DStV im Gespräch mit dem Bundesbeauftragten für Datenschutz: Zugriffsrecht externer Datenschutzbeauftragter auf mandantenbezogene Daten zurzeit noch ungeklärt!

(Berlin) - Am 18. Oktober 2004 diskutierte der DStV mit dem Referatsleiter für Grundsatzangelegenheiten des Bundesbeauftragten für Datenschutz (BfD) Herrn Ministerialrat Diethelm Gerhold das Verhältnis von Berufsgeheimnis zum Bundesdatenschutzgesetz. An der Besprechung nahmen seitens des DStV Hauptgeschäftsführer RA/FAStR Prof. Dr. Axel Pestke und Referent RA Michael Thomas teil. Ministerialrat Gerhold führte aus, dass nach § 1 Abs. 3 des Bundesdatenschutzgesetzes (BDSG) berufs- und standesrechtliche Vorschriften dem BDSG nur dann vorgingen, wenn und soweit sie spezifische Datenschutzregelungen enthielten, im Übrigen aber auch insoweit immer das BDSG zur Anwendung komme.

Hauptgeschäftsführer Prof. Dr. Pestke betonte, für die Berufsträger sei der sensible Umgang mit Mandantendaten bereits aufgrund des Berufsrechts selbstverständlich. Den datenschutzrechtlichen Erfordernissen werde von den Berufsangehörigen nachgekommen.

Ministerialrat Gerhold erläuterte, dass nach Auffassung des BfD allein die Bestellung eines Datenschutzbeauftragten nicht gegen die Verschwiegenheitspflicht verstosse, wie dies von der Bundesrechtsanwaltskammer in ihrer Stellungnahme vom September 2004 (BRAK-Stellungnahme Nr. 31/04) geäussert worden sei. Der Steuerberater habe grundsätzlich einen Datenschutzbeauftragten zu bestellen, wenn die Voraussetzungen des § 4f Abs. 1 BDSG vorliegen. Diesbezüglich bestehe Einigkeit unter den Datenschutzbeauftragten des Bundes und der Länder.
Allerdings sei noch offen, ob das Zugriffsrecht externer Datenschutzbeauftragter auf mandantenbezogene Daten wegen des Berufsgeheimnisses einer Einschränkung unterliege. Da die Beurteilung der entsprechenden Rechtsfragen in die Zuständigkeit einer Vielzahl von Datenschutzaufsichtsbehörden (Datenschutzbeauftragte des Bundes und der
Länder) falle, bedürfe es der Abstimmung einer einheitlichen Rechtsauffassung, die noch einige Zeit in Anspruch nehmen könne.

Der DStV empfiehlt demzufolge, gegenüber dem externen Datenschutzbeauftragten ein Zugriffsrecht auf mandantenbezogene Daten abzulehnen. Vorrangig sollte ein eigener Mitarbeiter zum Datenschutzbeauftragten bestellt werden.

Zur Bestellung eines eigenen Mitarbeiters erklärte Gerhold, dass die Bestellung eines Partners oder Sozius - vor allem in Grosskanzleien - zulässig sein könne, wenn ihm nicht die Geschäftsführung obliege. Der Interessenkonflikt bestehe nur beim geschäftsführenden Partner oder beim Kanzleiinhaber selbst. Bei der Bestellung des IT-Verantwortlichen bestehe die Gefahr der fehlenden Objektivität. Dem Datenschutzbeauftragten komme vor allen Dingen Beratungsfunktion und weniger Kontrollfunktion zu.
Grundsätzlich könne auch ein Mitarbeiter aus dem EDV-Bereich (z.B. EDV-Administrator) zum Beauftragten bestellt werden, soweit es nicht zur Selbstkontrolle komme.

Der deutsche Gesetzgeber habe sich an den gesetzlichen Spielraum der EG-Datenschutzrichtlinie gehalten und sich nicht für die Meldepflicht sondern für die Bestellung eines betrieblichen Datenschutzbeauftragten entschieden. Frankreich erwäge ebenfalls zur Bestellung eines betrieblichen Datenschutzbeauftragten überzugehen, weil sich die Meldepflicht als zu bürokratisch und verwaltungsaufwändig erwiesen habe.

Für die interne Verarbeitungsübersicht bedürfe es nach § 4e Nr. 9 i. V. m. § 9 BDSG nicht eines IT-Sicherheitskonzeptes. Allerdings frage die Aufsichtsbehörde im Rahmen der Überprüfung der organisatorischen und technischen Massnahmen (§ 9 BDSG) nach den getroffenen IT-Sicherheitsvorkehrungen, d.h. danach, wie IT-Sicherheit gewährleistet werde. Aufsichtsrechtliche Massnahmen seien bislang - nach Kenntnis des BfD - noch nicht erfolgt. Erst bei Beschwerden müsse in der Regel mit Überprüfungen gerechnet werden. Für die Einführung eines Datenschutzaudit durch unabhängige und zugelassene Gutachter i.S.d. § 9a BDSG fehle es noch am Ausführungsgesetz. Das Bundesinnenministerium werde dies langfristig erarbeiten.

Die Arbeitshilfen des DStI zum Datenschutzbeauftragten in Steuerberaterkanzleien (siehe www.dstv.de und www.StBdirekt.de) seien - so Ministerialrat Gerhold - gut aufbereitet und ausreichend. Weitere Informationen zum Datenschutz werden auf den Webseiten der Datenschutzbeauftragten des Bundes und der Länder (siehe www.bfd.bund.de) angeboten. Der DStV wird zeitnah informieren, wenn sich Änderungen oder Klarstellungen zur bestehenden Rechtslage ergeben (siehe u.a. www.dstv.de).

Quelle und Kontaktadresse:
Deutscher Steuerberaterverband e.V. (DStV) Littenstr. 10, 10179 Berlin Telefon: 030/278762, Telefax: 030/27876799