Als Steuerberater kommen Sie in Ihrer täglichen Arbeit nicht darum herum, personenbezogene Daten zu verarbeiten – von Finanzdaten über Angaben zur Lebensführung bis zur Sozialversicherungsnummer landen allerhand Informationen auf dem Schreibtisch, die höchsten Schutz verlangen. Welche Artikel der DSGVO Steuerberater kennen sollten und auf welche bekannten Datenschutz-Schwierigkeiten Sie in der Praxis besonders achtgeben sollten, lesen Sie in diesem Beitrag.
Welche Pflichten haben Steuerberater nach der DSGVO?
In Steuerkanzleien verarbeiten Sie personenbezogene Daten und sensible Geschäftsinformationen. Sie sind hierbei nicht nur der beruflichen Schweigepflicht unterworfen, sondern müssen auch alle Vorgaben von Datenschutz und der IT-Sicherheit bewahren.
Wenn Sie als Steuerberater die DSGVO durchblättern, dürften Sie schon bald auf ein lange umstrittenes Thema treffen: Die Auftragsverarbeitung. Im Grund handeln Sie ja im Auftrag Ihres Mandanten, was Sie zu einem Auftragsverarbeiter macht und Sie verpflichtet, eine umfangreiche Auftragsverarbeitungsvereinbarung zu erstellen.
Das bleibt Ihnen zum Glück erspart, denn nach der Neufassung des § 11 StBerG vom 18.12.2019 gelten Steuerberater im Rahmen der DSGVO nicht als Auftragsverarbeiter, sondern als Datenschutz-Verantwortliche. Auch dann, wenn Sie nicht der Geschäftsführer sind. Für Sie ergeben sich damit aus Art. 24 DSGVO folgende Pflichten:
- Sie setzen geeignete technische und organisatorische Maßnahmen um, um die Daten Ihrer Mandanten zu schützen
- Diese Maßnahmen überprüfen und aktualisieren Sie
- Sie stellen sicher, dass die Maßnahmen von allen Mitarbeitern, Partnern und externen Dienstleistern Ihrer Kanzlei eingehalten werden
Das umfasst:
- Erstellen eines Verarbeitungsverzeichnisses, Datenschutz-Folgeabschätzung und individueller Auftragsverarbeitungsvereinbarungen mit Dienstleistern
- Entwerfen eines Datenschutzkonzepts bzw. Datenschutzmanagement-Systems
- Regelmäßige Schulung der Mitarbeiter zum Datenschutz
- Aufklärung Ihrer Mandanten über ihre Rechte im Bezug auf den Datenschutz
Wie das im Detail aussieht, habe ich Ihnen in der hier im Beitrag eingebundenen Checkliste für Steuerberater aufgelistet. Sie können Sie ohne Berechnung herunterladen.
Brauchen Steuerberater einen Datenschutzbeauftragten, um DSGVO-konform zu arbeiten?
Jetzt bitte Acht geben: Nur weil Sie Datenschutz-Verantwortlicher sind, heißt das nicht, dass Sie den Datenschutz ganz allein stemmen müssen oder gar können.
Grundsätzlich ist das in zwei Situationen ohnehin ausgeschlossen.
- In Ihrer Kanzlei verarbeiten mehr als 20 Personen regelmäßig personenbezogene Daten. In dem Fall schreibt § 38 BDSG Ihnen vor, einen internen oder externen Datenschutzbeauftragten zu ernennen.
- Sie sind Kanzleiinhaber, Partner, Sozius oder EDV-Leiter: Unter Berücksichtigung des Inkompatibilitätsgrundsatzes darf keine dieser Personen die Rolle des internen Datenschutzbeauftragten übernehmen!
Trifft keiner dieser Fälle auf Sie zu, dürfen Sie sich natürlich trotzdem durch einen Datenschutzbeauftragten absichern lassen. Besonders in kleinen Kanzleien ist dann die Ernennung eines internen Datenschutzbeauftragten gang und gäbe, weil man sich so vermeintlich Kosten spart.
