DSGVO: Betroffenenrechte und Kanzleihomepage | Steuern

Dipl.-Kffr. Christine Munker

Datenschutzmanager (TÜV), Geschäftsführerin

Serienelemente

Teil 5 - Auftragsverarbeitung durch Kanzleidienstleister
Teil 4 – Betroffenenrechte: Auskunftsrecht der betroffenen Person
Teil 3 - Betroffenenrechte: Informationspflichten auf der Kanzleihomepage
Teil 2 - Verzeichnis von Verarbeitungstätigkeiten Steuerberater
Teil 1 - Jetzt die richtigen Datenschutz-Maßnahmen ergreifen

DSGVO: Betroffenenrechte und Kanzleihomepage — Bild: Haufe Online Redaktion

Die Stärkung der Betroffenenrechte ist eine der wesentlichen Änderungen, die mit der Einführung der EU-Datenschutz-Grundverordnung (DSGVO) erreicht werden sollen.

Im Erwägungsgrund 60 heißt es dazu explizit "Die Grundsätze einer fairen und transparenten Verarbeitung machen es erforderlich, dass die betroffene Person über die Existenz des Verarbeitungsvorgangs und seine Zwecke unterrichtet wird." Die DSGVO widmet dem Bereich "Rechte der betroffenen Person" ein Kapitel mit 11 Artikeln, um die Informations- und Auskunftspflichten der für die Datenverarbeitung verantwortlichen Stellen und die Rechte der von der Verarbeitung betroffenen Personen zu definieren.

Wann muss die Kanzlei informieren?

In Artikel 13 DSGVO findet man eine konkrete Auflistung der Informationen, die der Verantwortliche dem Betroffenen zum Zeitpunkt der Erhebung seiner Daten mitteilen muss. Die Information muss dem Betroffenen also in dem Moment vorlegen, in dem dieser personenbezogene Daten preisgibt. Hier einige Beispiele:

Betroffener	Welche Daten?	Ersterhebung	Information durch Datenschutzhinweis
Besucher der Homepage	z.B. IP-Adresse, bei Nutzung von Kontaktformularen Name und Adressdaten	IP-Adresse sofort beim Aufruf der Homepage, Formulardaten beim Absenden des Formulars	Muss sofort beim Aufruf der Homepage einsehbar sein (Direktverlinkung von der Startseite)
Interessent, telefonische Kontaktaufnahme	Name, Firmendaten, Angaben zum Unternehmen oder zu persönlichen Verhältnissen, falls Privatmandat	Notiz der Informationen während des Gesprächs	Anrufer muss auf Datenschutzinformation hingewiesen werden (z. B. Link auf Homepage), kann diese vor Herausgabe der Daten anfordern. Ansonsten direkt nach Erfassung der Daten z.B. per E-Mail zur Verfügung stellen.
Mandat	Alle im Rahmen der Mandatsbearbeitung notwendigen personenbezogenen Daten.	Bei Mandatsaufnahme.	Optimal im Steuerberatungsvertrag, Aushändigung bei Annahme des Mandats
Mitarbeiter	Alle im Rahmen des Arbeitsvertrages erforderlichen Daten. Ggf. Einwilligung für Verwendung des Fotos.	Bei Abschluss des Arbeitsvertrages (Achtung: Hier gilt es noch weitere Unterlagen zum Datenschutz vorzuhalten.	In gleicher Form wie Arbeitsvertrag, sprich in der Regel schriftlich.

Welche Informationen sind notwendig?

