Stellungnahme/Eingabe

2012

Stellungnahme der Bundessteuerberaterkammer zum Vorschlag der Europäischen Kommission für eine Verordnung des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Datenschutz-Grundverordnung-Entwurf) Vorschlag vom 25. Januar 2012

19.09.2012



Sehr geehrte Damen und Herren,

die Bundessteuerberaterkammer ist die Spitzenorganisation des steuerberatenden Berufs und vertritt circa 90.000 Steuerberater, Steuerbevollmächtigte und Steuerberatungsgesellschaften in der Bundesrepublik Deutschland.

Mit dem Entwurf zu einer Datenschutz-Grundverordnung soll in Europa ein einheitliches Datenschutzrecht geschaffen werden. Dieses Vorhaben wird von der Bundessteuerberaterkammer grundsätzlich unterstützt.

Die europaweit geltende Regelung darf jedoch nicht zu einer Beeinträchtigung des besonderen Vertrauensverhältnisses zwischen Steuerberatern und ihren Auftraggebern führen. Hier besteht aus unserer Sicht Korrekturbedarf. Weder die in Artikel 14 vorgesehene umfassende Informationspflicht noch das in Artikel 15 geplante Auskunftsrecht betroffener Personen werden der besonderen Stellung von Berufsgeheimnisträgern und ihren Verschwiegenheitspflichten gerecht. Deshalb können diese Regelungen nicht uneingeschränkt auf Steuerberater übertragen werden. Auch sollte den ohnehin für die Berufsaufsicht zuständigen Steuerberaterkammern die Aufgabe der Aufsichtsbehörde i. S. d. Artikels 49 des Vorschlages übertragen werden. Schließlich bergen eine Reihe von Regelungen Probleme bei ihrer Auslegung und praktischen Anwendung, sodass auch aus diesem Grunde der Erfolg der Verordnung infrage gestellt ist.

Einzelheiten entnehmen Sie bitte unserer beigefügten Stellungnahme.

Mit freundlichen Grüßen
i. V.

Jörg Schwenker
Geschäftsführer

 

Anlage

Stellungnahme der Bundessteuerberaterkammer zum Vorschlag der Europäischen Kommission für eine Verordnung des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Datenschutz-Grundverordnung-Entwurf) Vorschlag vom 25. Januar 2012  

Das Vorhaben, die datenschutzrechtlichen Rahmenbedingungen innerhalb der europäischen Union zu harmonisieren, wird von uns grundsätzlich unterstützt. Allerdings berücksichtigt der Vorschlag nicht die spezifische Rolle von Berufsgeheimnisträgern. Wir fordern daher eine Herausnahme der Berufsgeheimnisträger aus der in Artikel 14 vorgesehenen Informationspflicht. Ebenso muss das in Artikel 15 geplante Auskunftsrecht der betroffenen Personen gegenüber Berufsgeheimnisträgern eingeschränkt werden. Zudem sollte den Berufskammern der Berufsgeheimnisträger die Aufgabe übertragen werden, als Aufsichtsbehörde im Sinne des Artikels 49 tätig zu werden. Schließlich bestehen hinsichtlich einer Vielzahl von Regelungen Rechtsunsicherheitsbedenken, die den Erfolg der Verordnung gefährden können. Dementsprechend muss an zahlreichen Stellen nachgebessert werden. Im Einzelnen: 