Ich bin der Meinung: Diese Kosten kommen spätestens dann doppelt und dreifach zurück, wenn der interne DSB nicht ordentlich aus- bzw. weitergebildet wurde und aufgrund von Überlastung, fehlendem Verständnis oder Interessenskonflikten schwerwiegende Fehler macht. Und das passiert schneller als gedacht. Zur Verdeutlichung empfehle ich Ihnen dieses Fallbeispiel und rate Ihnen: Sicher ist sicher. Suchen Sie sich einen kompetenten externen Datenschutzbeauftragten, der Sie verständlich berät und Sie unterstützt, die DSGVO in Ihrem Steuerberater-Büro korrekt umzusetzen.
Unterweisen Sie Ihr Team im Datenschutz
Bei der Einführung neuer Mitarbeiter ist es für Sie vermutlich selbstverständlich, diese in den Abläufen und Prozesse der Kanzlei zu unterweisen. Tun Sie das auch beim Datenschutz? Ich weise immer wieder darauf hin, dass Achtlosigkeit oder Nichtwissen von Mitarbeitern das wohl größte Risiko im Datenschutz darstellt.
Zudem gilt: Nur wenn Sie nachweisen können, dass Sie Ihre Mitarbeiter auch entsprechend geschult und für eine DSGVO-konforme Datenverarbeitung sensibilisiert haben, können Sie im Falle einer Datenschutzpanne eine Aufsichtsbehörde davon überzeugen, grundsätzlich die gesetzlichen Vorgaben zu erfüllen.
Häufige Datenschutz-Fallen in der Steuerkanzlei
Dokumentationspflichten, Rechenschaftspflicht, Prozesse für den Umgang mit Betroffenenanfragen und Datenpanne und die Unterweisung und Verpflichtung aller Beschäftigten: Das sind organisatorische Pflichten, die Sie als Steuerberater im Rahmen der DSGVO umsetzen müssen.
Dazu kommen noch die Datenfallen, die bei der täglichen Arbeit passieren können oder die täglich getan werden, aber ein Verstoß gegen Datenschutzrecht darstellen.
- Falle: Sie organisieren Ihre IT-Infrastruktur nicht selbst, sondern beauftragen einen externen Dienstleister. Dieser ist Auftragsverarbeiter, kann auch Mandantendaten einsehen und muss daher vertraglich auch auf das Berufsgeheimnis nach §203 StGB verpflichtet werden. Standardverträge berücksichtigen diesen Umstand nicht.
- Falle: Der Mandant möchte schnell eine Information mit sensiblem Inhalt, zum Beispiel bittet er um Zusendung eines alten Steuerbescheids. Sie verschicken diese als einfache unverschlüsselte E-Mail.
- Falle: Mandantendokumente werden digitalisiert und die Papiermappe wird vernichtet. Der Schredder aus dem Baumarkt produziert allerdings nur Längsstreifen, die dann in der Papiertonne entsorgt werden. Die Informationen können einfach wieder hergestellt werden. Für Unterlagen mit personenbezogenen Daten brauchen Sie einen Aktenvernichter mit Sicherheitsstufe 4 oder höher!
Mein Fazit: Die DSGVO ist auch für Steuerberater ein schwieriges Thema – kompetente Unterstützung erleichtert Ihnen die Arbeit!
Ignorieren des Themas ist bei fortschreitender Digitalisierung und den hohen Strafen bei Verstößen gegen die DSGVO keine Option für verantwortungsbewusste Steuerberater. Sie müssen sich der Aufgabe stellen. Ich empfehle Ihnen zum Abschluss noch einmal, sich die kompakte Checkliste mit den wichtigsten DSGVO-To-do’s für Steuerberater herunterzuladen. Und bitte: Greifen Sie auf einen Datenschutzbeauftragten zurück. Ich unterstütze Sie gerne mit meinem Beratungspaket für Steuerberater.
