Anzeigen

Anbieter von Lösungen zur elektronischen Steuerprüfung
Logo Audicon
Data Migration
Gisa
DATEV eG
Home  (IT-)Management Datenschutz

Warum haben alle die Fristen des neuen Bundesdatenschutzgesetzes "übersehen"?

Von Ulrich Giesen

10.05.2004

Die Übergangszeit (Schonfrist) für das neue Bundesdatenschutzgesetz endet am 22.5.2004! Es drohen jetzt erhebliche Bußgelder und Strafen, wenn man die Vorschriften nicht einhält. Die Bestellung eines Datenschutzbeauftragten ist ab 4 Mitarbeitern Pflicht. Neue Dokumentations-Pflichten müssen von jedermann eingehalten werden. Eine behördliche Überprüfung ist jederzeit und unangemeldet möglich!


Ulrich Giesen

Ulrich Giesen ist Geschäftsführer der SPECTRUM COMPUTER-SYSTEMHAUS GMBH in Hilden. SPECTRUM betreut als DATEV-Systempartner insbesondere Steuerberater.




Als vor fast 3 Jahren am 23.5.2001 das neue, erweiterte Bundesdatenschutzgesetz (BDSG) in Kraft trat, haben wir das selbst nur "diagonal" durchgelesen, als juristische Laien nichts "besonderes" entdeckt und deshalb schnell wieder beiseite gelegt, denn bisher war ja das Bundesdatenschutzgesetz ein sog. "Papiertigergesetz". Wir - wie anscheinend die ganze Wirtschaft - gingen davon aus, wenn etwas wirklich Wichtiges oder eine gravierende Änderung oder einzuhaltende, neue Vorschriften darin vorkommen, dass dann die allg. Presse, die Computer-Fachzeitschriften, die Handwerkskammern, die IHK’s, die StB/RA/WP-Kammern, die Verbände usw. uns schon rechtzeitig hierüber informieren würden ...

Aber anscheinend wurden die befristeten Maßnahmen nicht wahrgenommen!

Schon in der DATEV-Zeitschrift DSWR 2/2002 findet man einen mehrseitigen Aufsatz über das neue Bundesdatenschutzgesetz. Hier steht z.B. mittendrin schon der Satz: "Das BDSG erweitert vor allem die Befugnisse der Aufsichtsbehörden und stärkt ihre Unabhängigkeit. Hierzu zählt, dass nunmehr generell von Amts wegen beaufsichtigt wird und Daten verarbeitende Stellen - zu denen auch die Kanzleien zählen - jederzeit kontrolliert werden können. Es bedarf also keines konkreten Anlasses mehr, um zu überprüfen, ob eine Kanzlei oder ein Unternehmen mit Daten entsprechend den Vorschriften des BDSG umgeht. Gerade hier haben die Aufsichtsbehörden angekündigt, aktiver zu werden. Die Aufsichtsbehörden können nun Zwangsgelder verhängen, Bußgeldverfahren einleiten und Strafantrag stellen."

Aber auch dieser interessante Artikel wurde wohl von den meisten Lesern mehr als Füllmaterial betrachtet, denn uns wurde von vielen befragten Kanzleien berichtet, dass man die gesetzlich vorgeschriebenen Maßnahmen nicht termingerecht realisiert und sich mit der Materie überhaupt nicht beschäftigt hat.

Aber im neuen BDSG gibt es eine Reihe neuer Vorschriften und da hierdurch ggf. erhebliche Maßnahmen in direkter (EDV-System selbst) und indirekter (z.B. Zutrittskontrolle, Gebäudesicherung) Form bei fast allen öffentlichen und nicht öffentlichen Einrichtungen wie Unternehmen, Verbänden, Vereinen, Behörden, Kanzleien usw. zu erwarten waren, räumte der Gesetzgeber damals eine 3-jährige Übergangsfrist für die Umsetzung der neuen Bestimmungen ein.

Die Schonfrist endet in Kürze - genau genommen am 22.05.2004 - d.h. Sie, wir, Ihre Mandanten .... wir ALLE sind hiervon unmittelbar betroffen!

