Datenschutz bei Steuerberatern

Datenschutz verstehen –  Datenschutz bei Steuerberatern

Zusammenfassung
  1. Steuerberater haben die Persönlichkeitsrechte von natürlichen Personen zu wahren und die personenbezogenen Daten ihrer Mandanten zu schützen.
  2. Die bekannte standesrechtliche Verschwiegenheitspflicht (§ 203 StGB; §§ 57, 62 StBerG) trägt nicht dafür Sorge, dass die Anforderungen der DSGVO erfüllt werden. Um dem Datenschutz nachzukommen, müssen Steuerberater zusätzliche Maßnahmen treffen.
  3. Maßnahmen zur Erfüllung des Datenschutzes sind unter anderem: das Verzeichnis der Verarbeitungstätigkeiten, die Datenschutz-Folgenabschätzung, Technische und Organisatorische Maßnahmen, Informationspflichten und Schulungen.
  4. Kanzleien, die mehr als 9 Personen beschäftigen, sind laut DSGVO zur Benennung eines Datenschutzbeauftragten verpflichtet. Verschiedene Faktoren, wie Fachkunde und die Rolle innerhalb der Kanzlei beschränken die Auswahl.
  5. Steuerberater sind i.S.d. DSGVO keine Auftragsverarbeiter. Es müssen daher keine Auftragsverarbeitungsverträge mit Steuerberatern geschlossen werden.
Keine Lust zu lesen?

Wir stellen Ihnen die wichtigsten Informationen aus diesem Beitrag kompakt in einem kurzen Video zusammen.

Play
Slider
 

Der Steuerberater schuldet seinem Mandanten umfassende richtige Beratung. Ein Steuerberater ist insbesondere dazu verpflichtet, seinen Auftraggeber möglichst vor Schaden zu bewahren. Daher hat er seinen Mandanten in die Lage zu versetzen, eigenverantwortlich seine Rechte und Interessen zu wahren, um so eine Fehlentscheidung vermeiden zu können.

Genauso gilt es die Persönlichkeitsrechte von natürlichen Personen zu wahren, gerade die personenbezogenen Daten von Mandanten gilt es zu schützen.

Eine Pflicht oder Möglichkeit zur Unterhaltung einer Versicherung (üblicherweise eine Berufshaftpflichtversicherung) besteht leider nicht. Daher gilt es umso mehr für Steuerberater Maßnahmen zu ergreifen, um den Datenschutz in der Kanzlei umzusetzen. Hierfür bietet es sich an einen Datenschutzbeauftragten zu bestellen, oftmals besteht hierzu auch eine gesetzliche Pflicht durch die Datenschutz-Grundverordnung.

Erfahren Sie jetzt welche datenschutzrechtlichen Maßnahmen Sie als Steuerberater ergreifen müssen.

 

Verschwiegenheitspflicht und DSGVO

In Steuerkanzleien unterliegen Daten der bekannten standesrechtlichen Verschwiegenheitspflicht aus § 203 StGB sowie §§ 57 und 62 StBerG. Wichtig hierbei ist, dass die bestehende Verschwiegenheitspflicht nicht dafür Sorge trägt, dass die Anforderungen der Datenschutz-Grundverordnung erfüllt werden.

Denn personenbezogenen Daten unterliegen der DSGVO, dem BDSG (neu) sowie den in den Spezialgesetzen enthaltenen Regelungen zum Datenschutz. Es sind also zusätzliche Maßnahmen erforderlich, um dem Datenschutz im Alltag der Steuerberatung nachzukommen.

Für das alte Bundesdatenschutzgesetz (bis 25. Mai 2018) gab es mehrere Urteile und Einschätzungen seitens Aufsichtsbehörden und Verwaltungsgerichten auf die Frage: Ob denn nun die Verschwiegenheitspflicht den Datenschutz überwiegt?

Durch den §38 Abs. 3 Satz 2 BDSG (alt) konnte ein Steuerberater beispielsweise die Beantwortung von Auskunftsersuchen verweigern, da er sich der Gefahr einer strafrechtlichen Verfolgung aussetzt. Denn § 203 Abs. 1 Nr. 3 StGB stellt für den Steuerberater die Verletzung von Privatgeheimnissen seines Mandanten unter Strafe.

Es ist zu vermuten, dass eine ähnliche Einschätzung auch nach der Datenschutz-Grundverordnung gilt oder zukünftig gelten wird.

 

Umsetzung Datenschutz in der Steuerberatung

Zunächst sollten Sie in Ihrer Steuerkanzlei die Verantwortlichkeit klären: Wer sich künftig um den Datenschutz kümmern soll? Achtung: das bedeutet nicht, dass Inhaber der Kanzlei jetzt aus der Haftung genommen werden, hier geht es vielmehr um einen festen Ansprechpartner und Koordinator. Für Kanzleien, in denen mehr als neun Personen beschäftigt sind, ist die Benennung eines Datenschutzbeauftragten vorgeschrieben durch die Datenschutz-Grundverordnung. Die bestellte Person muss die entsprechende Fachkunde vorweisen können, sich regelmäßig fortbilden, und darf insbesondere nicht Mitglied der Kanzleileitung, IT-Verantwortlicher oder Personalleiter sein, um Interessenskonflikte zu vermeiden.

Grundsätzlich kann ein interner Datenschutzbeauftragter aus dem Kreise der Mitarbeiter oder ein externer Datenschutzbeauftragter benannt werden. Es gilt genau abzuwägen, ob die interne Lösung tatsächlich abbildbar ist, denn der Aus- und Fortbildungsaufwand des Datenschutzbeauftragten ist hoch. Auch der Zeitaufwand, der neben dem alltäglichen Geschäft zur Umsetzung und Kontrolle der notwendigen Maßnahmen entsteht, darf nicht unterschätzt werden. Zu erwähnen ist außerdem, dass ein interner Datenschutzbeauftragter einem besonderen Kündigungsschutz unterliegt.

Wird eine Person, die keine Fachkunde nachweisen kann, zum Datenschutzbeauftragten benannt, ist diese Benennung hinfällig, da die gesetzlichen Voraussetzungen nicht erfüllt werden. Wer die Funktion an einen externen Spezialisten auslagern möchte, kann hier Kontakt aufnehmen.

Verzeichnis der Verarbeitungstätigkeiten

Steuerkanzleien müssen für Verarbeitungstätigkeiten (z.B. Einkommenssteuererklärung, Mandantenverwaltung) nach Artikel 30 DSGVO ein Verzeichnis der Verarbeitungstätigkeiten führen.

Datenschutz-Folgenabschätzung

Werden in der Steuerberatung besonders personenbezogene Daten verarbeitet, ist oftmals eine sogenannte DSFA durchzuführen. Hierzu benötigen Sie in jedem Fall datenschutzrechtliche Beratung.

Technische und Organisatorische Maßnahmen

Steuerkanzleien müssen für einen geeigneten Sicherheitsstand der Technik sorgen. Auch wenn Steuerberatung in erster Linie keine Auftragsverarbeiter sind, müssen sogenannte TOMs erstellt werden für die Rechenschaftspflicht.

Schulung

Die jährliche Schulung im Datenschutz ist für Steuerberater ein wichtiges Thema, denn mit den Mitarbeiter steht und fällt das Datenschutzkonzept.

Informationspflichten

Die Kanzleiwebseite, die Mandanten-Verträge und andere Erhebungsmöglichkeiten von personenbezogenen Daten sollten überprüft werden und um die Informationen nach Artikel 12, 13 DSGVO erweitert werden.

Auftragsverarbeitung mit Dienstleistern

Die Dienstleister, welche personenbezogene Daten der Kanzlei erhalten oder darauf Zugriff erhalten, müssen eine Auftragsverarbeitung mit der Kanzlei abschließen (z.B. DATEV, Cloud-Dienstleister).

 

§ 11 Abs. 2 S.2 StBerG: Steuerberater sind keine Auftragsverarbeiter

Lange umstritten war die Beurteilung der Frage, ob Steuerberater Auftragsverarbeiter i.S.v. Art. 4 Nr. 8 DSGVO sind. Hiernach ist der Auftragsverarbeiter eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet. Für Steuerberater werden bzw. wurden unterschiedliche Auffassungen vertreten. Die Bundessteuerberaterkammer und der Steuerberaterverband vertreten die Ansicht, dass Steuerberater keine Auftragsverarbeiter i.S.d. der DSGVO sind. Dies gelte auch für die Erstellung von Lohn- und Gehaltsabrechnungen für Kunden und Mandanten. Einige Datenschutzaufsichtsbehörden, darunter auch die Landesbeauftragte für Datenschutz und Informationsfreiheit in NRW, vertreten dagegen die Auffassung, dass für rein technische Leistungen, wie z.B. die Erstellung von Lohn- und Gehaltsabrechnung, eine Eigenschaft als Auftragsverarbeiter bei Steuerberatern anzunehmen sei. 

Nunmehr wurde dieser Meinungsstreit durch den Gesetzgeber selbst und die Neuregelung des Steuerberatungsgesetzes (In Kraft Getreten am 18.12.19) beendet. Gem. § 11 Abs. 2 S.1 des Steuerberatungsgesetzes (StBerG) erfolgt die Verarbeitung personenbezogener Daten durch Personen und Gesellschaften nach § 3 StBerG unter Beachtung der für sie geltenden Berufspflichten weisungsfrei. Dieses Merkmal der Weisungsfreiheit macht deutlich, dass Steuerberater keine Auftragsverarbeiter i.S.d. der DSGVO sein können, da das Wesensmerkmal der Auftragsverarbeitung die Bindung an die Weisungen des Auftraggebers ist, vgl. Art. 28 Abs. 3 lit. a), Abs. 3 letzter Uabs. DSGVO.

Auch § 11 Abs. 2 S.2 StBerG ist neu und untermauert endgültig, dass Steuerberater keine Auftragsverarbeiter, sondern Verantwortliche i.S.d. der DSGVO sind. Hiernach sind nämlich die Personen und Gesellschaften nach § 3 StBerG, wozu u.a. eben auch Steuerberater gehören, bei der Verarbeitung sämtlicher personenbezogener Daten ihrer Mandanten Verantwortliche gemäß Art. 4 Nr. 7 DSGVO. 

Somit kann konstatiert werden, dass Steuerberater keine Auftragsverarbeiter i.S.d. der DSGVO sind und daher auch keine Auftragsverarbeitungsverträge mit Steuerberatern, sei es auch für rein technische Leistungen wie die Lohn- und Gehaltsabrechnung für Mandanten, abzuschließen sind. In einigen besonderen Konstellationen kann lediglich der Abschluss von Verträgen zur gemeinsamen Verantwortlichkeit gem. Art. 26 Abs. 1 S.2 DSGVO erforderlich sein. Dies kann erst nach einer individuellen Prüfung abschließend beurteilt werden.

 

Inhalte Auftragsverarbeitungs-Vertrag

Ja, es dürfen also personenbezogene Daten übertragen werden, aber nur mit Einhaltung der oben genannten Datenschutz-Vorgaben und Umsetzung der notwendigen technischen und organisatorischen Maßnahmen. Die folgenden Inhalte sollten mindestens Bestandteil der Auftragsverarbeitung für eine Steuerberatung sein:

  • Gegenstand & Dauer des Auftrags
  • Umfang, Art & Zweck der Datennutzung und -verarbeitung
  • Technische & organisatorische Maßnahmen
  • Berechtigung, Löschung, Sperrung der personenbezogenen Daten
  • Kontrollrechte des Auftraggebers
  • Berechtigung zu Unterauftragsverhältnissen
  • Pflichten des Auftragnehmers
  • Meldepflicht bei Vertragsverstößen
  • Umfang der Weisungsbefugnisse
  • Haftung der Parteien

Autor

Herr Nils Möllers ist Gründer und Geschäftsführer der Keyed GmbH. Als Experte für Datenschutz in Konzernen, Unternehmensgruppen und Franchise-Systemen, ist Herr Möllers ebenfalls als zertifizierter Datenschutzbeauftragter tätig. Ergänzend zur datenschutzrechtlichen Expertise ist Herr Möllers im Bereich IT-Sicherheit, begleitend zur ISO27001, beratend tätig. 

3 Kommentare. Hinterlasse eine Antwort

  • Mein letzter Besuch beim Steuerberater war wirklich sehr erfreulich, da viele datenschutzrechtliche Themen eingehalten worden sind. Zusätzlich habe ich nämlich von meiner Steuer eine ganze Menge wieder gekriegt und war darüber wirklich sehr happy. Zum Glück behält sich das mein Steuerberater auch für sich ein. http://www.duesseldorf-steuerberater.com/ueber-uns/unsere-leistungen/

    Antworten
  • Jan Dijkstra
    26. August 2019 15:35

    Es ist klar, dass auch Steuerberater auf den Datenschutz achten sollten. Mir ist es sehr wichtig, dass meine Daten geschützt werden und, dass nur der Steuerberater Zugriff hat. Deshalb bin ich froh, dass dies in Deutschland so gut geregelt ist. Vielen Dank für die guten Infos!

    Antworten
  • Joachim Hussing
    12. Dezember 2019 00:50

    Jeder, der mehr zum Thema Steuerberatung erfahren möchte, sollte diesen Beitrag lesen! Deshalb werde ich diesen Artikel meinem Partner zeigen. Wir haben neulich wieder über Datenschutz in Bezug auf die Mandanten gesprochen. Danke!

    Antworten

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Bitte füllen Sie dieses Feld aus
Bitte füllen Sie dieses Feld aus
Bitte gib eine gültige E-Mail-Adresse ein.

Menü

Unverbindliches Angebot erhalten!

Unsere zertifizierten Experten stehen Ihnen als zuverlässiger Ansprechpartner zur Seite und halten Ihr datenschutzrechtliches und technisches Wissen immer auf dem neusten Stand. Diese Anfrage wird über eine SSL-Verschlüsselung übertragen.

Persönliche Angaben

Ihr Unternehmen: Ihr Vorname: Ihr Nachname: Ihre E-Mail Adresse: Ihre Telefon-Nummer:

Zusätzliche Informationen

Alle übermittelten Daten werden per SSL übertragen. Ihre Kontaktdaten werden per E-Mail an uns versendet. Weitere Informationen erhalten Sie auf unserer Datenschutzerklärung.

 
ANGEBOT ERHALTEN