechtlichen Pflichten des beauftragenden Unternehmens auch für und bei dem mit der Lohnabrechnung beauftragten Dienstleister weiter.
Die datenschutzrechtlichen Grundsätze der EU-DSGO sind nicht neu – sie prägen auch bislang schon das BDSG. Für die Lohnabrechnung sind vor allem folgende Prinzipien wichtig:
Erlaubnisvorbehalt (Art. 6 EU-DSGVO): Die Verarbeitung personenbezogener Daten ist nur erlaubt, wenn der Betreffende explizit zugestimmt hat, ein Vertrag anders nicht erfüllt werden kann oder eine Rechtspflicht es erfordert. Da ein Arbeitgeber weder die Entlohnung als arbeitsvertragliche Hauptpflicht noch seine gesetzlich vorgeschriebenen Pflichten in Bezug auf Steuern und Sozialversicherungsbeiträge erfüllen kann, ohne personenbezogene Daten seiner Arbeitnehmer zu verarbeiten, ist diese Verarbeitung natürlich erlaubt.
Zweckbindung und Datensparsamkeit (Art. 5 Abs. 1 DSGVO), d. h. die Pflicht, Daten nur für einen bestimmten Zweck zu verarbeiten und sich dabei auf das notwendige Maß zu beschränken, sind ebenfalls schon im BDSG verankert. Außerdem muss die Datensicherheit, – der technische und organisatorische Schutz vor Verlust, Zerstörung oder Schädigung der Daten – gewährleistet sein. Hier ist der Arbeitgeber gefordert.
Das neue Datenschutzrecht: Was es für Unternehmer bedeutet
Das Datenschutzrecht wird in der Praxis immer noch häufig vernachlässigt oder bleibt gar unberücksichtigt. Angesichts wachsender Sensibilität und entsprechender Sachzwänge auf Unternehmensseite, zunehmender Prüfungsdichte und Sanktionshäufigkeit von Seiten der Aufsichtsbehörden sowie nicht zuletzt der mit moderner Datenverarbeitungs- und Informationstechnik steigenden Verletzlichkeit gehören Datenschutzlücken jedoch zu den nicht (mehr) vernachlässigbaren Geschäftsrisiken. Hierauf reagierte der europäische Verordnungsgeber mit der Datenschutz-Grundverordnung (DSGVO), die seit dem 24.05.2016 in Kraft ist und die zukünftig in allen Staaten der Europäischen Union (EU) für grundsätzlich gleiche Standards sorgen soll. Zugleich wird mit der DSGVO das Ziel verfolgt, das Datenschutzrecht zu modernisieren, um bessere Antworten auf die Globalisierung und datenschutzrechtliche Herausforderungen zu geben, die die zunehmende Digitalisierung und das Internetzeitalter mit sich bringen.
 | Merkblatt - Datenschutz das neue Datenschutzrecht Datenschutzerklärung Homepage.pdf (200.51KB) |