Zu Ihrer Information finden Sie den Wortlaut des neuen, aktuellen Bundesdatenschutzgesetzes (BDSG) und den DATEV-DSWR-Artikel aus 2002 im Download-Bereich unserer Homepage, unter http://www.spectrum-news.de/. Dort finden Sie auch z.B. Formularmuster zur Bestellung eines internen Datenschutzbeauftragten bzw. zu den Vorgaben der jetzt vorgeschriebenen Verfahrens-Dokumentation.

Wer ist betroffen vom neuen BDSG und was ist zu tun?

Neben der Umsetzung der eigentlichen Schutzvorschriften gibt es 3 wesentliche Forderungen des BDSG:

  1. Die schriftliche Bestellung eines Datenschutzbeauftragten wenn die Einrichtung (Firma, Betrieb, Behörde, Kammer, Kanzlei usw.) mehr als 4 Mitarbeiter beschäftigt, die personenbezogene Daten einsehen oder bearbeiten können.

    Sowie unabhängig von der Anzahl der Personen:

  2. Die Bereitstellung / Veröffentlichung des Verfahrensverzeichnisses für jedermann gemäß § 4g Abs. II Satz 1 i.V.m. § 4e Satz 1 Nr. 1-8 BDSG

  3. Die Bereitstellung der internen Verarbeitungsübersicht gemäß § 4g Abs. II Satz 1 i.V.m § 4e Satz 1 Nr. 1-9 BDSG.

Die Nichterfüllung dieser Vorschriften, d.h. Fehlen des Datenschutzbeauftragten und/oder der Dokumentation, kann als Ordnungswidrigkeit geahndet werden, wobei ein Bußgeld in Höhe von bis zu 25.000 Euro droht. Missbrauch der Daten wird mit bis zu 250.000 Euro Bußgeld selbstverständlich noch deutlich höher bestraft.

Eine eher unscheinbare aber in der Wirkung erhebliche Änderung ist ferner, dass die Behörden auch ohne besonderen Anlass die Einhaltung der Bestimmungen prüfen können, also z.B. kein Anfangsverdacht bzw. keine Anzeige vorliegen muss.

Als Sofortmaßnahmen sind also die Bestellung eines Datenschutzbeauftragten & die Erstellung der geforderten Dokumentationen zu veranlassen, da eine Prüfung jederzeit stattfinden kann !

SPECTRUM musste nun leider in den letzten Tagen feststellen, dass befragte Betroffene (z.B. in der SPECTRUM-Kundschaft) sich überwiegend der Tragweite inklusive der drohenden Sanktionen nicht nur nicht bewusst sind, sondern hinsichtlich des Gesamtthemas praktisch völlige Ahnungslosigkeit herrscht - geschweige denn Maßnahmen ergriffen wurden.

SPECTRUM hat diesbezüglich z.B. vorige Woche auch bei der Steuerberaterkammer Düsseldorf nachgefragt, welche Empfehlungen und Maßnahmen hier für die Steuerberater vorgesehen sind. Dort war dann Anfang dieser Woche zu erfahren, dass man hier zwar einen dringenden Handlungsbedarf sowohl für die Kammer als auch für die Steuerberater selbst sieht (auch z.B. für die Beratungshaftung), da es sich aber ja um kein regionales Düsseldorfer Problem handelt, sondern um ein bundesweites, hat man am Montag dieser Woche die Bundessteuerberaterkammer diesbezüglich eingeschaltet, um kurzfristig alle Steuerberater auf die Brisanz hinzuweisen.

SPECTRUM liegen auch Informationen vor, dass diese Woche noch die Bundesrechtsanwaltskammer hierzu extra eine Sondersitzung nach Berlin einberufen hat, um entsprechende Maßnahmen zu beschließen und die Kammermitglieder über den dringenden Handlungsbedarf zu informieren.

Was ist zu erwarten?

Der neue Bundesdatenschutzbeauftragte und gleichzeitige Vorsitzende der Europäischen Datenschutzbeauftragten Peter Schaar (Die Grünen) scheint seine Aufgabe sehr ernst zu nehmen, was an sich sehr lobenswert ist - denn jeder sollte an Datenschutz interessiert sein. Dies - und die Tatsache, dass die Aufsichtsbehörden umfangreich neue Prüfer installiert haben (alleine in Nordrhein-Westfalen soll es 40 neue Datenschützer geben!) - lässt darauf schließen, dass bei der Durchsetzung eher mit einer offensiveren Vorgehensweise der Aufsicht zu rechnen ist, als dies in der Vergangenheit der Fall war.

