Aktuelles

EC-Karten-Umsätze im Kassenbuch: BMF konkretisiert Rechtsauffassung

Entwurf eines Gesetzes zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 (Datenschutz-Anpassungs- und -Umsetzungsgesetz EU – DSAnpUG-EU)

R 06/16 | 12.12.2016

Download als PDF

Sehr geehrte Frau Dr. Wichmann,

wir bedanken uns für die Übersendung des Entwurfs eines Gesetzes zur Anpassung des Datenschutzrechts an die Verordnung (EU) 2016/679 und zur Umsetzung der Richtlinie (EU) 2016/680 (Datenschutz-Anpassungs- und Umsetzungsgesetz EU – DSAnpG-EU).

Nachfolgend möchten wir einige Anmerkungen und Anregungen zum Gesetzesentwurf anbringen, um deren Beachtung wir bitten. Aufgrund der kurzen Stellungnahmefrist behalten wir uns Ergänzungen der hier gemachten Ausführungen für die Zukunft vor.


Allgemeine Anmerkungen
Der Deutsche Steuerberaterverband e.V. (DStV) begrüßt die vorliegende Entwurfsfassung des Bundesdatenschutzgesetzes (BDSG-E). Wir erkennen und unterstützen das Bestreben des Bundesministeriums des Inneren, die bestehenden Mitgliedsstaatenwahlrechte in das System des Datenschutzrechts in Deutschland einzufügen. Dies erleichtert den Verpflichteten den Übergang zu den neuen Vorschriften.

Unnötige Doppelungen in der Datenschutz-Grundverordnung (DSGVO) sowie dem BDSG-E werden weitgehend vermieden.

Wir sind jedoch der Ansicht, dass berufsrechtliche Regelungen der freien Berufe im Gesetzesentwurf stärker Berücksichtigung finden sollten. Wie wir bereits in unserer Stellungnahme E 08/16 vom 10.8.2016 an das Bundesministerium des Inneren adressiert haben, sollten die Möglichkeiten der DSGVO genutzt werden, damit berufsrechtliche Vorgaben wie die Verschwiegenheitsverpflichtung weiterhin gewahrt bleiben. Die einzelnen Aspekte werden wir nachfolgend detailliert erläutern.

Zu § 3 BDSG-E – Datenerhebung durch öffentliche Stellen
Nach unserer Einschätzung stellt der § 3 BDSG-E keinen inhaltlichen Mehrwert gegenüber Art. 6 Abs. 1 Bst. E) DSGVO dar. Er ist daher hier entbehrlich.

Art. 6 Abs. 3 S. 2 DSGVO erlaubt die Datenerhebung für öffentliche Stellen nur insofern, wie sie für die Erfüllung einer Aufgabe im öffentlichen Interesse notwendig ist oder sie im Rahmen der Ausübung öffentlicher Gewalt erfolgt, wenn sie nicht in der nationalen Rechtsgrundlage festgelegt ist. Es wäre daher im Sinne einer klaren Abgrenzung des Anwendungsbereichs sinnvoll, eine Definition des öffentlichen Interesses bzw. der Ausübung öffentlicher Gewalt einzufügen.

Art. 3 Abs. 6 S. 3 DSGVO zielt weiterhin auf die Konkretisierung der „allgemeinen Bedingungen für die Regelung der Rechtmäßigkeit der Verarbeitung durch den Verantwortlichen“, der „Arten von Daten“, der betroffenen Personen, der Einrichtungen, der Zweckbindung usw. ab. Dies wird an einigen Stellen ausgeführt, unseres Erachtens sind diese Vorgaben jedoch nicht in ausreichendem Maße im Gesetzesentwurf berücksichtigt. Die Generalklausel des jetzigen § 3 BDSG-E ermöglicht nahezu jede Rechtfertigung der Datenerhebung durch öffentliche Stellen.

Zu § 23 Abs. 1 Nr. 1 BDSG-E – Verwendung von Daten zu einem anderen Zweck
Die Möglichkeit für öffentliche Stellen nach § 23 Abs. 1 Nr. 1 BDSG-E, personenbezogene Daten zu einem anderen Zweck zu verwenden, als für den sie erhoben wurden, sehen wir kritisch. Die Einschätzung darüber, ob die betroffene Person die Datenverarbeitung zum anderen Zweck verweigert hätte, liegt nach dem vorliegenden Entwurf bei der öffentlichen Stelle. Das Ermessen sollte jedoch nicht bei der öffentlichen Stelle, sondern bei der betroffenen Person liegen.

