Nun ist es so weit: Seit dem 25. Mai 2018 gilt die EU-Datenschutz-Grundverordnung (DSGVO) verbindlich f\u00fcr alle europ\u00e4ischen Unternehmen \u2013 und auch f\u00fcr Steuerberater. Neben der DSGVO sollte auch die neue Fassung des Bundesdatenschutzgesetzes (BDSG) Aufmerksamkeit bekommen. Wir erkl\u00e4ren Euch, wie Ihr Eure Steuerkanzlei fit f\u00fcr die neuen Gesetzeslagen macht.<\/p>\n
<\/p>\n
Schafft Transparenz in Eurer Kanzlei. Das gelingt, indem Ihr einen Datenschutz-Leitfaden entwerft, der f\u00fcr s\u00e4mtliche Mitarbeiterinnen und Mitarbeiter Eurer Kanzlei verbindlich ist. Neu in der Datenschutz-Grundverordnung ist die sogenannte \u201eRechenschaftspflicht\u201c (Art. 5 Abs. 2 DSGVO<\/a>). An diesem Artikel der Datenschutz-Grundverordnung k\u00f6nnt Ihr Euch f\u00fcr Euren Datenschutz-Leitfaden entlang hangeln. Dokumentiert Ihr in Eurer Richtlinie die in Art. 5 Abs. 2 DSGVO verankerten Datenschutzgrunds\u00e4tze, kommt Ihr Eurer Rechenschaftspflicht f\u00fcrs Erste nach:<\/p>\n Erw\u00e4gungsgrund 39 DSGVO<\/a> erl\u00e4utert diese Datenschutzgrunds\u00e4tze detaillierter.<\/p>\n Auch kommt Ihr als Steuerberater nicht umhin, ein Verfahrensverzeichnis zu erstellen. Dies ist aufwendig, hat jedoch einen riesigen Vorteil: Mithilfe des Verfahrensverzeichnisses werdet Ihr in die Lage versetzt, etwaige Datenschutz-Defizite auffindbar zu machen und entsprechende Ma\u00dfnahmen zum Abstellen dieser Risiken umzusetzen. Als Steuerkanzlei unterliegen die von Euch zu verarbeitenden Daten dem Berufsgeheimnis. Somit besteht bei jeder Datenverarbeitung eurerseits ein Risiko f\u00fcr die Freiheiten und Rechte Eurer Mandanten.<\/p>\n Mit dem Verfahrensverzeichnis dokumentiert Ihr, wer f\u00fcr die Verarbeitung verantwortlich ist, welchen Zweck die Datenverarbeitung haben soll, in welche Kategorie der Betroffene der Datenverarbeitung einzuordnen ist, weiter dokumentiert Ihr die erhobenen Daten sowie den Empf\u00e4nger der Daten. Weiter ist es notwendig, die L\u00f6schfristen der personenbezogenen Daten, mit denen Eure Steuerkanzlei umgeht, festzulegen.<\/p>\n \u00dcbertragt Ihr in Eurer Steuerkanzlei Daten in Drittl\u00e4nder au\u00dferhalb der EU, regelt bitte auch dies in Eurem Verfahrensverzeichnis. Dies kann passieren, wenn Ihr einen Cloud-Anbieter au\u00dferhalb der EU nutzt oder aber, wenn Ihr auf Messenger setzt, die ihren Sitz in Drittl\u00e4ndern haben.<\/p>\n Weitere Tipps und Ma\u00dfnahmen zum Erstellen eines Verfahrensverzeichnisses findet Ihr in unserem Artikel \u201eDas Verfahrensverzeichnis \u2013 Vorbereitungen zur DSGVO\u201c<\/a>.<\/p>\n Im Falle einer Datenpanne seid Ihr dazu verpflichtet, sp\u00e4testens binnen 72 Stunden nach Bekanntwerden der Panne der zust\u00e4ndigen Datenschutzbeh\u00f6rde sowie dem oder den Betroffenen Bescheid zu geben. Idealerweise etabliert Ihr in Eurer Steuerkanzlei ein Meldesystem f\u00fcr Datenpannen. So k\u00f6nnt Ihr innerhalb k\u00fcrzester Zeit reagieren und Euren Pflichten nachkommen.<\/p>\n Weiter m\u00fcsst Ihr euch in Eurer Steuerberatung mit den sogenannten Betroffenenrechten auseinandersetzen. Welche das sind und wie Ihr auf diese Rechte reagiert, erkl\u00e4rt unser Beitrag \u201eBetroffenenrechte & Datenschutzerkl\u00e4rung nach DSGVO\u201c<\/a>.<\/p>\n Sinnvoll ist es, im Rahmen Eures Datenschutz-Leitfadens auch eine Arbeitsanweisung zum Wahren dieser Betroffenenrechte zu erstellen. Wichtig bei Euch als Steuerberater ist, dass Anfragen zu Drittbetroffenen gegebenenfalls abgelehnt werden. Es hat immer das Berufsgeheimnis von Euch als Steuerberater sowie Eurer Berufsangeh\u00f6rigen Vorrang.<\/p>\n Als Steuerberater m\u00fcsst Ihr anhand der Gegebenheiten Eurer Kanzlei \u00fcberpr\u00fcfen, ob Ihr einen Datenschutzbeauftragten (DSB) ben\u00f6tigt oder nicht. Wenn zehn oder mehr Personen in Eurer Steuerkanzlei st\u00e4ndig mit dem automatisierten Verarbeiten personenbezogener Daten besch\u00e4ftigt sind, seid Ihr in der Pflicht, einen DSB zu bestellen. Dieser kann aus Euren eigenen Reihen stammen oder aber durch einen externen DSB besetzt werden. M\u00f6chtet Ihr Euren DSB aus dem Kreis Eurer Mitarbeiter benennen, ist eine entsprechende Ausbildung unabdingbar. Ernennt Ihr eine Person ohne nachweisbare Fachkenntnisse zum DSB, so ist diese Benennung nicht wirksam, da sie den gesetzlichen Bedingungen nicht entspricht.