Diesem folgend, dürfen Steuerberater keinerlei Daten veröffentlichen oder weitergeben, die ihnen im Zuge ihrer Berufstätigkeit bekannt geworden sind – mit Ausnahme der ausdrücklichen Zustimmung des Mandanten. Doch im Umgang mit personenbezogenen Informationen sowie dem Datenschutz sind für diesen Berufsstand noch weitere gesetzliche Regelungen relevant:

  • Bundesdatenschutzgesetz (BDSG)
  • Berufsrecht der Steuerberater (StBerG, DVStB, BOStB)
  • Strafgesetzbuch (StGB): § 203, Verletzung von Privatgeheimnissen

Unterstehen Steuerberater dem Bundesdatenschutzgesetz?

Dies ist meist die wichtigste Frage, die sich für Steuerberater im Zusammenhang mit dem Datenschutz stellt. Denn im Zuge der klassischen Steuerberatungstätigkeiten wie der Erstellung von Jahresabschlüssen o. ä. sind Sie Ihrem Mandanten gegenüber nicht weisungsgebunden. Daraus lässt sich schließen, dass die Vorgaben zur Auftragsdatenverarbeitung nach § 11 BDSG für Sie nicht zutreffen – denn die Datenverarbeitung erfolgt ausschließlich im Umfang Ihrer Tätigkeit als Steuerberater und nicht darüber hinaus. Selbst für die ergänzende Lohn- und Gehaltsabrechnung Ihrer Mandanten sind Sie dem Bundesdatenschutzgesetz nicht unterworfen. Der Grund: Die Verschwiegenheitspflicht nach StBerG hat in diesen Fällen stets Vorrang – und diese verbietet bereits jegliche Weitergabe personenbezogener Daten.

Anders stellt sich die Sachlage in Bezug auf die Kanzlei dar: Sobald Sie Mitarbeiter beschäftigen, unterliegt die Kanzlei insoweit dem BDSG, um deren persönliche Informationen gesetzeskonform zu schützen. Wesentliche Eckpfeiler dabei sind das:

  • Prinzip der Datenvermeidung und -sparsamkeit
  • Transparenzgebot

Das bedeutet: Sie dürfen nur in dem Umfang Daten erheben und verarbeiten, wie es für die Verwaltung Ihrer Angestellten notwendig ist. Außerdem sind Sie verpflichtet, Ihre Mitarbeiter im Rahmen von Auskunftsverlangen über die konkret verwendeten Informationen in Kenntnis zu setzen.

Dieses Konzept schreibt auch die EU-Datenschutz-Grundverordnung weiter fort, die ab 2018 wirksam sein wird.

Welche Daten müssen geschützt werden?

Das Datenschutzrecht regelt den Umgang mit personenbeziehbaren oder personenbezogenen Daten. Darunter fallen auch die üblicherweise im Mandatsverhältnis verarbeiteten Daten:

  • Name
  • Geburtsdatum
  • Anschrift
  • Steuernummer
  • Angaben zur Lebensführung im Rahmen von Steuererklärungen
  • Sozialversicherungsnummer
  • Finanzdaten (Kontodaten)

Erheben Sie diese oder ähnliche Informationen von Ihren Mandanten und Angestellten oder werden Ihnen diese Daten von Dritten im Rahmen der steuerberatenden Tätigkeit zu teil, ist ein ausgefeiltes Datenschutzkonzept unverzichtbar. Dieses umfasst neben einer umfangreichen Planung auch die konkreten Maßnahmen und Kontrollen im technischen sowie organisatorischen Bereich.

Wie kann der Datenschutz beim Steuerberater organisatorisch und technisch umgesetzt werden?

Die Arbeit eines Steuerberaters ist ohne PC und Internet nicht mehr denkbar. Unterlagen zu Jahresabschlüssen und Lohnabrechnungen werden von fast allen Behörden nur noch in digitaler Form angenommen und auch die Kommunikation mit den Mandanten erfolgt meist per E-Mail. Umso wichtiger ist es, den Fokus auf ein funktionierendes Datenschutzkonzept zu legen.

