Datenschutz bei Steuerberatern

Datenschutz verstehen –  Datenschutz bei Steuerberatern

Datenschutz Steuerberater
Zusammenfassung
  1. Steuerberater haben die Persönlichkeitsrechte von natürlichen Personen zu wahren und die personenbezogenen Daten ihrer Mandanten zu schützen.
  2. Die bekannte standesrechtliche Verschwiegenheitspflicht (§ 203 StGB; §§ 57, 62 StBerG) trägt nicht dafür Sorge, dass die Anforderungen der DSGVO erfüllt werden. Um dem Datenschutz nachzukommen, müssen Steuerberater zusätzliche Maßnahmen treffen.
  3. Maßnahmen zur Erfüllung des Datenschutzes sind unter anderem: das Verzeichnis der Verarbeitungstätigkeiten, die Datenschutz-Folgenabschätzung, Technische und Organisatorische Maßnahmen, Informationspflichten und Schulungen.
  4. Kanzleien, die mehr als 9 Personen beschäftigen, sind laut DSGVO zur Benennung eines Datenschutzbeauftragten verpflichtet. Verschiedene Faktoren, wie Fachkunde und die Rolle innerhalb der Kanzlei beschränken die Auswahl.
  5. Steuerberater sind i.S.d. DSGVO keine Auftragsverarbeiter. Es müssen daher keine Auftragsverarbeitungsverträge mit Steuerberatern geschlossen werden.
Keine Lust zu lesen?

Wir stellen Ihnen die wichtigsten Informationen aus diesem Beitrag kompakt in einem kurzen Video zusammen.

PlayPlay
 

Der Steuerberater schuldet seinem Mandanten umfassende richtige Beratung. Ein Steuerberater ist insbesondere dazu verpflichtet, seinen Auftraggeber möglichst vor Schaden zu bewahren. Daher hat er seinen Mandanten in die Lage zu versetzen, eigenverantwortlich seine Rechte und Interessen zu wahren, um so eine Fehlentscheidung vermeiden zu können.

Genauso gilt es die Persönlichkeitsrechte von natürlichen Personen zu wahren, gerade die personenbezogenen Daten von Mandanten gilt es zu schützen.

Eine Pflicht oder Möglichkeit zur Unterhaltung einer Versicherung (üblicherweise eine Berufshaftpflichtversicherung) besteht leider nicht. Daher gilt es umso mehr für Steuerberater Maßnahmen zu ergreifen, um den Datenschutz in der Kanzlei umzusetzen. Hierfür bietet es sich an einen Datenschutzbeauftragten zu bestellen, oftmals besteht hierzu auch eine gesetzliche Pflicht durch die Datenschutz-Grundverordnung.

Erfahren Sie jetzt welche datenschutzrechtlichen Maßnahmen Sie als Steuerberater ergreifen müssen.

Inhalt

Steuerberatung Datenschutz
 

Verschwiegenheitspflicht und DSGVO

In Steuerkanzleien unterliegen Daten der bekannten standesrechtlichen Verschwiegenheitspflicht aus § 203 StGB sowie §§ 57 und 62 StBerG. Wichtig hierbei ist, dass die bestehende Verschwiegenheitspflicht nicht dafür Sorge trägt, dass die Anforderungen der Datenschutz-Grundverordnung erfüllt werden.

Denn personenbezogenen Daten unterliegen der DSGVO, dem BDSG (neu) sowie den in den Spezialgesetzen enthaltenen Regelungen zum Datenschutz. Es sind also zusätzliche Maßnahmen erforderlich, um dem Datenschutz im Alltag der Steuerberatung nachzukommen.

Für das alte Bundesdatenschutzgesetz (bis 25. Mai 2018) gab es mehrere Urteile und Einschätzungen seitens Aufsichtsbehörden und Verwaltungsgerichten auf die Frage: Ob denn nun die Verschwiegenheitspflicht den Datenschutz überwiegt?

