Neue Datenschutz-Grundverordnung in Steuerkanzleien

Immer wieder wird im Bereich der Compliance mit neuen Regelungen und Bußgeldern gedroht. Bei der Flut an Regulierungen muss sich die Kanzleileitung genau fragen, welches Risiko für den Steuerkanzleibetrieb von neuen Gesetzen ausgeht, um dann sinnvoll und risikoorientiert die begrenzten Ressourcen der Steuerberatungskanzlei zur Schaffung von Compliance zu verteilen.

Damit die Kanzleileitung eine informierte Entscheidung treffen kann, analysieren wir für Sie 
im Folgenden die kommende Datenschutz-Grundverordnung (DSGVO) und geben Ihnen
Handlungsempfehlungen.

Warum sich jede Steuerberatungskanzlei um die Umsetzung der kommenden
Datenschutzregelungen kümmern muss, erläutern wir anhand der folgenden 3 Aspekte:

1. Alle Mitarbeiter, die mit personenbezogenen Daten dienstlich umgehen, werden im Datenschutz mitarbeiten müssen.

Bisher war es möglich, dass eine Steuerkanzlei nur durch Aktivitäten der Leitung und des Kanzleidatenschutzbeauftragten datenschutzkonform aufgestellt worden ist. Der Mitarbeiter kam mit dem Kanzleidatenschutz kaum in Berührung. Lediglich bei der Aufnahme seiner Tätigkeit in der Steuerberatungskanzlei wurde der Mitarbeiter über das Datengeheimnis unterrichtet und auf das Datengeheimnis verpflichtet.

Mit der kommenden Datenschutz-Grundverordnung (DSGVO) wird sich dies ändern. Eine Kanzlei muss dann jederzeit nachweisen können, dass sie über eine funktionierende Datenschutz-Organisation verfügt. Aufgrund der stark erweiterten Rechenschaftspflichten werden alle Mitarbeiter in einer Steuerberatungskanzlei so geschult sein müssen, dass sie in der Lage sind, ihre Datenschutzaufgaben zu erfüllen. Aufgrund der existenzbedrohlichen Bußgelder der DSGVO wird es wahrscheinlich sogar sinnvoll sein, diese Schulungen durch Übungen zu ergänzen - eine Entscheidung die ganz vom Risikoappetit der Kanzleileitung abhängt.

2. Die Kosten für Datenschutz-Compliance werden steigen.

Die Kosten für den Steuerkanzlei-Datenschutz werden ab Ende Mai 2018 merklich steigen. Bereits bekannte Datenschutz-Mechanismen werden wesentlich strenger ausgelegt werden und neue Anforderungen werden an die Kanzlei gestellt werden:

  • Durch die Rechenschaftspflicht werden die Anforderungen an die Datenschutz-Dokumentation massiv erhöht.
  • Mit einer Erhebung personenbezogener Daten müssen durch Steuerberatungskanzleien die neuen Transparenzpflichten umgesetzt werden. Die Einhaltung der Transparenzpflichten ist im Rahmen von Kontrollen der zuständigen Aufsichtsbehörde nachzuweisen.
  • Bei der Informationssicherheit bei der Verarbeitung personenbezogener Daten muss ein Datenschutz-Risikomanagement etabliert sein und die Prinzipien des Privacy by Design und des Privacy by Default sind einzuhalten. Sofern erforderlich müssen bei einem hohen Risiko für die Rechte und Freiheiten der Betroffenen Datenschutz-Folgenabschätzungen durchgeführt werden, und es kann in diesem Verfahren zu Pflichtkonsultationen der Aufsichtsbehörde kommen. Des Weiteren muss ein Verfahren zur Meldung von Datenschutzvorfällen eingerichtet werden. Meldungen müssen spätestens 72 Stunden nach deren Entdeckung an die zuständige Aufsichtsbehörde vorgenommen worden sein, eine sehr sportliche Frist.
  • Alle Aufträge mit Auftragsverarbeitern sind auf die neuen Anforderungen der DSGVO zu überprüfen. Wurden diese Verträge bisher nicht geschlossen, so ist dies unbedingt nachzuholen. Sollten Subauftragnehmer nicht in der Lage sein, das erforderliche Datenschutz-Niveau zu erfüllen, so muss sich von diesen Dienstleistern getrennt werden.