Platzieren Sie Ihren Server und die Telefonanlage in einem eigenen, verschließbaren Raum, für den strenge Zutrittskontrollen gelten. Gewähren Sie lediglich befugten Personen Zutritt, die für die Wartung zuständig sind oder für ihre Aufgaben direkten Zugriff auf die Serverdaten benötigen. Nimmt Ihr digitales Equipment nicht sehr viel Platz in Anspruch, reicht auch ein separater Serverschrank, der sich sicher verschließen lässt.

Zum Thema Zugriffskontroll empfiehlt sich ein abgestuftes Berechtigungssystem, das für jeden Nutzer spezifische Ordnerstrukturen freigibt. Damit verhindern Sie, dass Unbefugte Zugriff auf sensible Daten erlangen. Mithilfe einer eindeutigen Nutzerzuordnung sowie der Sicherung mit einem Passwort können Sie jedem Mitarbeiter sein eigenes Profil erstellen. Idealerweise erkennt der verwendete PC Inaktivität und sperrt sich nach einer voreingestellten Zeit selbstständig. So kann der Zugriff ausschließlich über eine erneute Passworteingabe erfolgen. Ändern Sie die verwendeten Passwörter alle 90 Tage – dies lässt sich auch systemseitig verpflichtend einstellen.

Die regelmäßige Aktualisierung von Betriebssystemen, Firewalls und Antiviren-Software gehört leider noch nicht bei allen Kanzleien zum Standard. Schließen Sie mögliche Lücken, indem Sie Ihre Soft- und Hardware stets aktuell halten. Zusätzlich ist die tägliche Sicherung wichtiger Mandanten- und Kanzleidaten unabdingbar. Speichern Sie die Tagesarbeit auf einem separaten Sicherungsmedium und bewahren Sie dieses getrennt vom übrigen System auf – am besten in einem feuerfesten Tresor.

Verschlüsselung ist ein weiterer Schritt hin zur datenschutzkonformen Steuerberatertätigkeit. Nutzen Sie beispielsweise tragbare Speichermedien wie USB-Sticks oder externe Festplatten zur Übertragung von Mandanteninformationen, sollten Sie diese mit einer guten Software verschlüsseln. So kann kein Fremder ohne weiteres Zugriff erlangen, selbst wenn der Stick verloren gehen sollte. Für E-Mails gilt ein ähnliches Prinzip: Schirmen Sie vertrauliche Daten beim E-Mail-Verkehr gegen Hackerangriffe ab. Dank Spezialsoftware gewährleisten Sie eine vertrauliche Übermittlung. Ist Ihr Mandant damit nicht einverstanden oder hat nicht die technischem Möglichkeiten, eine E-Mail-Verschlüsselung zu nutzen, halten Sie dies schriftlich in der Mandatserteilung fest, um sich abzusichern.

Trotz zunehmender Digitalisierung nehmen Papierunterlagen noch immer einen hohen Stellenwert ein. Neben der korrekten Aufbewahrung ist vor allem die Vernichtung eine häufige Datenschutzlücke bei Steuerberatern. Deshalb empfiehlt sich ein Schredder, der mindestens die Sicherheitsstufe 3 erfüllt.

Lässt sich der Einsatz von Drittanbietern – zum Beispiel für Büro-Service, IT-Wartung oder Hosting – nicht vermeiden, sollten Sie mit dem jeweiligen Dienstleister Sonderregelungen nach § 11 BDSG vereinbaren (hier sind zudem etwaige Beschränkungen nach § 203 StGB zu beachten). Dazu gehören unter anderem der Ort der Datenverarbeitung sowie technische und organisatorische Mindeststandards. Außerdem sollte die Mitteilungspflicht im Datenverlustfall eindeutig geregelt sein.

Wer ist für Meldungen im Datenverlustfall verantwortlich?