Datenschutzbeauftragte

Bezüglich der Bestellung eines internen Datenschutzbeauftragten sind nach dem neuen Datenschutzgesetz Einschränkungen zu beachten. Zum einen muss es sich gemäß der Bestimmungen des BDSG aus nachvollziehbaren Gründen um eine Person handeln, die mit jeweils ausreichendem juristischen und EDV-technischen Sachverstand ausgestattet ist. Andererseits darf der Datenschutzbeauftragte keine leitende Funktion im Unternehmen haben - Inhaber, Geschäftsführer, Kanzleichef und dergleichen scheiden damit ebenso aus wie z.B. Bürovorsteher / Personalleitung / EDV-Leiter.

Also gibt es zunächst zwei Alternativen:

Die entsprechende Fortbildung eines geeigneten Mitarbeiters zum internen Datenschutzbeauftragten. Hier fallen u.U. erhebliche und daher entsprechend teure Ausbildungskosten und Ausfallzeiten an.

Die Bestellung eines externen und erfahrenen Datenschutzbeauftragten, der selbstverständlich nicht umsonst arbeitet und dessen Einsatzzeit deshalb nicht unnötig ausgedehnt werden sollte.

Es gibt aber nach unseren Recherchen fast keine extern "mietbaren" Datenschutzbeauftragen (siehe weiter unten). Hier könnte sich also das aktuelle Problem ergeben, dass derzeit nur relativ wenige freie externe Datenschützer verfügbar sind und der Ansturm gewaltig sein wird, wenn die Tragweite der neuen Situation wirklich publik wird.

Die vorgeschriebene Dokumentation - die öffentlichen & internen Verfahrensverzeichnisse

Die Anfertigung des öffentlichen Verfahrensverzeichnisses ist eine relativ einfache Angelegenheit. Denkbar ist eine auf die Unternehmensart getrimmte Standardvorlage in Excel z.B., die mit dem Namen der Einrichtung, Anschrift und den Namen der fachverantwortlichen Personen ergänzt ausgefüllt wird (auf der SPECTRUM-Homepage http://www.spectrum-news.de/, im Bereich Downloads finden Sie solche Muster).

Die Erstellung der internen Verarbeitungsübersicht ist dagegen eine sehr umfangreiche und ohne entsprechendes juristisches, IT-technisches und unternehmensspezifisches Hintergrundwissen und Anleitung kaum möglich und kann auch keinesfalls standardisiert erfolgen, da sehr spezifische Fragen zur Situation im jeweiligen Unternehmen zu beantworten sind. Hier ist z.B. auch fachliches Wissen bezüglich Gebäudesicherheit usw. gefragt - bis hin zu DIN-Normen bei einbruchsicheren Türen und Fenstern.

In der Regel ist die Erstellung der kompletten Dokumentation nicht nur zwingend vorgeschrieben, sondern auch der reguläre Beginn der Tätigkeit eines internen oder externen Datenschutzbeauftragten, sie stellt quasi die Arbeitsgrundlage für seine Tätigkeit dar. Hiermit kommt also der Verfahrens-Dokumentation eine Schlüsselbedeutung zu!

Die Erstellung der geforderten Dokumentation hält SPECTRUM derzeit für das größte Problem, zumal ja bis zum Ablaufen der Frist 22.5.2004 nicht mehr viel Zeit bleibt.

Die Haus-Juristin der Datenschutzbeauftragten des Landes NRW meinte hierzu auf telefonisches Befragen, dass die Überwachungsbehörde wohl noch nicht sofort ein Bußgeld verhängen würde, wenn am 23.5. diese Dokumentation noch nicht fertig sei - diese müsste dann aber in spätestens 1 - 2 Monaten nachgereicht werden. Auch hier hält man diese im Gesetz vorgeschriebene Verfahrens-Dokumentation also für den Basis-Schlüssel des neuen Bundesdatenschutzgesetzes.

