DSGVO für Steuerberater: Jetzt aktiv werden!

Nun ist es soweit: Seit dem 25. Mai 2018 gilt die EU-Datenschutz-Grundverordnung (DSGVO) verbindlich für alle europäischen Unternehmen – und auch für Steuerberater. Neben der DSGVO sollte auch die neue Fassung des Bundesdatenschutzgesetzes (BDSG) Aufmerksamkeit bekommen. Wir erklären Ihnen, wie Sie Ihre Steuerkanzlei fit für die neuen Gesetzeslagen machen.

Datenschutz-Leitfaden: Richtlinien für Steuerberater

Schaffen Sie Transparenz in Ihrer Kanzlei. Das gelingt, indem Sie einen Datenschutz-Leitfaden entwerfen, der für sämtliche Mitarbeiterinnen und Mitarbeiter Ihrer Kanzlei verbindlich ist. Neu in der Datenschutz-Grundverordnung ist die sogenannte „Rechenschaftspflicht“ (Art. 5 Abs. 2 DSGVO). An diesem Artikel der Datenschutz-Grundverordnung können Sie sich für Ihren Datenschutz-Leitfaden entlang hangeln. Dokumentieren Sie in Ihrer Richtlinie die in Art. 5 Abs. 2 DSGVO verankerten Datenschutzgrundsätze, kommen Sie Ihrer Rechenschaftspflicht fürs erste nach:

• Rechtmäßigkeit, Verarbeitung nach Treu und Glauben sowie Transparenz
• Zweckbindung
• Datenminimierung
• Richtigkeit
• Speicherbegrenzung
• Integrität und Vertraulichkeit

Erwägungsgrund 39 DSGVO erläutert diese Datenschutzgrundsätze detaillierter.

Verzeichnis für Verarbeitungstätigkeiten

Auch kommen Sie als Steuerberater nicht umhin, ein Verfahrensverzeichnis zu erstellen. Dies ist aufwendig, hat jedoch einen riesigen Vorteil: Mithilfe des Verfahrensverzeichnisses werden Sie in die Lage versetzt, etwaige Datenschutz-Defizite auffindbar zu machen und entsprechende Maßnahmen zum Abstellen dieser Risiken umzusetzen. Als Steuerkanzlei unterliegen die von Ihnen zu verarbeitenden Daten dem Berufsgeheimnis. Somit besteht bei jeder Datenverarbeitung Ihrerseits ein Risiko für die Freiheiten und Rechte Ihrer Mandanten.

Mit dem Verfahrensverzeichnis dokumentieren Sie, wer für die Verarbeitung verantwortlich ist, welchen Zweck die Datenverarbeitung haben soll, in welche Kategorie der Betroffene der Datenverarbeitung einzuordnen ist, weiter dokumentieren Sie die erhobenen Daten sowie den Empfänger der Daten. Weiter ist es notwendig, die Löschfristen der personenbezogenen Daten, mit denen Ihre Steuerkanzlei umgeht, festzulegen.

Übertragen Sie in Ihrer Steuerkanzlei Daten in Drittländer außerhalb der EU, regeln Sie bitte auch dies in Ihrem Verfahrensverzeichnis. Dies kann passieren, wenn Sie einen Cloud-Anbieter außerhalb der EU nutzen oder aber, wenn Sie auf Messenger setzen, die ihren Sitz in Drittländern haben.

Weitere Tipps und Maßnahmen zum Erstellen eines Verfahrensverzeichnisses finden Sie in unserem Artikel „Das Verfahrensverzeichnis – Vorbereitungen zur DSGVO“.

Umgang mit Datenpannen & Betroffenenrechten

Im Falle einer Datenpanne sind Sie dazu verpflichtet, spätestens binnen 72 Stunden nach Bekanntwerden der Panne der zuständigen Datenschutzbehörde sowie dem oder den Betroffenen Bescheid zu geben. Idealerweise etablieren Sie in Ihrer Steuerkanzlei ein Meldesystem für Datenpannen. So können Sie innerhalb kürzester Zeit reagieren und Ihren Pflichten nachkommen.

Weiter müssen Sie sich in Ihrer Steuerberatung mit den sogenannten Betroffenenrechten auseinandersetzen. Welche das sind und wie Sie auf diese Rechte reagieren, erklärt unser Beitrag „Betroffenenrechte & Datenschutzerklärung nach DSGVO“.

Sinnvoll ist es, im Rahmen Ihres Datenschutz-Leitfadens auch eine Arbeitsanweisung zum Wahren dieser Betroffenenrechte zu erstellen. Wichtig bei Ihnen als Steuerberater ist, dass Anfragen zu Drittbetroffenen gegebenenfalls abgelehnt werden. Es hat immer das Berufsgeheimnis von Ihnen als Steuerberater sowie Ihrer Berufsangehörigen Vorrang.

