Verzeichnis von Verarbeitungstätigkeiten Steuerberater

Im Rahmen der tatsächlichen Umsetzung des Datenschutzes fällt für Steuerkanzleien eine Reihe von Tätigkeiten an. Das Fundament für diese Maßnahmen bildet das Verzeichnis der Verarbeitungstätigkeiten.

Im ersten Teil der Serie "Steuerberater, Datenschutz und die EU-Datenschutz-Grundverordnung" haben wir uns mit der Frage beschäftigt, wer sich um den Datenschutz in einer Steuerkanzlei kümmern kann. 

Der Datenschutzbeauftragte bzw. die mit der Umsetzung betraute Person hat nun eine ganze Menge Aufgaben zu erfüllen, wie z. B. die Wahrung von Betroffenenrechten, vertragliche Regelungen mit Dienstleistern oder die Überwachung der erforderlichen Maßnahmen aus der IT-Sicherheit. Um diese Aufgaben angehen zu können, muss die Kanzleileitung eine grundlegende Hausaufgabe erledigen: das Verzeichnis von Verarbeitungstätigkeiten, geregelt im Art. 30 DSGVO, ist zu erstellen.

Was ist ein "Verzeichnis von Verarbeitungstätigkeiten"?

Im Artikel 30 DSGVO heißt es "Jeder Verantwortliche und gegebenenfalls sein Vertreter führen ein Verzeichnis aller Verarbeitungstätigkeiten, die ihrer Zuständigkeit unterliegen." Die Erstellung des Verzeichnisses ist demnach konkret der Kanzleileitung zugedacht. In der DSGVO werden auch Ausnahmen genannt, die von der Führung des Verzeichnisses befreien. Diese treffen allerdings auf Steuerkanzleien mit regelmäßigem Geschäftsbetrieb nicht zu.

Ziel des Verzeichnisses ist es, eine Übersicht über alle Verarbeitungsvorgänge in der Kanzlei zu führen, in die personenbezogene Daten eingebunden sind. Damit wird es zur Grundlage für die Auswahl und Umsetzung der notwendigen Maßnahmen im Datenschutz. Erst wenn bekannt ist, in welchen Prozessen welche personenbezogenen Daten verarbeitet werden, aus welchem Grund das passiert, wer Zugriff darauf hat usw., können die Anforderungen der DSGVO an diese Verarbeitungsprozesse sowie die Rechte betroffener Personen zielführend umgesetzt werden.

Personenbezogene Daten und der Begriff der Verarbeitung

Art. 4 DSGVO liefert genaue Definitionen für beide Begriffe.

"Personenbezogene Daten" sind demnach "alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden 'betroffene Person') beziehen". Als "identifiziert" gilt eine betroffene Person immer dann, wenn aus den vorliegenden Daten ganz klar eine konkrete Person benennbar ist. Das ist z.B. immer dann der Fall, wenn Name, Adresse und Geburtsdatum vorliegen. Der Name allein muss nicht immer zur Identifikation einer Person führen. Wer beispielsweise im Internet nach einem "Florian Müller" sucht wird schnell feststellen, dass diese Angaben nicht ausreichen. Als "identifizierbar" wird eine Person angesehen, die man durch Auswertung der vorhandenen Daten mittels (technischer) Rückschlüsse eindeutig identifizieren kann. Beispiele für solche Daten sind z.B. die Nummer des Personalausweises, eine Telefonnummer oder Informationen, die in Kombination zur Identifikation der Person führen können, wie Adresse und die Beschreibung des Aussehens der Person.

Unter "Verarbeitung" versteht man "jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung".Die Unterscheidung zwischen identifizierter und identifizierbarer betroffener Person ist nicht immer trennscharf und muss für unsere Zwecke nicht näher betrachtet werden. Für die Erstellung des Verzeichnisses der Verarbeitungstätigkeiten muss die Kanzleileitung lediglich berücksichtigen, dass es nicht nur um Prozesse geht, in denen eindeutig identifizierbare Merkmale wie ein Name verarbeitet werden, sondern auch um solche, in denen andere Informationen über eine Person enthalten sind.

Welche Verarbeitungsprozesse in das Verzeichnis aufnehmen?

Da selbst in Dokumenten wie dem Jahresabschluss einer Kapitalgesellschaft personenbezogene Daten vorkommen (z. B. Namen der Gesellschafter, Auflistung von Privatdarlehen o. ä.) sind im Grunde alle Verarbeitungen in das Verzeichnis aufzunehmen. In der Praxis ist häufig der Gedanke verbreitet, dass es hier nur um mandatsbezogene Prozesse geht. Auch in Vorgängen, die nur die Kanzlei intern betreffen, sind jedoch in der Regel personenbezogene Daten enthalten: allen voran das eigene Personalwesen und das Bewerbermanagement, aber auch in Unterlagen wie z.B. einer Jahresplanung oder der Auslastungsübersicht finden sich Namen von Mitarbeitern oder Mandantennamen bzw. Mandantennummern.

