DSGVO Steuerberater: Maßnahmen ergreifen

Es wurde bereits viel über die bis zum 25.5.2018 umzusetzenden Neuerungen der EU Datenschutz-Grundverordnung (DSGVO) geschrieben. Steuerkanzleien, die den Einstieg in den Datenschutz bisher noch nicht gemacht haben, müssen allerdings erst einmal grundlegende Fakten schaffen.

Mit Einführung der EU Datenschutz-Grundverordnung (DSGVO) haben sich die Spielregeln in Sachen Datenschutz grundlegend geändert. Erstmals sprechen wir über eine europaweit einheitliche Rechtsgrundlage, die auf nationaler Ebene nur wenig Gestaltungsspielraum lässt. Wir erleben einen Paradigmenwechsel: weg vom akzeptierten Risiko eines überschaubaren wirtschaftlichen Schadens im Falle einer Panne, hin zu einer klar definierten Nachweispflicht über das Ergreifen von Maßnahmen zur Vermeidung solcher Pannen und deutlich höheren Bußgeldern schon für den Fall, dass die in der DSGVO geforderte Rechenschaftspflicht nicht umgesetzt wird.

Und wir erleben eine große Anzahl Steuerkanzleien, die Stand heute auf das Ende der Umsetzungsfrist am 25.5.2018 unzureichend oder gar nicht vorbereitet ist. Torschlusspanik muss man allerdings noch nicht bekommen: wer sich jetzt mit dem Thema befasst hat gute Chancen, die wichtigsten Grundlagen bis Mitte 2018 umzusetzen. 

Datenschutz: darum geht’s

Der Begriff "Datenschutz" legt nahe, dass es sich um den Schutz von Daten handelt. Daher werden Datenschutz und IT-Sicherheit oft miteinander verwechselt. Der körperliche Schutz personenbezogener Daten vor unberechtigtem Zugriff ist jedoch nur ein Teilaspekt. Beim Datenschutz geht es um das Recht einer Person auf informationelle Selbstbestimmung, sprich um den Schutz der Person als Betroffene vor unberechtigtem Umgang mit Informationen über sich selbst, zum Beispiel durch ungewollte Speicherung, Auswertung oder werbliche Nutzung (Stichwort "gläserner Mensch"). 

Um diesen Schutz wirkungsvoll umzusetzen, ist eine Reihe rechtlicher Regelungen notwendig. Die Basis dafür war bisher in den Artikeln 1 und 2 des Grundgesetzes zu finden: der Schutz der Würde des Menschen und das Recht auf freie Entfaltung der Persönlichkeit. Diese Basis bleibt in ähnlicher Form erhalten. Im Artikel 1 der EU-DSGVO wird ausdrücklich der Schutz der Grundrechte und Grundfreiheiten natürlicher Personen als Ziel der Verordnung genannt. Dabei bezieht sie sich unter anderem auf den Abschnitt zur "Würde des Menschen" der EU-Grundrechtscharta, insbes. auf Artikel 8, in dem der Schutz personenbezogener Daten explizit hervorgehoben wird. Wer gegen den Datenschutz verstößt, begeht also kein Kavaliersdelikt, sondern eine Grundrechtsverletzung. Diese Tatsache spiegelt sich nun auch in den deutlich gestiegenen Bußgeldern wieder.

Datenschutz vs. Verschwiegenheitspflicht

In Steuerkanzleien unterliegen Daten der bekannten standesrechtlichen Verschwiegenheitspflicht aus § 203 StGB sowie §§ 57 und 62 StBerG. Das bedeutet jedoch nicht, dass auch dem Datenschutz automatisch genüge getan wird. Im Gegenteil: alle personenbezogenen Daten unterliegen über die o.g. Vorschriften hinaus auch der DSGVO, dem BDSG 2018 sowie den in den Spezialgesetzen enthaltenen Regelungen zum Datenschutz. Es sind also zusätzliche Maßnahmen erforderlich, um dem Datenschutz im Alltag der Steuerberatung nachzukommen.

Der Einstieg für Steuerkanzleien

An erster Stelle steht die Frage nach dem entsprechenden Know-How: wer soll sich künftig um den Datenschutz kümmern? Für Kanzleien, in denen mehr als neun Personen beschäftigt sind, ist die Bestellung (zukünftig "Benennung") eines Datenschutzbeauftragten vorgeschrieben. Die bestellte Person muss die entsprechende Fachkunde vorweisen können, sich regelmäßig fortbilden, und darf insbesondere nicht Mitglied der Kanzleileitung, IT-Verantwortlicher oder Personalverantwortlicher sein, um Interessenskollisionen zu vermeiden.

