Dipl.-Finanzwirt Werner Becker, Ulrike Geismann
Die seit dem 25.5.2018 geltende Datenschutzgrundverordnung (DSGVO) stellt nicht nur für den Umgang mit personenbezogenen Daten neue Herausforderungen dar. Insbesondere stellt sich die Frage, wie sich die Umsetzung der Anforderungen der DSGVO, z. B. die Bestellung eines Datenschutzbeauftragten, bei der Erstellung von Gebührenrechnungen berücksichtigen lässt.
Der Kanzleiinhaber, der Gesellschafter der Steuerberatersozietät oder der Geschäftsführer der Steuerberatungs-GmbH sind als Verantwortliche i. S. d. DSGVO anzusehen, die sicherzustellen haben, dass deren Anforderungen vollumfänglich Rechnung getragen wird (Art. 4 Nr. 7 DSGVO). Die Verantwortlichkeit erstreckt sich neben den in der Kanzlei tätigen Mitarbeitern, zu denen auch Leiharbeiter, Auszubildende und Praktikanten zählen, auch auf Mitarbeiter, die eine arbeitnehmerähnliche Stellung innehaben (z. B. in Heimarbeit Beschäftigte), Freelancer und alle sog. Auftragsverarbeiter. Zu diesen zählen insbesondere Unternehmen, die mit der "Subauftragsverarbeitung" der personenbezogenen Daten beauftragt werden. Dies kann der Cloud-Dienstleister sein, der vom steuerlichen Berater mit der Datenverarbeitung beauftragt wird, aber auch der externe IT-Dienstleister, der sich per Fernzugriff auf den Computer des Steuerberaters aufschaltet, um punktuelle IT-Probleme zu lösen. All diese "Unterorganisationen" müssen zur Einhaltung der Anforderungen der DSGVO verpflichtet werden. Das verursacht erheblichen Mehraufwand. Darüber hinaus ist jede Steuerberatungskanzlei dauerhaft dazu angehalten, kanzleiintern und kanzleiübergreifend alle technischen und organisatorischen Maßnahmen zu treffen, die sicherstellen, dass die personenbezogenen Daten so gespeichert und dokumentiert werden, dass sie nicht ohne Weiteres einsehbar bzw. abrufbar sind. Das erfordert die Implementierung von Dateisystemen, die eine strukturierte Sammlung personenbezogener Daten abbilden und gleichzeitig gewährleisten, dass nur der berechtigte Personenkreis Zugriff auf die Daten hat.
Wurde diesen Anforderungen in ausreichendem Maße Rechnung getragen, beginnt ein dauerhafter Überwachungsprozess, der sicherstellen soll, dass eine Verletzung der DSGVO durch Verlust oder Vernichtung von Daten oder eine unerwünschte Offenlegung personenbezogener Daten nicht stattfinden kann. Dazu gehören neben persönlichen Daten von Mandanten und Mitarbeitern auch biometrische Daten, z. B. Fingerabdrücke und Gesundheitsdaten, die sich auf die körperliche oder geistige Gesundheit von natürlichen Personen beziehen. Kommt es zur Verletzung im Umgang mit personenbezogenen Daten, oder reicht der Mandant eine Beschwerde bei der zuständigen Steuerberaterkammer ein, die als Aufsichtsbehörde i. S. d. Art. 51 DSGVO anzusehen ist, muss der Steuerberater hierzu Stellung nehmen. Zusätzlich besteht eine Rechenschaftspflicht gegenüber der zuständigen Steuerberaterkammer (Art. 5 Abs. 2 DSGVO).
Verarbeitung personenbezogener Daten jederzeit nachweisen
Im Rahmen dieser Verpflichtung muss der verantwortliche Steuerberater oder die verantwortliche Steuerberatungsgesellschaft jederzeit in der Lage sein, die Rechtmäßigkeit der Verarbeitung personenbezogener Daten nachzuweisen.
Weiter muss der Steuerberater Folgendes hinsichtlich der Datenerhebung und Datenspeicherung beachten:
- Die Verarbeitung der personenbezogenen Daten muss transparent gegenüber den betroffenen Personen kommuniziert werden. Hierbei müssen zudem die Grundsätze der berufsrechtlichen Verschwiegenheit beachtet werden.
- Die Datenverarbeitung muss zweckgebunden erfolgen.
- Es dürfen grundsätzlich nur solche Daten verarbeitet werden, die im Rahmen der Umsetzung des Mandatsvertrags erforderlich sind. Hier gilt der Grundsatz der Datenminimierung. Alle darüber hinausgehenden Daten müssen zeitnah gelöscht werden.
- Sollten sich personenbezogene Daten als unrichtig herausstellen, müssen diese unverzüglich korrigiert werden.
- Zudem müssen alle Daten nach Ablauf entsprechender Aufbewahrungsfristen unverzüglich gelöscht werden.
- Es muss dauerhaft sichergestellt werden, dass Unbefugte keinen Zutritt zu den Räumen in der Kanzlei erhalten, in denen die Daten gespeichert werden, bzw. die Server stehen.
- Zudem muss mandats- und auftragsbezogen überprüft werden, welcher Kanzleimitarbeiter, in welchem Umfang Zugriff auf welche mandatsspezifischen Daten haben soll.
- Wurden die entsprechenden Zugriffsrechte vergeben, müssen diese fortwährend kontrolliert, aktualisiert und bei Bedarf angepasst werden.
Neben der Verpflichtungserklärung zur Einhaltung der DSGVO, welche die Mitarbeiter der Steuerberatungskanzlei zur Kenntnisnahme und Beachtung unterzeichnen müssen, besteht für alle externen Auftragsverarbeiter die Pflicht, eine sog. Zusatzvereinbarung zu treffen. Darin sollten insbesondere auch die strafrechtlichen Folgen gem. §§ 203, 204 StGB dokumentiert werden.
Verschwiegenheitsverpflichtung besteht fort
Zwingend muss in der Zusatzvereinbarung schriftlich festgehalten werden, dass die Verpflichtung zur Ve...