<\/p>\n Wom\u00f6glich sind Datenschutz-Folgeabsch\u00e4tzungen (DSFA) in Eurer Steuerkanzlei notwendig. Beides \u2013 der DSB sowie die DSFA \u2013 k\u00f6nnen unter Umst\u00e4nden auch notwendig sein, wenn weniger als zehn Personen mit dem Verarbeiten von Daten befasst sind. Dies kann etwa der Fall sein, wenn Ihr sensible Datenkategorien besonders umfangreich verarbeitet. Dazu z\u00e4hlen etwa gesundheitliche, religi\u00f6se oder sexuelle Datenerfassungen. Auch wenn personenbezogene Daten \u00fcber etwaige Straftaten vorliegen, bedarf es dieser besonderen Regelung.<\/p>\n Steuerberater arbeiten in aller Regel mit Auftragsdatenverarbeitern zusammen. Denkt beispielsweise an Eure Kanzleisoftware oder an die Cloud, in die einige Daten ausgelagert werden. Bestehende Auftragsdatenverarbeitungsvertr\u00e4ge sind nun an die Datenschutz-Grundverordnung sowie an die Vorschriften zum Berufsgeheimnis von Steuerberatern anzupassen. Dokumentiert auch Verschwiegenheitsvereinbarungen, wenn Eure Dienstleister mit personenbezogenen Daten in Ber\u00fchrung kommen. Das gilt nicht nur f\u00fcr etwaige Mandantendaten, sondern beispielsweise auch f\u00fcr Eure Mitarbeiterdaten!<\/p>\n Viele Steuerberater setzen beispielsweise DATEV ein. Der Anbieter hat eine eigene FAQ-Seite eingerichtet<\/a>, auf der es auch um Vereinbarungen zur Auftragsverarbeitung mit DATEV geht. Fragt beim Anbieter Eurer Kanzleisoftware oder Eurer Cloud nach, in aller Regel sind Auftragsdatenverarbeiter gut vorbereitet.<\/p>\n Ziel sollte es sein, dass Eure Auftragsverarbeiter sowie weitere Dienstleister nicht mehr als unbedingt n\u00f6tig Einblick in personenbezogene Daten erhalten. Eure T\u00e4tigkeit als Steuerberater f\u00fcr Eure Mandanten ist \u00fcbrigens keine Auftragsverarbeitung, sondern sie erfolgt unter eigener Verantwortung. Dasselbe gilt f\u00fcr Eure Lohn- und \/ oder Gehaltsabrechnungen, die Ihr als Steuerberater eigenverantwortlich nach StBerG<\/a> ausf\u00fchrt.<\/p>\n Die besten Ma\u00dfnahmen n\u00fctzen Euch nichts, wenn Euer Team nicht Datenschutz-orientiert mit Daten umgeht und die neuen Pflichten missachtet. Deshalb kommt der Mitarbeitersensibilisierung eine ganz besondere Rolle zu. Es ist ein schmaler Grat: einerseits m\u00fcssen die neuen Datenschutzregeln schnellst m\u00f6glichst umgesetzt werden. Andererseits m\u00f6chtet Ihr Eure Mitarbeiter nicht mit neuen Workflows irritieren und ver\u00e4rgern. Wie Ihr diesen Spagat schafft, k\u00f6nnen Ihr in unserem Beitrag \u201eEU-Datenschutz-Grundverordnung: Schritte zur Compliance\u201c<\/a> entnehmen.<\/p>\n Habt Ihr bereits erste Schritte unternommen? Oder seid Ihr bereits voll gewappnet? Dann Gl\u00fcckwunsch \u2013 Ihr k\u00f6nnt in der neuen Datenschutz-\u00c4ra beruhigt sein. F\u00fchlt Ihr Euch noch nicht sattelfest, kann ein neutraler Blick von au\u00dfen sehr hilfreich sein. M\u00f6chtet Ihr Euch unverbindlich beraten lassen? Dann kontaktiert uns<\/a> \u2013 wir stehen Euch und Eurer Steuerkanzlei gerne mit Rat und Tat zur Seite.<\/p>\n Zum Weiterlesen:<\/strong><\/p>\n Nun ist es so weit: Seit dem 25. Mai 2018 gilt die EU-Datenschutz-Grundverordnung (DSGVO) verbindlich f\u00fcr alle europ\u00e4ischen Unternehmen \u2013 und auch f\u00fcr Steuerberater. Neben der DSGVO sollte auch die neue Fassung des Bundesdatenschutzgesetzes (BDSG) Aufmerksamkeit bekommen. Wir erkl\u00e4ren Euch, wie Ihr Eure Steuerkanzlei fit f\u00fcr die neuen Gesetzeslagen macht. Datenschutz-Leitfaden: Richtlinien f\u00fcr Steuerberater … <\/p>\n\n
Verzeichnis f\u00fcr Verarbeitungst\u00e4tigkeiten<\/h3>\n
Umgang mit Datenpannen & Betroffenenrechten<\/h3>\n
Ben\u00f6tigt Eure Steuerkanzlei einen Datenschutzbeauftragten?<\/h3>\n
Vertr\u00e4ge mit Dritten<\/h3>\n
Mitarbeitersensibilisierung<\/h3>\n
Unterst\u00fctzung ins Boot holen<\/h3>\n
\n