I. Berufsstandsbezogene Bedenken 

Wie alle anderen Berufsgeheimnisträger sind Steuerberater verpflichtet (s. § 57 Abs. 1 StBerG) und in Gestalt von Zeugnisverweigerungsrechten (s. § 53 Abs. 1 Nr. 3 StPO, § 383 Abs. 1 Nr. 6 ZPO) auch berechtigt, alle im Rahmen ihres Mandats erlangten Informationen geheim zu halten. Sowohl die Geheimhaltungspflicht als auch die Zeugnisverweigerungsrechte sind auf die besondere Vertrauensstellung dieser Personen zurückzuführen. Gleichzeitig ist dieses Vertrauen die Grundlage für die erfolgreiche Berufstätigkeit derjenigen, deren Beistand begehrt wird. Schließlich kann eine wirksame Hilfe regelmäßig nur derjenige erwarten, der sich rückhaltlos offenbaren und dadurch einen – selbstbestimmten – Dritten zu einem Mitwisser seiner privaten Angelegenheiten machen kann. „ Andernfalls bliebe (dem Rat- bzw. Hilfesuchenden) nur die Wahl, entweder eine Offenbarung seiner privaten Sphäre in Kauf zu nehmen oder aber auf eine sachgemäße Behandlung oder Beratung … zu verzichten.“ (BVerfG, Beschluss v. 19.7.1972, 2 BvL7/71, NJW 1972, 2214, 2215). 

Daher gilt für alle Berufsgeheimnisträger – Steuerberater, aber auch Rechtsanwälte, Wirtschaftsprüfer, Ärzte u. a. – gleichermaßen, dass eine grundsätzliche Wahrung des Geheimhaltungsinteresses notwendige Vorbedingung des Vertrauens der Rat- bzw. Hilfesuchenden ist. Das Bundesverfassungsgericht hat festgestellt, dass „die Begründung höchstpersönlicher, grundsätzlich keine Offenbarung duldende Vertrauensverhältnisse“ kennzeichnend für alle diese Berufe ist (BVerfG, a. a. O.). Daraus folgt, dass die betreffenden Berufsvertreter ihre Tätigkeit nur dann wahrnehmen können, wenn sie den Klienten, Mandanten bzw. Patienten die Gewähr geben können, dass das, was ihnen in ihrer beruflichen Eigenschaft anvertraut oder bekannt geworden ist, ausnahmslos geheim zu halten und damit uneingeschränkt geschützt ist. 

Die in Art. 14 DSGVO-E vorgesehene Informationspflicht, aber auch das Auskunftsrecht gemäß Art. 15 DSGVO-E widersprechen der beschriebenen zwingend notwendigen, aber auch gesetzlich verankerten Verschwiegenheitspflicht. Dieser Widerspruch muss dringend gelöst werden. Denkbar wäre, in beiden Artikel Ergänzungen vorzunehmen, die die Berufsgeheimnisträger von diesen Pflichten ausnehmen. Im Einzelnen: 

Artikel 14 – Information betroffener Personen   

Durch die Verordnung sollen die Transparenz und die Kontrolle der Betroffenen über ihre persönlichen Daten verbessert werden. Dieses – an sich zu unterstützende – Ziel führt jedoch im Bereich der Berufsgeheimnisträger zu besonderen Problemen, aber auch zu einem erheblichen bürokratischen Aufwand.

  1. Art. 14 Abs. 1-4 DSGVO-E sieht eine proaktive, also eine von einem Auskunftsverlangen unabhängige Informationspflicht des für die Verarbeitung Verantwortlichen gegenüber allen Personen vor, von denen personenbezogene Daten erhoben werden. Diese Regelung geht unnötig weit über die Informationspflicht des § 4 Abs. 3 BDSG hinaus.

Auch Steuerberater, die zur Auftragserledigung die Daten ihrer Mandanten und vielfach auch die Daten Dritter erfassen und verarbeiten, sind für die Verarbeitung Verantwortliche im Sinne der Norm und wären danach verpflichtet, diesen gegenüber unaufgefordert und in ausführlichster Weise die in Art. 14 DSGVO-E genannten Informationen mitzuteilen. Das bedeutet, dass selbst dann, wenn es sich um die Erstellung der Lohn- und Finanzbuchhaltung handelt, den Betroffenen insbesondere die Existenz des Verarbeitungsvorgangs und seine Zwecke, die Speicherfrist, das Recht auf Auskunft sowie das Recht auf Berichtigung und Löschung der Daten und das Beschwerderecht mitgeteilt werden müsste. Werden die Daten bei der betroffenen Person erhoben, sollte dieser darüber hinaus mitgeteilt werden, ob sie verpflichtet ist, die Daten bereitzustellen, und welche Folgen eine Zurückhaltung der Daten nach sich ziehen würde. 