Da die betroffene Person gem. Art. 13 Abs. 3 DSGVO ohnehin vor der Datenverarbeitung zum anderen Zweck informiert werden muss und möglicherweise ein Widerspruchsrecht gem. Art. 21 DSGVO hat, könnte auch direkt die Zustimmung der betroffenen Person eingeholt werden.

Zu § 26 Abs. 1 BDSG-E – Informationspflichten und Auskunftsrechte
Wir begrüßen die Entscheidung, Mitgliedsstaatenwahlrechte des Art. 23 DSGVO auszunutzen und Informationsansprüche und Auskunftspflichten, unter anderem bei Berufsgeheimnisträgern, einzuschränken. Die in § 26 BDSG-E getroffenen Entscheidungen sind jedoch nicht weitgehend genug, bzw. nicht klar genug formuliert.

Ungeachtet inhaltlicher Fragen sollten die Verweise in § 26 BDSG-E jeweils auch auf Art. 23 Absatz 1 Bst. g) DSGVO Bezug nehmen, da dort das Mitgliedsstaatenwahlrecht zur Einschränkung der in den Art. 12-22 DSGVO genannten Vorschriften beschrieben ist.

Zu § 26 Abs. 1 Nr. 1 BDSG-E – Informationspflichten des Verantwortlichen
§ 26 Abs. 1 Nr. 1 BDSG-E schränkt die Informationspflicht gegenüber der betroffenen Person gemäß Art. 14 Abs. 1 und 2 der DSGVO ein, wenn die Daten geheim gehalten werden müssen. Die Definition der Umstände sollte jedoch klarer gestaltet werden. Die Gesetzesbegründung führt lediglich ergänzend aus, dass die Daten ihrem Wesen nach geheim gehalten werden müssen, um von der Informationspflicht ausgenommen zu werden. Zumindest in der Gesetzesbegründung sollte klarstellend festgehalten werden, dass neben gesetzlichen auch vertragliche Geheimhaltungsverpflichtungen den Informationsanspruch einschränken können.

Zu § 26 Abs. 1 Nr. 2 BDSG-E – Auskunftsrechte der betroffenen Person
§ 26 Abs. 1 Nr. 2 BDSG-E regelt die Auskunftsrechte der betroffenen Person gemäß Art. 15 DSGVO. Durch den Verweis auf § 26 Abs. 1 Nr. 1 BDSG-E sind auch hier wiederum nur Daten erfasst, die ergänzend zu den Regelungen des Art. 14 Abs. 5 DSGVO geheim gehalten werden müssen.

Bei Steuerberatern und Wirtschaftsprüfern unterlägen aber ergänzend zu diesen Informationen weitere Informationen der beruflichen Verschwiegenheitsverpflichtung, die nach Art 14 Abs. 5 DSGVO von den Informationspflichten ausgenommen werden. Gerade Steuerberater verarbeiten eine Vielzahl von Daten, die nicht bei den betroffenen Personen erhoben wurden. Dies betrifft unter anderem Daten von Kreditoren, Debitoren sowie der Mitarbeiter der Unternehmen. Eine Informationspflicht gegenüber diesen Personen, insbesondere die Mitteilung des Verarbeitungszwecks gemäß Art. 14 Abs. 1 Bst. c) DSGVO sowie die Nennung der Herkunft der personenbezogenen Daten gemäß Art. 14 Abs. 2 Bst. f) DSGVO, würde Steuerberater dazu verpflichten, den Namen des Mandanten und den Vertragszweck zu nennen. Hierdurch würde die berufliche Verschwiegenheitsverpflichtung verletzt. Wir regen daher an, den Art. 14 Abs. 5 DSGVO auch in die Regelung des § 26 Abs. 1 Nr. 2 BDSG-E einzuschließen.

Zu § 26 Abs. 2 BDSG-E – Untersuchungsbefugnisse der Aufsichtsbehörden
Der DStV hatte bereits in seiner Stellungnahme E 08/16 vom 10.8.2016 angeregt, die Befugnisse der Aufsichtsbehörden bei Untersuchungen nach Art. 58 DSGVO bei der Geheimhaltungspflicht unterliegenden Daten einzuschränken. § 26 Abs. 2 BDSG-E sieht nun vor, dass solche Untersuchungen nur durchzuführen sind, um zu überprüfen, ob der Verantwortliche die technischen Anforderungen für den Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen nach Art. 25 DSGVO erfüllt hat. Diese Beschränkung wird durch den DStV unterstützt.

