Für nicht-öffentliche Stellen gilt das BDSG für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie die nicht automatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen (§ 1 Abs. 1 Satz 2 BDSG).
Der Steuerberater bzw. die Steuerberatungsgesellschaft (alle Rechtsformen) gehört zu den nicht-öffentlichen Stellen gem. § 2 Abs. 4 BDSG.
Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person ("betroffene Person") beziehen (Art. 4 Nr. 1 DSGVO).
In einer Steuerberaterpraxis zählen zu den personenbezogenen Daten vor allem die im Rahmen der steuerberatenden Tätigkeit verwendeten Mandantendaten (Tz. 2.1 und Tz. 2.3), aber auch die Daten über die Angestellten der Praxis (§ 26 Abs. 1 BDSG; Art. 9 Abs. 2 DSGVO). Die Arbeitszeiterfassung durch ein Zeiterfassungssystem mittels "Fingerprint" ist nicht erforderlich i. S. v. § 26 Abs. 1 BDSG und damit ohne Einwilligung der betroffenen Person nicht zulässig.
Unter bestimmten Voraussetzungen darf der Steuerberater als Arbeitgeber personenbezogene Beschäftigtendaten zum Zweck der Aufklärung von Straftaten im Beschäftigungsverhältnis verarbeiten (§ 26 Abs. 1 Satz 2 BDSG).
Auch die Datenverarbeitung auf der Grundlage einer Einwilligung des betreffenden Beschäftigten ist (weiterhin) möglich (§ 26 Abs. 2 BDSG; Art. 6 Abs. 1 Satz 1 Buchst. a DSGVO). Beruht die Verarbeitung auf einer Einwilligung, muss der Verantwortliche nachweisen können, dass die betroffene Person in die Verarbeitung ihrer personenbezogenen Daten eingewilligt hat (Art. 7 DSGVO).
Für die Beurteilung der Freiwilligkeit gem. § 26 Abs. 2 Satz 1 BDSG sind v. a. die im Beschäftigungsverhältnis bestehende Abhängigkeit der beschäftigten Person sowie die Umstände, unter denen die Einwilligung erteilt worden ist, zu berücksichtigen. Verarbeitung ist jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung (Art. 4 Nr. 2 DSGVO).
Gem. § 26 Abs. 5 BDSG muss der Steuerberater als Arbeitgeber darauf achten, dass er die in Art. 5 DSGVO festgelegte Datenschutzgrundsätze beachtet. Dazu gehören z. B. die Datenminimierung, Speicherbegrenzung, Richtigkeit etc.
Der Beschäftigtendatenschutz beginnt bereits vor der Beschäftigung (Bewerber) und erstreckt sich auf die Zeit nach Ende des Beschäftigungsverhältnisses (§ 26 Abs. 8 Satz 2 BDSG).
Ein ausgeschiedener Mitarbeiter hat Auskunftsanspruch über die gespeicherten Daten.