Bedenken gegen die Vielzahl dieser Mitteilungstatbestände bestehen nicht nur deshalb, weil einzelne von ihnen, wie etwa die Angaben zu den Geschäfts- und Allgemeinen Vertragsbedingungen (vgl. Art. 14 Abs. 1 Ziff. b DSGVO-E), keine datenschutz-, sondern allenfalls eine verbraucherschutzrechtliche Relevanz haben, sondern auch deshalb, weil Datenerhebung und -verarbeitung auf ein Vertragsverhältnis zwischen Steuerberater und Auftraggeber zurückgehen, dessen Zweck nur erreicht werden kann, wenn eine entsprechende Datenverarbeitung stattfindet. 

Die Erhebung und Verarbeitung der personenbezogenen Daten des Auftraggebers ist notwendiges Mittel zur Durchführung der steuerberatenden Tätigkeit. Schon deshalb bedarf es keiner zusätzlichen Unterrichtung des Mandanten über die von ihm freiwillig übermittelten Daten. Die Regelung, die jetzt in Art. 14 Abs. 1 DSGVO-E vorgeschlagen wird, führt jedenfalls zu einem enormen bürokratischen Mehraufwand, ohne den Datenschutz zu erhöhen. Dabei muss gerade im Datenschutzrecht einem „Überhäufen“ der Betroffenen mit Informationen kritisch begegnet werden. Schließlich kann ein Zuviel an Informationen den Blick für das Wesentliche verstellen. Dies stellt eine ebenso große Gefahr für die Betroffenen dar wie eine unzureichende Information. 

Aus diesem Grund sowie zum Zwecke der Vermeidung der sich abzeichnenden Mehrbelastungen der für die Verarbeitung Verantwortlichen müssen die im Verordnungsentwurf vorgesehenen Dokumentationspflichten und -verfahren dringend auf ihre Praktikabilität geprüft werden. Modell könnte hierbei die deutsche Regelung in § 4 Abs. 3 Satz 1 BDSG sein, die die Unterrichtung des Betroffenen, bei dem personenbezogene Daten erhoben werden, auf insgesamt nur drei Fallgruppen beschränkt. 

  1. Da Steuerberater ihre Mandanten wirtschaftlich umfassend beraten und im Bedarfsfall auch gerichtlich vertreten, werden von ihnen auch Daten von Dritten erfasst, hinsichtlich derer die Mandanten eine vertrauliche Behandlung sowie eine Verschwiegenheit von Seiten ihres Steuerberaters erwarten. Es ist undenkbar, dass auch ihnen gegenüber eine Verpflichtung zur Mitteilung der über sie gespeicherten Daten bestehen soll. Alles andere würde zu einer Aushöhlung der beruflichen Verschwiegenheitspflicht und damit letztlich zu einem Verlust des besonderen Vertrauensverhältnisses zwischen Mandant und Steuerberater führen. Die Verschwiegenheitspflicht des Steuerberaters/Berufsgeheimnisträgers muss dem Datenschutzinteresse eines Betroffenen stets vorgehen. 

Um den Belangen der Mandanten, aber auch der der Steuerberater sowie anderer Berufsgeheimnisträger gerecht zu werden, ist es daher zwingend erforderlich, den Katalog der Ausnahmen in Art. 14 Abs. 5 DSGVO-E zu erweitern. Hinsichtlich solcher Daten, die einer Person übermittelt werden, die einem staatlich reglementierten Berufsgeheimnis oder einer gesetzlichen Geheimhaltungspflicht unterliegt, und die von dieser in Ausübung ihres Berufs verarbeitet oder ihr anvertraut oder bekannt gemacht werden, darf es keine Informationspflicht i. S. d. Art. 14 DSGVO-E geben. 