3. Die Kosten für Non-Compliance im Datenschutz werden existenzbedrohlich sein.

Neben den existenzbedrohlichen Bußgeldern von bis zu 20 Mio. Euro (oder 4% vom weltweiten Konzernumsatz) droht Steuerberatungskanzleien bei einem Verstoß gegen die DSGVO auch ein Image-Verlust.

Die Firma veritas veröffentlichte im April 2017 ( Veritas 2017 GDPR Report), was die größten Bedenken von Unternehmen sind, wenn öffentlich wird, dass sie gegen die DSGVO verstoßen:

21%Die hohen Strafzahlungen könnten zu Stellenabbau führen
19%Negative Berichte in Medien oder sozialen Netzwerken könnten uns Kunden kosten
18%Die hohen Strafzahlungen könnten uns zu Geschäftsaufgabe zwingen
12%Negative Berichte in Medien oder sozialen Netzwerken könnten unserer Marke schaden
8%Potenzielle Klagen von Aktionären im Falle eines Datenlecks
8%Wir werden Marktanteile verlieren, da Kunden denken, dass andere Unternehmen Daten besser behandeln
7%Wir haben keine Bedenken, da wir die DSGVO erfüllen werden
4%Wir haben keine Bedenken über die möglichen Folgen, wenn wir die DSGVO nicht erfüllen
2%Weiß nicht

Wo stehen andere Unternehmen mit der Umsetzung?

Der Countdown läuft, am 25. Mai 2018 wird das BDSG durch die DSGVO abgelöst. Obwohl ab Mai nächsten Jahres bei Verstößen gegen die DSGVO existenzbedrohliche Strafen drohen, gehen die deutschen Unternehmen das Projekt der Umsetzung der DSGVO sehr gemütlich an.

Im Juni dieses Jahres veröffentlichte die Bitkom eine Studie zur Umsetzung der DSGVO in IT- und Digitalunternehmen. Die Ergebnisse waren ernüchternd: jedes fünfte Unternehmen gab an, sich mit der DSGVO noch gar nicht beschäftigt zu haben, 42% der Unternehmen gaben an, sich mit der DSGVO zu beschäftigen und nur 34% der befragten Unternehmen haben begonnen erste Maßnahmen zur Umsetzung der DSGVO eingeleitet zu haben. Von den 34% der Unternehmen, die bereits Maßnahmen zur Umsetzung der DSGVO eingeleitet haben, gab ein Drittel an, erst ca. 20% der erforderlichen Maßnahmen zur Umsetzung der DSGVO ergriffen zu haben.

Die Landesbeauftragte für den Datenschutz in Niedersachsen führte auf dem GDD-Erfa-Kreis Hannover am 10.8.2017 aus, dass Sie den Eindruck habe, dass sich die großen Unternehmen auf einem guten Weg der Umsetzung befinden, allerdings bei KMU noch Nachholbedarf besteht.

Vogel-Strauß ist für einen ordentlichen Kaufmann keine Geschäftsstrategie

Im Kanzleiumfeld herrschen 2 Strategien im Umgang mit der kommenden DSGVO vor:

  1. Steuerberatungskanzleien sind aktuell auf der Suche nach qualifizierten Beratern.
  2. Steuerberatungskanzleien warten ab, ob die Dringlichkeit der Umsetzung wegen eines Vollzugsdefizits eventuell nicht so hoch ist.

Bereits jetzt ist es schwierig, qualifizierte externe Datenschutzbeauftragte zu bekommen, da große Firmen und Konzerne als Nachfrager von externen Datenschutz-Beratungsleistungen auftreten. Dies ist der Grund, warum die Berufsorganisationen des steuerberatenden Berufs Steuerberatungskanzleien dazu raten, sich bereits jetzt entsprechende Datenschutzdienstleitungen zu sichern (DStV, Verbändeforum EDV, Datenschutzgrundverordnung, 2017).

Ein kurzes Beispiel zeigt die Knappheit bei Datenschutz-Beratungsleistungen: im Bundesland
Niedersachsen sind etwas mehr als 300.000 Firmen gemeldet. Bei einem Blick in das hannoversche Branchenbuch sind aber nur eine Hand voll Datenschutzfirmen genannt.

