Mit Einführung der EU Datenschutz-Grundverordnung (DSGVO) haben sich die Spielregeln in Sachen Datenschutz grundlegend geändert. Erstmals sprechen wir über eine europaweit einheitliche Rechtsgrundlage, die auf nationaler Ebene nur wenig Gestaltungsspielraum lässt. Wir erleben einen Paradigmenwechsel: weg vom akzeptierten Risiko eines überschaubaren wirtschaftlichen Schadens im Falle einer Panne, hin zu einer klar definierten Nachweispflicht über das Ergreifen von Maßnahmen zur Vermeidung solcher Pannen und deutlich höheren Bußgeldern schon für den Fall, dass die in der DSGVO geforderte Rechenschaftspflicht nicht umgesetzt wird.
Und wir erleben eine große Anzahl Steuerkanzleien, die Stand heute auf das Ende der Umsetzungsfrist am 25.5.2018 unzureichend oder gar nicht vorbereitet ist. Torschlusspanik muss man allerdings noch nicht bekommen: wer sich jetzt mit dem Thema befasst hat gute Chancen, die wichtigsten Grundlagen bis Mitte 2018 umzusetzen.
Datenschutz: darum geht’s
Der Begriff "Datenschutz" legt nahe, dass es sich um den Schutz von Daten handelt. Daher werden Datenschutz und IT-Sicherheit oft miteinander verwechselt. Der körperliche Schutz personenbezogener Daten vor unberechtigtem Zugriff ist jedoch nur ein Teilaspekt. Beim Datenschutz geht es um das Recht einer Person auf informationelle Selbstbestimmung, sprich um den Schutz der Person als Betroffene vor unberechtigtem Umgang mit Informationen über sich selbst, zum Beispiel durch ungewollte Speicherung, Auswertung oder werbliche Nutzung (Stichwort "gläserner Mensch").
Datenschutz vs. Verschwiegenheitspflicht
Um diesen Schutz wirkungsvoll umzusetzen, ist eine Reihe rechtlicher Regelungen notwendig. Die Basis dafür war bisher in den Artikeln 1 und 2 des Grundgesetzes zu finden: der Schutz der Würde des Menschen und das Recht auf freie Entfaltung der Persönlichkeit. Diese Basis bleibt in ähnlicher Form erhalten. Im Artikel 1 der EU-DSGVO wird ausdrücklich der Schutz der Grundrechte und Grundfreiheiten natürlicher Personen als Ziel der Verordnung genannt. Dabei bezieht sie sich unter anderem auf den Abschnitt zur "Würde des Menschen" der EU-Grundrechtscharta, insbes. auf Artikel 8, in dem der Schutz personenbezogener Daten explizit hervorgehoben wird. Wer gegen den Datenschutz verstößt, begeht also kein Kavaliersdelikt, sondern eine Grundrechtsverletzung. Diese Tatsache spiegelt sich nun auch in den deutlich gestiegenen Bußgeldern wieder.
Datenschutz vs. Verschwiegenheitspflicht
In Steuerkanzleien unterliegen Daten der bekannten standesrechtlichen Verschwiegenheitspflicht aus § 203 StGB sowie §§ 57 und 62 StBerG. Das bedeutet jedoch nicht, dass auch dem Datenschutz automatisch genüge getan wird. Im Gegenteil: alle personenbezogenen Daten unterliegen über die o.g. Vorschriften hinaus auch der DSGVO, dem BDSG 2018 sowie den in den Spezialgesetzen enthaltenen Regelungen zum Datenschutz. Es sind also zusätzliche Maßnahmen erforderlich, um dem Datenschutz im Alltag der Steuerberatung nachzukommen.
Der Einstieg für Steuerkanzleien
An erster Stelle steht die Frage nach dem entsprechenden Know-How: wer soll sich künftig um den Datenschutz kümmern? Für Kanzleien, in denen mehr als neun Personen beschäftigt sind, ist die Bestellung (zukünftig "Benennung") eines Datenschutzbeauftragten vorgeschrieben. Die bestellte Person muss die entsprechende Fachkunde vorweisen können, sich regelmäßig fortbilden, und darf insbesondere nicht Mitglied der Kanzleileitung, IT-Verantwortlicher oder Personalverantwortlicher sein, um Interessenskollisionen zu vermeiden.
Grundsätzlich kann ein interner Datenschutzbeauftragter aus dem Kreise der Mitarbeiter oder ein externer Datenschutzbeauftragter benannt werden. Es gilt genau abzuwägen, ob die interne Lösung tatsächlich abbildbar ist, denn der Aus- und Fortbildungsaufwand des Datenschutzbeauftragten ist hoch. Auch der Zeitaufwand, der neben dem alltäglichen Geschäft zur Umsetzung und Kontrolle der notwendigen Maßnahmen entsteht, darf nicht unterschätzt werden. Zu erwähnen ist außerdem, dass ein interner Datenschutzbeauftragter einem besonderen Kündigungsschutz unterliegt.
Wer einen Datenschutzbeauftragten aus dem Kreis der Mitarbeiter benennen möchte, muss sich als erstes um die entsprechende Ausbildung kümmern. Hierzu bieten z. B. verschiedene Landessteuerberaterverbände oder die DATEV Ausbildungen mit Fokus auf die Anforderungen in der Steuerberatung an. Wird eine Person, die keine Fachkunde nachweisen kann, "pro Forma" zum Datenschutzbeauftragten benannt, ist diese Benennung hinfällig, da die gesetzlichen Voraussetzungen nicht erfüllt werden. Wer die Funktion an einen externen Spezialisten auslagern möchte, sollte ebenfalls bei den Landesverbänden oder bei den Kammern anfragen, ob Kooperationen mit auf die Besonderheiten der Steuerberatung spezialisierten Datenschutzberatern bestehen.
Datenschutz auch in kleinen Kanzleien ein Thema
Kanzleien, in denen höchstens neun Personen beschäftigt sind, müssen keinen Datenschutzbeauftragten benennen. Hie...