Wir fordern daher – ebenso wie die Bundesrechtsanwaltskammer in ihrer Stellungnahme vom Juni 2012 –, in Art. 14 Abs. 5 DSGVO-E folgenden Buchstaben e) einzufügen: 

„e) die Daten werden von einer Person, die einem staatlich reglementierten Berufsgeheimnis oder einer gesetzlichen Geheimhaltungspflicht unterliegt, in Ausübung ihres Berufs verarbeitet, ihr anvertraut oder bekannt gegeben.“  

Artikel 15 – Auskunftsrecht der betroffenen Personen   

Aus denselben Gründen muss auch das Auskunftsrecht der betroffenen Personen gemäß Art. 15 DSGVO-E eingeschränkt werden, nach der diese das Recht haben, von dem für die Verarbeitung Verantwortlichen jederzeit eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden oder nicht, gegebenenfalls zu welchen Zwecken u. v. m. 

Ohne eine entsprechende Ausnahmeregelung für Berufsgeheimnisträger käme es nicht nur zu einer Zerstörung des zwischen ihnen und ihren Mandanten bestehenden Vertrauensverhältnisses. Berufsgeheimnisträger, die die Auskünfte gemäß Art. 15 DSGVO-E erteilen würden, würden zugleich Gefahr laufen, sich einer Verletzung von Privatgeheimnissen nach § 203 StGB strafbar zu machen. 

Um im Vergleich zur heutigen Rechtslage eine Schlechterstellung – sowohl der Berufsgeheimnisträger als auch der Personen, die deren Dienstleistungen in Anspruch nehmen – zu vermeiden, ist es daher zwingend erforderlich, im Art. 15 ergänzend aufzunehmen, dass ein Auskunftsrecht in den beschriebenen Fällen nicht besteht.

Im Einklang mit der Bundesrechtsanwaltskammer sprechen wir uns dafür aus, in Art. 15 DSGVO-E einen neuen Absatz 3 mit folgendem Wortlaut einzufügen:

„3. Ein Auskunftsrecht nach den Absätzen 1 und 2 besteht nicht, soweit Daten im Sinne des Art. 14. Abs. 5 Buchstabe e) betroffen sind.“

Artikel 49 – Errichtung der Aufsichtsbehörd

Gemäß Art. 49 DSGVO-E hat jeder Mitgliedsstaat die Errichtung einer Aufsichtsbehörde und ihre Stellung zu regeln.

Mit Blick auf die spezifischen Besonderheiten von Berufsgeheimnisträgern ist vorzusehen, dass die jeweiligen Berufskammern zugleich auch als datenschutzrechtliche Aufsichtsbehörde tätig werden. Bereits heute obliegt es diesen, die Erfüllung der beruflichen Pflichten ihrer Mitglieder zu überwachen (vgl. etwa § 76 Abs. 1 StBerG, §§ 62, 73 Abs. 2 Nr. 4 BRAO, § 57 Abs. 1 WPO).

Wie oben dargelegt, ist die Pflicht zur Verschwiegenheit eine wesentliche und die Berufsgeheimnisträger in ganz besonderer Weise prägende Berufspflicht. Der enge Zusammenhang zwischen der Einhaltung der beruflichen Verschwiegenheitspflicht und der Pflicht zur Einhaltung des Datenschutzes legt eine Bündelung dieser Zuständigkeiten auf eine Stelle nahe. Weitere Argumente dafür sind deren Kenntnis berufsspezifischer Besonderheiten sowie die Tatsache, dass nur in diesem Falle die dem Berufsgeheimnisträger anvertrauten Daten und Geheimnisse im sektorialen Bereich verbleiben würden. Und schließlich wird (auch nur) auf diese Weise eine fachspezifische Interpretation der Daten gewährleistet.

Die Zuständigkeit der datenschutzrechtlichen Aufsicht sollte der beruflichen Selbstverwaltung, die schon jetzt für die Berufsaufsicht insgesamt zuständig ist, übertragen werden.

