Sie haben folgende Möglichkeiten:
  1. zum Login.
  2. zur Navigation.
  3. zum Inhalt der Seite.

Balzer/Buchberger: Jedwede Datenpanne unabhängig vom Umfang und Risikobehaftung schriftlich festhalten (Foto: https://der-gottwald.de)
Datenschutz

Balzer und Buchberger: „Bei der elektronischen Kommunikation ist die verschlüsselte E-Mail den Messengerdiensten vorzuziehen“

ESV-Redaktion Steuerrecht
27.08.2019
Die DSGVO ist an den Steuerberatern und Wirtschaftsprüfern nicht vorbeigegangen. Die rechtlichen Konsequenzen für diese Berufsgruppe und die Anforderungen an die Datensicherheit haben Dipl.-Ing. Thomas Balzer und Dipl.-Ing. Erhard Buchberger in einem zweiteiligen Interview mit der ESV-Redaktion erörtert.
Dieser zweite Teil des Interviews befasst sich hauptsächlich mit den Pflichten zur Bestellung eines Datenschutzbeauftragten, der Kommunikation mit den Mandanten – zum Beispiel über WhatsApp – sowie mit der Datensicherheit oder den Meldewegen bei Datenpannen.

Interner oder externer Datenschutzbeauftragter

Herr Balzer, Herr Buchberger, benötigt der Steuerberater oder Wirtschaftsprüfer einen gesonderten – internen oder externen – Datenschutzbeauftragten?

Balzer/Buchberger: Obwohl Steuerberater in der Regel sensible Daten verarbeiten, bei denen eigentlich ein Datenschutzbeauftragter benannt werden müsste, benötigen diese auf Grund ihres Berufsgeheimnisses jedoch erst ab zehn Personen, die stetig personenbezogene Daten verarbeiten, einen Datenschutzbeauftragten. Zu den genannten Personen gehören aber auch zum Beispiel externe Mitarbeiter. Entscheidend ist, wie viele Personen mit den personenbezogenen Daten grundsätzlich in Kontakt kommen und diese auch beispielsweise nur sichtend verarbeiten.

Die Entscheidung, ob ein interner oder externer Datenschutzbeauftragten bestellt wird, liegt beim Verantwortlichen, also dem Kanzleiinhaber. Beides hat Vor- und Nachteile. Für den internen DSB spricht sicherlich, dass dieser keine weiteren Kosten verursacht, wenn einmal von den Ausgaben für Aus- und Weiterbildung und der Zeit, die er für diese Tätigkeiten braucht, abgesehen wird. Nachteilig wären hier die Tatsachen, dass diese Personen einen Kündigungsschutz haben, ähnlich einem Betriebsratsmitglied, und dass diese hinsichtlich der Tätigkeiten als DSB weisungsfrei sind. Das harmoniert sicher nicht in jedem Unternehmen. Das sind wiederum auch die Vorteile eines externen DSB. Zudem verfügt er oft auch über weitreichendere Erfahrungen und spezielle IT-Kenntnisse.

Doch selbst wenn kein DSB erforderlich ist, so empfehlen wir, einen externen DSB wenigstens für ein Audit und die Begleitung bei der Umsetzung der technischen und organisatorischen Maßnahmen mitwirken zu lassen. Denn die Tatsache, nicht zur Nennung eines DSB verpflichtet zu sein, entbindet ja nicht von der Umsetzung der DSGVO.

Zu den Personen
  • Dipl.-Ing. Thomas Balzer ist Geschäftsführer von B² Berlin und TÜV-zertifizierter Datenschutzbeauftragter
  • Dipl.-Ing. Erhard Buchberger ist ebenfalls Geschäftsführer von B² Berlin und TÜV-zertifizierter Datenschutzbeauftragter

Beziehungen zu externen Dienstleistern

Vereinbarungen mit externen Dienstleistern – wie zum Beispiel mit dem IT-Service, Webhostern oder Entsorgern – sind oft unerlässlich. Was ist hier besonders zu beachten?

