Steuerberater und die EU-Datenschutz-Grundverordnung / 2 Verzeichnis der Verarbeitungstätigkeiten als Grundlage für Datenschutz-Maßnahmen

Im Rahmen der tatsächlichen Umsetzung des Datenschutzes fällt für Steuerkanzleien eine Reihe von Tätigkeiten an. Das Fundament für diese Maßnahmen bildet das Verzeichnis der Verarbeitungstätigkeiten.

Der Datenschutzbeauftragte bzw. die mit der Umsetzung betraute Person hat nun eine ganze Menge Aufgaben zu erfüllen, wie z. B. die Wahrung von Betroffenenrechten, vertragliche Regelungen mit Dienstleistern oder die Überwachung der erforderlichen Maßnahmen aus der IT-Sicherheit. Um diese Aufgaben angehen zu können, muss die Kanzleileitung eine grundlegende Hausaufgabe erledigen: das Verzeichnis der Verarbeitungstätigkeiten, geregelt im Art. 30 DSGVO, ist zu erstellen.

Was ist ein "Verzeichnis der Verarbeitungstätigkeiten"?

Im Artikel 30 DSGVO heißt es "Jeder Verantwortliche und gegebenenfalls sein Vertreter führen ein Verzeichnis aller Verarbeitungstätigkeiten, die ihrer Zuständigkeit unterliegen." Die Erstellung des Verzeichnisses ist demnach konkret der Kanzleileitung zugedacht. In der DSGVO werden auch Ausnahmen genannt, die von der Führung des Verzeichnisses befreien. Diese treffen allerdings auf Steuerkanzleien mit regelmäßigem Geschäftsbetrieb nicht zu.

Ziel des Verzeichnisses ist es, eine Übersicht über alle Verarbeitungsvorgänge in der Kanzlei zu führen, in die personenbezogene Daten eingebunden sind. Damit wird es zur Grundlage für die Auswahl und Umsetzung der notwendigen Maßnahmen im Datenschutz. Erst wenn bekannt ist, in welchen Prozessen welche personenbezogenen Daten verarbeitet werden, aus welchem Grund das passiert, wer Zugriff darauf hat usw., können die Anforderungen der DSGVO an diese Verarbeitungsprozesse sowie die Rechte betroffener Personen zielführend umgesetzt werden.

Personenbezogene Daten und der Begriff der Verarbeitung

Art. 4 DSGVO liefert genaue Definitionen für beide Begriffe.

"Personenbezogene Daten" sind demnach "alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden 'betroffene Person') beziehen". Als "identifiziert" gilt eine betroffene Person immer dann, wenn aus den vorliegenden Daten ganz klar eine konkrete Person benennbar ist. Das ist z. B. immer dann der Fall, wenn Name, Adresse und Geburtsdatum vorliegen. Der Name allein muss nicht immer zur Identifikation einer Person führen. Wer beispielsweise im Internet nach einem "Florian Müller" sucht wird schnell feststellen, dass diese Angaben nicht ausreichen. Als "identifizierbar" wird eine Person angesehen, die man durch Auswertung der vorhandenen Daten mittels (technischer) Rückschlüsse eindeutig identifizieren kann. Beispiele für solche Daten sind z. B. die Nummer des Personalausweises, eine Telefonnummer oder Informationen, die in Kombination zur Identifikation der Person führen können, wie Adresse und die Beschreibung des Aussehens der Person.

Unter "Verarbeitung" versteht man "jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung". Die Unterscheidung zwischen identifizierter und identifizierbarer betroffener Person ist nicht immer trennscharf und muss für unsere Zwecke nicht näher betrachtet werden. Für die Erstellung des Verzeichnisses der Verarbeitungstätigkeiten muss die Kanzleileitung lediglich berücksichtigen, dass es nicht nur um Prozesse geht, in denen eindeutig identifizierbare Merkmale wie ein Name verarbeitet werden, sondern auch um solche, in denen andere Informationen über eine Person enthalten sind.

Welche Verarbeitungsprozesse in das Verzeichnis aufnehmen?

Da selbst in Dokumenten wie dem Jahresabschluss einer Kapitalgesellschaft personenbezogene Daten vorkommen (z. B. Namen der Gesellschafter, Auflistung von Privatdarlehen o. ä.) sind im Grunde alle Verarbeitungen in das Verzeichnis aufzunehmen. In der Praxis ist häufig der Gedanke verbreitet, dass es hier nur um mandatsbezogene Prozesse geht. Auch in Vorgängen, die nur die Kanzlei intern betreffen, sind jedoch in der Regel personenbezogene Daten enthalten: allen voran das eigene Personalwesen und das Bewerbermanagement, aber auch in Unterlagen wie z. B. einer Jahresplanung oder der Auslastungsübersicht finden sich Namen von Mitarbeitern oder Mandantennamen bzw. Mandantennummern.

Wird ein einzelnes Verfahren identifiziert, in dem tatsächlich keinerlei personenbezogene Daten vorzufinden sind, gilt es sicherzustellen, dass dies auch in Zukunft so bleibt und nicht z. B. durch Bemerkungen oder Erweiterungen einer Liste geändert wird. Es macht daher Sinn, auch diese Prozesse in das Verzeichnis aufzunehmen, um sie bei der regelmäßigen Aktualisierung nicht zu übersehen.

Kurz gefasst sollten alle Prozesse der K...