Nachdem mit dem Verzeichnis der Verarbeitungstätigkeiten die Grundlage für das Datenschutz-Managementsystem geschaffen ist, sind die konkreten Anforderungen aus der DSGVO zu betrachten, für deren Erfüllung diese Informationen notwendig sind. Daher steigen wir nun in den wichtigen Themenkomplex der Betroffenenrechte ein. Deren Stärkung stellt eine der wesentlichen Änderungen dar, die mit der Einführung DSGVO erreicht werden sollen.
Im Erwägungsgrund 60 heißt es dazu explizit "Die Grundsätze einer fairen und transparenten Verarbeitung machen es erforderlich, dass die betroffene Person über die Existenz des Verarbeitungsvorgangs und seine Zwecke unterrichtet wird." Die DSGVO widmet dem Bereich "Rechte der betroffenen Person" ein Kapitel mit 11 Artikeln, um die Informations- und Auskunftspflichten der für die Datenverarbeitung verantwortlichen Stellen und die Rechte der von der Verarbeitung betroffenen Personen zu definieren.
Wann muss die Kanzlei informieren?
In Artikel 13 DSGVO findet man eine konkrete Auflistung der Informationen, die der Verantwortliche dem Betroffenen zum Zeitpunkt der Erhebung seiner Daten mitteilen muss. Die Information muss dem Betroffenen also in dem Moment vorlegen, in dem dieser personenbezogene Daten preisgibt. Hier einige Beispiele:
Betroffener |
Welche Daten? |
Ersterhebung |
Information durch Datenschutzhinweis |
Besucher der Homepage |
z. B. IP-Adresse, bei Nutzung von Kontaktformularen Name und Adressdaten |
IP-Adresse sofort beim Aufruf der Homepage, Formulardaten beim Absenden des Formulars |
Muss sofort beim Aufruf der Homepage einsehbar sein (Direktverlinkung von der Startseite) |
Interessent, telefonische Kontaktaufnahme |
Name, Firmendaten, Angaben zum Unternehmen oder zu persönlichen Verhältnissen, falls Privatmandat |
Notiz der Informationen während des Gesprächs |
Anrufer muss auf Datenschutzinformation hingewiesen werden (z. B. Link auf Homepage), kann diese vor Herausgabe der Daten anfordern. Ansonsten direkt nach Erfassung der Daten z. B. per E-Mail zur Verfügung stellen. |
Mandat |
Alle im Rahmen der Mandatsbearbeitung notwendigen personenbezogenen Daten. |
Bei Mandatsaufnahme. |
Optimal im Steuerberatungsvertrag, Aushändigung bei Annahme des Mandats |
Mitarbeiter |
Alle im Rahmen des Arbeitsvertrages erforderlichen Daten. Ggf. Einwilligung für Verwendung des Fotos. |
Bei Abschluss des Arbeitsvertrages (Achtung: Hier gilt es noch weitere Unterlagen zum Datenschutz vorzuhalten. |
In gleicher Form wie Arbeitsvertrag, sprich in der Regel schriftlich. |
Welche Informationen sind notwendig?
Folgende Informationen müssen dem Betroffenen zu Beginn der Datenverarbeitung zur Verfügung stehen:
Name und Kontaktdaten der Kanzlei,
- die Kontaktdaten des Datenschutzbeauftragten, sofern dieser benannt werden muss,
- die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung (Vertragsverhältnis, rechtliche Grundlage etc.),
- bei Verarbeitung nach Art. 6 Abs. 1f (Berechtigte Interessen des Verantwortlichen oder Dritter als Erlaubnis für die Verarbeitung), die berechtigten Interessen, die von dem Verantwortlichen oder einem Dritten verfolgt werden,
- falls die Daten weitergegeben werden, die konkreten Empfänger oder Kategorien von Empfängern (z. B. Behörden, Gesellschafter) der personenbezogenen Daten und
- gegebenenfalls die Absicht des Verantwortlichen, die personenbezogenen Daten an ein Drittland oder eine internationale Organisation zu übermitteln, sowie das Vorhandensein oder das Fehlen eines Angemessenheitsbeschlusses der Kommission oder im Falle von Übermittlungen gemäß Artikel 46 oder Art. 47 oder Artikel 49 Abs. 1 Unterabsatz 2 einen Verweis auf die geeigneten oder angemessenen Garantien und die Möglichkeit, wie eine Kopie von ihnen zu erhalten ist, oder wo sie verfügbar sind.
Hier kommt das Verzeichnis der Verarbeitungstätigkeiten ins Spiel, über das im 2. Kapitel informiert wurde. Wer diesbezüglich seine Hausaufgaben gemacht hat, kann die notwendigen Angaben schnell zusammentragen: es muss lediglich nachgesehen werden, in welche Prozesse Daten des Betroffenen einfließen. Die geforderten Informationen können aus dem Verzeichnis zusammengetragen und unkompliziert in Form eines Datenschutzhinweises weitergegeben werden. Es lohnt sich also, etwas mehr Aufwand für die Erstellung und regelmäßige Pflege des Verzeichnisses der Verarbeitungstätigkeiten zu investieren und hier auch die Unterstützung des Datenschutzspezialisten der Kanzlei hinzuzuziehen.
Zusätzlich zu den oben aufgeführten Informationen muss die Kanzlei dem Betroffenen noch weitere Angaben über die Verwendung seiner Daten und seine Rechte gegenüber der Kanzlei verfügbar machen:
- die Dauer, für die die personenbezogenen Daten gespeichert werden oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer,
- das Bestehen eines Rechts auf Auskunft seitens des Verantwortlichen über die betreffenden personenbezogenen Daten sowie auf Berichtigung oder Löschung oder auf Einschränkung der Verarbeitung ode...