Balzer/Buchberger: Diese Vereinbarungen, die Auftragsverarbeitungsvereinbarungen heißen, sind nicht nur unerlässlich, sie sind gesetzlich sogar gefordert, und zwar dann, wenn im Auftrag des Verantwortlichen personenbezogene Daten durch einen Dritten verarbeitet werden sollen. Und das sind in der Regel immer auch die externen IT-Dienstleister, da diese einen vollumfänglichen Zugriff auf die Daten in der Kanzlei haben. Auch Webhoster gehören dazu, wenn dort personenbezogene Daten abgelegt werden, wie das etwa bei einem Mailhoster der Fall ist, wenn die Daten dort auch dauerhaft gespeichert liegen. Desgleichen gelten diese Grundsätze für Entsorger, sofern diese für die Vernichtung von papierhaften oder elektronischen Daten beauftragt werden.

Zu beachten ist beispielsweise, dass diese Vereinbarungen von beiden Seiten gleichermaßen angestrebt und abgeschlossen werden müssen. Nicht abgeschlossene Vereinbarungen zwischen Auftraggeber und Auftragnehmer gelten als Verstoß und können mit einem Bußgeld belegt werden.

Verantwortliche Person und Dienstleister haften beide für Datenpannen

Im Falle einer Datenpanne haften übrigens auch beide Parteien gegenüber den betroffenen Personen. Daher ist vom Verantwortlichen bei der Auswahl dieser Dienstleister entsprechend Sorgfalt zu wahren. Auch eine Kontrolle des Auftragnehmers bezüglich der dortigen Einhaltung der DSGVO ist gefordert, was in manchen Konstellationen nicht immer oder nur schwer in der Praxis realisierbar sein wird. Gerade dann sollte sich der Auftraggeber nur auf seriöse Unternehmen einlassen, die zudem idealerweise ihre Qualifikation durch entsprechende Zertifikate bestätigen. Diese Unternehmen sollten auch besser im Wirkungsbereich der DSGVO und nicht in einem sogenannten unsicheren Drittland ihren Sitz haben. Dann müssen nämlich zusätzliche Vereinbarungen abgeschlossen werden, bei den der Auftraggeber zusichert, der DSGVO zu entsprechen.

Der kostenlose Newsletter Recht - Hier können Sie sich anmelden!
Redaktionelle Nachrichten zu neuen Entscheidungen und Rechtsentwicklungen, Interviews und Literaturtipps.

Besondere Vorsicht bei Kommunikation mit den Mandanten

Was gilt für die Kommunikation mit Mandanten? Wäre es zum Beispiel rechtmäßig oder ratsam, Daten über Messenger – zum Beispiel über WhatsApp – auszutauschen oder sind besonders sichere Kommunikationswege zu empfehlen? Wenn ja, gibt es hierfür technische Standards, zum Beispiel zur Verschlüsselung?

Balzer/Buchberger: Die Kommunikation mit sogenannten Messanger-Programmen wirft viele Fragen auf, nicht nur im Rahmen des Datenschutzes, sondern auch im Hinblick auf die GoBD der Finanzverwaltung oder einer Beweiskraft im Streitfall.

Sobald personenbezogene Daten über diese Kanäle versendet, also verarbeitet werden, so stellt sich zum Beispiel die Frage, wo diese Daten verarbeitet werden und ob dieser Dienstleister auch die dazu erforderliche Auftragsvereinbarung abschließen kann oder will. Im Beispiel von WhatsApp wird dies wohl eher unwahrscheinlich sein. Damit wäre es schon aus der Sicht der DSGVO nicht rechtmäßig.

Auch stellt sich die Frage, ob diese Apps auf dienstlichen oder privaten Handys eingesetzt werden. Im Falle von privaten Handys hat die Kanzlei das Problem, im Bedarf an die Daten zu kommen oder diese ordnungsgemäß abzulegen. Wenn es sich dabei um dienstliche Handys handelt, besehen Probleme hinsichtlich der IT-Sicherheit der Kanzlei, denn dann hat das Handy in der Regel auch Zugriff auf die IT-Infrastruktur der Kanzlei, zum Beispiel über WLAN. Wenn dann nicht kontrolliert oder besser verriegelt wird, dass der Benutzer keine weiteren Apps auf dem Gerät installieren darf oder kann, dann besteht die Gefahr, dass sich andere Apps Zugang und sogar Zugriff auf weitere Daten der Kanzlei verschaffen. Ein unkontrollierter Abfluss von Daten könnte die Folge sein.

