Nun sind bereits zwei Monate seit der Einführung der DSGVO vergangen. Was hast Du in den letzten 2 Monaten für den Datenschutz getan?

Nichts, Wenig oder nur das Nötigste? Dann ließ jetzt weiter:

Wusstest Du, dass neben Abmahnanwälten bereits die Behörden aktiv geworden sind?

Sie versenden derzeit Fragebögen und erkundigen sich nach dem Stand der Umsetzung im Unternehmen.

Und Du hast nur 4 Wochen Zeit diese zu beantworten!

Unternehmen, die die DSGVO noch nicht oder nur unzureichend umgesetzt haben, werden mit einem Bußgeld bestraft werden.

Wichtig! Bei der DSGVO gilt die Beweislastumkehr

Das bedeutet, dass nicht Dir die Behörde einen Fehler nachweisen muss, sondern DU als Unternehmer musst der Behörde nachweisen, dass Du alles richtig gemacht hast.

Kannst Du z.B. der Behörde nicht nachweisen, dass Deine Mitarbeiter eine Datenschutz-Schulung gemacht haben, führt das zu einem Bußgeld.

 In diesem Video nenne ich einige Beispiele, welche Dinge bereits zu Abmahnungen geführt haben aber auch 4 GANZ WICHTIGE Vorteile von denen Dein Unternehmen profitiert, wenn es die DSGVO umsetzt hat.

 Außerdem biete ich Dir ein kostenloses Datenschutz-Strategiegespräch an, in dem ich Dir Schritt-für-Schritt sage, was Du in Deinem Unternehmen jetzt tun musst, um das DSGVO-Thema endlich abzuschließen und Du keine Kosten durch Anwälte oder Behörden fürchten musst.

 

Ich hatte heute ein sehr interessantes Gespräch mit einem Geschäftskunden. Er setzte mich davon in Kenntnis, dass sein Steuerberater für ihn den Datenschutz löst. Hierbei kamen in mir gleich eine Reihe von Fragen auf. Ist es zulässig, das mein Steuerberater für mich den Datenschutz umsetzt? Hat der Steuerberater keinen Interessenkonflikt? Kann mein Steuerberater den Datenschutzbeauftragten stellen?

Ich möchte die Punkte Frage für Frage beantworten und sich jedem sein eigenes Urteil bilden.

Ist es zulässig, das mein Steuerberater für mich den Datenschutz umsetzt?

Hier konnte ich mich von meinem Steuerberater aufklären lassen. Steuerberater unterliegen einer speziellen Regelung, die Ihnen unter dem Steuerrecht eine weisungsfreie, dem Gesetz zugewandte Handlungsorientierung vorsieht. Es ist ihnen nicht gestattet gewerblich tätig zu sein, was bei einer Datenschutzberatung der Fall ist. Insofern kann ein Steuerberater juristisch betrachtet nur dann im Datenschutz beraten, wenn dies in Form einer eigenen Gesellschaft oder einem separaten Gewerbe erfolgt.

Hat der Steuerberater einen Interessenkonflikt?

In vielen Situationen verfügen Steuerberatungen über separate Wirtschaftsprüfungsgesellschaften, um gewerbliche Leistungen anbieten zu können. Hier gilt auch die Regel, das Wirtschaftsprüfer nur Unternehmen prüfen, für die sie nicht selbst in der operativen Steuerberatung tätig sind.  Hier sehen wir den Sachverhalt auch beim Datenschutz. Der Steuerberater landet in einem Interessenkonflikt, wenn er neben der operativen Steuerberatung den Datenschutz über eine von ihm kontrollierte Gesellschaft erbringt. Er wird Prozesse beraten und zur Umsetzung vorschreiben, die mögliche Konflikte mit seiner Steuerberatung und dem Zusammenspiel mit dem Unternehmen vermeiden. Damit greift er aus einer Abhängigkeit in die Prozesse ein und riskiert für seine Mandanten ein Bussgeld analog der Bestellung eines Datenschutzbeauftragten in einem Unternehmen, der gleichzeitig Geschäftsführer oder Führungskraft ist.

Kann mein Steuerberater den Datenschutzbeauftragten stellen?

Diesen Sachverhalt würden wir klar verneinen. Der bei einem durch den Steuerberater kontrollierten Unternehmen tätige Datenschutzbeauftragte müsste gegen seinen Arbeitgeber bzw. verbundene Unternehmen datenschutzrechtlich agieren. Das wird er nicht machen, wenn sein Arbeitgeber betroffen ist. Es ist daher dringend anzuraten diesen Sachverhalt zu vermeiden, um Bussgelder auf Unternehmens- und Privatseite der Geschäftsführer zu vermeiden.

