EU-DSGVO für Steuerberater
DSGVO für Steuerberater: Jetzt aktiv werden!

DSGVO für Steuerberater: Jetzt aktiv werden!

Nun ist es so weit: Seit dem 25. Mai 2018 gilt die EU-Datenschutz-Grundverordnung (DSGVO) verbindlich für alle europäischen Unternehmen – und auch für Steuerberater. Neben der DSGVO sollte auch die neue Fassung des Bundesdatenschutzgesetzes (BDSG) Aufmerksamkeit bekommen. Wir erklären Euch, wie Ihr Eure Steuerkanzlei fit für die neuen Gesetzeslagen macht.

 

Datenschutz-Leitfaden: Richtlinien für Steuerberater

Schafft Transparenz in Eurer Kanzlei. Das gelingt, indem Ihr einen Datenschutz-Leitfaden entwerft, der für sämtliche Mitarbeiterinnen und Mitarbeiter Eurer Kanzlei verbindlich ist. Neu in der Datenschutz-Grundverordnung ist die sogenannte „Rechenschaftspflicht“ (Art. 5 Abs. 2 DSGVO). An diesem Artikel der Datenschutz-Grundverordnung könnt Ihr Euch für Euren Datenschutz-Leitfaden entlang hangeln. Dokumentiert Ihr in Eurer Richtlinie die in Art. 5 Abs. 2 DSGVO verankerten Datenschutzgrundsätze, kommt Ihr Eurer Rechenschaftspflicht fürs Erste nach:

  • Rechtmäßigkeit, Verarbeitung nach Treu und Glauben sowie Transparenz
  • Zweckbindung
  • Datenminimierung
  • Richtigkeit
  • Speicherbegrenzung
  • Integrität und Vertraulichkeit

Erwägungsgrund 39 DSGVO erläutert diese Datenschutzgrundsätze detaillierter.

Verzeichnis für Verarbeitungstätigkeiten

Auch kommt Ihr als Steuerberater nicht umhin, ein Verfahrensverzeichnis zu erstellen. Dies ist aufwendig, hat jedoch einen riesigen Vorteil: Mithilfe des Verfahrensverzeichnisses werdet Ihr in die Lage versetzt, etwaige Datenschutz-Defizite auffindbar zu machen und entsprechende Maßnahmen zum Abstellen dieser Risiken umzusetzen. Als Steuerkanzlei unterliegen die von Euch zu verarbeitenden Daten dem Berufsgeheimnis. Somit besteht bei jeder Datenverarbeitung eurerseits ein Risiko für die Freiheiten und Rechte Eurer Mandanten.

Mit dem Verfahrensverzeichnis dokumentiert Ihr, wer für die Verarbeitung verantwortlich ist, welchen Zweck die Datenverarbeitung haben soll, in welche Kategorie der Betroffene der Datenverarbeitung einzuordnen ist, weiter dokumentiert Ihr die erhobenen Daten sowie den Empfänger der Daten. Weiter ist es notwendig, die Löschfristen der personenbezogenen Daten, mit denen Eure Steuerkanzlei umgeht, festzulegen.

Übertragt Ihr in Eurer Steuerkanzlei Daten in Drittländer außerhalb der EU, regelt bitte auch dies in Eurem Verfahrensverzeichnis. Dies kann passieren, wenn Ihr einen Cloud-Anbieter außerhalb der EU nutzt oder aber, wenn Ihr auf Messenger setzt, die ihren Sitz in Drittländern haben.

Weitere Tipps und Maßnahmen zum Erstellen eines Verfahrensverzeichnisses findet Ihr in unserem Artikel „Das Verfahrensverzeichnis – Vorbereitungen zur DSGVO“.

Umgang mit Datenpannen & Betroffenenrechten

Im Falle einer Datenpanne seid Ihr dazu verpflichtet, spätestens binnen 72 Stunden nach Bekanntwerden der Panne der zuständigen Datenschutzbehörde sowie dem oder den Betroffenen Bescheid zu geben. Idealerweise etabliert Ihr in Eurer Steuerkanzlei ein Meldesystem für Datenpannen. So könnt Ihr innerhalb kürzester Zeit reagieren und Euren Pflichten nachkommen.

Weiter müsst Ihr euch in Eurer Steuerberatung mit den sogenannten Betroffenenrechten auseinandersetzen. Welche das sind und wie Ihr auf diese Rechte reagiert, erklärt unser Beitrag „Betroffenenrechte & Datenschutzerklärung nach DSGVO“.

Sinnvoll ist es, im Rahmen Eures Datenschutz-Leitfadens auch eine Arbeitsanweisung zum Wahren dieser Betroffenenrechte zu erstellen. Wichtig bei Euch als Steuerberater ist, dass Anfragen zu Drittbetroffenen gegebenenfalls abgelehnt werden. Es hat immer das Berufsgeheimnis von Euch als Steuerberater sowie Eurer Berufsangehörigen Vorrang.

