• wenn Sie in der Regel (!) 20 oder mehr Mitarbeiter (Festangestellte in Vollzeit oder Teilzeit, Azubis, Praktikanten, Freiberufler) beschäftigen und diese ständig personenbezogene Daten automatisiert verarbeiten oder
• wenn Sie personenbezogene Daten derart verarbeiten, das dies einer Datenschutzfolgenabschätzung unterliegt oder
• wenn Sie personenbezogene Daten geschäftsmäßig zum Zweck der (anonymisierten) Übermittlung (z. B. Auskunfteien aber auch Bewertungsportale) oder für Zwecke der Markt- oder Meinungsforschung verarbeiten.

• eine umfangreiche (viele Personen oder große Mengen an personenbezogenen Daten), regelmäßige (fortlaufend oder periodisch) und systematische (nach einem organisierten, strategischen oder methodischen Ansatz) Beobachtung betroffener Personen erforderlich macht oder

• diese eine umfangreiche Verarbeitung besonderer Kategorien von Daten einschließt oder diese sich auf eine Verarbeitung über strafrechtliche Verurteilungen und Straftaten bezieht.

• Verlust der Vertraulichkeit
• Verlust der Integrität oder
• Verlust der Verfügbarkeit

Wirtschaftsprüfer (WP) und Steuerberater (StB) sind aufgrund ihrer Berufspflichten an eine Verschwiegenheitspflicht gebunden, die sich nicht nur auf sie selbst, sondern auch auf ihre Mitarbeitenden erstreckt. Verletzungen dieser Pflichten können strafrechtliche Konsequenzen haben. Im Rahmen von Jahresabschlussprüfungen fordern Wirtschaftsprüfer oft umfangreiche Auskünfte, die Einblick in eine Vielzahl von Unternehmensunterlagen gewähren. Dabei werden häufig personenbezogene Daten der Mandant oder Dritter verarbeitet, was datenschutzrechtliche Vorschriften erfordert. Auch Steuerberater haben viele Berührungspunkte mit dem Datenschutz und müssen die datenschutzrechtlichen Anforderungen erfüllen, wie in den (im September 2023 aktualisierten) Hinweisen der Bundessteuerberaterkammer festgelegt.

Ein benannter Datenschutzbeauftragter hat gesetzliche und individuelle Pflichten. Gesetzlich ist er für die Beratung und Unterstützung der datenschutzrechtlichen Anforderungen verantwortlich und überwacht deren Einhaltung. Zusätzlich unterstützt er bei der Erstellung von Informationen für Webseiten, führt Schulungen durch, stellt Vorlagen für Verarbeitungsverzeichnisse bereit und hilft im Ernstfall, beispielsweise bei Datenschutzverletzungen. Er muss dabei auch die Frage klären, ob bestimmte Vorfälle meldepflichtig sind und wie das entstandene Risiko für die Betroffenen minimiert werden kann.

Mitarbeiter sind entscheidend für die Umsetzung des Datenschutzes, nicht nur der Datenschutzbeauftragte. Mitarbeiter, z. B. bei WP und StB haben täglich mit hochsensiblen Daten zu tun und müssen sicherstellen, dass sie den Datenschutz nicht fahrlässig verletzen. Das Vertrauen der Mandant:innen ist ein wertvolles Gut, das erhalten werden muss. Außerdem ändern sich die Datenschutzanforderungen ständig. Entsprechend ist es für die Mitarbeiter und das Unternehmen wichtig, auf dem neuesten Stand zu bleiben, um Veränderungen in Gesetzen und Vorschriften zu berücksichtigen.

Die größten Risiken sind Cyberangriffe, Fehlversände von sensiblen Informationen und das Risiko, das Thema Datenschutz nach dem anfänglichen Hype bei der Einführung der DSGVO zu vernachlässigen. Unsichere Datenübermittlung ist ebenfalls ein Risiko, das durch sichere Verschlüsselung minimiert werden kann.

Die Wahl der Tools und Technologien hängt von der Größe des Unternehmens und der Intensität der Datenverarbeitung ab. Kleinere Unternehmen können mit Vorlagen für Verarbeitungsverzeichnisse und Schulungsunterlagen unterstützt werden, während größere Unternehmen (ab 20 Mitarbeiter) einen benannten Datenschutzbeauftragten und häufig auch eine intensivere und individuelle Beratung benötigen. Die Techniken und Methoden sind ähnlich wie bei klassischer Projektarbeit, erfordern jedoch individuelle Anpassungen. Da gibt es zum Beispiel eine Offene-Punkte-Liste, regelmäßige Termine oder Treffen, und ein Pflichtenheft, deren Einträge einmalig oder laufend bearbeitet werden.

