Interview zur DSGVO, Teil 2: Recht auf Vergessenwerden

Heute geht es weiter mit meiner Artikelserie zur DSGVO mit einem Interview, das wir mit einem der renommiertesten Experten im Bereich der Datensicherheit und des Datenschutzes für Steuerkanzleien geführt haben, mit Dipl. Ök. Stephan Rehfeld.

Lesen Sie heute den zweiten Teil unserer dreiteiligen Serie:
(Haben Sie den ersten Teil verpasst? Kein Problem → hier lang )

Auch das Löschen von Daten wird restriktiver gehandhabt, Stichwort „Recht auf Vergessenwerden“.

Stephan Rehfeld: Das Löschen von Daten wird viel ernster genommen als bisher. Sobald die Notwendigkeit der Speicherung und die Aufbewahrungspflicht entfallen, besteht kein Recht mehr, die Daten zu speichern. Auch in Steuerberatungskanzleien müssen die relevanten Löschfristen identifiziert und eingehalten werden. Zusätzlich müssen Konzepte für die physikalische Datenlöschung umgesetzt sein. Heute können Software-Systeme häufig gar nicht löschen, weil zum Beispiel zu komplexe Datenmodelle programmiert worden sind. Die DSGVO wird für diese Softwares das Aus bedeuten, weil für Steuerberatungskanzleien und auch Unternehmen der Einsatz wegen des existenzbedrohenden Bußgeldes zu riskant sein wird.

Was bedeutet die neue Meldepflicht, die sogenannte „Data Breach Notification“, beispielweise bei Datenverlust, für Steuerkanzleien?

Stephan Rehfeld: Hier müssen zwei Aspekte berücksichtigt werden:
1. Auch Steuerberatungskanzleien werden ein professionelles IT-Störungsmanagement, auch Incident-Management genannt, benötigen, damit die hohen Anforderungen des Gesetzgebers an eine Meldung eingehalten werden können, wie zum Beispiel die Einhaltung der Frist zur Meldung eines Vorfalls spätestens 72 Stunden ab Erkennen. Auch professionelle Incident-Management-Abteilungen haben Probleme, diese straffe Frist einzuhalten.
2. Vertrauen ist die Grundlage des Mandatsverhältnisses. Stellen sie sich vor, sie müssen ihrem Mandanten erklären, dass Sie personenbezogene Gehaltsdaten seiner zum Beispiel 200 Mitarbeiter „verloren“ haben. Das ist eine Situation, mit der niemand konfrontiert werden will; Steuerberatungskanzleien müssen sich nun wegen der Meldepflicht mit solchen Szenarien auseinandersetzen.

Wie bewerten Sie im Kontext der DSVGO eine Cloud-Lösung wie ADDISON OneClick?

Stephan Rehfeld: Seien wir ehrlich: E-Mail als Medium für die geschäftliche Kommunikation ist tot. Es ist eher erstaunlich, welchen Erfolg E-Mail hatte, obwohl das Konzept für die heutige Nutzung nie ausgelegt war, weder vom Umfang noch von der Sensibilität des Einsatzes. Wenn Steuerberatungskanzleien die Hoheit über die ihnen anvertrauten Daten behalten wollen, sind sie dazu gezwungen, den Mandanten und den Angestellten der Mandanten Plattformen anzubieten, auf denen der Datenaustausch stattfindet. Daher gehört aus meiner Sicht „Collaboration“-Lösungen wie ADDISON OneClick die Zukunft. E-Mails können nur noch Benachrichtigungsfunktionen haben, werden aber nicht mehr Träger der Information sein.

 Lesen Sie in Teil 3, was es mit der „Informationspflicht der für die Datenverarbeitung Verantwortlichen“ auf sich hat, ob Steuerberater „Auftragsverarbeiter“ sind und was Stephan Rehfeld Steuerberatern aktuell in puncto DSVGO zu tun empfiehlt.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.