Fazit

Der Steuerberater aus Sicht der Steuerberatung darf keine Datenschutzberatungsleistungen erbringen. Dies kann nur über eine extra Gesellschaft oder Gewerbe erfolgen. Wenn der Steuerberater in dieser Gesellschaft des Weiteren Weisungsgeber und Gesellschafter ist, tritt nach unserer Meinung ein Interessenkonflikt auf. Aus Sicht des Unternehmens ist dies eine fahrlässige Handlung und führt bei Datenschutzverletzungen zu einem Bussgeld für Unternehmen und Geschäftsführer. Mit der Bestellung des Datenschutzbeauftragten, gestellt durch eine vom Steuerberater kontrollierte Gesellschaft, ist dies unserer Ansicht nach gegeben. Ähnlich stellt sich dieser Sachverhalt übrigens dar, wenn der IT Dienstleister, der die IT des Unternehmens betreibt, den Datenschutz berät und den Datenschutzbeauftragten stellt. Auch in diesem Fall tritt ein Interessenkonflikt auf und sollte unbedingt vermieden werden.

WhatsApp war nur die Spitze des Eisbergs!

Bisher war fast immer von der WhatsApp APP die Rede, die das Adressbuch des Smartphones zu Facebook kopiert. Hier werden massenhaft Daten von nicht WhatsApp Kunden zu Facebook, aus DSGVO Sicht ein Unternehmen im Drittland, übertragen. Es gibt allerdings noch viel kritischere Situationen bei privaten Smartphones mit regelmässiger oder auch nur gelegentlicher dienstlicher Nutzung.

Die hierbei auftauchende Fragen:

„Was passiert unter der DSGVO, wenn Anwender Firmen-Apps auf den privaten Smartphones installieren?“

Generell kann man sagen, das private Smartphones nicht in dem Verantwortungsbereich des Unternehmens liegen und damit jegliche Installation von Firmen Anwendungen (APPS) sehr kritisch sind. Z.B. ist die Installation einer CRM APP wie Salesforce, Pipedrive und anderen auf einem privaten Smartphone als kritisch zu betrachten, da die Anwendungen Personen bezogene Daten auf das Smartphone speichern. Sollte das Handy geklaut oder gehackt werden, tritt ein Datenschutzvorfall ein, der einer 72 Stunden Meldepflicht unterliegt.

Datenschutzverstoß mit Vorsatz!

Betrachtet man den Fall allerdings genauer, liegt letztendlich schon ein Datenschutzverstoß vor, wenn eine dienstliche Anwendung Daten auf dem privaten Smartphone speichert. Nach aktueller Rechtslage ist auch dies bereits ein Datenschutzverstoß, der bei Bekanntwerden nicht nur Meldepflichtig ist, sondern im Sinne der zu etablierenden Datenschutzprozesse unter dem Aspekt des Vorsatzes fallen wird. Für die Geschäftsführung und betreffenden Mitarbeiter bedeutet dies direkt ein Bussgeld, welches im Ermessen der Datenschutzbehörden verhängt wird.

Dieses Risiko ist insbesondere deswegen so kritisch, da ein einfacher Hinweis durch einen ehemaligen Mitarbeiter oder Wettbewerber eine Prüfung der Datenschutzbehörde nach sich ziehen wird. Diese werden das Verfahrensverzeichnis prüfen und egal in welchem Fall – ob dokumentiert oder nicht – der Sachverhalt der vorsätzlichen Handlung gelten.

Social Intranets sind besonders gefährlich

Besonderes kritisch wird dies bei firmeninternen Social Networks, Intranets, Messaging und anderen Anwendungen, die verstärkt mit Personen bezogenen Daten gefüttert sind (z.B. Mitarbeiterverzeichnisse, Bewerberdiskussionen, etc.). Je umfangreicher die Nutzerprofile und dessen Angaben ausfallen, desto schneller wird ein Datenschutzverstoß eintreten. Kommen Bewerberdaten hinzu, wird dies besonders heikel.

Es macht nur Sinn, Firmensmartphones zu verteilen

Generell kann man daher sagen, dass das private Smartphone für dienstliche Anwendungen tabu sein sollte, wenn man nicht ein Bussgeld für Mitarbeiter und Geschäftsführer / Vorstände in den nächsten Wochen und Monaten riskieren möchte. Das birgt allerdings dann das Problem, das Mitarbeiter unter Umständen garnicht am digitalen Firmenleben teilnehmen können.

Es ist daher nur klug und weitsichtig, wenn man generell Smartphones als Dienstgeräte austeilt, um nicht in das letzte Jahrtausend zurück geworfen zu werden. Die Kosten pro Mitarbeiter und Monat sind hierbei niedrig zu dem Nutzen, den eine moderne, agile und mobile Organisation mitbringt.