Folgende Informationen müssen dem Betroffenen zu Beginn der Datenverarbeitung zur Verfügung stehen:

Name und Kontaktdaten der Kanzlei,

die Kontaktdaten des Datenschutzbeauftragten, sofern dieser benannt werden muss,
die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung (Vertragsverhältnis, rechtliche Grundlage etc.),
bei Verarbeitung nach Art. 6 Abs. 1f (Berechtigte Interessen des Verantwortlichen oder Dritter als Erlaubnis für die Verarbeitung), die berechtigten Interessen, die von dem Verantwortlichen oder einem Dritten verfolgt werden,
falls die Daten weitergegeben werden, die konkreten Empfänger oder Kategorien von Empfängern (z.B. Behörden, Gesellschafter) der personenbezogenen Daten und
gegebenenfalls die Absicht des Verantwortlichen, die personenbezogenen Daten an ein Drittland oder eine internationale Organisation zu übermitteln, sowie das Vorhandensein oder das Fehlen eines Angemessenheitsbeschlusses der Kommission oder im Falle von Übermittlungen gemäß Artikel 46 oder Art. 47 oder Artikel 49 Abs. 1 Unterabsatz 2 einen Verweis auf die geeigneten oder angemessenen Garantien und die Möglichkeit, wie eine Kopie von ihnen zu erhalten ist, oder wo sie verfügbar sind.

Tipp: Hier kommt das Verzeichnis der Verarbeitungstätigkeiten ins Spiel, über das im 2. Teil der Serie informiert wurde. Wer diesbezüglich seine Hausaufgaben gemacht hat, kann die notwendigen Angaben schnell zusammentragen: es muss lediglich nachgesehen werden, in welche Prozesse Daten des Betroffenen einfließen. Die geforderten Informationen können aus dem Verzeichnis zusammengetragen und unkompliziert in Form eines Datenschutzhinweises weitergegeben werden. Es lohnt sich also, etwas mehr Aufwand für die Erstellung und regelmäßige Pflege des Verzeichnisses der Verarbeitungstätigkeiten zu investieren und hier auch die Unterstützung des Datenschutzspezialisten der Kanzlei hinzuzuziehen.

Zusätzlich zu den oben aufgeführten Informationen muss die Kanzlei dem Betroffenen noch weitere Angaben über die Verwendung seiner Daten und seine Rechte gegenüber der Kanzlei verfügbar machen:

die Dauer, für die die personenbezogenen Daten gespeichert werden oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer,
das Bestehen eines Rechts auf Auskunft seitens des Verantwortlichen über die betreffenden personenbezogenen Daten sowie auf Berichtigung oder Löschung oder auf Einschränkung der Verarbeitung oder eines Widerspruchsrechts gegen die Verarbeitung sowie des Rechts auf Datenübertragbarkeit;
wenn die Verarbeitung auf Basis einer expliziten Einwilligung stattfindet, das Bestehen eines Rechts, die Einwilligung jederzeit zu widerrufen, ohne dass die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung berührt wird,
das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde mit Nennung der zuständigen Aufsichtsbehörde für den Datenschutz,
ob die Bereitstellung der personenbezogenen Daten gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist, ob die betroffene Person verpflichtet ist, die personenbezogenen Daten bereitzustellen, und welche mögliche Folgen die Nichtbereitstellung hätte und
das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Art. 22 Abs. 1 und 4 und – zumindest in diesen Fällen – aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person.

Der Datenschutzhinweis auf der Kanzleihomepage

In diesem Teil der Serie wollen wir uns konkret der Erfüllung von Informationspflichten auf der Kanzleihomepage widmen. Fakt ist, dass die bisherigen Datenschutzhinweise, oder die Datenschutzerklärung, grundlegend überarbeitet werden müssen und in der bisher vorgeschriebenen Form nicht mehr ausreichen.

Zunächst sei der Hinweis gestattet, dass auch die IP-Adresse eines Besuchers der Homepage ein personenbezogenes Datum ist, was der EuGH bereits 2011 in einem Urteil v. 24.11.2011 (Rs. C-70/10) bestätigte. Jeder Internetnutzer, der die Homepage der Kanzlei besucht, hinterlässt somit automatisch mindestens dieses personenbezogene Datum. Das ist nur dann nicht der Fall, wenn die IP-Adresse vom Provider/Hoster der Homepage vor der Speicherung anonymisiert wird. Das geschieht, in dem die letzten drei Stellen der IP-Adresse auf "Null" gesetzt werden (bei IPv6-Adressen die letzten 80 der 128 Bits), damit ist kein Querverweis zwischen der Person und der zugewiesenen IP-Adresse mehr möglich.