Auf Messenger eher verzichten

Wir empfehlen daher, auf diese Kommunikationsplattformen grundsätzlich zu verzichten. Besonders dann, wenn es dabei um die Kommunikation mit Mandanten und um deren vertrauliche und personenbezogene Daten geht.

Besser: Verschlüsselte Emails

Für die Branche der Steuerberater und WP raten wir deshalb dazu, bei der elektronischen Kommunikation bei der E-Mail zu bleiben. Hierbei ist nach neuesten Aussagen der Bundessteuerberaterkammer eine sogenannte Transportverschlüsselung per SSL oder TLS zu aktivieren, die den Weg vom Absender bzw. dem Steuerberater oder WP zum Hoster, bzw. vom Hoster zum Empfänger bzw. Mandanten verschlüsselt. Alle namhaften deutschen E-Mail-Provider unterstützen diese Verschlüsselung und akzeptieren mitunter gar keine unverschlüsselte Kommunikation mehr. Wichtig für den Steuerberater hierbei ist, dass er ihm zusichert, dass dieser auch bei einem entsprechenden Mail-Provider angemeldet ist.

Wie sensibilisieren Sie Ihre Mitarbeiter in Bezug auf die Verpflichtungen zur Einhaltung des Datengeheimnisses, oder etwa zur Geheimhaltung von Fotos?

Balzer/Buchberger: Wir sensibilisieren unsere und die Mitarbeiter unserer Kunden durch eine auf das jeweilige passende Profil des Unternehmens zugeschnittene Schulung im Rahmen einer Mitarbeitersensibilisierung. Im Rahmen dieser Veranstaltung gehen wir auf elementare Themen der DSGVO ein und im zweiten Teil auf die speziellen Anforderungen im Unternehmen. Am Ende unterzeichnen diese Mitarbeiter ein Teilnehmerprotokoll.

Zudem unterzeichnen alle Mitarbeiter hierbei eine Vereinbarung zur Einhaltung des Datenschutzes und zur Verpflichtung der Vertraulichkeit.

Meldewege bei Datenpannen

Datenpannen oder Datenverluste sind – trotz aller Sorgfalt – nicht immer zu vermeiden. Welche Informationen sind in solchen Fällen an wen zu melden? Wie sehen die Meldewege aus?

Balzer/Buchberger: Zunächst ist einmal zwischen einer Datenpanne und einem Datenverlust zu unterscheiden.

Art. 33 der DSGVO gibt hier Auskunft über das Verfahren im Falle einer Datenpanne. Im Falle einer Verletzung des Schutzes personenbezogener Daten meldet der Verantwortliche unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, diese der zuständigen Aufsichtsbehörde, es sei denn, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen, also zu einem Schaden für den Betroffenen, führt. Erfolgt die Meldung an die Aufsichtsbehörde nicht binnen 72 Stunden, so ist ihr eine Begründung für die Verzögerung beizufügen.

Datenpannen schriftlich festhalten

Dennoch sollte jedwede Datenpanne, egal wie umfangreich oder risikobehaftet sie auch sein mag, in jedem Fall schriftlich festgehalten werden. Dazu kommt dann auch die entsprechende jeweilige Risikobetrachtung und wie die Entscheider dann zu der Entscheidung kamen, ob oder ob nicht ein niedriges bis hohes Risiko für die Betroffenen entstanden ist.

Falls also auf Grund der Sachlage ein Schaden für den Betroffenen entstanden ist oder entstehen könnte, müssen Datenpannen der Datenschutzbehörde gemeldet werden. Betroffene hingegen werden nur dann informiert, wenn voraussichtlich ein hohes Risiko aus der Risikobetrachtung heraus für sie besteht. All diese Informationen sind zu dokumentieren und im Bedarfsfall auch einer Datenschutzbehörde vorzuweisen.

