Checkliste Steuerberater Datenschutz / DSGVO

Steuerberater erhalten von ihren Mandanten sehr sensible Daten: von den Betriebsgeheimnissen her die allgemeinen Kennzahlen des Unternehmens und datenschutzrechtlich vor allem die Lohnbuchhaltungsdaten der Mitarbeiter der Mandanten.

Nachfolgend erhalten Sie grundlegende Informationen zur Umsetzung der DSGVO und eine Checkliste zur Überprüfung des Statsu Quo in Ihrer Steuerberatungskanzlei. Einen ersten Überblick können Sie sich anhand unserer Checkliste Steuerberater Datenschutz verschaffen. Sprechen Sie uns gern an, falls Sie weitere Informationen/Unterstützung wünschen. Unsere Philisophie ist ähnlich vieler Steuerberater. Die notwendigen Informationen erhalten wir von unseren Mandanten, mit unserem Fachwissen unterstützen und beraten wir Sie dann im Bereich Datenschutz. Hierbei ist unser Ansatz Sie zu entlasten und erstellen daher für Sie die vorgeschriebenen Dokumente anhand Ihrer Informationen.

Steuerberater Checkliste Datenschutz Frederik Sonnenburg

Datenschutz und Datenschutzbeauftrager

Unabhänigg von der Zahl der Mitarbeiter sind die Vorgaben der DSGVO umzusetzen. Damit sich jemand verantwortlich fühlt, ist dies in aller Regel zu empfehlen.

Eine formelle Pflicht zu der Benennung eines Datenschutzbeauftragten besteht ab 20 Mitarbeitern, die regelmäßig mit personenbezogenen Daten arbeiten. Als Anhaltspunkt lässt sich die Anzahl der E-Mail-Konten und/oder die Anzahl der PC-Arbeitsplätze im Unternehmen heranziehen. Sodann stellt sich die Frage nach einer internen oder einer externen Lösung.

Für die Bestellung eines internen Datenschutzbeauftragten lässt sich anführen, dass dieser das Unternehmen kennt und sich nicht erst in die Strukturen und Kommunikationswege des Unternehmens einfinden muss. Auch von den Kosten her ist ein interner Datenschutzbeauftragter auf den ersten Blick oftmals die günstigere Alternative, dies oftmals allerdings nur auf den ersten Blick. Bei einer Gegenüberstellung sind die Gehaltskosten und der Zeitaufwand des internen Datenschutzbeauftragten zu berücksichtigen. Der Ausgang einer Gegenüberstellung hängt auch davon ab, welches Gewicht dem Thema beigemessen werden soll. Das Spektrum reicht in der Praxis von einer reinen Feigenblatt-Bestellung bis hin zu einem Schwerpunkt auf dem Thema Datenschutz, letzteres insbesondere, wenn die Kunden dies erwarten.

Zu berücksichtigen ist, dass ein externer Datenschutzbeauftragter i.d.R. über eine höhere fachliche Kompetenz verfügt als ein interner Datenschutzbeauftragter, falls dieser sich erst in das Thema hineinarbeiten muss. Es zeigt sich häufig, dass interne Datenschutzbeauftragte mit wenig Erfahrung zu einer sehr restriktiven Auslegung des Datenschutzrechts neigen und bestimmte Verfahren schlichtweg für unzulässig erklären, ohne Alternativen aufzuzeigen oder praktikable Lösungen anzubieten.

Überblick über die Anforderungen der DSGVO

Art. 5 Abs. 2 DSGVO sieht eine „Rechenschaftspflicht“ vor, nach der die verantwortliche Stelle dazu verpflichtet ist, die Einhaltung datenschutzrechtlicher Vorschriften nachweisen zu können. Unter der DSGVO ist es nicht ausreichend, sich „nur“ an Datenschutzrecht zu halten. Die Einhaltung muss auch dokumentiert werden, um für die Aufsichtsbehörden (von deren Büroarbeitsplatz aus) nachprüfbar zu sein. So sind auch Steuerberater als verantwortliche der Datenverarbeitung zu einer Dokumentation verpflichtet. Es bietet sich an anhand einer Checkliste, wie unserer Checkliste Steuerberater Datenschutz, zunächst einen Überblick zu verschaffen oder sich direkt mit einem Datenschutzbeauftragten auszutauschen.

Mit anderen Worten: Unter der DSGVO ist es nicht ausreichend, dass Unternehmen die Datenschutzbestimmungen „nur“ einhalten. Die Verantwortung des Unternehmens für die Einhaltung der gesetzlichen Vorgaben muss überprüfbar wahrgenommen werden. Hier haben wir bereits über die Pflicht zu der Erstellung eines Verarbeitungsverzeichnisses durch Steuerberater berichtet und für Steuerberater ein Muster bereitgestellt. Für die Einhaltung der gesetzlichen Vorgaben wird ein dokumentierter Nachweis der Bewertung und Umsetzung gefordert (Rechenschaftspflicht bzw. Accountability nach Art. 5 Abs. 2 DSGVO). Dies umfasst u.a.:

Erste Schritte

  • Benennung eines Datenschutzbeauftragten
  • Meldung des Datenschutzbeauftragten an die Aufsichtsbehörde
  • Bestandsaufnahme
    • Mitarbeiter
    • Standorte
    • Unternehmensgruppe
    • Hardware
    • Software
  • Datenschutzerklärung Website