Um korrekte Datenschutzhinweise für die Kanzleihomepage zu erstellen, müssen im ersten Schritt 2 Fragen geklärt werden:

Welche personenbezogenen Daten, inkl. der IP-Adresse, werden auf der Homepage verarbeitet?
Welche Dritten sind an dieser Verarbeitung beteiligt?

Die Frage, ob Dritte an der Verarbeitung beteiligt sind, stellt sich nur für Kanzleien, die einen eigenen Webserver betreiben. Die meisten Kanzleien greifen jedoch an dieser Stelle auf die Unterstützung eines Internet-Service-Anbieters für das Hosting der Homepage zu.

Tipp: Auch hier kann wieder auf das bereits beschriebene Verzeichnis der Verfahrenstätigkeiten verwiesen werden. Darin müssen, wenn das Verzeichnis korrekt erstellt wurde, alle Datenverarbeitungen auf dem Internetangebot der Kanzlei mit den notwendigen Informationen enthalten sein. Neben der Speicherung der IP-Adresse durch den Hoster der Homepage sind z. B. auch eingebundene Eingabeformulare, z. B. ein Kontaktformular oder ein Formular für Onlinebewerbungen, zu beachten.

Nachfolgend finden Sie eine beispielhafte Gliederung für eine Datenschutzinformation / einen Datenschutzhinweis für die Kanzleihomepage:

1. Verantwortliche Stelle
a. Name und Kontaktdaten der Kanzlei
b. Sofern vorhanden Kontaktdaten des Datenschutzbeauftragten
c. Adresse der Zuständigen Datenschutz-Aufsichtsbehörde ist empfehlenswert.

2. Datenverarbeitung
a. Aufzählung der personenbezogenen Daten (z. B. IP-Adresse) oder der Kategorien personenbezogener Daten (z. B. Adressdaten), die auf der Homepage verarbeitet werden.
b. Dauer der Speicherung dieser Daten (sofern nicht konkret benennbar die Kriterien für die Festlegung der Speicherdauer, z. B. gesetzliche Archivierungsfristen).
c. Zwecke der Datenverarbeitung (z. B. Bereitstellung einer Kanzleipräsenz im Internet).
d. Angabe der Rechtsgrundlage für die Verarbeitung.

Achtung: Die in 2. genannten Informationen sind separat für jeden Dritten (Hosting, eingebundene Tools), der personenbezogene Daten des Benutzers verarbeitet, anzugeben.

3. Weitergabe und Auslandsbezug

Sofern die Weitergabe der Daten an ein Drittland oder an eine internationale Organisation geplant ist, sind hier entsprechende Informationen dazu zu hinterlegen, insbesondere über Vorhandensein oder Fehlen eines Angemessenheitsbeschlusses der Kommission und der Verweis auf geeignete oder angemessene Garantien und die Möglichkeit, wie eine Kopie von ihnen zu erhalten ist, oder wo sie verfügbar sind.

4. Betroffenenrechte

a. Bestehen eines Rechts auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung oder eines Widerspruchsrechts gegen die Verarbeitung sowie des Rechts auf Datenübertragbarkeit.
b. Bestehen eines Rechts, eine eventuell erteilte Einwilligung in die Datenverarbeitung jederzeit zu widerrufen, ohne dass die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung berührt wird.
c. Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde.