Benötigt Eure Steuerkanzlei einen Datenschutzbeauftragten?

Als Steuerberater müsst Ihr anhand der Gegebenheiten Eurer Kanzlei überprüfen, ob Ihr einen Datenschutzbeauftragten (DSB) benötigt oder nicht. Wenn zehn oder mehr Personen in Eurer Steuerkanzlei ständig mit dem automatisierten Verarbeiten personenbezogener Daten beschäftigt sind, seid Ihr in der Pflicht, einen DSB zu bestellen. Dieser kann aus Euren eigenen Reihen stammen oder aber durch einen externen DSB besetzt werden. Möchtet Ihr Euren DSB aus dem Kreis Eurer Mitarbeiter benennen, ist eine entsprechende Ausbildung unabdingbar. Ernennt Ihr eine Person ohne nachweisbare Fachkenntnisse zum DSB, so ist diese Benennung nicht wirksam, da sie den gesetzlichen Bedingungen nicht entspricht.

Womöglich sind Datenschutz-Folgeabschätzungen (DSFA) in Eurer Steuerkanzlei notwendig. Beides – der DSB sowie die DSFA – können unter Umständen auch notwendig sein, wenn weniger als zehn Personen mit dem Verarbeiten von Daten befasst sind. Dies kann etwa der Fall sein, wenn Ihr sensible Datenkategorien besonders umfangreich verarbeitet. Dazu zählen etwa gesundheitliche, religiöse oder sexuelle Datenerfassungen. Auch wenn personenbezogene Daten über etwaige Straftaten vorliegen, bedarf es dieser besonderen Regelung.

Verträge mit Dritten

Steuerberater arbeiten in aller Regel mit Auftragsdatenverarbeitern zusammen. Denkt beispielsweise an Eure Kanzleisoftware oder an die Cloud, in die einige Daten ausgelagert werden. Bestehende Auftragsdatenverarbeitungsverträge sind nun an die Datenschutz-Grundverordnung sowie an die Vorschriften zum Berufsgeheimnis von Steuerberatern anzupassen. Dokumentiert auch Verschwiegenheitsvereinbarungen, wenn Eure Dienstleister mit personenbezogenen Daten in Berührung kommen. Das gilt nicht nur für etwaige Mandantendaten, sondern beispielsweise auch für Eure Mitarbeiterdaten!

Viele Steuerberater setzen beispielsweise DATEV ein. Der Anbieter hat eine eigene FAQ-Seite eingerichtet, auf der es auch um Vereinbarungen zur Auftragsverarbeitung mit DATEV geht. Fragt beim Anbieter Eurer Kanzleisoftware oder Eurer Cloud nach, in aller Regel sind Auftragsdatenverarbeiter gut vorbereitet.

Ziel sollte es sein, dass Eure Auftragsverarbeiter sowie weitere Dienstleister nicht mehr als unbedingt nötig Einblick in personenbezogene Daten erhalten. Eure Tätigkeit als Steuerberater für Eure Mandanten ist übrigens keine Auftragsverarbeitung, sondern sie erfolgt unter eigener Verantwortung. Dasselbe gilt für Eure Lohn- und / oder Gehaltsabrechnungen, die Ihr als Steuerberater eigenverantwortlich nach StBerG ausführt.

Mitarbeitersensibilisierung

Die besten Maßnahmen nützen Euch nichts, wenn Euer Team nicht Datenschutz-orientiert mit Daten umgeht und die neuen Pflichten missachtet. Deshalb kommt der Mitarbeitersensibilisierung eine ganz besondere Rolle zu. Es ist ein schmaler Grat: einerseits müssen die neuen Datenschutzregeln schnellst möglichst umgesetzt werden. Andererseits möchtet Ihr Eure Mitarbeiter nicht mit neuen Workflows irritieren und verärgern. Wie Ihr diesen Spagat schafft, können Ihr in unserem Beitrag „EU-Datenschutz-Grundverordnung: Schritte zur Compliance“ entnehmen.

Unterstützung ins Boot holen

Habt Ihr bereits erste Schritte unternommen? Oder seid Ihr bereits voll gewappnet? Dann Glückwunsch – Ihr könnt in der neuen Datenschutz-Ära beruhigt sein. Fühlt Ihr Euch noch nicht sattelfest, kann ein neutraler Blick von außen sehr hilfreich sein. Möchtet Ihr Euch unverbindlich beraten lassen? Dann kontaktiert uns – wir stehen Euch und Eurer Steuerkanzlei gerne mit Rat und Tat zur Seite.

Zum Weiterlesen:

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert