Datenschutz für Steuerberater

Wie gestaltet sich der Datenschutz für Steuerberater?

Dies ist meist die wichtigste Frage, die sich für Steuerberater im Zusammenhang mit dem Datenschutz stellt. Denn im Zuge der klassischen Steuerberatungstätigkeiten wie der Erstellung von Jahresabschlüssen o. ä. sind Sie Ihrem Mandanten gegenüber nicht weisungsgebunden. Daraus lässt sich schließen, dass die Vorgaben zur Auftragsverarbeitung nach Art. 28 DSGVO für Sie nicht zutreffen – denn die Datenverarbeitung erfolgt ausschließlich im Umfang Ihrer Tätigkeit als Steuerberater und nicht darüber hinaus. Selbst für die ergänzende Lohn- und Gehaltsabrechnung Ihrer Mandanten sind Sie dem Bundesdatenschutzgesetz nicht unterworfen. Der Grund: Die Verschwiegenheitspflicht nach StBerG hat in diesen Fällen stets Vorrang – und diese verbietet bereits jegliche Weitergabe personenbezogener Daten.

Anders stellt sich die Sachlage in Bezug auf die Kanzlei dar: Sobald Sie Mitarbeiter beschäftigen, unterliegt die Kanzlei insbesondere den datenschutzrechtlichen Anforderungen, die deren persönlichen Informationen gesetzeskonform schützen. Wesentliche Eckpfeiler dabei sind das:

• Grundsatz der Rechtmäßigkeit
• Transparenzgebot
• Grundsatz der Zweckbindung
• Prinzip der Datenminimierung
• Grundsätze der Integrität und Vertraulichkeit

Das bedeutet: Sie dürfen beispielsweise nur in dem Umfang Daten erheben und verarbeiten, wie es für die Verwaltung Ihrer Angestellten notwendig ist. Außerdem sind Sie verpflichtet, Ihre Mitarbeiter über die konkret verwendeten Informationen in Kenntnis zu setzen.

Darüber hinaus gilt auch für Steuerberater, dass es nicht ausreicht datenschutzkonform zu agieren, sondern er muss dies jederzeit dokumentiert nachweisen können („Rechenschaftspflicht“).

Welche Daten müssen geschützt werden?

Das Datenschutzrecht regelt den Umgang mit personenbeziehbaren oder personenbezogenen Daten. Darunter fallen auch die üblicherweise im Mandatsverhältnis verarbeiteten Daten:

• Name
• Geburtsdatum
• Anschrift
• Steuernummer
• Angaben zur Lebensführung im Rahmen von Steuererklärungen
• Sozialversicherungsnummer
• Finanzdaten (Kontodaten)

Erheben Sie diese oder ähnliche Informationen von Ihren Mandanten und Angestellten oder werden Ihnen diese Daten von Dritten im Rahmen der steuerberatenden Tätigkeit zu teil, ist ein ausgefeiltes Datenschutzkonzept unverzichtbar. Dieses umfasst neben einer umfangreichen Planung auch die konkreten Maßnahmen und Kontrollen im technischen sowie organisatorischen Bereich.

Die Arbeit eines Steuerberaters ist ohne PC und Internet nicht mehr denkbar. Unterlagen zu Jahresabschlüssen und Lohnabrechnungen werden von fast allen Behörden nur noch in digitaler Form angenommen und auch die Kommunikation mit den Mandanten erfolgt meist per E-Mail. Umso wichtiger ist es, den Fokus auf ein funktionierendes Datenschutzkonzept zu legen.

Platzieren Sie Ihren Server und die Telefonanlage in einem eigenen, verschließbaren Raum, für den strenge Zutrittskontrollen gelten. Gewähren Sie lediglich befugten Personen Zutritt, die für die Wartung zuständig sind oder für ihre Aufgaben direkten Zugriff auf die Serverdaten benötigen. Nimmt Ihr digitales Equipment nicht sehr viel Platz in Anspruch, reicht auch ein separater Serverschrank, der sich sicher verschließen lässt.

Zum Thema Zugriffskontrolle empfiehlt sich ein abgestuftes Berechtigungssystem, das für jeden Nutzer spezifische Ordnerstrukturen freigibt. Damit verhindern Sie, dass Unbefugte Zugriff auf sensible Daten erlangen. Mithilfe einer eindeutigen Nutzerzuordnung sowie der Sicherung mit einem Passwort können Sie jedem Mitarbeiter sein eigenes Profil erstellen. Idealerweise erkennt der verwendete PC Inaktivität und sperrt sich nach einer voreingestellten Zeit selbstständig. So kann der Zugriff ausschließlich über eine erneute Passworteingabe erfolgen. Ändern Sie die verwendeten Passwörter alle 90 Tage – dies lässt sich auch systemseitig verpflichtend einstellen.