Bearbeitungshinweise: Diese Gliederung stellt keine vorgeschriebene Reihenfolge der Informationen dar. Bei der Formulierung des Datenschutzhinweises sowie bei der optischen Gestaltung ist vielmehr darauf zu achten, dass die Informationen in einer leicht verständlichen und einfach zugänglichen Art und Weise vom Betroffenen einzusehen sind. Wir empfehlen dringend, die Unterstützung Ihres Datenschutzspezialisten bei der Erstellung des Datenschutzhinweises hinzuzuziehen!

Tools von Drittanbietern

Ein besonderes Augenmerk ist auf in die Kanzleihomepage eingebundene Tools von Drittanbietern zu richten, damit diese nicht übersehen werden. Wird eine Benutzeranalyse durchgeführt, so sind in der Regel Tools wie Google Analytics oder Piwik in die Homepage eingebunden. Diese Tools verarbeiten ggf. die IP-Adresse der Besucher und müssen im Detail im Datenschutzhinweis aufgeführt werden.

Wer einen Newsletteranbieter wie z.B. Cleverreach einbindet, wer ein Tool zur aktuellen Anzeige von Börsenkursen nutzt, eine Wettervorhersage am Standort der Kanzlei anzeigt oder einen kostenlosen Routenplaner in die Homepage integriert, muss diese Tools dahingehend untersuchen, ob die IP-Adresse des Besuchers verarbeitet wird. Falls das so ist, müssen diese Verarbeitungen auch im Verzeichnis der Verarbeitungstätigkeit mit den notwendigen Informationen aufgeführt sein. Es sollte außerdem darauf geachtet werden, ob durch die Nutzung der Tools eine Auftragsverarbeitung zu Stande kommt, da hier eine datenschutzkonforme Durchführung der Verarbeitung und der Abschluss vertraglicher Vereinbarungen sicherzustellen ist.

Fazit

Die Informationspflichten der Kanzlei werden durch die DSGVO grundlegend erweitert. Allein im Hinblick auf den Datenschutzhinweis der Kanzleihomepage sind wesentlich mehr und detailliertere Auskünfte erforderlich, als das bisher der Fall war. Beschäftigt man sich mit den verpflichtenden Inhalten der Informationen zum Datenschutz – auch unabhängig vom Datenschutzhinweis der Homepage – stellt man schnell fest, dass ein sauber geführtes Verzeichnis der Verfahrenstätigkeit diese Aufgabe spürbar erleichtert. Diese Erkenntnis trifft auch auf die zu erstellenden Datenschutzinformationen für Mandanten und Beschäftigte sowie auf die Erfüllung der Auskunftsrechte Betroffener zu, auf die wir im nächsten Teil der Serie eingehen.

1
2
3(current)
4
5

Meistgelesene beiträge

Neueste beiträge

Unterkunftskosten bei einer doppelten Haushaltsführung im Ausland

19.04.2024
Neuregelung des häuslichen Arbeitszimmers und der Pauschalen ab VZ 2023

18.04.2024
Bis zu 10 % jährliche Abschreibung: AfA-Turbo für Wohnimmobilien

12.04.2024
Abschluss einer energetischen Maßnahme gem. § 35c EStG bei Ratenzahlung

11.04.2024
E-Rechnung: Chance und Herausforderung für Steuerkanzleien

09.04.2024
Außerbilanzielle Korrekturen bei der Gewinngrenze des § 7g EStG

02.04.2024
Drei-Tages-Bekanntgabefiktion bei Zugang vor Rücknahme der Vollmacht

28.03.2024
Grunderwerbsteuer bei Verlängerung eines Erbbaurechts

22.03.2024
Unterschiede von Erststudium und Zweitstudium bei Kindergeld und Werbungskosten

21.03.2024
Verfassungsmäßigkeit der zumutbaren Belastung weiterhin auf dem Prüfstand

20.03.2024

Teil 3 - Betroffenenrechte: Informationspflichten auf der Kanzleihomepage

Wann muss die Kanzlei informieren?

Welche Informationen sind notwendig?

Der Datenschutzhinweis auf der Kanzleihomepage

Tools von Drittanbietern

Fazit