Datenschutz in Steuerkanzleien

Am 25.05.2018 ist die so genannte Datenschutz-Grundverordnung (kurz: DSGVO) in Kraft getreten. Ziel ist es, europaweit ein einheitliches Datenschutzmanagement zu gewährleisten. Weiteres Ziel ist es, den Verbraucher zu schützen, indem er wieder mehr Kontorolle über seine Daten bekommt. Die Verordnung regelt damit im Wesentlichen den Umgang mit personenbezogenen Daten.

Betroffen sind von der DSGVO insbesondere große Unternehmer und sog. Auftragsverarbeiter.

Auch Steuerkanzleien verarbeiten personenbezogene Daten und fallen damit unter die Vorschriften der DSGVO. Was Steuerberaterkanzleien seit Inkrafttreten der DSGVO beachten und einhalten müssen, soll in den nachfolgenden Abschnitten dargelegt werden.

Für wen ist die DSGVO anwendbar?

In den Anwendungsbereich der DSGVO fallen im Wesentlichen alle, die personenbezogene Daten verarbeiten.

Personenbezogene Daten sind dabei:

• Name
• Adresse
• E-Mail-Adresse
• Telefonnummer
• Geburtstag
• Kontaktdaten etc.

Durch die personenbezogenen Daten wird eine natürliche Person identifiziert.

Zwar unterliegen Steuerberater der berufsrechtlichen Schweigepflicht, doch reicht diese seit Einführung der DSGVO nicht aus, da auch Steuerkanzleien personenbezogene Daten verarbeiten. Demnach sind zusätzliche Maßnahmen zu ergreifen, um den Datenschutz in den Steuerkanzleien zu gewährleisten (vgl. auch „Änderungen im Betrieb und nach außen«).

Aus datenschutzrechtlicher Sicht bezeichnet man das Verhältnis zwischen Auftraggeber (Unternehmer) und Auftragnehmer (externer Dienstleister, z.B. eine Steuerkanzlei) als „Auftragsverarbeitung“.

Was bedeutet Auftragsverarbeitung?

Die Auftragsverarbeitung ist die „Erhebung, Verarbeitung oder Nutzung personenbezogener Daten durch einen Auftragnehmer«.  Da Steuerkanzleien personenbezogene Daten (von Mandanten) verarbeiten, gelten Sie auf den ersten Blick als Auftragsverarbeiter. Dies muss jedoch genauer geprüft werde

Gelten Steuerkanzleien als Auftragsverarbeiter?

Bei der Beurteilung, ob Steuerberater bzw. Steuerkanzleien als Auftragsverarbeiter gelten, sind grundsätzlich zwei Fälle zu unterscheiden:

1. Übernimmt der Steuerberater Aufträge, bei denen er keinen Entscheidungsspielraum hat, so kann eine Auftragsverarbeitung nach der DSGVO vorliegen. Dies ist z.B. der Fall, wenn die Steuerkanzlei mit der Lohnbuchhaltung des Mandanten beauftragt ist. Bei dieser Konstellation ist ein Vertrag zur Auftragsverarbeitung zwingend notwendig.
2. Übernimmt der Steuerberater Dienstleistungen, bei denen er einen Entscheidungsspielraum hat, d.h. nicht weisungsgebunden ist, so bedarf es keinen Vertrag. Hierbei kann es sich z.B. um Tätigkeiten wie die Jahresabschlusserstellung handeln.

Schwierig wird es im Ergebnis, wenn gemischte Tätigkeiten ausgeführt werden. Hier ist eine genauere Prüfung erforderlich.

Der Deutsche Steuerberaterverband als auch die Bundessteuerberater sich der Ansicht, dass die Leistungen eines Steuerberaters keine Auftragsverarbeitung im Sinne der DSGVO darstellen. Demnach müssen keine Verträge zur Auftragsverarbeitung mit dem Mandanten geschlossen werden. Dieser Ansicht ist auch das Bayerische Landesamt für Datenschutzaufsicht, da Steuerberater aufgrund der eigenen Berufsordnung stets weisungsunabhängig und eigenverantwortlich tätig sein müssen.

Steuerkanzleien / Steuerberater und die DSGVO

Diejenigen, die personenbezogene Daten verarbeiten gelten als sog. Verantwortliche. Verantwortliche sind beispielsweise der Inhaber des Einzelunternehmens oder der Geschäftsführer einer GmbH. Jeder Verantwortliche ist gemäß Artikel 30 DSGVO verpflichtet ein sog. Verfahrensverzeichnis zu führen. Oftmals wird dieses Verzeichnis durch den Datenschutzbeauftragten im Unternehmen erstellt. Dieser überwacht die Einhaltung der Vorschriften der DSGVO im Unternehmen indem er Maßnahmen zur Umsetzung der DSGVO einleitet und als Verantwortlicher und Zuständiger für alle Belange rund um die DSGVO als Ansprechpartner agiert. Hier finden Sie Informationen wie man Datenschutzbeauftragter werden kann.