Im Einklang mit dem Vorschlag der Bundesrechtsanwaltskammer fordern wir eine Ergänzung des Art. 49 wie folgt:

„Soweit für die Berufsaufsicht von Berufsgeheimnisträgern zum Zeitpunkt des In-Kraft-Tretens dieser Verordnung zuständige Stellen bestehen, können diese die Aufsichtsbehörde errichten.“

II. Rechtsunsicherheitsbedenken

Neben den genannten berufsstandsbezogenen Bedenken ist zu befürchten, dass die Verordnung mit Blick auf die zweijährige Übergangszeit, die vorgesehene Delegation von ausfüllenden Rechtsakten an die Kommission und die Unbestimmtheit vieler Regelungen zu einer erheblichen Rechtsunsicherheit bei allen Beteiligten führen wird. Der Datenschutz, der das eigentliche Ziel des Regelungsentwurfs ist, wäre zumindest in den ersten Jahren nach Inkrafttreten der Verordnung infrage gestellt. Im Einzelnen:

Zweijährige Übergangszeit

Die vorgesehene Übergangsfrist – gemäß Art. 91 Abs. 2 DSGVO-E zwei Jahre nach Inkrafttreten der Verordnung – sowie die Umstellungsphase werden Rechtsunsicherheit mit sich bringen, die weder im Interesse der betroffenen Personen noch im Interesse der Verpflichteten ist. Diese Rechtsunsicherheit ergibt sich neben der objektiven Anwendungsunklarheit – dazu unten näher – auch daraus, dass jede Seite versuchen wird, die Rechtslage in ihrem Interesse auszulegen.

Delegierte Rechtsakte

Die Verordnung sieht an zahlreichen Stellen sogenannte delegierte Rechtsakte vor (s. Art. 86 DSGVO-E). Diese ermächtigen die EU-Kommission, die Datenschutzvorgaben weiter auszugestalten und konkretisierende bzw. ergänzende Regelungen zu schaffen.

Bis zu dem Zeitpunkt, zu dem die Kommission von den Ermächtigungen – wenn überhaupt – Gebrauch macht, ist weder das Ob noch das Wie einer entsprechenden Regelung erkennbar.

Das bedeutet nicht nur Rechtsunsicherheit, sondern ist auch nur schwer vereinbar mit der in Deutschland geltenden – vom Bundesverfassungsgericht entwickelten – Wesentlichkeitstheorie. Nach dieser muss Wesentliches im Gesetz selbst geregelt und darf nicht (an die Verwaltung) delegiert werden. Auch müssen die Gesetze danach hinreichend bestimmt gefasst sein, so dass die ermächtigten Stellen den Rahmen, innerhalb dessen sie tätig werden dürfen, klar erkennen können. Es erscheint fraglich, ob dieser Rahmen klar genug gezogen wird, wenn beispielsweise in Art. 6 Abs. 5 DSGVO-E lediglich formuliert wird, dass die Kommission ermächtigt wird, delegierte Rechtsakte nach Maßgabe von Artikel 86 zu erlassen, um die Anwendung von Absatz 1 Buchstabe f für verschiedene Bereiche und Verarbeitungssituationen, näher zu regeln. In ähnlicher Weise wird der Kommission an weiteren (25!) Stellen der Verordnung das Recht zum Erlass delegierter Rechtsakte eingeräumt.

Es muss daher dringend geprüft werden, welche Vorschriften direkt im Verordnungsvorschlag konkretisiert werden können bzw. sogar müssen bzw. an welchen Stellen auf den Erlass delegierter Rechtsakte verzichtet werden sollte.

Unbestimmte Vorgaben

Eine Vielzahl der Regelungen ist zu unbestimmt. So wird beispielsweise der für die Verarbeitung Verantwortliche in Artikel 14 verpflichtet, die Person, von der personenbezogene Daten erhoben werden, innerhalb einer „angemessenen Frist“ nach der Datenerhebung zu informieren. Zu der Frage, wann dieses Merkmal noch erfüllt bzw. nicht mehr erfüllt ist, findet sich aber keine Aussage. Die Erwägungsgründe (s. Nr. 49) führen insoweit lediglich aus, dass sich die Frist nach dem konkreten Einzelfall richtet. Unbestimmte Rechtsbegriffe finden sich u. a. auch in Art. 79 Abs. 5 e) („ Auskünfte nicht in hinreichend transparenter Weise erteilt“) oder in Art. 79 Abs. 5 g) („alle erforderlichen Schritte“). 