Hilfe zur Selbsthilfe

SPECTRUM testet z.Zt. ein preiswertes Datenschutzbeauftragten-Softwareprogramm (unter 150,00 Euro), welches programmgestützt, interaktiv und mit einem integrierten, fachbezogenen riesigen Hilfesystem durch die komplexe Datenschutz-Materie führt - mit dem Ziel, dass Sie dann zum Schluss nur noch eine Taste drücken müssen, um ihre individuelle interne Verfahrens-Dokumentation zu drucken (quasi ein Expertisen-System für interne oder externe Datenschutzbeauftragte).

Ein solches Online-Programm im eigenen EDV-Netzwerk macht auch Sinn, im Gegensatz zu einer Papier-Dokumentation, denn die IT-Landschaft in Unternehmen unterliegt ja der kontinuierlichen Änderung und die Verfahrensdokumentation muss daher laufend angepasst werden - d.h. am besten online.

Diese spezielle Software stammt von einem namhaften süddeutschen Softwarehaus, welches auf Kanzlei-Software spezialisiert ist. Die Software wurde in sehr enger Zusammenarbeit mit erfahrenen Datenschutzbeauftragten entwickelt, wurde den Datenschutz-Aufsichtsbehörden vorgestellt und von diesen als ausgesprochen wirkungsvolles Werkzeug bewertet. Diese Software wurde auf der CeBIT 2004 im Datenschutz Competence Center (DCC) auf dem Stand der Gesellschaft für Datenschutz und Datensicherheit e.V. (GDD) ausgestellt und fand sehr großen Anklang.

Derzeit gibt es schon eine Branchenlösung für Rechtsanwaltskanzleien und SPECTRUM entwickelt zusammen mit dem Softwarehaus jetzt eine spezielle Branchen-Variante für Steuerberatungskanzleien, die wahrscheinlich in den nächsten Tagen auf den Markt kommen wird.

Trotz aller techn. Unterstützung durch ein solches Programm, muss man die Handhabung erlernen und dann zig Stunden alle Fragen interaktiv beantworten - so wie der arme Bürger, der sich den Steuerberater sparen möchte und mit einem WISO- oder Taxman-ESt-Programm selbst seine Steuererklärung machen möchte.

Wen sollte man zum Datenschutzbeauftragten machen ?

Das Gesetz schreibt vor: "Zum Beauftragten für den Datenschutz darf nur bestellt werden, wer die zur Erfüllung seiner Aufgaben erforderliche Fachkunde und Zuverlässigkeit besitzt" und weiter "mit dieser Aufgabe kann auch eine Person außerhalb der verantwortlichen Stelle betraut werden" (sog. externer Datenschutzbeauftragter). Im Gesetz steht weiterhin: "Der Beauftragte für den Datenschutz ist dem Leiter der öffentlichen oder nichtöffentlichen Stelle unmittelbar zu unterstellen. Er ist in Ausübung seiner Fachkunde auf dem Gebiet des Datenschutzes weisungsfrei. Er darf wegen der Erfüllung seiner Aufgaben nicht benachteiligt werden."

Da leitende Personen in einer Kanzlei (Kanzlei-Chef, Partner, Bürovorsteher usw.) als interne Datenschutzbeauftragte ausfallen, der sog. Netzwerk-Administrator möglichst auch nicht die "unabhängige" Funktion des internen Datenschutzbeauftragten wahrnehmen sollte (der würde sich ja zum großen Teil selbst kontrollieren), bleibt eigentlich für die meisten Kanzleien nur der Gang zu einem "externen" Datenschutzbeauftragten.

Wenn man sich nun aber auf die Suche nach einem "externen" Datenschutzbeauftragten macht, dem man jährlich für diese gesetzlich vorgeschriebene und auch sicherlich notwendige Arbeit ein paar hundert Euro zahlen will und der dafür dann immer alles notwendige für die Kanzlei veranlasst, der wird erstaunt feststellen, dass diese Marktlücke noch fast keiner erkannt hat. In den sog. "Gelben Seiten" gibt es z.B. bundesweit nur einen Eintrag.

Fragt man z.B. bei der GDD (Gesellschaft für Datenschutz und Datensicherung e.V.) nach - hierin sind fast alle bundesweit tätigen professionellen Datenschützer organisiert - dann kennen die schon externe Datenschutzbeauftragte, z.B. jemand, der für mehrere konfessionsgebundene und kommunale Krankenhäuser gleichzeitig als DSB tätig ist. Aber externe Datenschützer für die Betreuung von zig Steuerberatungs-, Rechtsanwalts- und Wirtschaftsprüfungs-Kanzleien - quasi für ein Massengeschäft - kennt man da auch nicht.

