Datenschutz verstehen – Datenschutz bei Steuerberatern
Der Steuerberater schuldet seinem Mandanten umfassende richtige Beratung. Ein Steuerberater ist insbesondere dazu verpflichtet, seinen Auftraggeber möglichst vor Schaden zu bewahren. Daher hat er seinen Mandanten in die Lage zu versetzen, eigenverantwortlich seine Rechte und Interessen zu wahren, um so eine Fehlentscheidung vermeiden zu können.
Genauso gilt es die Persönlichkeitsrechte von natürlichen Personen zu wahren, gerade die personenbezogenen Daten von Mandanten gilt es zu schützen.
Eine Pflicht oder Möglichkeit zur Unterhaltung einer Versicherung (üblicherweise eine Berufshaftpflichtversicherung) besteht leider nicht. Daher gilt es umso mehr für Steuerberater Maßnahmen zu ergreifen, um den Datenschutz in der Kanzlei umzusetzen. Hierfür bietet es sich an einen Datenschutzbeauftragten zu bestellen, oftmals besteht hierzu auch eine gesetzliche Pflicht durch die Datenschutz-Grundverordnung.
Erfahren Sie jetzt welche datenschutzrechtlichen Maßnahmen Sie als Steuerberater ergreifen müssen.
Verschwiegenheitspflicht und DSGVO
In Steuerkanzleien unterliegen Daten der bekannten standesrechtlichen Verschwiegenheitspflicht aus § 203 StGB sowie §§ 57 und 62 StBerG. Wichtig hierbei ist, dass die bestehende Verschwiegenheitspflicht nicht dafür Sorge trägt, dass die Anforderungen der Datenschutz-Grundverordnung erfüllt werden.
Denn personenbezogenen Daten unterliegen der DSGVO, dem BDSG (neu) sowie den in den Spezialgesetzen enthaltenen Regelungen zum Datenschutz. Es sind also zusätzliche Maßnahmen erforderlich, um dem Datenschutz im Alltag der Steuerberatung nachzukommen.
Für das alte Bundesdatenschutzgesetz (bis 25. Mai 2018) gab es mehrere Urteile und Einschätzungen seitens Aufsichtsbehörden und Verwaltungsgerichten auf die Frage: Ob denn nun die Verschwiegenheitspflicht den Datenschutz überwiegt?
Durch den §38 Abs. 3 Satz 2 BDSG (alt) konnte ein Steuerberater beispielsweise die Beantwortung von Auskunftsersuchen verweigern, da er sich der Gefahr einer strafrechtlichen Verfolgung aussetzt. Denn § 203 Abs. 1 Nr. 3 StGB stellt für den Steuerberater die Verletzung von Privatgeheimnissen seines Mandanten unter Strafe.
Umsetzung Datenschutz in der Steuerberatung
Zunächst sollten Sie in Ihrer Steuerkanzlei die Verantwortlichkeit klären: Wer sich künftig um den Datenschutz kümmern soll? Achtung: das bedeutet nicht, dass Inhaber der Kanzlei jetzt aus der Haftung genommen werden, hier geht es vielmehr um einen festen Ansprechpartner und Koordinator. Für Kanzleien, in denen mehr als neun Personen beschäftigt sind, ist die Benennung eines Datenschutzbeauftragten vorgeschrieben durch die Datenschutz-Grundverordnung. Die bestellte Person muss die entsprechende Fachkunde vorweisen können, sich regelmäßig fortbilden, und darf insbesondere nicht Mitglied der Kanzleileitung, IT-Verantwortlicher oder Personalleiter sein, um Interessenskonflikte zu vermeiden.
Grundsätzlich kann ein interner Datenschutzbeauftragter aus dem Kreise der Mitarbeiter oder ein externer Datenschutzbeauftragter benannt werden. Es gilt genau abzuwägen, ob die interne Lösung tatsächlich abbildbar ist, denn der Aus- und Fortbildungsaufwand des Datenschutzbeauftragten ist hoch. Auch der Zeitaufwand, der neben dem alltäglichen Geschäft zur Umsetzung und Kontrolle der notwendigen Maßnahmen entsteht, darf nicht unterschätzt werden. Zu erwähnen ist außerdem, dass ein interner Datenschutzbeauftragter einem besonderen Kündigungsschutz unterliegt.
Wird eine Person, die keine Fachkunde nachweisen kann, zum Datenschutzbeauftragten benannt, ist diese Benennung hinfällig, da die gesetzlichen Voraussetzungen nicht erfüllt werden. Wer die Funktion an einen externen Spezialisten auslagern möchte, kann hier Kontakt aufnehmen.