Die regelmäßige Aktualisierung von Betriebssystemen, Firewalls und Antiviren-Software gehört leider noch nicht bei allen Kanzleien zum Standard. Schließen Sie mögliche Lücken, indem Sie Ihre Soft- und Hardware stets aktuell halten. Zusätzlich ist die tägliche Sicherung wichtiger Mandanten- und Kanzleidaten unabdingbar. Speichern Sie die Tagesarbeit auf einem separaten Sicherungsmedium und bewahren Sie dieses getrennt vom übrigen System auf – am besten in einem feuerfesten Tresor.

Verschlüsselung ist ein weiterer Schritt hin zur datenschutzkonformen Steuerberatertätigkeit. Nutzen Sie beispielsweise tragbare Speichermedien wie USB-Sticks oder externe Festplatten zur Übertragung von Mandanteninformationen, sollten Sie diese mit einer guten Software verschlüsseln. So kann kein Fremder ohne weiteres Zugriff erlangen, selbst wenn der Stick verloren gehen sollte. Für E-Mails gilt ein ähnliches Prinzip: Schirmen Sie vertrauliche Daten beim E-Mail-Verkehr gegen Hackerangriffe ab. Dank Spezialsoftware gewährleisten Sie eine vertrauliche Übermittlung. Ist Ihr Mandant damit nicht einverstanden oder hat nicht die technischem Möglichkeiten, eine E-Mail-Verschlüsselung zu nutzen, halten Sie dies schriftlich in der Mandatserteilung fest, um sich abzusichern.

Trotz zunehmender Digitalisierung nehmen Papierunterlagen noch immer einen hohen Stellenwert ein. Neben der korrekten Aufbewahrung ist vor allem die Vernichtung eine häufige Datenschutzlücke bei Steuerberatern. Deshalb empfiehlt sich ein Schredder, der mindestens die Sicherheitsstufe 3 erfüllt.

Lässt sich der Einsatz von Drittanbietern – zum Beispiel für Büro-Service, IT-Wartung oder Hosting – nicht vermeiden, sollten Sie mit dem jeweiligen Dienstleister Sonderregelungen nach Art. 28 DSGVO vereinbaren (hier sind zudem etwaige Beschränkungen nach § 203 StGB zu beachten). Dazu gehören unter anderem der Ort der Datenverarbeitung sowie technische und organisatorische Mindeststandards. Außerdem sollte die Mitteilungspflicht im Datenverlustfall eindeutig geregelt sein.

Sind Steuerberater verpflichtet, einen Datenschutzbeauftragten zu bestellen?

Um möglichen Sanktionen von Seiten der Aufsichtsbehörde aus dem Weg zu gehen, empfiehlt sich ggf. die Bestellung eines Datenschutzbeauftragten. Verpflichtend ist sie insbesondere für folgende Kanzleien:

1. Mehr als 20 Beschäftigte verarbeiten personenbezogene Daten elektronisch (z.B. am PC).
2. Unabhängig von der Beschäftigtenanzahl ist ein Datenschutzbeauftragter zu bestellen, wenn sensible Daten (z.B. Gesundheitsdaten im Rahmen der Lohn- und Gehaltsabrechnung) in großem Umfang verarbeitet werden.

Ob der Datenschutzbeauftragte intern oder extern bestellt wird, bleibt jedem Steuerberater selbst überlassen.

Welche Anforderungen muss der Datenschutzbeauftragte für Steuerberater erfüllen?

Für die Ernennung eines Datenschutzbeauftragten in der eigenen Kanzlei gilt immer der Inkompatibilitätsgrundsatz. Das bedeutet, dass weder der Kanzleiinhaber selbst noch ein Sozius oder Partner diese Tätigkeit ausführen darf. Es ist unbedingt darauf zu achten, einen Interessenskonflikt zu vermeiden: es sollte niemand seine eigenen Entscheidungen datenschutzrechtlich überprüfen müssen.

Neben einer fachkundigen Ausbildung und Zuverlässigkeit sollte Ihr zukünftiger Datenschutzbeauftragter alle notwendigen Kenntnisse über die einschlägigen Datenschutzgesetze haben. Zusätzlich ist Wissen über alle Rechtsvorschriften gefragt, die den Datenschutz betreffen. Bestellen Sie im besten Fall einen externen Dienstleister oder Mitarbeiter für diese Aufgabe, der organisatorisch und technisch auf dem neuesten Stand ist und als Vertrauensperson fungieren kann.