Der Steuerberater muss alle Personen (v. a. seine Arbeitnehmer bzw. Mitarbeiter i. S. v. § 62 StBerG), die eine tatsächliche Möglichkeit des Zugangs zu personenbezogenen Daten haben, zur Vertraulichkeit verpflichten und schulen, unabhängig davon, ob sie zu diesem Zugang berechtigt sind (oder ob sie tatsächlich Zugriff nehmen, Art. 32 Abs. 4 DSGVO: s. auch § 5 Abs. 3 BOStB). Wichtig ist, dass der Steuerberater auch den Nachweis führen können muss, dass er seine Pflichten einhält (Art. 5 Abs. 2, Art. 24 Abs. 1 DSGVO). Dies beinhaltet eine umfassende Dokumentationspflicht, die der Steuerberater am besten erfüllt, wenn seine Mitarbeiter eine schriftliche Erklärung abgeben. Die Mitarbeiter sollten neben der Verpflichtungserklärung (mit dem Inhalt, dass das Datengeheimnis auch nach Beendigung der betreffenden Tätigkeit fortbesteht und die Verletzung des Datengeheimnisses mit Bußgeld oder mit Geld-/Freiheitsstrafe bedroht ist) ein Merkblatt erhalten, das ihnen die wichtigsten Aspekte der Vertraulichkeitsverpflichtung inkl. gesetzlicher Vorschriften verständlich erläutert.
Verbot bei der Nutzung von Dienst-Handys
Mitarbeitern muss bei Nutzung von Dienst-Handys der Einsatz von Whatsapp, Snapchat etc. verboten werden!
Fremdunternehmen, wie z. B. EDV-Wartungsfirmen, Aktenvernichtungs-, Reparatur- oder private Briefdienste und deren Mitarbeiter verarbeiten zwar regelmäßig keine personenbezogenen Daten, kommen aber u. U. mit Daten in Berührung. Die Möglichkeit des Datenzugriffs durch den Auftragnehmer zwingt den Steuerberater, mit dem Fremdunternehmen zu vereinbaren, dass dieses sich und die bei ihm tätigen Personen auf das Datengeheimnis des BDSG bzw. der DSGVO verpflichtet (s. im Übrigen Art. 28 ff. DSGVO; Tz. 2.3).
Unternehmer, die für den Steuerberater an deren beruflicher Tätigkeit mitwirken, unterliegen zudem den Regelungen des § 203 Abs. 3 StGB. Für Rechtsanwälte ist das in § 43e BRAO näher geregelt. Für Steuerberater gilt § 62a StBerG.
Schutzzweck des Datenschutzrechts ist das Recht des Mandanten auf informelle Selbstbestimmung. Die berufsrechtliche und strafrechtlich sanktionierte Verschwiegenheitspflicht dient dem Schutz aller durch das Mandat bekannt gewordenen Informationen.
Der Steuerberater muss seine Kanzlei in technischer und organisatorischer Hinsicht so ausgestalten, dass sie den Anforderungen des Datenschutzes gerecht wird (Art. 25 DSGVO). Dazu gehört z. B. die Verschlüsselung der elektronisch erfassten Daten. Die Organisation beinhaltet Regelungen von der Erlaubnis/dem Verbot des Zugangs/Zugriffs zu den Daten bis zur Kontrolle der Einhaltung der innerbetrieblichen Vorschriften zum Datenschutz.
Der Steuerberater muss seine Mandanten benachrichtigen, wenn er erstmals personenbezogene Daten speichert.
Benachrichtigungspflicht an Mandanten über Verarbeitung von Daten
Zur Vermeidung von Auseinandersetzungen und zur eigenen Sicherheit muss der Steuerberater, spätestens nach Erteilung des Mandats, dem Mandanten sinnvollerweise schriftlich (gegen Unterschrift des Mandanten) mitteilen, dass er seine Daten erfassen, nutzen und speichern will bzw. teilweise muss. Damit erfüllt er die Informations-/Aufklärungspflicht gem. Art. 13 DSGVO i. V. m. Art. 6 DSGVO.
Die Benachrichtigung sollte u. a. enthalten
- Kanzlei und Anschrift,
- die Tatsache, dass erstmals Daten über den Mandanten gespeichert/übermittelt werden,
- die Art der Daten (Name, Vorname, Anschrift, Fax/E-Mail-Adresse, Geburtsdatum, Steuernummer, alle Daten die für die Fertigung der Steuererklärung benötigt werden),
- den Zweck der Erhebung/Erfassung bei Verarbeitung oder Nutzung (z. B. Fertigung der Steuererklärung),
- die Empfänger oder Kategorien der Empfänger, soweit der Mandant nicht damit rechnen muss (bez. des Finanzamts muss er mit der Übermittlung von Daten zwangsläufig rechnen).
Dieses Schreiben kann auf das Erstgespräch hinweisen und auch andere Inhalte enthalten. Es sollte aber der Hinweis auf das BDSG bzw. die DSGVO deutlich hervorgehoben sein.
Die betroffene Person hat das Recht, vom Verantwortlichen eine Bestätigung darüber zu verlangen, ob und in welchem Umfang betreffende personenbezogene Daten verarbeitet werden (Art. 15 DSGVO). Eine Auskunft über personenbezogene Daten gem. Art. 15 i. V .m. Art. 12 DSGVO erfordert auch die Mitteilung aller verfügbaren Informationen über die Herkunft von gespeicherten Daten. Für den Antrag auf Erteilung einer vollständigen Datenauskunft i. S. v. Art. 15 Abs. 1 DSGVO kann nach billigem Ermessen ein Streitwert von 500 EUR angemessen sein, wenn dem Anspruch nur allgemeine Ausführungen zugrunde liegen.
Muster bei der Bundessteuerberaterkammer herunterladen
Die Bundessteuerberaterkammer hat zusammen mit dem Deutschen Steuerberaterverband zahlreiche Praxishilfen und Hinweise zum Datenschutz erarbeitet, u. a. Datenschutzhinweise an Mandanten.
Der Kanzleiinhaber muss ein Verfahrensverzeichnis mit allen Kategorien von Verarbeitungstätigkeiten errichten, das u. a.