Ihr Warenkorb ist leer
Sie sind Gast
SCHAFFLAND/WILTFANG
Datenschutz
digital
Datenschutz für Steuerberater und Wirtschaftsprüfer
02.09.2019
Balzer und Buchberger: „Verantwortliche Person und Auftragsdatenverarbeiter haften gemeinsam für Datenpannen“
ESV-Redaktion Recht
Die DSGVO hat den Datenschutz innerhalb der EU neu geregelt. Über die rechtlichen Konsequenzen für Steuerberater und Wirtschaftsprüfer und die Anforderungen an die Datensicherheit hat sich die ESV-Redaktion mit Dipl.-Ing. Thomas Balzer und Dipl.-Ing. Erhard Buchberger unterhalten. Hier ein Auszug.
Herr Balzer, Herr Buchberger, seit Mai 2018 gilt EU-weit ein neuer Rechtsrahmen für den Datenschutz. Dies betrifft auch Steuerberater und Wirtschaftsprüfer. Welche Bereiche sind für Ihren Sektor insoweit besonders relevant?
Balzer/Buchberger: Durch die DSGVO ist das Thema Datenschutz auch bei Steuerberatern und Wirtschaftsprüfern wieder in den Vordergrund gerückt und verbunden mit deutlich höheren Bußgeldern auch sichtbarer geworden, sowohl auf Seite der Verantwortlichen, aber eben auch auf der Seite der Betroffenen.
Besonders erwähnenswert bei der DSGVO sind aber die nun deutlich höheren Bußgelder bei Verstößen gegen die DSGVO, die Meldepflichten der Verantwortlichen zu den Mandanten und zur Aufsichtsbehörde im Falle von Datenpannen, die schon durch den Verlust eines unverschlüsselten Datenträgers, z.B. eines USB-Sticks mit sensiblen, personenbezogenen Daten vorliegen können.
Weiterhin ist eine Erweiterung der Betroffenenrechte zu erwähnen, wie etwa das Recht zur Beschwerde bei der Aufsichtsbehörde, zum Beispiel beim Verdacht einer Datenschutzverletzung oder eines nicht bearbeiteten Auskunftsersuchens, was dann eine Prüfung durch die Aufsichtsbehörde zur Folge hätte.
Balzer/Buchberger: Wer schon im Rahmen des BDSG-alt tätig war, sollte die bestehenden Maßnahmen aus dem Blickwinkel der DSGVO überprüfen und gegebenenfalls anpassen oder erweitern. Wer bisher noch nicht im Rahmen des Datenschutzes tätig geworden ist, sollte dies nun unbedingt nachholen.
Spezielle Audits für diese Branche gibt es eigentlich nicht. Wir prüfen in unseren Audits sowohl die Situation in den Kanzleien durch eine Vorort-Begehung, als auch durch Einsichtnahme in bereits bestehende Dokumente, sofern vorhanden. Dann gleichen wir die Ist-Situation mit einer Soll-Situation ab und erhalten so eventuelle Lücken, die durch sinnvolle Maßnahmen zeitnah geschlossen werden.
Spezielle technische oder organisatorische Maßnahmen für diese Branche gibt es eigentlich auch nicht. Obwohl hier in der Regel auch personenbezogene Daten besonderer Kategorien verarbeitet werden, müssen die Maßnahmen trotzdem verhältnismäßig sein und dem Stand der Technik entsprechen. Beispielsweise sollte das Kanzlei-Netzwerk zum Internet hin durch eine entsprechende Hardware-Firewall geschützt sein. Ebenso alle IT-Komponenten im Zugriff durch unberechtigte Dritte. Dazu zählen nicht nur die Computer auf den Schreibtischen, sondern auch eventuell vorhandene Server, die Netzwerk-Infrastruktur, wie Router, Switches und Netzwerkdosen, als auch das WLAN und die Datenträger, speziell wenn diese mobil sind.
Balzer/Buchberger: Dieses Dokument hat einen sehr hohen Stellenwert, denn es beinhaltet die wesentlichen Informationen zur Verarbeitung der personenbezogenen Daten in der Kanzlei. Es enthält zum Beispiel eine Aufstellung darüber, welche personenbezogenen Daten in ihrer Kanzlei zu welchem Zweck, wie lange und von wem verarbeitet werden.
