Steuerberater und Rechtsanwälte

Steuerberater und Rechtsanwälte verarbeiten bei ihrer Tätigkeit in großem Umfang personenbezogene Daten.  Die Verordnung gilt insoweit uneingeschränkt für beide Berufsgruppen. 

Dessen ungeachtet haben datenschutzrechtliche Anforderungen in der Vergangenheit nur bei einer Minderheit der Kollegen eine rechtlich ausreichende Berücksichtigung gefunden: Das bereits nach altem Recht erforderliche Verfahrensverzeichnis ist nur in wenigen Fällen vorhanden; ein Datenschutzbeauftragter nur in Ausnahmefällen bestellt. Nach unserer bisherigen Erfahrung wurden und werden datenschutzrechtliche Belange insbesondere bei Rechtsanwälten stattdessen regelmäßig im Gefolge der vorhandenen IT Sicherheit - in einem eher zufälligen Umfang - mit abgebildet. Ein Ansatz, spezifisch personenbezogene Daten bestimmten Abläufen zu unterwerfen oder diese besonders zu schützen, ist nur selten vorhanden. Die erforderlichen technischen und organisatorischen Maßnahmen zum Schutz dieser Daten sind nicht definiert aber wiederum in Teilen zufällig vorhanden. Die Anforderung besteht hier also insbesondere darin, dieses Flickenteppich zusammenzusetzen und die vorhandenen Schutzmechanismen planvoll auf personenbezogene Daten zu beziehen. Für eine Vielzahl von Kollegen dürfte dies ausreichen, so dass eine Investitionen in Hardware dann auch nicht erforderlich ist. 

Problematisch ist allerdings, dass die verbreiteten Softwarelösungen teilweise nicht in der Lage sind, die Einhaltung der rechtlichen Anforderungen der Datenschutz-Grundverordnung sicherzustellen. Dies gilt etwa für Fristen zur Löschung personenbezogener Daten, die in einigen Programmen nicht eingegeben werden können, sondern manuell oder händisch gepflegt werden müssen. Die hiervon betroffenen Kollegen stehen vor der Herausforderung, sich nach Alternativen umzusehen, wenn ihnen hier kein update zur Verfügung gestellt wird. 

Fazit:

Beide Berufsgruppen sind vor erhebliche Umsetzungsanforderungen gestellt, zumal die berufsständischen Kammern in der Pflicht stehen, die Umsetzung der Datenschutzgrundverordnung zu überwachen und entsprechende Prüfungshandlungen durchzuführen. Angesichts dieser explizit „anlasslos“ drohenden Maßnahmen ist eine Bestandsaufnahme des derzeitigen Datenschutzniveaus und eine Angleichung mit den künftigen Anforderungen unbedingt geboten.