Durch den §38 Abs. 3 Satz 2 BDSG (alt) konnte ein Steuerberater beispielsweise die Beantwortung von Auskunftsersuchen verweigern, da er sich der Gefahr einer strafrechtlichen Verfolgung aussetzt. Denn § 203 Abs. 1 Nr. 3 StGB stellt für den Steuerberater die Verletzung von Privatgeheimnissen seines Mandanten unter Strafe.

Es ist zu vermuten, dass eine ähnliche Einschätzung auch nach der Datenschutz-Grundverordnung gilt oder zukünftig gelten wird.

 

Umsetzung Datenschutz in der Steuerberatung

Zunächst sollten Sie in Ihrer Steuerkanzlei die Verantwortlichkeit klären: Wer sich künftig um den Datenschutz kümmern soll? Achtung: das bedeutet nicht, dass Inhaber der Kanzlei jetzt aus der Haftung genommen werden, hier geht es vielmehr um einen festen Ansprechpartner und Koordinator. Für Kanzleien, in denen mehr als neun Personen beschäftigt sind, ist die Benennung eines Datenschutzbeauftragten vorgeschrieben durch die Datenschutz-Grundverordnung. Die bestellte Person muss die entsprechende Fachkunde vorweisen können, sich regelmäßig fortbilden, und darf insbesondere nicht Mitglied der Kanzleileitung, IT-Verantwortlicher oder Personalleiter sein, um Interessenskonflikte zu vermeiden.

Grundsätzlich kann ein interner Datenschutzbeauftragter aus dem Kreise der Mitarbeiter oder ein externer Datenschutzbeauftragter benannt werden. Es gilt genau abzuwägen, ob die interne Lösung tatsächlich abbildbar ist, denn der Aus- und Fortbildungsaufwand des Datenschutzbeauftragten ist hoch. Auch der Zeitaufwand, der neben dem alltäglichen Geschäft zur Umsetzung und Kontrolle der notwendigen Maßnahmen entsteht, darf nicht unterschätzt werden. Zu erwähnen ist außerdem, dass ein interner Datenschutzbeauftragter einem besonderen Kündigungsschutz unterliegt.

Wird eine Person, die keine Fachkunde nachweisen kann, zum Datenschutzbeauftragten benannt, ist diese Benennung hinfällig, da die gesetzlichen Voraussetzungen nicht erfüllt werden. Wer die Funktion an einen externen Spezialisten auslagern möchte, kann hier Kontakt aufnehmen.

Verzeichnis der Verarbeitungstätigkeiten

Steuerkanzleien müssen für Verarbeitungstätigkeiten (z.B. Einkommenssteuererklärung, Mandantenverwaltung) nach Artikel 30 DSGVO ein Verzeichnis der Verarbeitungstätigkeiten führen.

Datenschutz-Folgenabschätzung

Werden in der Steuerberatung besonders personenbezogene Daten verarbeitet, ist oftmals eine sogenannte DSFA durchzuführen. Hierzu benötigen Sie in jedem Fall datenschutzrechtliche Beratung.

Technische und Organisatorische Maßnahmen

Steuerkanzleien müssen für einen geeigneten Sicherheitsstand der Technik sorgen. Auch wenn Steuerberatung in erster Linie keine Auftragsverarbeiter sind, müssen sogenannte TOMs erstellt werden für die Rechenschaftspflicht.

Schulung

Die jährliche Schulung im Datenschutz ist für Steuerberater ein wichtiges Thema, denn mit den Mitarbeiter steht und fällt das Datenschutzkonzept.

Informationspflichten

Die Kanzleiwebseite, die Mandanten-Verträge und andere Erhebungsmöglichkeiten von personenbezogenen Daten sollten überprüft werden und um die Informationen nach Artikel 12, 13 DSGVO erweitert werden.

Auftragsverarbeitung mit Dienstleistern

Die Dienstleister, welche personenbezogene Daten der Kanzlei erhalten oder darauf Zugriff erhalten, müssen eine Auftragsverarbeitung mit der Kanzlei abschließen (z.B. DATEV, Cloud-Dienstleister).