Der Ausfall eines Servers oder der anderweitige Verlust personenbezogener Daten liegt ständig im Bereich des Möglichen und sollte bereits im Vorfeld bedacht werden. Wichtig ist es, beim Verlust bestimmter besonders sensibler Daten (z.B. Kontodaten) nicht nur den Mandanten über den Fall zu informieren, sondern auch die zuständige Datenschutz-Aufsichtsbehörde.

Für die Meldung an den Mandanten ist stets der Steuerberater zuständig, da er als datenschutzrechtlich verantwortliche Stelle tätig ist und zudem den Verlust im Normalfall zuerst bemerkt. Doch wie verhält es sich mit der Mitteilung an die Behörde? In der Regel handelt der Steuerberater als datenschutzrechtlich verantwortliche Stelle und muss daher die Meldung selbst übernehmen. Sind Sie jedoch lediglich der Auftragnehmer im Rahmen einer Auftragsdatenverarbeitung, ist Ihr Mandant dafür verantwortlich, den Verlust an die Aufsichtsbehörde zu melden.

Sind Steuerberater verpflichtet, einen Datenschutzbeauftragten zu bestellen?

Um möglichen Sanktionen von Seiten der Aufsichtsbehörde aus dem Weg zu gehen, empfiehlt sich die Bestellung eines Datenschutzbeauftragten. Verpflichtend ist sie insbesondere für folgende Kanzleien:

  • Mehr als 9 Beschäftigte verarbeiten personenbezogene Daten elektronisch (z.B. am PC).
  • Unabhängig von der Beschäftigtenanzahl ist ein Datenschutzbeauftragter zu bestellen, wenn sensible Daten (z.B. Gesundheitsdaten im Rahmen der Lohn- und Gehaltsabrechnung) in großem Umfang verarbeitet werden (§§ 4f, 4d BSDG).

Ob der Datenschutzbeauftragte intern oder extern bestellt wird, bleibt jedem Steuerberater selbst überlassen.

WELCHE ANFORDERUNGEN MUSS DER DATENSCHUTZBEAUFTRAGTE FÜR STEUERBERATER ERFÜLLEN?

Für die Ernennung eines Datenschutzbeauftragten in der eigenen Kanzlei gilt immer der Inkompatibilitätsgrundsatz. Das bedeutet, dass weder der Kanzleiinhaber selbst noch ein Sozius oder Partner diese Tätigkeit ausführen darf. Außerdem ist es nach BDSG auch dem Leiter der EDV-Abteilung nicht gestattet, als Datenschutzbeauftragter im eigenen Unternehmen aufzutreten. Wird dieser Grundsatz missachtet, ist eine wirksame Bestellung nicht möglich.

Neben einer fachkundigen Ausbildung und Zuverlässigkeit sollte Ihr zukünftiger Datenschutzbeauftragter alle notwendigen Kenntnisse über die einschlägigen Datenschutzgesetze haben. Zusätzlich ist Wissen über alle Rechtsvorschriften gefragt, die den Datenschutz betreffen. Bestellen Sie im besten Fall einen externen Dienstleister oder Mitarbeiter für diese Aufgabe, der organisatorisch und technisch auf dem neuesten Stand ist und als Vertrauensperson fungieren kann.

Datenschutz-Kit
Das kostengerechte EU-DSGVO Komplettpaket für kleine Unternehmen.
zum Datenschutz Tool »
Compliance-Kit
Das umfassende Tool zur Bewältigung der EU-DSGVO in mittleren und großen Strukturen.
zur DSGVO Software »
eLearning-Plattform
Unter der EU-DSGVO sind Unternehmen verpflichtet, ihre Beschäftigten im Datenschutz regelmäßig zu schulen.
zum Datenschutz Seminar »
EU-Vertreter nach Artikel 27
Der Service für Unternehmen außerhalb der EU.
zum EU DSGVO Vertreter »
Externer Datenschutzbeauftragter
Umfassende Beratung im Bereich des betrieblichen Datenschutzes.
zum externen Datenschutzbeauftragten »