SPECTRUM hat auch für seine Kunden telefonisch versucht bei der Dienststelle der Datenschutzbeauftragten des Landes NRW Adresslisten solcher regional tätigen externen Datenschutzbeauftragten zu erfragen und stieß dort nur auf großes Erstaunen. Man kannte wohl z.B. einen Datenschutzbeauftragten der Stadt Düsseldorf, der auch für einige rechtlich selbstständigen Kliniken als externer Datenschützer tätig war, aber ... Organisationen, Beratungsfirmen usw. die so etwas für viele Kanzleien übernehmen könnten, kannte man dort auf Anhieb nicht. Nach dieser ernüchternden telefonischen Auskunft hat SPECTRUM sich schriftlich und offiziell an die NRW-Datenschutzbeauftragte gewandt und eine Reihe von auf den Kanzleibetrieb bezogenen Fragen gestellt - über die Antworten wird hier dann in einer der nächsten SPECTRUM-NEWS zu diesem Thema berichtet.

Man sollte aber auch nicht "den Bock zum Gärtner machen" - DATEV und DATEV-Systempartner scheiden wohl als externe Datenschutzbeauftragte aus.

Da in den Kanzleien ja oft die Produkte der DATEV eingesetzt werden verbietet sich hier eigentlich, die DATEV selbst mit den Datenschutz-Consultingarbeiten für Kanzleien zu beauftragen. Dies gilt übrigens gleichermaßen auch für die DATEV-Systempartner, denn deren Installationen (Internet-Anbindungen, Heimarbeitsplatz-Einwahl, VPN-Verbindungen, Fernbetreuungs-Router, Passwortvergabe, Sicherheitseinrichtungen usw.) bieten ja gerade eines der Gefährdungspotentiale, welches durch einen externen Datenschutzbeauftragten erfasst und kontrolliert werden sollte. Andererseits muss aber ein externer oder interner Datenschutzbeauftragter ein ausgeprägtes DATEV-bezogenes, technisches Kanzlei-Spezialwissen haben und sich ergänzend im Standesrecht auskennen.

Jetzt kann man noch z.B. zum TÜV-Rheinland gehen, hier bietet z.B. die Tochter "TÜV Secure iT GmbH" den externen Datenschutz-Beauftragten an, den sog. "TÜV-EDSB". Nur die sind auf Großunternehmen eingerichtet und von einer klassischen Steuerberatungskanzlei nicht mehr finanzierbar.

PS: Haben Sie schon einen Betriebsarzt?

Sie sagen, diese Auflagen nach dem neuen BDSG seien alles Quatsch - soviel Bürokratur (Kunstwort aus Bürokratie und Diktatur) kann es doch selbst in Deutschland nicht geben - dann täuschen Sie sich. Es gibt übrigens auch noch eine Verpflichtung für alle Betriebe (auch für Kanzleien!), bei der die Übergangszeiten (Schonfristen) auch in 2004 ausgelaufen sind und die auch fast unbekannt ist: Jedes Unternehmen muss ab dem ersten Arbeitnehmer einen richtigen Betriebsarzt beauftragt haben - also auch Sie! Die Berufsgenossenschaften sind schon unterwegs, um dies hart zu kontrollieren. Gemäß Arbeitssicherheitsgesetz § 3 ASiG und in Verbindung mit den Unfallverhütungsvorschriften § 2 ff. BGV A7 ist für JEDEN Betrieb die Beauftragung eines arbeitsmedizinisch-zertifizierten offiziellen Betriebsarzt vorgeschrieben, der unterschiedlich viele Arbeitsstunden (je nach Gefahrenpotential und Mitarbeiteranzahl pro Betrieb) als Mindest-Einsatzzeit aufzuwenden hat. "Die Betriebsärzte haben die Aufgabe, den Arbeitgeber beim Arbeitsschutz und bei der Unfallverhütung in allen Fragen des Gesundheitsschutzes zu unterstützen" so der Wortlaut im Gesetz - d.h. sinnvolle Vorsorgeuntersuchungen usw. sind hiermit nicht gemeint.


Newsletter
 hier abonnieren