Benötigt Ihre Steuerkanzlei einen Datenschutzbeauftragten?

Als Steuerberater müssen Sie anhand der Gegebenheiten Ihrer Kanzlei überprüfen, ob Sie einen Datenschutzbeauftragten (DSB) benötigen oder nicht. Wenn zehn oder mehr Personen in Ihrer Steuerkanzlei ständig mit dem automatisierten Verarbeiten personenbezogener Daten beschäftigt sind, sind Sie in der Pflicht, einen DSB zu bestellen. Dieser kann aus Ihren eigenen Reihen stammen oder aber durch einen externen DSB besetzt werden. Möchten Sie Ihren DSB aus dem Kreis Ihrer Mitarbeiter benennen, ist eine entsprechende Ausbildung unabdingbar. Ernennen Sie eine Person ohne nachweisbare Fachkenntnisse zum DSB, so ist diese Benennung nicht wirksam, da sie den gesetzlichen Bedingungen nicht entspricht.

Womöglich sind Datenschutz-Folgeabschätzungen (DSFA) in Ihrer Steuerkanzlei notwendig. Beides – der DSB sowie die DSFA – können unter Umständen auch notwendig sein, wenn weniger als zehn Personen mit dem Verarbeiten von Daten befasst sind. Dies kann etwa der Fall sein, wenn Sie sensible Datenkategorien besonders umfangreich verarbeiten. Dazu zählen etwa gesundheitliche, religiöse oder sexuelle Datenerfassungen. Auch wenn personenbezogene Daten über etwaige Straftaten vorliegen, bedarf es dieser besonderen Regelung.

Verträge mit Dritten

Steuerberater arbeiten in aller Regel mit Auftragsdatenverarbeitern zusammen. Denken Sie beispielsweise an Ihre Kanzleisoftware oder an die Cloud, in die einige Daten ausgelagert werden. Bestehende Auftragsdatenverarbeitungsverträge sind nun an die Datenschutz-Grundverordnung sowie an die Vorschriften zum Berufsgeheimnis von Steuerberatern anzupassen. Dokumentieren Sie auch Verschwiegenheitsvereinbarungen, wenn Ihre Dienstleister mit personenbezogenen Daten in Berührung kommen. Das gilt nicht nur für etwaige Mandantendaten, sondern beispielsweise auch für Ihre Mitarbeiterdaten!

Viele Steuerberater setzen beispielsweise DATEV ein. Der Anbieter hat eine eigene FAQ-Seite eingerichtet, auf der es auch um Vereinbarungen zur Auftragsverarbeitung mit DATEV geht. Fragen Sie beim Anbieter Ihrer Kanzleisoftware oder Ihrer Cloud nach, in aller Regel sind Auftragsdatenverarbeiter gut vorbereitet.

Ziel sollte es sein, dass Ihre Auftragsverarbeiter sowie weitere Dienstleister nicht mehr als unbedingt nötig Einblick in personenbezogene Daten erhalten. Ihre Tätigkeit als Steuerberater für Ihre Mandanten ist übrigens keine Auftragsverarbeitung, sondern sie erfolgt unter eigener Verantwortung. Dasselbe gilt für Ihre Lohn- und/ oder Gehaltsabrechnungen, die Sie als Steuerberater eigenverantwortlich nach StBerG ausführen.

Mitarbeitersensibilisierung

Die besten Maßnahmen nützen Ihnen nichts, wenn Ihr Team nicht datenschutz-orientiert mit Daten umgeht und die neuen Pflichten missachtet. Deshalb kommt der Mitarbeitersensibilisierung eine ganz besondere Rolle zu. Es ist ein schmaler Grat: einerseits müssen die neuen Datenschutzregeln schnellstmöglichst umgesetzt werden. Andererseits möchten Sie Ihre Mitarbeiter nicht mit neuen Workflows irritieren und verärgern. Wie Sie diesen Spagat schaffen, können Sie in unserem Beitrag „EU-Datenschutz-Grundverordnung: Schritte zur Compliance“ entnehmen.

Unterstützung ins Boot holen

Haben Sie bereits erste Schritte unternommen? Oder sind Sie bereits voll gewappnet? Dann Glückwunsch – Sie können in der neuen Datenschutz-Ära beruhigt sein. Fühlen Sie sich noch nicht sattelfest, kann ein neutraler Blick von außen sehr hilfreich sein. Möchten Sie sich unverbindlich beraten lassen? Dann kontaktieren Sie uns – wir stehen Ihnen und Ihrer Steuerkanzlei gerne mit Rat und Tat zur Seite.

Zum Weiterlesen:

• Die DSGVO und Verschlüsselung
• DSGVO: E-Mail-Verschlüsselung ist Pflicht
• Weitere Vorbereitungen zur DSGVO
• EU-DSGVO und die unternehmensinterne Kommunikation
• Wie Sie Ihre Website DSGVO-konform gestalten