Auch Art. 31 Abs. 1 Satz 1 DSGVO-E, der in Analogie zu § 42a BDSG vorsieht, dass der für die Verarbeitung Verantwortliche bei einer Verletzung des Schutzes personenbezogener Daten ohne unangemessene Verzögerung und nach Möglichkeit binnen 24 Stunden nach Feststellung der Verletzung die Aufsichtsbehörde benachrichtigt, ist zu unbestimmt und daher in der Praxis nur schwer anwendbar, da Kriterien zur Feststellung einer Verletzung sowie die genauen Umstände der Benachrichtigung fehlen. Zudem ist anzumerken, dass die 24-Stunden-Frist als unrealistisch eingeschätzt wird und daher (maßvoll) verlängert werden sollte.

Zahlreiche Regelungen des vorliegenden Verordnungsentwurfs bedürfen der Konkretisierung in der Aufsichtspraxis oder durch die Europäische Kommission mit Hilfe von delegierten Rechtsakten oder Durchführungsbestimmungen. Bis zu deren Erlass oder einer kohärenten Aufsichtspraxis, die mehrere Jahre in Anspruch nehmen kann, wird eine erhöhte Rechtsunsicherheit bestehen, die jedoch gerade angesichts der gegenüber der Richtlinie 95/46/ EG deutlich erhöhten Sanktionsmöglichkeiten als äußerst problematisch einzuschätzen ist.

Fehlende Regelungen

Zudem finden sich verschiedene Regelungen des BDSG, die sich in der Praxis als sinnvoll erwiesen haben, in der Verordnung nicht oder nur ansatzweise wieder, z. B. Regelungen zur Pseudonymisierung und Anonymisierung (§ 3 Absatz 6, 6a BDSG), zur Datenvermeidung und Datensparsamkeit (§ 3a BDSG), zur Videoüberwachung (§ 6b BDSG), zu mobilen Speicher- und Verarbeitungsmedien (§ 6c BDSG), zur Datenübermittlung an Auskunfteien (§ 28a BDSG), zum sogenannten Scoring (§ 28b BDSG) oder zum Beschäftigtendatenschutz (§ 32 BDSG).

Auch gibt es Vorschriften, die den Regelungen des BDSG zwar nachgebildet sind, in materieller Hinsicht aber hinter diesen zurück bleiben, wie z. B. der deutlich höhere Schwellenwert für die Bestellung eines betrieblichen Datenschutzbeauftragten. So entsteht der Eindruck, dass der neue EU-Datenschutz hinter das nationale Schutzniveau zurückfällt.

Unklares Verhältnis zu anderen Datenschutzregelungen

Es fragt sich, wie sich die DSGVO-E zu den datenschützenden Regelungen in nationalen Spezialgesetzen, z. B. dem StBerG oder den (materiellrechtlichen) Steuergesetzen, verhält. Unklar ist weiterhin das Hierarchieverhältnis zwischen den Regelungen der Verordnung und den Datenschutzgesetzen von Bund und Ländern, aber auch zu Regelungen im bereichsspezifischen Datenschutzrecht, etwa im Telemediengesetz, im Gendiagnostikgesetz oder im Sozialgesetzbuch. Solange hier keine Klarheit herrscht, sind nicht nur – unbeabsichtigte – Datenschutzverstöße und damit Nachteile für die Betroffenen oder die verantwortlichen Stellen zu befürchten.

Kontextinformationen der Seite

Kontakt

Abt. Berufsrecht

Unser Zeichen: Sw/Wa

Tel.:+49 30 240087-15

Fax.:+49 30 240087-99