Die Überwachung datenschutzrechtlicher Anforderungen ist eine der Kernaufgaben eines Datenschutzbeauftragten. Er muss sicherstellen, dass die datenschutzrechtlichen Anforderungen eingehalten werden. Die Geschäftsführung wiederum muss jederzeit nachweisen können, dass das Unternehmen datenschutzkonform handelt. Beides zusammen erfordert eine enge Zusammenarbeit, regelmäßige Treffen und eine gelebte Datenschutz-Kultur.

Unvollständige Datenschutzerklärungen
In vielen Fällen fehlen wichtige Angaben, etwa zu eingebundenen Diensten wie Analyse-Tools, Social Media Plugins oder Schriftarten. Die Nutzer erfahren oft nicht, welche externen Anbieter eingebunden sind und welche Daten dabei übermittelt werden.

Probleme mit dem Cookie-Banner
Häufig werden Cookies und Tracking-Dienste bereits beim Aufruf der Seite geladen, noch bevor der Nutzer eingewilligt hat. Zudem ist oft unklar, welche Cookies eingesetzt werden und zu welchem Zweck – eine informierte Entscheidung der Nutzer ist so nicht möglich.

Fehlerhafte Einbindung von Drittanbieter-Diensten
Dienste wie Google Fonts, YouTube-Videos oder Social Media Plugins werden häufig ohne Einwilligung oder ausreichende Information eingebunden. Teilweise erfolgt auch die Datenübertragung an Drittstaaten, ohne dass Nutzer darüber aufgeklärt werden.

Für die Tätigkeit als Datenschutzbeauftragter sind folgende Voraussetzungen wichtig:

Gute Kenntnisse im Datenschutzrecht und in der praktischen Umsetzung
Der Datenschutzbeauftragte sollte sowohl die rechtlichen Grundlagen kennen als auch wissen, wie man sie im Alltag anwendet.

       Vertrautheit mit nationalem und europäischem Datenschutzrecht
Dazu gehört auch, über wichtige Gerichtsurteile und Entwicklungen auf dem Laufenden zu sein.

       Verständnis für technische und organisatorische Schutzmaßnahmen
Es muss nachvollzogen werden können, wie Daten durch geeignete Maßnahmen wirksam geschützt werden.

       IT-Wissen zur Bewertung von Datensicherheit
Der Datenschutzbeauftragte sollte technische Abläufe verstehen, um beurteilen zu können, ob die Datenverarbeitung ausreichend gesichert ist.

       Unabhängigkeit und keine Interessenkonflikte
Die Person darf keine Rolle im Unternehmen haben, in der sie selbst Entscheidungen über die Datenverarbeitung trifft – zum Beispiel in der Geschäftsleitung oder der IT-Leitung.

Eine Datenschutz-Folgenabschätzung (DSFA) lässt sich definieren als ein gesetzlich vorgeschriebenes Verfahren zur systematischen Risikobewertung bei der Verarbeitung personenbezogener Daten. Dies hat den Zweck hohe Risiken für Betroffene zu identifizieren und diese zu minimieren. Nach Art 35 DSGVO dient dieses als präventives Instrument um Datenschutzrechtliche Verstöße zu Vermeiden.

Eine DSFA setzt sich zusammen aus:

•         Systematischer Beschreibung der Verarbeitungsvorgänge und deren Zwecke

•          Bewertung der Notwendigkeit und Verhältnismäßigkeit

•          Risikoanalyse

•          Planung von Abhilfemaßnahmen

Eine DSFA ist für Sie verpflichtet, wenn die Verarbeitung voraussichtlich ein hohes Risiko verursacht. Als Verantwortlicher sind Sie verpflichtet eine DSFA durchzuführen, jedoch können Sie zur Beratung einen Datenschutzbeauftragten hinzuziehen.

Die Pflicht zur Durchführung einer DSFA ist gegeben, wenn der in Frage kommende Verarbeitungsvorgang (vereinfacht und auszugsweise dargestellt) nach Art. 35 Abs. 3 DSGVO

•  systematisch und umfassend persönliche Aspekte verarbeitet oder

• besondere Kategorien von personenbezogenen Daten (z. B. Gesundheitsdaten) verarbeitet oder

• systematisch eine umfangreiche Überwachung öffentlich zugänglicher Bereiche durchführt (z. B. Videoüberwachung), müssen Sie eine DSFA für diesen Verarbeitungsvorgang durchführen.