Weiterhin wird darin beschrieben, welche technischen und organisatorischen Maßnahmen diese personenbezogenen Daten zum Beispiel vor unberechtigtem Zugriff durch Dritte schützen. Es handelt sich dabei um ein von der DSGVO gefordertes, also obligatorisches Dokument. Das „Verzeichnis der Verarbeitungstätigkeiten“ umfasst folgende Punkte:
Balzer/Buchberger: Diese Vereinbarungen, die Auftragsverarbeitungsvereinbarungen heißen, sind nicht nur unerlässlich, sie sind gesetzlich sogar gefordert, und zwar dann, wenn im Auftrag des Verantwortlichen personenbezogenen Daten durch einen Dritten verarbeitet werden sollen. Und das sind in der Regel immer auch die externen IT-Dienstleister, da diese einen vollumfänglichen Zugriff auf die Daten in der Kanzlei haben. Auch Webhoster gehören dazu, wenn dort personenbezogene Daten abgelegt werden, wie das etwa bei einem Mailhoster der Fall ist, wenn die Daten dort auch dauerhaft gespeichert liegen. Desgleichen gilt es für Entsorger, sofern diese für die Vernichtung von papierhaften oder elektronischen Daten beauftragt werden.
Zu beachten ist beispielsweise, dass diese Vereinbarungen von beiden Seiten gleichermaßen angestrebt und abgeschlossen werden müssen. Nicht abgeschlossene Vereinbarungen zwischen Auftraggeber und Auftragnehmer gelten als Verstoß und können mit einem Bußgeld bewährt werden.
Was gilt für die Kommunikation mit Mandanten? Wäre es zum Beispiel rechtmäßig oder ratsam, Daten über Messenger – zum Beispiel über WhatsApp – auszutauschen oder sind besonders sichere Kommunikationswege zu empfehlen? Wenn ja, gibt es hierfür technische Standards, zum Beispiel zur Verschlüsselung?
Balzer/Buchberger: Die Kommunikation mit sogenannten Messanger Programmen wirft viele Fragen auf, nicht nur im Rahmen des Datenschutzes, sondern auch im Hinblick auf die GoBD der Finanzverwaltung oder einer Beweiskraft im Streitfall.
Sobald personenbezogene Daten über diese Kanäle versendet, also verarbeitet werden, stellt sich zum Beispiel die Frage, wo diese Daten verarbeitet werden und ob dieser Dienstleister auch die dazu erforderliche Auftragsvereinbarung abschließen kann oder will. Im Beispiel von WhatsApp wird dies wohl eher unwahrscheinlich sein. Damit wäre es schon aus der Sicht der DSGVO nicht rechtmäßig.
Auch stellt sich die Frage, ob diese Apps auf dienstlichen oder privaten Handys eingesetzt werden. Im Falle von privaten Handys hat die Kanzlei das Problem, im Bedarf an die Daten zu kommen oder diese ordnungsgemäß abzulegen. Wenn es sich dabei um dienstliche Handys handelt besehen Probleme hinsichtlich der IT-Sicherheit der Kanzlei, denn dann hat das Handy in der Regel auch Zugriff auf die IT-Infrastruktur der Kanzlei, zum Beispiel über WLAN. Wenn dann nicht kontrolliert oder besser verriegelt wird, dass der Benutzer keine weiteren Apps auf das Gerät installieren darf, bzw. kann, dann besteht die Gefahr, dass sich andere Apps Zugang und sogar Zugriff auf weitere Daten der Kanzlei verschaffen. Ein unkontrollierter Abfluss von Daten könnte die Folge sein.
(ESV/bp)
Herr Balzer, Herr Buchberger, seit Mai 2018 gilt EU-weit ein neuer Rechtsrahmen für den Datenschutz. Dies betrifft auch Steuerberater und Wirtschaftsprüfer. Welche Bereiche sind für Ihren Sektor insoweit besonders relevant?
Balzer/Buchberger: Durch die DSGVO ist das Thema Datenschutz auch bei Steuerberatern und Wirtschaftsprüfern wieder in den Vordergrund gerückt und verbunden mit deutlich höheren Bußgeldern auch sichtbarer geworden, sowohl auf Seite der Verantwortlichen, aber eben auch auf der Seite der Betroffenen.
Besonders erwähnenswert bei der DSGVO sind aber die nun deutlich höheren Bußgelder bei Verstößen gegen die DSGVO, die Meldepflichten der Verantwortlichen zu den Mandanten und zur Aufsichtsbehörde im Falle von Datenpannen, die schon durch den Verlust eines unverschlüsselten Datenträgers, z.B. eines USB-Sticks mit sensiblen, personenbezogenen Daten vorliegen können.
Weiterhin ist eine Erweiterung der Betroffenenrechte zu erwähnen, wie etwa das Recht zur Beschwerde bei der Aufsichtsbehörde, zum Beispiel beim Verdacht einer Datenschutzverletzung oder eines nicht bearbeiteten Auskunftsersuchens, was dann eine Prüfung durch die Aufsichtsbehörde zur Folge hätte.
| Zu den Personen |
|
Spezifische Audits oder TOMs
Wie lässt sich der Datenschutz beim Steuerberater oder Wirtschaftsprüfer umsetzen? Gibt es hierzu besondere technische und/oder organisatorische Maßnahmen (TOM) oder spezifische Audits?Balzer/Buchberger: Wer schon im Rahmen des BDSG-alt tätig war, sollte die bestehenden Maßnahmen aus dem Blickwinkel der DSGVO überprüfen und gegebenenfalls anpassen oder erweitern. Wer bisher noch nicht im Rahmen des Datenschutzes tätig geworden ist, sollte dies nun unbedingt nachholen.
