Online-Nachricht - Freitag, 23.03.2018

DSGVO | Handlungsempfehlungen für Steuerberatungskanzleien (DStV)

Ab dem sind die Datenschutz-Grundverordnung (DSGVO) und das neu gefasste Bundesdatenschutzgesetz 2018 (BDSG) unmittelbar zu beachten. Hierzu hat der DStV Handlungsempfehlungen erarbeitet, mit denen sich Steuerberatungskanzleien schrittweise auf die neuen Anforderungen einstellen können.

1. An erster Stelle steht die Einrichtung eines Datenschutz-Leitfadens, der für die Kanzleiangehörigen verbindlich ist. Damit wird die "Rechenschaftspflicht" zur Umsetzung der nachfolgend genannten Datenschutzgrundsätze dokumentiert: Rechtmäßigkeit, faire Verarbeitung nach Treu und Glauben, Transparenz, Zweckbindung, Datenminimierung, Speicherbegrenzung, Richtigkeit sowie technische und organisatorische Maßnahmen (TOM) zum Schutz vor unbefugten Zugriffen oder Beschädigung der personenbezogenen Daten ("Integrität und Vertraulichkeit").

2. Steuerberatungskanzleien kommen nicht umhin, ein Verarbeitungsverzeichnis zu erstellen, schon weil die in der Kanzlei verarbeiteten Daten dem Berufsgeheimnis unterliegen und somit ein Risiko für die Rechte und Freiheiten von Personen besteht. In diesem Verzeichnis werden die Kontaktdaten des Verantwortlichen, die Zwecke der Verarbeitung und die Kategorien der Betroffenen, der erhobenen Daten sowie der Empfänger dokumentiert. Zudem müssen die Fristen zur Löschung der in der Kanzlei erhobenen personenbezogenen Daten festgelegt werden. Im Falle einer Datenübertragung in ein Drittland außerhalb der EU/des EWR muss auch dies im Verfahrensverzeichnis geregelt sein (ggf. in Fällen der Nutzung von Cloud-Software, Messenger-Diensten mit Servern in Drittländern etc.).

3. Es empfiehlt sich die Erstellung eines Aufbewahrungs- und Löschkonzepts, welches die Einhaltung der Aufbewahrungsfristen und die anschließende Löschung personenbezogener Daten sicherstellt. Auf diese Weise wird die Einhaltung der Löschpflichten dokumentiert.

4. Um die unverzügliche Benachrichtigung der Datenschutzbehörde und Betroffenen (spätestens innerhalb von 72 Stunden) sicherzustellen, eignet sich die Errichtung eines Meldesystems für Datenpannen.

5. Die Kanzlei sollte zudem eine Arbeitsanweisung zur Wahrung der Betroffenenrechte erstellen: Anhand der Arbeitsanweisung muss das Kanzleipersonal vorbereitet sein, Ansprüche von Betroffenen auf Information und Auskunft, Berichtigung, Löschung und Übertragung von Daten richtig einzuschätzen. Das Kanzleipersonal muss insbesondere bei Drittbetroffenen geltend gemachte Ansprüche ggf. ablehnen, wenn das Berufsgeheimnis des Steuerberaters und seiner Berufsangehörigen Vorrang hat.

6. Kanzleien müssen prüfen, ob ein Datenschutzbeauftragter (DSB) bestellt werden muss und ggf. eine Datenschutz-Folgenabschätzung (DSFA) durchzuführen ist. Sind zehn oder mehr Personen in der Kanzlei ständig mit der automatisierten Verarbeitung von personenbezogenen Daten befasst, muss immer ein DSB bestellt werden. Ein DSB und eine DSFA ist zudem auch bei weniger als zehn Personen erforderlich, wenn eine besonders umfangreiche Verarbeitung "sensibler" Datenkategorien (z. B. Daten über die Religion, Gesundheit, sexuelle Orientierung etc.) oder von personenbezogenen Daten über Straftaten vorliegt. Wann eine "besonders umfangreiche Verarbeitung" im Einzelnen anzunehmen ist, ist momentan noch mit Rechtsunsicherheit verbunden.

7. Die Auftrags(daten)verarbeitungsverträge (z. B. Kanzleisoftware) müssen an die DSGVO und an die Neufassung der Vorschriften über das Berufsgeheimnis angepasst werden. Bei Auftragsverarbeitern wie auch bei sonstigen Dienstleistern, die mit personenbezogenen Daten in Berührung kommen, müssen die erforderlichen Erklärungen zur Verschwiegenheit dokumentiert sein. Es muss darauf geachtet werden, dass Auftragsverarbeiter und andere Dienstleister nicht mehr als erforderlich Einblick in die personenbezogenen Daten bekommen. Die Tätigkeit des Steuerberaters für seinen Mandanten erfolgt in eigener Verantwortung und ist keine Auftragsverarbeitung. Dies gilt auch für die Lohn- und Gehaltsabrechnung, die der Steuerberater nach dem StBerG eigenverantwortlich ausführt (siehe hierzu auch das Kurzpapier Nr. 13 zur Auftragsverarbeitung der Datenschutzkonferenz - DSK).

8. Eine auf die Bedürfnisse der Kanzlei abgestimmte Schulungsunterlage dient der Sensibilisierung der Mitarbeiter und Berufsträger. Die Angehörigen der Steuerkanzlei müssen die Grundsätze und Pflichten einer datenschutzkonformen Verarbeitung nach den neuen Vorschriften in der Praxis umsetzen und dokumentieren. Die Kanzleiangehörigen müssen in die Lage versetzt werden, bei Anfragen von Betroffenen und Datenschutzbehörden richtig zu reagieren und dabei das Berufsgeheimnis zu wahren.

Hinweis:

Zur Umsetzung der vorstehenden Handlungsmaßnahmen bieten die einschlägigen Fachverlage (s. hierzu z.B. Baum/Golland/Hamminger/Olbertz, Das neue Datenschutzrecht in der Praxis des Steuerberaters, 1. Auflage 2018) und Datenschutz-Institutionen wie beispielsweise die Konferenz der Datenschutzbehörden des Bundes und der Länder (DSK) erste Merkblätter und Musterformulare an (s. auch unsere Online-Nachricht v. 22.03.2018). Derzeit erarbeiten der Deutsche Steuerberaterverband (DStV) und die Bundessteuerberaterkammer (BStBK) gemeinsam umfassende Praxishilfen, die konkret auf die besonderen Anforderungen kleiner und mittelständischer Steuerberatungskanzleien beim Datenschutz abgestimmt werden.

Quelle: DStV online sowie NWB Datenbank (il)

Fundstelle(n):
NWB TAAAG-79255