Verfahrensverzeichnis (Verzeichnis der Verarbeitungstätigkeiten)

Wie der Name schon sagt, ist das Verfahrensverzeichnis eine schriftliche Zusammenfassung bzw. Beschreibung der Verfahren in einem Unternehmen das personenbezogene Daten verarbeitet.

Das Verfahrensverzeichnis muss folgende Angaben zwingend enthalten:

• Name und Kontaktdaten des Verantwortlichen oder des Vertreters sowie des Datenschutzbeauftragten
• Zweck der Verarbeitung
• Kategorien der betroffenen Personen und der personenbezogenen Daten
• Kategorien der Empfänger, gegenüber denen personenbezogene Daten offengelegt werden (auch in Drittländern)
• Fristen zu den die Daten gelöscht werden

Wird kein ordentliches Verfahrensverzeichnis auf Anfrage von Behörden vorgelegt, so kann es zu hohen Bußgeldern kommen.

Unternehmen, die weniger als 250 Mitarbeiter beschäftigen, sind nicht verpflichtet ein Verfahrensverzeichnis zu führen, es sei denn, dass die Verarbeitung ein besonderes Risiko für die betroffenen Personen bringt, besonders sensible Daten verarbeitet werden oder die Datenverarbeitung nicht nur gelegentlich erfolgt. Demnach haben auch Steuerkanzleien, da sie beispielsweise bei der Erstellung der Lohnbuchhaltung nicht nur gelegentlich personenbezogene Daten verarbeiten, ein Verfahrensverzeichnis zu führen.

Wie kann der Datenschutz in Steuerkanzleien sichergestellt werden?

Änderungen intern im Betrieb

Intern müssen die Steuerkanzleien darauf achten, dass personenbezogene Daten von Mandanten als auch von eigenen Mitarbeitern nicht an unbefugte Dritte gelangen. Hierzu können verschiedene Maßnahmen getroffen werden:

• Mandanten müssen sich ausschließlich in den für Sie vorgesehenen Räumen aufhalten (z.B. Empfang, Warte- oder Besprechungszimmer, Gäste-WC etc.)
• Besteht die Möglichkeit, dass fremde Dritte einen Raum betreten können, so dürfen keine Unterlagen, die personenbezogene Daten enthalten, offen rumliegen. Besonders ist darauf zu achten, wenn Mandanten, Handwerker, Reinigungskräfte etc. die Kanzlei betreten.
• Wird der Arbeitsplatz verlassen, so sollte der Computer gesperrt sein, damit keine unbefugte Person Zugriff auf personenbezogene Daten bekommt.

Änderungen nach außen

Im Verhältnis nach außen sollte darauf geachtet werden, dass sowohl beim persönlichen Gespräch als auch beim elektronischen Schriftverkehr keine persönlichen Daten weitergegeben werden. Hierzu muss der Inhalt des elektronischen Schriftverkehrs ausreichend verschlüsselt werden. Hierzu können die Dokumente in einer passwortgeschützten Zip-Datei versandt werden. Die E-Mail selbst darf ebenfalls keine personenbezogenen Daten enthalten.

Teilt der Mandant mit, dass die Verschlüsselung unterbleiben kann, so darf die Mail unverschlüsselt jedoch ohne personenbezogene Daten von Dritten versandt werden. Sind personenbezogene Daten Dritter enthalten, ist die Verschlüsselung zwingend vorzunehmen.

Schlusswort

Neben der Verpflichtung, die Vorschriften der DSGVO in der eigenen Steuerkanzlei durchzusetzen, besteht für die Steuerberater eine Informationspflicht gegenüber den Mandanten. Diese ergibt sich aus Artikel 13 (2) DSGVO. Demnach hat der Verantwortliche den Mandanten im Zeitpunkt der Erhebung der Daten auf die Verarbeitung hinzuweisen. Insbesondere sind dabei die Kontaktdaten der Kanzlei, die des Datenschutzbeauftragten, die Zwecke der Verarbeitung und der Empfänger (falls die personenbezogenen Daten weitergeleitet werden) zu nennen.

Kanzleiintern sind, neben den vorgenannten Maßnahmen, Datenschutzhinweise auf der Kanzleihomepage zu aktualisieren und der DSGVO anzupassen.

Die DSGVO stellt im Ergebnis auch für Steuerkanzleien eine Herausforderung dar.