Spezielle Audits für diese Branche gibt es eigentlich nicht. Wir prüfen in unseren Audits sowohl die Situation in den Kanzleien durch eine Vorort-Begehung, als auch durch Einsichtnahme in bereits bestehende Dokumente, sofern vorhanden. Dann gleichen wir die Ist-Situation mit einer Soll-Situation ab und erhalten so eventuelle Lücken, die durch sinnvolle Maßnahmen zeitnah geschlossen werden.
Spezielle technische oder organisatorische Maßnahmen für diese Branche gibt es eigentlich auch nicht. Obwohl hier in der Regel auch personenbezogene Daten besonderer Kategorien verarbeitet werden, müssen die Maßnahmen trotzdem verhältnismäßig sein und dem Stand der Technik entsprechen. Beispielsweise sollte das Kanzlei-Netzwerk zum Internet hin durch eine entsprechende Hardware-Firewall geschützt sein. Ebenso alle IT-Komponenten im Zugriff durch unberechtigte Dritte. Dazu zählen nicht nur die Computer auf den Schreibtischen, sondern auch eventuell vorhandene Server, die Netzwerk-Infrastruktur, wie Router, Switches und Netzwerkdosen, als auch das WLAN und die Datenträger, speziell wenn diese mobil sind.
| Der kostenlose Newsletter Recht - Hier können Sie sich anmelden! |
| Redaktionelle Nachrichten zu neuen Entscheidungen und Rechtsentwicklungen, Interviews und Literaturtipps. |
Das zentrale Dokument: Verzeichnis der Verarbeitungstätigkeiten
Das „Verzeichnis der Verarbeitungstätigkeiten“ spielt eine bedeutende Rolle. Können Sie diese kurz skizzieren?Balzer/Buchberger: Dieses Dokument hat einen sehr hohen Stellenwert, denn es beinhaltet die wesentlichen Informationen zur Verarbeitung der personenbezogenen Daten in der Kanzlei. Es enthält zum Beispiel eine Aufstellung darüber, welche personenbezogenen Daten in ihrer Kanzlei zu welchem Zweck, wie lange und von wem verarbeitet werden.
Weiterhin wird darin beschrieben, welche technischen und organisatorischen Maßnahmen diese personenbezogenen Daten zum Beispiel vor unberechtigtem Zugriff durch Dritte schützen. Es handelt sich dabei um ein von der DSGVO gefordertes, also obligatorisches Dokument. Das „Verzeichnis der Verarbeitungstätigkeiten“ umfasst folgende Punkte:
- Name und Kontaktdaten des – oder der gemeinsam – Verantwortlichen und der Vertreter
- Angaben zum Datenschutzbeauftragten
- Zwecke der Verarbeitung
- Beschreibung der Kategorien betroffener Personen sowie der Kategorien personenbezogener Daten
- die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, einschließlich der Empfänger in Drittländern oder internationalen Organisationen
- wenn möglich, die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien
- und soweit möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen (TOMs)
| Datenschutz für Steuerberater und Wirtschaftsprüfer - Praxisleitfaden DSGVO für die StB-/WP-Kanzlei |
Inhalte unter anderem:
Frühbucherpreis bis 19. September 2019 – Flyer mit Tagungsprogramm |
Beziehungen zu externen Dienstleistern
Vereinbarungen mit externen Dienstleistern – wie zum Beispiel mit dem IT-Service, Web-Hostern oder Entsorgern – sind oft unerlässlich. Was ist hier besonders zu beachten?Balzer/Buchberger: Diese Vereinbarungen, die Auftragsverarbeitungsvereinbarungen heißen, sind nicht nur unerlässlich, sie sind gesetzlich sogar gefordert, und zwar dann, wenn im Auftrag des Verantwortlichen personenbezogenen Daten durch einen Dritten verarbeitet werden sollen. Und das sind in der Regel immer auch die externen IT-Dienstleister, da diese einen vollumfänglichen Zugriff auf die Daten in der Kanzlei haben. Auch Webhoster gehören dazu, wenn dort personenbezogene Daten abgelegt werden, wie das etwa bei einem Mailhoster der Fall ist, wenn die Daten dort auch dauerhaft gespeichert liegen. Desgleichen gilt es für Entsorger, sofern diese für die Vernichtung von papierhaften oder elektronischen Daten beauftragt werden.