Falls der in Frage kommende Verarbeitungsvorgang in der Blacklist (Art. 35 Abs. 4 DSGVO) der Aufsichtsbehörde (Liste der Verarbeitungsvorgänge, für die eine Datenschutz-Folgenabschätzung durchzuführen ist) veröffentlicht wurde, müssen Sie ebenfalls eine DSFA durchführen. Derzeit sind beispielsweise folgende Verarbeitungstätigkeiten dort genannt:

• Verwendung von biometrischen Systemen zur Zutrittskontrolle oder für Abrechnungszwecke

• Früherkennung von Erbkrankheiten

• Betrieb eines Insolvenzverzeichnisses

• Träger von großen sozialen Einrichtungen

• Verarbeitungen großer Rechtsanwaltskanzleien / Anwaltssozietäten

• Fahrzeugdatenverarbeitung – Car Sharing / Mobilitätsdienste Offline-

• Tracking von Kundenbewegungen in Warenhäusern, Einkaufszentren

• Fraud-Prevention-Systeme Betrieb von Bewertungsportalen

• Inkassodienstleistungen – Forderungsmanagement

• Geolokalisierung von Beschäftigten (Speditionen, Fahrdienste)

• Mit Drittdaten angereicherte Big-Data-Analyse von Kundendaten

Falls auf Basis dieser Prüfpunkte keine Pflicht zur Durchführung einer DSFA auf den Verarbeitungsvorgang zutrifft, müssen Sie eine eigene Risikoabschätzung durchführen, bei der Sie als Verantwortliche der Frage nachgehen, ob der in Frage kommende Verarbeitungsvorgang „voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen“ zur Folge hat. Diese eigene Risikoabschätzung nennt sich auch Schwellwertanalyse.

Die Schwellwertanalyse setzt im Grunde nur die Prüfungen fort, welche für die Verarbeitungstätigkeiten aus der Blacklist bereits durchgeführt wurden. Die folgenden neun Kriterien helfen Ihnen bei der Einordnung des Risikos, das von dem in Frage kommenden Verarbeitungsvorgang ausgeht:

• Werden vertrauliche oder höchst persönliche Daten verarbeitet?

• Verarbeiten Sie Daten zu schutzbedürftigen Betroffenen (z.B. Kindern, Arbeitnehmern)?

• Findet eine Datenverarbeitung in großem Umfang statt?

• Findet eine systematische Überwachung statt?

• Nutzen Sie innovative Lösungen oder wenden Sie neue technologische oder organisatorische Lösungen an?

• Führen Sie eine Bewertung oder eine Einstufung durch (Scoring)?

• Gleichen Sie Datensätze ab oder führen Sie Datensätze zusammen?

• Führen Sie eine automatisierte Entscheidungsfindung mit Rechtswirkung oder ähnlich bedeutsamer Wirkung durch?

• Werden Betroffene an der Ausübung eines Rechts oder der Nutzung einer Dienstleistung bzw. Durchführung eines Vertrags gehindert?

Die Zusammenarbeit mit einem externen Datenschutzbeauftragten folgt einem strukturierten und transparenten Ablauf, der sicherstellt, dass alle datenschutzrechtlichen Anforderungen kontinuierlich erfüllt werden. Der Prozess gliedert sich typischerweise in folgende Schritte:

Initiales Audit und Kick-Off-Gespräch
Zu Beginn erfolgt eine Bestandsaufnahme der vorhandenen Datenschutzorganisation, Prozesse, Dokumentationen und technischen Maßnahmen. In einem persönlichen Gespräch werden individuelle Anforderungen, branchenspezifische Besonderheiten und Ziele abgestimmt.

Maßnahmenplanung und Umsetzung
Auf Grundlage der Ergebnisse des Audits und des Kick-Off Gesprächs wird ein konkreter Maßnahmenkatalog erstellt. Dieser umfasst z. B. die Erstellung oder Überarbeitung von Verarbeitungsverzeichnissen, Datenschutzerklärungen, internen Richtlinien sowie Schulungen. Die Umsetzung erfolgt in enger Abstimmung mit dem Verantwortlichen.

Laufende Beratung und Kontrolle
Der externe Datenschutzbeauftragte steht dem Unternehmen kontinuierlich beratend zur Seite – z. B. bei neuen Verarbeitungstätigkeiten, technischen Veränderungen oder Anfragen von Betroffenen. Gleichzeitig führt er regelmäßige Kontrollen durch, um die Einhaltung der DSGVO sicherzustellen.

Fortlaufende Zusammenarbeit und Kommunikation
Die Zusammenarbeit ist langfristig angelegt. Es finden regelmäßige Abstimmungen, Fortschrittsberichte und bei Bedarf auch Schulungen oder Datenschutz-Updates statt. Der Datenschutzbeauftragte wird dabei eng in interne Prozesse eingebunden, ohne Teil der Unternehmenshierarchie zu sein – und bleibt damit unabhängig, wie es die DSGVO verlangt.