Verarbeitungstätigkeiten

  • Erstellung des Verzeichnisses von Verarbeitungstätigkeiten nach Art. 30 DSGVO
  • Prüfung und Abschluss von Verträgen über Auftragsverarbeitung nach Art. 28 DSGVO
  • Prüfung und Erstellung von Verträgen im Falle einer gemeinsamen Verantwortlichkeit nach Art. 26 DSGVO
  • Prüfung internationale Datentransfers nach Art. 44 ff DSGVO
  • Prüfung der Rechtmäßigkeit der Verarbeitungen per Checklisten
    • Beschäftigtendaten
    • Kundendaten insbesondere Direktmarketing per Telefon und E-Mail
    • Website
    • Videoüberwachung
    • Anfragen von Polizei und Staatsanwaltschaft
  • Interessenabwägung nach Art. 6 Abs. 1 lit. f DSGVO
  • Prüfung Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO
  • Prüfung und Durchführung Datenschutz-Folgenabschätzung

Technische und organisatorische Maßnahmen

  • Aufstellung der technischen und organisatorischen Maßnahmen
  • allgemeine oder Branchencheckliste zur Aufdeckung von Mängeln
    • Berechtigungskonzept
    • Schadsoftwareschutz
    • Datensicherungskonzept
  • Prüfung der Angemessenheit der technischen und organisatorischen Maßnahmen
  • Kontrolle der Durchführung der technischen und organisatorischen Maßnahmen durch Arbeitsplatzbegehung, Beobachtungen im allgemeinen Betrieb oder Befragung der Mitarbeiter durch Auditbögen

Informationspflichten

  • Datenschutzerklärung für Bewerber nach Art. 13 DSGVO
  • Datenschutzerklärung für Mitarbeiter nach Art. 13 DSGVO
  • Datenschutzerklärung für Kunden nach Art. 13 DSGVO
  • Datenschutzerklärung für Lieferanten nach Art. 13 DSGVO
  • Datenschutzerklärung für Websitebesucher nach Art. 13 DSGVO

Richtlinien/Arbeitsanweisungen

  • Unternehmensrichtlinie Datenschutz
  • Internet- und E-Mail-Nutzung
  • eigene Hard- und Software, BYOD
  • Mobiles Arbeiten inkl. MDM
  • Homeoffice inkl. MDM
  • Löschkonzept
  • Umsetzung Betroffenenrechte
  • Meldung von Verletzungen des Schutzes personenbezogener Daten (Datenpannen)
  • Einbeziehung Datenschutzbeauftragter
  • Sensibilisierung für und Reaktion auf Virenbefall
  • Verschlüsselung von mobilen Datenträgern
  • Passwortrichtlinie
  • Umgang mit unbekannten Anrufern
  • Umgang mit externen betriebsfremden Personen

Schulung der Beschäftigten

  • Verpflichtung zur Vertraulichkeit
  • Schulungen

Regelmäßige Überprüfungen

  • Verzeichnis von Verarbeitungstätigkeiten
  • Einhaltung der Pflichten aus Art. 28 DS-GVO
  • Prüfung der Angemessenheit der technischen und organisatorischen Maßnahmen
  • Kontrolle der Durchführung der technischen und organisatorischen Maßnahmen durch Arbeitsplatzbegehung, Beobachtungen im allgemeinen Betrieb oder Befragung der Mitarbeiter durch Auditbögen
  • Kontrolle der Einhaltung von Richtlinien
  • Informationen und Umsetzung zu Entscheidungen der Aufsichtsbehörden und der Gerichte

Besonderheiten für Steuerberater – Auftragsverarbeitung

Steuerberater gehören zu den freien Berufen.

Dennoch wird nach wie vor teils die Ansicht vertreten, dass Steuerberater ihren Kunden einen sog. Vertrag über Auftragsverarbeitung anbieten müssen.

Die rechtlichen Vorgaben, insbesondere rechte und Pflichten, ergeben sich vor allem aus Art. 28 DSGVO. Demnach darf ein Auftragsverarbeiter u.A. nur nach dokumentierter Weisung des Auftraggebers die personenbezogenen Daten verarbeiten. Ebenfalls müssen vertraglich auch Nachweise über die Einhaltung des Datenschutzes und auch die Möglichkeit einer Inspektion durch Prüfer ermöglicht werden.

Teils wird auch vertreten, dass dies nicht für die Steuerberatung an sich, sondern nur für Nebentätigkeiten (die natürlich keine sind, sondern oft einer großer Bestandteile der Arbeit) wie die Lohnbuchhaltung gilt. Durch die Neuregelung des § 11 Abs. 2 StBerG wurde hier jedoch Klarheit geschaffen.

Wir empfehlen daher, dem nicht nachzukommen, sondern auf dem Status des freien Berufs zu beharren.

Checkliste für Ihre Steuerberatungskanzlei

Hier finden Sie eine Checkliste: Checkliste Datenschutz DSGVO Steuerberater

Sie möchten mehr über dieses Thema erfahren?

Lassen Sie sich durch unsere Erfahrung als Datenschutzbeauftragte unterstützen, um indivdiduell und schnell beraten zu werden. Wir unterstützen Sie nicht mit leeren Mustern, sondern erstellen für Sie bereits die Dokumentation.

Rufen Sie uns gerne hierzu an oder kontaktieren Sie uns über diese Webseite.

Menü