Seit Wochen berichten die Medien über die neue Datenschutz-Grundverordnung, die ab 25. Mai 2018 wirksam ist. Im Grunde genommen geht es um die Art und Weise wie in Ihrem Unternehmen mit der Verarbeitung von personenbezogenen Daten umgegangen wird. Dabei ist es irrelevant, ob die Daten lediglich in Papierform oder aber in elektronischer Form von Ihnen verarbeitet werden. Betroffen sind Sie unter anderem dann, wenn Sie Mitarbeiterdaten aufbewahren oder über Kundenkarteien verfügen. Die Verordnung ist so konzipiert, dass defacto jeder Unternehmer von ihr betroffen ist.

Die österreichischen Kammern arbeiten mit Hochdruck an der Ausarbeitung von Musterverträgen, Mustervereinbarungen und allgemeinen Informationen, um die Umsetzung zu erleichtern. Dennoch fehlt der rote Faden oder die Antwort auf die Frage „Was muss bis 24. Mai 2018 erledigt sein?“.

Die Antwort lautet: Mit Ablauf des 24. Mai 2018 muss das Verzeichnis aller Verarbeitungstätigkeiten gem Art 30 DSGVO erstellt sein. Im Rahmen einer Prozessanalyse muss sich der Unternehmer mit der Frage der Verarbeitung von sogenannten personen-bezogenen Daten in seinem Unternehmen auseinandersetzen und dies entsprechend dokumentieren.

Wir haben ein kleines, wirkungsvolles Team aus einer Datenschutz-Expertin und einem professionellen Prozessanalytiker zusammengestellt, die mit Ihnen gemeinsam effektiv und effizient das Verarbeitungsverzeichnis erstellen können. Damit wäre der erste große Schritt iSd DSGVO getan.

Änderungsbedarf, der im Rahmen der Prozessanalyse zutage tritt, kann in einem weiteren Schritt analysiert werden, um zukünftig Anpassungen vorzunehmen.

In eigener Sache: Hinsichtlich der Vertragsbeziehung zwischen uns und unseren Mandanten vertritt die Kammer der Steuerberater und Wirtschaftsprüfer die Auffassung, dass unsere Kanzlei nicht als sogenannter „Auftragsverarbeiterin“ iSd DSGVO tätig wird sondern die personenbezogenen Daten als „Verantwortlicher“ iSd DSGVO verarbeitet. Bedingt durch die eigenverantwortliche und besondere Tätigkeit, die Steuerberater erbringen, liegt daher nicht nur eine Auftragsabwicklung vor. Damit geht für uns eine höhere Eigenverantwortung in Bezug auf die Verarbeitung der personenbezogenen Daten ein-her. Die möglicherweise bereits bekannten Mustervereinbarungen über eine Auftragsverarbeitung gem Art 28 DSGVO sind daher zwischen uns und unseren Mandanten nicht abzuschließen. Die Basis unserer Zusammenarbeit bilden daher weiterhin die bestehenden Angebote und Vertragsvereinbarungen.