Wenn externe Dienstleister personenbezogene Daten in Ihrem Auftrag verarbeiten, bleiben Sie als Auftraggeber weiterhin datenschutzrechtlich verantwortlich. Um Datenschutzverstöße und Bußgelder zu vermeiden, ist ein strukturierter und nachvollziehbarer Umgang mit Auftragsverarbeitern erforderlich – unter frühzeitiger Einbindung des Datenschutzbeauftragten (DSB).

Sorgfältige Auswahl des Dienstleisters
Vor jeder Beauftragung ist zu prüfen, ob der Dienstleister die datenschutzrechtlichen Anforderungen erfüllt. Dazu zählen für die geplante Verarbeitung geeignete technische und organisatorische Maßnahmen (TOM), Transparenz über die geplante Verarbeitung und gegebenenfalls eine Bewertung der vorhandenen Restrisiken.

Der Datenschutzbeauftragte ist hierbei einzubinden. Er prüft insbesondere:

• die Angemessenheit der TOM,

  die geplante Art und Weise der Datenverarbeitung,

• und bei Bedarf die Notwendigkeit einer Datenschutz-Folgenabschätzung (DSFA) oder eines Transfer Impact Assessments bei Übermittlungen in Drittländer.

Vorab-Prüfung und Abschluss eines Auftragsverarbeitungsvertrags (AV-Vertrag)
Vor Beginn der Verarbeitung muss ein schriftlicher Vertrag gemäß Art. 28 DSGVO geschlossen werden. Der Datenschutzbeauftragte sollte den Vertragsentwurf vor der Unterzeichnung prüfen, um sicherzustellen, dass alle erforderlichen Inhalte (Zweck, Dauer, Datenkategorien, Weisungsbindung, Vertraulichkeit, TOM, Rechte und Pflichten) angemessen beschrieben sind. Nach der Unterzeichnung der AVV passen Dienstleister die AVV nicht mehr wohlwollend an.

Regelmäßige Überprüfung
Die Verantwortung endet nicht mit dem Vertragsabschluss. Als Auftraggeber sind Sie verpflichtet, die Einhaltung der vereinbarten Datenschutzmaßnahmen regelmäßig zu kontrollieren.
Mindestens einmal jährlich sollte eine stichprobenartige Überprüfung von Dienstleistern mithilfe eines geeigneten Auditverfahrens erfolgen – z. B. über standardisierte Fragebögen, Selbstauskünfte, Auditberichte, Zertifikate oder Vor-Ort-Kontrollen. Die Auswahl der zu prüfenden Dienstleister erfolgt risikobasiert.

Unterstützungspflichten des Dienstleisters
Der Dienstleister ist verpflichtet, den Auftraggeber bei der Einhaltung seiner Pflichten gegenüber Betroffenen und Aufsichtsbehörden zu unterstützen. Dazu gehört u. a. die Hilfe bei der Bearbeitung von Auskunfts- oder Löschanfragen sowie bei der Erkennung und Meldung von Datenschutzverletzungen.

Ansprechpartner für die Unternehmensleitung und Fachabteilungen
Der Datenschutzbeauftragte unterstützt die Geschäftsführung sowie die Leitenden bei der Einhaltung der datenschutzrechtlichen Vorgaben. Er bewertet neue oder geänderte Verarbeitungstätigkeiten, berät zur Umsetzung geeigneter technischer und organisatorischer Maßnahmen (TOM) und bringt datenschutzrechtliche Aspekte in die unternehmerische Planung ein.

Unterstützung und Beratung im operativen Alltag
Auch für Mitarbeitende in den Fachabteilungen ist der Datenschutzbeauftragte ein direkter Ansprechpartner – z. B. bei Fragen zur Verarbeitung personenbezogener Daten, zur Gestaltung von Formularen, Prozessen oder IT-Systemen. Er hilft, datenschutzkonforme Lösungen zu finden, und wirkt bei der Erstellung interner Richtlinien und Schulungen mit.

Kontaktstelle für betroffene Personen
Betroffene können sich direkt an den Datenschutzbeauftragten wenden – etwa bei Fragen zur Verarbeitung ihrer personenbezogenen Daten oder zur Ausübung ihrer Rechte (z. B. Auskunft, Berichtigung, Löschung, Widerspruch). Der Datenschutzbeauftragte nimmt Anfragen entgegen, prüft sie und begleitet die weitere Bearbeitung.

Schnittstelle zur Aufsichtsbehörde
Der Datenschutzbeauftragte übernimmt die Kommunikation mit der zuständigen Datenschutzaufsichtsbehörde. Er beantwortet Anfragen, begleitet behördliche Prüfungen und unterstützt bei der Klärung datenschutzrechtlicher Fragestellungen. Dabei trägt er zu einer transparenten und kooperativen Zusammenarbeit mit der Behörde bei.