Die Vogel-Strauß-Strategie wird bei Kanzleien sehr schnell zu Problemen führen: ab Mai nächsten Jahres müssen der zuständigen Aufsichtsbehörde die Kontaktdaten des Kanzlei-
Datenschutzbeauftragten schriftlich mitgeteilt
werden. Schon jetzt kündigen die Aufsichtsbehörden an, zeitnah zu prüfen, warum welche Unternehmen keinen Datenschutzbeauftragten gemeldet haben. Auch ist zu erwarten, dass die Aufsichtsbehörden die Fachkunde der bestellten Datenschutzbeauftragten kontrollieren werden. Die Landesdatenschutzaufsichtsbehörde kommunizieren schon jetzt, dass die Schonfrist im
Datenschutz vorbei ist. Mit der Anwendung der DSGVO wird auch das Mittel der neuen Bußgelder eingesetzt werden.

Welche Schritte sollten Steuerberatungskanzleien jetzt einleiten?

  • Awareness: Die Kanzleileitung muss sich mit den neuen Datenschutzregelungen vertraut machen.
  • Datenschutzbeauftragter: Steuerberatungskanzleien müssen einen Datenschutzbeauftragten berufen, sofern dies gesetzlich vorgeschrieben ist und die Bestellung veröffentlichen und der zuständigen Datenschutz-Aufsichtsbehörde ab dem 25. Mai 2018 melden.
  • Verzeichnis der Verarbeitungstätigkeiten: Steuerberatungskanzleien müssen identifizieren und dokumentieren, welche personenbezogenen Daten sie verarbeiten, von wo die personenbezogenen Daten stammen und an wen sie weitergegeben werden.
  • Rechtsgrundlagen: Für alle Verarbeitungen personenbezogener Daten müssen in einer Steuerberatungskanzleien die rechtlichen Erlaubnisnormen identifiziert und dokumentiert sein.
  • Informationssicherheit, Privacy by Design, Privacy by Default, Datenschutz-Folgenabschätzung: Steuerberatungskanzleien müssen ihre bisherige Informationssicherheit um ein Datenschutz-Risikomanagement erweitern und die Grundsätze des Privacy by Design und Privacy by Default einhalten.
  • Betroffenenrechte: Steuerberatungskanzleien müssen Verfahren zum gesetzeskonformen Umgang mit Betroffenenrechten ausbilden und betreiben.
  • Auskunftsanfragen: Steuerberatungskanzleien müssen sicherstellen, dass sie Auskunftsanfragen von Betroffenen vollständig im vorgeschriebenen Zeitraum erteilen können.
  • Auftragsverarbeitungen: Steuerberatungskanzleien müssen die vorgeschriebenen Verträge zur Auftragsverarbeitung abgeschlossen haben und die datenschutzkonforme Leistungserbringung regelmäßig überprüfen.
  • Datenschutz-Erklärungen: Steuerberatungskanzleien müssen bestehende Datenschutz-Erklärungen überprüfen und wenn notwendig aktualisieren. Die neuen Transparenzvorschriften sind unbedingt einzuhalten.
  • Einwilligung: Steuerberatungskanzleien müssen organisieren, wie sie Einwilligungen datenschutzkonform formulieren, einholen und archivieren.
  • Datenlecks: Steuerberatungskanzleien müssen sicherstellen, dass sie über entsprechende Mechanismen verfügen, um Datenlecks entdecken, behandeln und melden zu können.
  • Mitarbeiter-Schulungen: Steuerberatungskanzleien müssen die eigenen Mitarbeiter so schulen, dass sie in der Lage sind, ihre Datenschutzaufgaben zu erfüllen. Die Schulungen sind zu dokumentieren.

Fazit

Die DSGVO wird Auswirkungen auf die tägliche Arbeit in der Steuerberatungskanzlei und auch auf die Kostenstruktur haben. Wir raten allen Steuerberatungskanzleien die Umsetzung der Anforderungen aus der DSGVO sofort zu beginnen. Ferner raten wir aufgrund der Komplexität des Themas und der Höhe der Bußgelder, bei der Umsetzung der DSGVO qualifizierte Berater einzusetzen.