Das in § 26 Abs. 2 S. Z BDSG-E genannte Beweisverwertungsverbot für das Strafverfahren sollte sich nach Ansicht des DStV bei Berufsgeheimnisträgern auch auf Ordnungswidrigkeitenverfahren erstrecken.

Zu § 36 Abs. 1 BDSG-E – Pflicht zur Ernennung eines Datenschutzbeauftragten
Art. 37 DSGVO schreibt die Benennung eines Datenschutzbeauftragten u.a. zumindest dann vor, "wenn die Kerntätigkeit des Verantwortlichen in der Durchführung von Verarbeitungsvorgängen besteht, die sich aufgrund ihrer Art, des Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen“. § 36 Abs. 1 BDSG-E macht von dem Mitgliedsstaatenwahlrecht ergänzender Vorschriften Gebrauch. Der Verantwortliche und/oder der Verarbeiter haben demnach einen Datenschutzbeauftragten bereits dann zu benennen, wenn sie in der Regel mindestens zehn Personen beschäftigen, die ständig mit der Verarbeitung personenbezogener Daten beauftragt sind. Dies entspricht der bisher geltenden Rechtslage nach dem BDSG.

Im Rahmen des Gesetzgebungsverfahrens auf europäischer Ebene wurden die Voraussetzungen für die verpflichtende Benennung eines Datenschutzbeauftragten mehrfach geändert. Dies ist begründet durch die Wechselwirkung des Nutzens eines Datenschutzbeauftragten einerseits und der dadurch verursachten Kosten und des Verwaltungsaufwands auf der anderen Seite.

Der DStV regt an, im Rahmen des Gesetzgebungsverfahrens zum Bundesdatenschutzgesetz die bisher geltenden Vorschriften für die Benennung eines Datenschutzbeauftragten dahingehend zu überprüfen, ob die Anforderungen bestehen bleiben sollen oder ob auch Regelungen ausreichend sind, die eine höhere Anzahl von mit der Datenverarbeitung beschäftigter Mitarbeiter vorsehen.. Besonders für kleine und mittlere Unternehmen (KMU) könnte durch eine Anhebung der Schwelle eine Kosteneinsparung erreicht werden

Zu § 51 Abs. 1 BDSG-E – Auskunftsrecht der betroffenen Person
Sowohl der Verweis in § 51 Abs. 1 BDSG, als auch die Gesetzesbegründung verweisen auf Art. 14 DSGVO. § 51 Abs. 1 BDSG regelt, dass betroffenen Personen auf Antrag Auskunft zu erteilen ist. Dies entspricht den Vorgaben des Art. 15 DSGVO. Art. 14 DSGVO sieht eine antraglose Verpflichtung des Verantwortlichen vor, die betroffene Person über die Datenverarbeitung zu informieren. Der Katalog des § 51 Abs. 1 BDSG ist bereits durch Art. 14 der Verordnung abgedeckt und setzt im Gegensatz zur Gesetzesbegründung keinen entsprechenden Antrag der betroffenen Person voraus.

Zu § 57 Abs. 5 BDSG – Verhaltensregeln für Branchen und Berufsgruppen
§ 57 Abs. 5 BDSG ist die einzige Stelle des Gesetzesentwurfs, an dem die genehmigten Verhaltensregeln gemäß Art. 40 DSGV genannt werden. Art. 40 DSGVO ermöglicht die Ausarbeitung von Verhaltensregeln, die für einzelne Gruppen von Auftragsverarbeitern sowie bei KMUs zur ordnungsgemäßen Anwendung der Vorschriften der DSGVO beitragen sollen.

Wie bereits in unserer Stellungnahme E 08/16 vom 10.08.2016 ausgeführt, begrüßt der DStV diese Möglichkeit und unterstützt die Ausarbeitung solcher Verhaltensregeln für Steuerberater und Steuerberatungskanzleien. Aus dem derzeitigen Stand des Gesetzesentwurfs ist nicht zu entnehmen, wie das Verfahren zur Genehmigung von Verhaltensregeln ausgestaltet wird.

Besonders die Funktionen der Aufsichtsbehörden sollten klar geregelt werden. Dies betrifft sowohl zeitliche und organisatorische Vorgaben, als auch die Anerkennung bereits genehmigter Verhaltensregeln durch weitere Aufsichtsbehörden.