§ 11 Abs. 2 S.2 StBerG: Steuerberater sind keine Auftragsverarbeiter
Lange umstritten war die Beurteilung der Frage, ob Steuerberater Auftragsverarbeiter i.S.v. Art. 4 Nr. 8 DSGVO sind. Hiernach ist der Auftragsverarbeiter eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet. Für Steuerberater werden bzw. wurden unterschiedliche Auffassungen vertreten. Die Bundessteuerberaterkammer und der Steuerberaterverband vertreten die Ansicht, dass Steuerberater keine Auftragsverarbeiter i.S.d. der DSGVO sind. Dies gelte auch für die Erstellung von Lohn- und Gehaltsabrechnungen für Kunden und Mandanten. Einige Datenschutzaufsichtsbehörden, darunter auch die Landesbeauftragte für Datenschutz und Informationsfreiheit in NRW, vertreten dagegen die Auffassung, dass für rein technische Leistungen, wie z.B. die Erstellung von Lohn- und Gehaltsabrechnung, eine Eigenschaft als Auftragsverarbeiter bei Steuerberatern anzunehmen sei.
Nunmehr wurde dieser Meinungsstreit durch den Gesetzgeber selbst und die Neuregelung des Steuerberatungsgesetzes (In Kraft Getreten am 18.12.19) beendet. Gem. § 11 Abs. 2 S.1 des Steuerberatungsgesetzes (StBerG) erfolgt die Verarbeitung personenbezogener Daten durch Personen und Gesellschaften nach § 3 StBerG unter Beachtung der für sie geltenden Berufspflichten weisungsfrei. Dieses Merkmal der Weisungsfreiheit macht deutlich, dass Steuerberater keine Auftragsverarbeiter i.S.d. der DSGVO sein können, da das Wesensmerkmal der Auftragsverarbeitung die Bindung an die Weisungen des Auftraggebers ist, vgl. Art. 28 Abs. 3 lit. a), Abs. 3 letzter Uabs. DSGVO.
Auch § 11 Abs. 2 S.2 StBerG ist neu und untermauert endgültig, dass Steuerberater keine Auftragsverarbeiter, sondern Verantwortliche i.S.d. der DSGVO sind. Hiernach sind nämlich die Personen und Gesellschaften nach § 3 StBerG, wozu u.a. eben auch Steuerberater gehören, bei der Verarbeitung sämtlicher personenbezogener Daten ihrer Mandanten Verantwortliche gemäß Art. 4 Nr. 7 DSGVO.
Somit kann konstatiert werden, dass Steuerberater keine Auftragsverarbeiter i.S.d. der DSGVO sind und daher auch keine Auftragsverarbeitungsverträge mit Steuerberatern, sei es auch für rein technische Leistungen wie die Lohn- und Gehaltsabrechnung für Mandanten, abzuschließen sind. In einigen besonderen Konstellationen kann lediglich der Abschluss von Verträgen zur gemeinsamen Verantwortlichkeit gem. Art. 26 Abs. 1 S.2 DSGVO erforderlich sein. Dies kann erst nach einer individuellen Prüfung abschließend beurteilt werden.
Inhalte Auftragsverarbeitungs-Vertrag
Ja, es dürfen also personenbezogene Daten übertragen werden, aber nur mit Einhaltung der oben genannten Datenschutz-Vorgaben und Umsetzung der notwendigen technischen und organisatorischen Maßnahmen. Die folgenden Inhalte sollten mindestens Bestandteil der Auftragsverarbeitung für eine Steuerberatung sein:
- Gegenstand & Dauer des Auftrags
- Umfang, Art & Zweck der Datennutzung und -verarbeitung
- Technische & organisatorische Maßnahmen
- Berechtigung, Löschung, Sperrung der personenbezogenen Daten
- Kontrollrechte des Auftraggebers
- Berechtigung zu Unterauftragsverhältnissen
- Pflichten des Auftragnehmers
- Meldepflicht bei Vertragsverstößen
- Umfang der Weisungsbefugnisse
- Haftung der Parteien
Herr Nils Möllers ist Gründer und Geschäftsführer der Keyed GmbH. Als Experte für Datenschutz in Konzernen, Unternehmensgruppen und Franchise-Systemen, ist Herr Möllers ebenfalls als zertifizierter Datenschutzbeauftragter tätig. Ergänzend zur datenschutzrechtlichen Expertise ist Herr Möllers im Bereich der IT-Sicherheit, begleitend zur ISO27001 und TISAX-Assessments, beratend tätig.