Ulrike Geismann, Dr. Andreas Nagel
Spätestens seit Einführung der Datenschutzgrundverordnung (DSGVO) zum 25.5.2018 kommt der Datensicherheit in der Steuerberatungskanzlei große Bedeutung zu.
Einer KPMG-Studie zufolge war in den letzten 3 Jahren jedes dritte Unternehmen von digitaler Erpressung oder anderen Formen von Cyberkriminalität betroffen. In den USA haben Sicherheitsforscher der Universitäten Illinois und Michigan im Jahr 2016 an öffentlich zugänglichen Stellen USB-Sticks ausgelegt, sozusagen als Köder, um zu testen, wie viele dieser USB-Sticks vom Finder "geöffnet" werden. Mehr als 50 % der Finder haben den USB-Stick an den eigenen Computer bzw. an den Computer am Arbeitsplatz angeschlossen und die darauf gespeicherten Dateien geöffnet, mögliche Schadsoftware inklusive.
Die DSGVO verpflichtet grundsätzlich dazu, im Fall eines Cyberangriffs Maßnahmen zu ergreifen, insbesondere in Bezug auf jene Daten, die von Dritten erbeutet werden können.
So sind z. B. die betroffenen Mandanten über das entstandene Datenleck zu informieren. Je mehr Mandanten betroffen sind, umso höher (und umso teurer) wird der erforderliche Aufwand sein, um diese Maßnahmen zeitnah umzusetzen. Dabei ist der Aufwand kaum im Vorhinein in EUR oder Stunden zu beziffern. Daher wird es für jede Kanzlei – unabhängig von ihrer Größe – in Zukunft immer wichtiger, die Informations- und Datensicherheit dauerhaft im Blick zu haben. Insbesondere für kleine Kanzleien kann das häufig sehr schwierig sein, aufgrund der mangelnden Qualifikation der Mitarbeiter in diesem Themenfeld.
Daher werden hier oftmals externe IT-Unternehmen beauftragt, für Datensicherung, Initialisierung und Sicherheit von Daten in der Kanzlei zu sorgen. Diese Aufgaben kann aber ebenso gut ein externer Steuerberater übernehmen, der sich bereits mit diesen Themen auseinandergesetzt hat. Unter Berufskollegen besteht vermutlich ein höheres Vertrauensverhältnis, das auch perspektivisch konstruktiv gestaltet werden kann.
Auch wenn Informationssicherheitsbeauftragter kein originäres Tätigkeitsfeld eines (externen) Steuerberaters ist, stellt die Tatsache, dass er die einschlägige steuerbasierte Software kennt, ein deutliches Plus gegenüber reinen IT-Dienstleistern dar.
- Denn wer ist letztendlich so geeignet wie ein Steuerberater, zu differenzieren, welche Daten wie und insbesondere wie lange wo gespeichert werden sollten?
- Denn ist nicht jede Kanzlei dazu angehalten, eine funktionierende Hard- und Software dauerhaft zu gewährleisten?
- Und ist es nicht zwingend erforderlich, dass sich der Mitarbeiter darauf verlassen kann, dass die Daten, die er für den von ihm betreuten Mandanten am Freitag der Vorwoche im Computer erfasst hat, auch noch am Montag unverfälscht und vollständig dokumentiert im Programm abrufbar sind?
Selbst der minimalste Datenverlust zieht einen riesigen Vertrauensverlust nach sich.
Folgende Aufgaben sollte der als Informationssicherheitsbeauftragter fungierende (externe) Steuerberater daher in der kleinen bis mittelständischen Kanzlei wahrnehmen:
- Analyse der Risiken bei einzelnen Mitarbeitern: Insbesondere muss eine Überprüfung dahingehend erfolgen, wie die in der Kanzlei beschäftigten Mitarbeiter z. B. ihre Passwörter sichern oder in welchem Umfang Dateianhänge von unbekannten E-Mails geöffnet werden, ohne sich der ggf. daraus resultierenden Sicherheitsrisiken bewusst zu sein.
- Bestandsaufnahme der Aktualität der eingesetzten Soft- und Hardware: Software auf dem aktuellen Stand trägt in erheblichem Maß zu einem dauerhaften und umfangreichen Schutz vor Cyberkriminalität bei. Der Informationssicherheitsbeauftragte sollte darauf achten, dass sowohl für Steuerprogramme als auch für alle weiteren installierten Programme stets die aktuellste Version inklusive aller Hersteller-Patches installiert ist.
- Einführung eines internen Kontrollsystems (IKS): In der Implementierung des IKS in der Kanzlei liegt die umfangreichste und größte Herausforderung für den Informationssicherheitsbeauftragten. Er muss ein wirksames IKS schaffen, das zum Ziel hat, selbstständig Risiken zu erkennen und zu bewerten. Darüber hinaus müssen Datensicherungskonzepte entwickelt und die Verantwortlichkeiten in der Kanzlei eindeutig geregelt werden.
- Durchführung von Schulungen zur Datensicherheit: Auch müssen die Mitarbeiter hinsichtlich vorhandener Risiken, aber vor allem hinsichtlich des Umgangs damit geschult werden. Hierzu zählen u. a. auch das Erstellen von sicheren Passwörtern oder das Öffnen von unbekannten E-Mails (z. B. Phishing-Mails).
- Analyse risikobehafteter Prozesse: Im Rahmen dieser Analyse müssen neben innerbetrieblichen auch all jene Risikofaktoren beleuchtet werden, die sich aus der Kommunikation mit Mandanten und Behörden ergeben, z. B. im Rahmen des alltäglichen Mailverkehrs.
Wie können die Leistungen als Informationssicherheitsbeauftragter abgerechnet werden?
Grundsätzlich handelt es sich bei der Ausübung dieser Tätigkeit um eine mit dem Beruf des Steuerberaters vereinbare Tätigkeit i. S. d. § 57 Abs. 3 StBerG. Die StBVV findet jedoc...