Backups besonders wichtig

Bei einem Datenverlust stellt sich also demnach die Frage, welcher Art der Datenverlust ist. Handelt es sich zum Beispiel um eine defekte Festplatte in einem Computer oder Server, so sind die Daten ja nicht in die Hände unberechtigter Dritter gelangt und können durch ein hoffentlich vorhandenes Backup wiederhergestellt werden. Der Datenverlust ist in diesem Fall keine Datenpanne, da ja letztlich kein Risiko für die Rechte und Freiheiten der Betroffenen entstanden ist. Allerdings wäre es eine meldepflichtige Datenpanne, wenn die Daten nicht wiederherstellbar bzw. unwiederbringlich verloren wären. Dieses Beispiel macht die Wichtigkeit eines gut konzipierten Backups besonders deutlich.

Ein anderes Beispiel für eine meldepflichtige Datenpanne wäre zum Beispiel ein Datenverlust in Form eines verlustig gegangenen, unverschlüsselten USB-Sticks mit personenbezogenen Daten.

Echte Datenpanne an Aufsichtsbehörde melden

Grundsätzlich gilt es jedoch, nach Bekanntwerden einer „echten“ Datenpanne der Aufsichtsbehörde die Datenpanne innerhalb von 72 Stunden schriftlich zu melden. Dazu gibt es bei den jeweiligen Behörden auf deren Webseiten Möglichkeiten, diese zu melden. Entweder gleich online oder auch in Papierform unter Verwendung einer auszudruckenden Vorlage.

Gibt es Änderungen bei den Aufbewahrungsfristen gegenüber der früheren Rechtslage?

Balzer/Buchberger: Nein, hinsichtlich der Aufbewahrungsfristen hat sich mit der DSGVO in Bezug auf den Datenschutz nichts geändert. Es gelten weiterhin alle Aufbewahrungsfristen in den jeweiligen Vorgaben, so wie diese zum Beispiel bei steuerlich relevanten Dokumenten unter anderem durch die GoBD vorgegeben werden.

Lesen Sie in Teil 1 des Interviews mehr über:
  • die Rechtsgrundlagen der Datenverarbeitung
  • die Rechte der Betroffenen
  • das Verzeichnis der Verarbeitungstätigkeiten
  • oder über spezifische Audits und sogenannte TOMs

Datenschutz in Steuerberater-, Wirtschaftsprüfer- und Rechtsanwaltskanzleien

 

Die Datenschutzgrundverordnung (DSGVO) hat auch in rechts- und steuerberatenden Berufen beispiellos neu mobilisiert. Das Zeitalter der Digitalisierung, die ungebremst sensible Daten produziert, rückt dabei auch den Datenschutz als Personenschutz immer stärker in den Blick. So ist die Umsetzung der für hohe Bußgelder berüchtigten Neuregelung weder Hexenwerk noch reiner Kostenfaktor: Effizientes Datenmanagement und IT-Betriebssicherheit zahlen sich am Ende auf vielen Ebenen aus.

Wie Sie den Schutz personenbezogener Daten im Kanzleikontext gestalten, haben Thomas Balzer und Erhard Buchberger in diesem leicht umsetzbaren Leitfaden zusammengetragen.

  • Grundsätze und Kernfunktionen der DSGVO: Sorgen Sie für sichere Kanzleilösungen.
  • Kanzleispezifische Aufgabenbereiche: technische/organisatorische Maßnahmen, Monitoring, Datenlöschung u.a.
  • DSGVO im Kanzleialltag: Datenschutzbeauftragter, Datenschutzaudits, Mitarbeitersensibilisierung, Umgang mit Dienstleistern, Verschlüsselung u.a.

Machen Sie die DSGVO zur Chefsache, begeistern Sie dafür Ihre Mitarbeiter und wandeln Sie die scheinbare Bürde in Gewinn: für Ihre Kanzlei und alle Beteiligten in einer zunehmend digitalen Welt.





(ESV/bp/fl)

Programmbereich: Steuerrecht