Zu beachten ist beispielsweise, dass diese Vereinbarungen von beiden Seiten gleichermaßen angestrebt und abgeschlossen werden müssen. Nicht abgeschlossene Vereinbarungen zwischen Auftraggeber und Auftragnehmer gelten als Verstoß und können mit einem Bußgeld bewährt werden.
Verantwortliche Person und Dienstleister: Beide haften für Datenpannen
Im Falle einer Datenpanne haften übrigens auch beide Parteien gegenüber den betroffenen Personen. Daher ist vom Verantwortlichen bei der Auswahl dieser Dienstleister entsprechend Sorgfalt zu wahren. Auch eine Kontrolle des Auftragnehmers bezüglich der dortigen Einhaltung der DSGVO ist gefordert, was in manchen Konstellationen nicht immer oder nur schwer in der Praxis realisierbar sein wird. Gerade dann sollte sich der Auftraggeber nur auf seriöse Unternehmen einlassen, welche zudem idealerweise durch entsprechende Zertifikate ihre Qualifikation bestätigen. Diese Unternehmen sollten auch besser im Wirkungsbereich der DSGVO und nicht in einem sog. unsicheren Drittland ihren Sitz haben. Dann müssen nämlich zusätzliche Vereinbarungen abgeschlossen werden, bei den der Auftraggeber zusichert, der DSGVO zu entsprechen.| Weitere Nachrichten aus dem Bereich Recht |
| Verlagsprogramm |
Was gilt für die Kommunikation mit Mandanten? Wäre es zum Beispiel rechtmäßig oder ratsam, Daten über Messenger – zum Beispiel über WhatsApp – auszutauschen oder sind besonders sichere Kommunikationswege zu empfehlen? Wenn ja, gibt es hierfür technische Standards, zum Beispiel zur Verschlüsselung?
Balzer/Buchberger: Die Kommunikation mit sogenannten Messanger Programmen wirft viele Fragen auf, nicht nur im Rahmen des Datenschutzes, sondern auch im Hinblick auf die GoBD der Finanzverwaltung oder einer Beweiskraft im Streitfall.
Sobald personenbezogene Daten über diese Kanäle versendet, also verarbeitet werden, stellt sich zum Beispiel die Frage, wo diese Daten verarbeitet werden und ob dieser Dienstleister auch die dazu erforderliche Auftragsvereinbarung abschließen kann oder will. Im Beispiel von WhatsApp wird dies wohl eher unwahrscheinlich sein. Damit wäre es schon aus der Sicht der DSGVO nicht rechtmäßig.
Auch stellt sich die Frage, ob diese Apps auf dienstlichen oder privaten Handys eingesetzt werden. Im Falle von privaten Handys hat die Kanzlei das Problem, im Bedarf an die Daten zu kommen oder diese ordnungsgemäß abzulegen. Wenn es sich dabei um dienstliche Handys handelt besehen Probleme hinsichtlich der IT-Sicherheit der Kanzlei, denn dann hat das Handy in der Regel auch Zugriff auf die IT-Infrastruktur der Kanzlei, zum Beispiel über WLAN. Wenn dann nicht kontrolliert oder besser verriegelt wird, dass der Benutzer keine weiteren Apps auf das Gerät installieren darf, bzw. kann, dann besteht die Gefahr, dass sich andere Apps Zugang und sogar Zugriff auf weitere Daten der Kanzlei verschaffen. Ein unkontrollierter Abfluss von Daten könnte die Folge sein.
Messenger Kommunikation nicht zu empfehlen
Wir empfehlen daher auf diese Kommunikationsplattformen grundsätzlich zu verzichten. Besonders dann, wenn es dabei um die Kommunikation mit Mandanten und um deren vertrauliche und personenbezogene Daten geht.Verschlüsselte Emails sind sicherer
Für die Branche der Steuerberater und WP raten wir deshalb dazu, bei der elektronischen Kommunikation bei der Email zu bleiben. Hierbei ist nach neuesten Aussagen der Bundessteuerberaterkammer eine sogenannte Transportverschlüsselung per SSL oder TLS zu aktivieren, die den Weg vom Absender bzw. dem Steuerberater oder WP zum Hoster, bzw. vom Hoster zum Empfänger bzw. Mandanten verschlüsselt. Alle namhaften deutschen Email-Provider unterstützen diese Verschlüsselung und akzeptieren mitunter gar keine unverschlüsselte Kommunikation mehr. Wichtig für den Steuerberater hierbei ist, dass er ihm zusichert, dass dieser auch bei einem entsprechenden Mail-Provider angemeldet ist.| Lesen Sie das vollständige Interview auf ESV-Info: |
(ESV/bp)