Wird ein einzelnes Verfahren identifiziert, in dem tatsächlich keinerlei personenbezogene Daten vorzufinden sind, gilt es sicherzustellen, dass dies auch in Zukunft so bleibt und nicht z.B. durch Bemerkungen oder Erweiterungen einer Liste geändert wird. Es macht daher Sinn, auch diese Prozesse in das Verzeichnis aufzunehmen, um sie bei der regelmäßigen Aktualisierung nicht zu übersehen.

Kurz gefasst sollten alle Prozesse der Kanzlei Eingang in das Verzeichnis von Verarbeitungstätigkeiten finden – sei es um die datenschutzrelevanten Informationen zu erfassen, oder um sie bei künftige Überprüfungen der Prozesslandschaft nicht zu übersehen. Es spielt keine Rolle, ob die Verarbeitung auf Papier oder EDV-gestützt erfolgt. Ein handgeführtes Kanzleipostbuch zählt ebenso zur Verarbeitung, wie die regelmäßige Sicherung des gesamten Datenbestandes in einem Rechenzentrum.

Der Inhalt des Verzeichnisses

Welche Informationen das Verzeichnis von Verfahrenstätigkeiten konkret enthalten muss, ist in Art. 30 DSGVO geregelt. Neben grundlegenden Angaben wie Name, Anschrift und Kontaktdaten der Kanzlei sowie der Nennung geschäftsführender Personen und des Datenschutzbeauftragten, werden einige Informationen gefordert, die den Datenschutz-Laien zunächst vor Fragen stellen:

  • Verfahrensbezeichnung (eindeutige Nummerierung hilfreich),
  • Zweckbestimmungen der Verarbeitung,
  • Beschreibung der betroffenen Personengruppen,
  • Beschreibung der personenbezogenen Daten oder Datenkategorien,
  • die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, einschließlich Empfänger in Drittländern oder internationalen Organisationen,
  • für den Fall von Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation Angabe des betreffenden Drittlands oder der betreffenden internationalen Organisation, ggf. die Dokumentierung geeigneter Garantien,
  • Regelfristen für die Löschung der Daten,
  • eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen.

Es bietet sich an, das Verzeichnis der Verarbeitungstätigkeiten um die Rechtsgrundlage der Verarbeitung und eine Risikobewertung zu ergänzen. Zweck dieser Ergänzung ist die Beurteilung der Rechtmäßigkeit der Verarbeitung und die Einschätzung des im Zuge der Verarbeitung vorhandenen Risikos für den Betroffenen.

Die Kanzleileitung sollte sich in erster Linie darauf konzentrieren, die Verfahren zusammenzutragen und erste Details dazu zu erfassen. Für alle Angaben, die tiefergehende datenschutzrechtliche Kenntnisse erfordern, empfehlen wir, den Datenschutzbeauftragten bzw. die mit der Umsetzung betraute Person in der Kanzlei unterstützend hinzuzuziehen und gemeinsam die entsprechenden Angaben zu ergänzen.

Synergieeffekte zum Qualitätsmanagement

Kanzleien, die bereits ein Qualitätsmanagementsystem eingeführt haben, können die Prozessübersicht als Grundlage für das Verzeichnis der Verarbeitungstätigkeiten nutzen. Je nachdem, in welcher Form die Prozessübersicht vorliegt, kann diese ggf. einfach um die datenschutzspezifischen Informationen erweitert werden, so dass es nur ein zentrales Prozess- bzw. Verfahrensverzeichnis in der Kanzlei gibt. Das empfiehlt sich besonders aufgrund der bereits erwähnten Tatsache, dass auch die Prozesse, in denen aktuell keine personenbezogenen Daten verarbeitet werden, regelmäßig dahingehend untersucht werden sollten. Wer sich mit dem Gedanken trägt, ein Qualitätsmanagementsystem einzuführen, kann bei der Erarbeitung der Prozessübersicht wertvolle Zeit sparen, indem die datenschutzrelevanten Aspekte gleich mit berücksichtigt werden.

Fazit

Die Erstellung eines Verzeichnisses von Verarbeitungstätigkeiten ist eine notwendige Grundlage für alle Tätigkeiten im Datenschutz in der Kanzlei. Verantwortlich ist die Kanzleileitung, der Datenschutzbeauftragten sollte jedoch insbesondere für die datenschutzspezifischen Inhalte beratend hinzugezogen werden. Kanzleien, die bereits ein Qualitätsmanagementsystem eingeführt haben, können die Prozessübersicht um die fehlenden Angaben erweitern und so eine zentrale Grundlage für Datenschutz und Qualitätsmanagement schaffen.

Nachdem mit dem Verzeichnis der Verarbeitungstätigkeiten die Grundlage für das Datenschutz-Managementsystem geschaffen ist, sind die konkreten Anforderungen aus der DSGVO zu betrachten, für deren Erfüllung diese Informationen notwendig sind. Im nächsten Beitrag dieser Serie werden wir den wichtigen Themenkomplex der Betroffenenrechte einsteigen und mit einer Beschreibung der künftig geforderten Informationen zum Datenschutz auf der Kanzleihomepage starten.