Nach Art. 41 Abs. 1 EU-DSGVO benennt die Aufsichtsbehörde eine Stelle, die für die Überwachung der genehmigten Verhaltensregeln zuständig ist. Der DStV hatte zur Stärkung der beruflichen Selbstverwaltung und zur Wahrung der Unabhängigkeit des Berufs in seiner Stellungnahme E 08/16 vom 10.8.2016 angeregt, dass die Überwachung der genehmigten Verhaltensregeln im Sinne einer einheitlichen Berufsaufsicht durch die Steuerberaterkammern (bzw. durch die Wirtschaftsprüferkammer) vorgenommen werden sollte. Dies setzt voraus, dass die Berufskammern gemäß Art. 41 Abs. 1 DSGVO von den Aufsichtsbehörden akkreditiert werden.

Weitere Anmerkungen – Notwendigkeit weiterer Einschränkungen
Wie bereits oben ausgeführt, enthält Art. 23 DSGVO die Möglichkeit, Vorgaben der Art. 12-22 sowie 34 DSGVO einzuschränken. Die Einschränkungen des § 26 BDSG-E sind nach unserer Ansicht nicht ausreichend, um Steuerberatern und Wirtschaftsprüfern zu ermöglichen, sowohl die Anforderungen der DSGVO, als auch die des BDSG-E zu erfüllen. Es sollten zusätzlich zu den im BDSG-E vorgenommenen Einschränkungen der Rechte und Pflichten der Art. 13 bis 15 DSGVO weitere Vorschriften der Verordnung eingeschränkt werden.

Recht auf Einschränkung der Verarbeitung
Unter bestimmten Voraussetzungen ermöglicht Art. 18 DSGVO der betroffenen Person, die Einschränkung der Verarbeitung der personenbezogenen Daten zu verlangen. Dies kann zur Behinderung der Auftragsdurchführung beim Steuerberater führen.

Der Steuerberater als Organ der Steuerrechtspflege agiert in einem gewissen Umfang im öffentlichen Interesse. Sollte der Gesetzgeber nicht von seinem Wahlrecht gemäß Art. 23 DSGV Gebrauch machen, um das Recht auf Einschränkung der Verarbeitung von personenbezogenen Daten durch den Steuerberater zu begrenzen, sollte zumindest in der Gesetzesbegründung das öffentliche Interesse der Tätigkeit von Steuerberatern herausgestellt werden.

Mitteilungspflicht nach Art. 19 DSGV
Ebenso wie die Informationspflicht nach Art. 14 DSGVO ist die Mitteilungspflicht nach Art. 19 DSGVO dazu geeignet, die Verschwiegenheitsverpflichtung des Steuerberaters zu verletzen. Das BDSG-E sollte daher eine Beschränkung der Mitteilungspflicht nach Art. 19 DSGVO in Anlehnung an Art. 14 Abs. 5 DSGVO vorsehen.


Recht auf Datenübertragbarkeit Art. 20 DSGV
Wechselt ein Mandant seinen Steuerberater, besteht schon jetzt die Möglichkeit, seine Daten elektronisch zu erhalten, bzw. von einem Steuerberater zu einem anderen zu übertragen. Derzeit besteht jedoch die Möglichkeit, beispielsweise bei ausstehenden Rechnungen, die Datenübertragung zivilrechtlich nach §§ 273, 320 BGB und berufsgesetzlich nach § 66 Abs. 2 StBerG zurückzuhalten. Diese Möglichkeit sollte zum Schutze der Forderungen des Steuerberaters auch für Art. 20 DSGVO bestehen bleiben.



Mit freundlichen Grüßen

gez.
RA FAStR Prof. Dr. Axel Pestke
(Hauptgeschäftsführer)

gez.
StB René Bittner
(Referent Europarecht)
___________________________________________

Der Deutsche Steuerberaterverband e.V. (DStV) - Verband der steuerberatenden und wirtschaftsprüfenden Berufe - repräsentiert bundesweit rund 36.500 und damit über 60 % der selbstständig in eigener Kanzlei tätigen Berufsangehörigen, von denen eine Vielzahl zugleich Wirtschaftsprüfer oder vereidigter Buchprüfer sind. Der DStV vertritt ihre Interessen im Berufsrecht der Steuerberater und Wirtschaftsprüfer, im Steuerrecht, in der Rechnungslegung und im Prüfungswesen. Die Berufsangehörigen sind als Steuerberater, Steuerbevollmächtigte, Wirtschaftsprüfer, vereidigte Buchprüfer und Berufsgesellschaften in den ihm angehörenden 16 regionalen Mitgliedsverbänden freiwillig zusammengeschlossen.

Download als PDF