Grundsätzlich kann ein interner Datenschutzbeauftragter aus dem Kreise der Mitarbeiter oder ein externer Datenschutzbeauftragter benannt werden. Es gilt genau abzuwägen, ob die interne Lösung tatsächlich abbildbar ist, denn der Aus- und Fortbildungsaufwand des Datenschutzbeauftragten ist hoch. Auch der Zeitaufwand, der neben dem alltäglichen Geschäft zur Umsetzung und Kontrolle der notwendigen Maßnahmen entsteht, darf nicht unterschätzt werden. Zu erwähnen ist außerdem, dass ein interner Datenschutzbeauftragter einem besonderen Kündigungsschutz unterliegt.

Wer einen Datenschutzbeauftragten aus dem Kreis der Mitarbeiter benennen möchte, muss sich als erstes um die entsprechende Ausbildung kümmern. Hierzu bieten z.B. verschiedene Landessteuerberaterverbände oder die DATEV Ausbildungen mit Fokus auf die Anforderungen in der Steuerberatung an. Wird eine Person, die keine Fachkunde nachweisen kann, "pro Forma" zum Datenschutzbeauftragten benannt, ist diese Benennung hinfällig, da die gesetzlichen Voraussetzungen nicht erfüllt werden. Wer die Funktion an einen externen Spezialisten auslagern möchte, sollte ebenfalls bei den Landesverbänden oder bei den Kammern anfragen, ob Kooperationen mit auf die Besonderheiten der Steuerberatung spezialisierten Datenschutzberatern bestehen.

Datenschutz auch in kleinen Kanzleien ein Thema

Kanzleien, in denen höchstens neun Personen beschäftigt sind, müssen keinen Datenschutzbeauftragten benennen. Hier gibt es in der Praxis ein großes Missverständnis: das bedeutet nicht, dass diese Kanzleien Datenschutz nicht in gleichem Maße umsetzen müssen. Die Umsetzung darf in den Kanzleien aber auch von Personen durchgeführt werden, die nicht offiziell zum Datenschutzbeauftragten benannt sind. Das darf auch die Kanzleileitung sein. Die oben geschilderten Anforderungen an die Fachkunde und der zeitliche Aufwand für die Umsetzung und Kontrolle der Maßnahmen bleiben gleich. Auch hier sollte zunächst eine spezielle Ausbildung absolviert werden, um das Datenschutz-Know-How zu schaffen. Ist eine interne Lösung nicht möglich, dürfen selbstverständlich auch Kanzleien ohne Bestellpflicht die Aufgaben an externe Berater delegieren oder freiwillig einen Datenschutzbeauftragten bestellen.

Grundsatzentscheidung steht am Anfang

Wer in Sachen Datenschutz noch am Anfang steht, muss im ersten Schritt noch nicht in die Details der Umsetzung eintauchen. Zuerst sollte entschieden werden, welche Lösung für die Kanzlei in Frage kommt: internes oder externes Know-How? Ist ein Mitarbeiter oder eine Mitarbeiterin gefunden, die zeitliche Ressourcen für Wissensaufbau und Umsetzung verfügbar hat und auch ein gutes Verständnis für betriebswirtschaftliche und technische Prozesse  mitbringt, sollte rasch eine entsprechende Ausbildung zum Datenschutzbeauftragten angestrebt werden. Das gilt auch für Kanzleien, die keinen Datenschutzbeauftragten benennen müssen – die Ausbildung ist unumgänglich. Wer das Thema lieber mit einem externen Fachmann abdecken möchte, sollte sich jetzt auf die Suche machen und z. B. Kammern und Verbände ansprechen. Damit ist der erste Schritt in Richtung Datenschutz getan.

So geht es weiter: Tatsächliche Umsetzung des Datenschutzes

Im Rahmen der tatsächlichen Umsetzung des Datenschutzes fällt eine Reihe von Aufgaben an. Das Fundament für diese Aufgaben bildet das Verzeichnis der Verarbeitungstätigkeiten. Im nächsten Artikel dieser Serie beschreiben wir, warum dieses Verzeichnis so wichtig ist, wie es erstellt werden kann und wie man damit arbeitet.