 

§ 11 Abs. 2 S.2 StBerG: Steuerberater sind keine Auftragsverarbeiter

Lange umstritten war die Beurteilung der Frage, ob Steuerberater Auftragsverarbeiter i.S.v. Art. 4 Nr. 8 DSGVO sind. Hiernach ist der Auftragsverarbeiter eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet. Für Steuerberater werden bzw. wurden unterschiedliche Auffassungen vertreten. Die Bundessteuerberaterkammer und der Steuerberaterverband vertreten die Ansicht, dass Steuerberater keine Auftragsverarbeiter i.S.d. der DSGVO sind. Dies gelte auch für die Erstellung von Lohn- und Gehaltsabrechnungen für Kunden und Mandanten. Einige Datenschutzaufsichtsbehörden, darunter auch die Landesbeauftragte für Datenschutz und Informationsfreiheit in NRW, vertreten dagegen die Auffassung, dass für rein technische Leistungen, wie z.B. die Erstellung von Lohn- und Gehaltsabrechnung, eine Eigenschaft als Auftragsverarbeiter bei Steuerberatern anzunehmen sei. 

Nunmehr wurde dieser Meinungsstreit durch den Gesetzgeber selbst und die Neuregelung des Steuerberatungsgesetzes (In Kraft Getreten am 18.12.19) beendet. Gem. § 11 Abs. 2 S.1 des Steuerberatungsgesetzes (StBerG) erfolgt die Verarbeitung personenbezogener Daten durch Personen und Gesellschaften nach § 3 StBerG unter Beachtung der für sie geltenden Berufspflichten weisungsfrei. Dieses Merkmal der Weisungsfreiheit macht deutlich, dass Steuerberater keine Auftragsverarbeiter i.S.d. der DSGVO sein können, da das Wesensmerkmal der Auftragsverarbeitung die Bindung an die Weisungen des Auftraggebers ist, vgl. Art. 28 Abs. 3 lit. a), Abs. 3 letzter Uabs. DSGVO.

Auch § 11 Abs. 2 S.2 StBerG ist neu und untermauert endgültig, dass Steuerberater keine Auftragsverarbeiter, sondern Verantwortliche i.S.d. der DSGVO sind. Hiernach sind nämlich die Personen und Gesellschaften nach § 3 StBerG, wozu u.a. eben auch Steuerberater gehören, bei der Verarbeitung sämtlicher personenbezogener Daten ihrer Mandanten Verantwortliche gemäß Art. 4 Nr. 7 DSGVO. 

Somit kann konstatiert werden, dass Steuerberater keine Auftragsverarbeiter i.S.d. der DSGVO sind und daher auch keine Auftragsverarbeitungsverträge mit Steuerberatern, sei es auch für rein technische Leistungen wie die Lohn- und Gehaltsabrechnung für Mandanten, abzuschließen sind. In einigen besonderen Konstellationen kann lediglich der Abschluss von Verträgen zur gemeinsamen Verantwortlichkeit gem. Art. 26 Abs. 1 S.2 DSGVO erforderlich sein. Dies kann erst nach einer individuellen Prüfung abschließend beurteilt werden.

 

Inhalte Auftragsverarbeitungs-Vertrag

Ja, es dürfen also personenbezogene Daten übertragen werden, aber nur mit Einhaltung der oben genannten Datenschutz-Vorgaben und Umsetzung der notwendigen technischen und organisatorischen Maßnahmen. Die folgenden Inhalte sollten mindestens Bestandteil der Auftragsverarbeitung für eine Steuerberatung sein:

  • Gegenstand & Dauer des Auftrags
  • Umfang, Art & Zweck der Datennutzung und -verarbeitung
  • Technische & organisatorische Maßnahmen
  • Berechtigung, Löschung, Sperrung der personenbezogenen Daten
  • Kontrollrechte des Auftraggebers
  • Berechtigung zu Unterauftragsverhältnissen
  • Pflichten des Auftragnehmers
  • Meldepflicht bei Vertragsverstößen
  • Umfang der Weisungsbefugnisse
  • Haftung der Parteien
Externer DSB
Menü