Wesentliche Aspekte der Datenschutz-Grundverordnung (DSGVO) für Steuerberater

Seit Inkrafttreten der Datenschutz-Grundverordnung und dem überarbeiteten Bundesdatenschutzgesetz (BDSG-neu) am 25. Mai 2018 sind auch Steuerberaterkanzleien von den neuen Datenschutz-Regelungen betroffen. Dies ergibt sich aus den wesentlichen Verarbeitungstätigkeiten eines Steuerberaters, die neben dem Umgang mit Mandantendaten von Privatpersonen und Unternehmen auch die Lohn- und Gehaltsabrechnung der eigenen Mitarbeiter umfassen. Steuerberaterkanzleien müssen sich entsprechend auf die neuen Anforderungen der DSGVO einstellen. Neben der wichtigen Frage, ob ein Datenschutzbeauftragter zu benennen ist, müssen Kanzleien eine ganze Reihe weiterer Maßnahmen ergreifen, um die Dokumentations- und Transparenzpflichten der DSGVO korrekt umzusetzen.

Benennung eines Datenschutzbeauftragten

Steuerberaterkanzleien müssen genau prüfen, ob sie einen Datenschutzbeauftragten (DSB) bestellen müssen. Laut DSGVO gilt die Pflicht zur Benennung eines DSB, sobald zehn oder mehr Personen in der Kanzlei ständig mit der automatisierten Verarbeitung von personenbezogenen Daten befasst sind. „Ständig beschäftigt“ ist, wer zum Beispiel permanent mit der (Sach-)bearbeitung von Mandaten befasst ist. Für die Berechnung der Mitarbeiterzahl kommt es auf die Anzahl der Personen in der Kanzlei an. Der arbeitsrechtliche Status (freier Mitarbeiter, Auszubildender, Praktikant usw.) ist dabei nicht entscheidend. Bei Bürogemeinschaften werden weiterhin nur die Personen bei der Berechnung berücksichtigt, die für alle Beteiligten tätig sind, zum Beispiel wenn für zwei Berufsträger ein Sekretariat zuständig ist. Dies ergibt sich aus dem Prinzip der Datentrennung, nachdem der Zugriff eines Bürogemeinschaftspartners auf die Daten des anderen Partners nicht zulässig ist.

Größenunabhängig ist von Steuerberaterkanzleien die Bestellung eines DSB verpflichtend, wenn Verarbeitungen vorgenommen werden, die einer Datenschutz-Folgeabschätzung (DSFA) nach Art. 35 DSGVO unterliegen. Eine DSFA ist dort erforderlich, wo die Form der Verarbeitung aufgrund der Art, des Umfangs, der Umstände und der Zwecke voraussichtlich ein hohes Risiko für die Rechte und Freiheiten von natürlichen Personen zur Folge hat, deren Daten verarbeitet werden sollen. Dass man zu dieser Einschätzung kommt, dürfte in Steuerberaterkanzleien der Ausnahmefall und nicht die Regel sein. Steuerberater benötigen für ihre Kerntätigkeit daher grundsätzlich keine Datenschutzfolgeabschätzung. Die Notwendigkeit zur DSFA kann sich jedoch noch aus anderen Kontexten ergeben, zum Beispiel aufgrund einer umfangreichen Überwachung öffentlich zugänglicher Bereiche (z.B. Videoüberwachung in der Steuerberaterkanzlei). Die Notwendigkeit einer DSFA ist daher im Einzelfall zu prüfen.

Weitere Handlungsempfehlungen für Steuerberaterkanzleien

Mit der Ernennung eines Datenschutzbeauftragten allein ist es nicht getan. Die in der DSGVO festgeschriebenen Dokumentations- und Transparenzpflichten erfordern weitere Maßnahmen, um sich auf die neuen Anforderungen der DSGVO einzustellen. Dies umfasst zum Beispiel die Erstellung eines verbindlichen Datenschutz-Leitfadens für die Kanzleiangehörigen , wodurch die Rechenschaftspflicht zur Umsetzung der in der DSGVO genannten Datenschutzgrundsätze (Rechtmäßigkeit, Zweckbindung, Datenminimierung usw.) dokumentiert wird. Steuerberatungskanzleien müssen weiterhin ein Verarbeitungsverzeichnis erstellen, in dem die Kontaktdaten des Verantwortlichen, die Zwecke der Verarbeitung, die Kategorien der Betroffenen, der erhobenen Daten sowie der Empfänger festgehalten werden. Auch die Fristen zur Löschung der in der Kanzlei erhobenen personenbezogenen Daten und, sofern zutreffend, Regelungen zur Datenübertragung in ein Drittland außerhalb der EU (z.B. in Fällen der Nutzung von Cloud-Software), müssen im Verarbeitungsverzeichnis festgelegt werden. Nicht zuletzt müssen Steuerberaterkanzleien ihre Auftragsverarbeitungsverträge (AV-Verträge) an die DSGVO und an die Neufassung der Vorschriften über das Berufsgeheimnis anpassen.

Was müssen Steuerberaterkanzleien beachten?

Fazit: Steuerberaterkanzleien sollten genau prüfen, ob sie gemäß Artikel 37 DSGVO einen Datenschutzbeauftragten zu benennen haben. Die Beurteilung berücksichtigt dabei mehrere Faktoren. Eine Entscheidung lässt sich daher nicht ausschließlich auf Grundlage der Mitarbeiterzahl in der Kanzlei treffen. Maßgeblich ist daher eine Gesamtschau der betrieblichen Umstände im Einzelfall. Wir prüfen gerne für Sie, ob die Voraussetzungen vorliegen.

Darüber hinaus erfordern die neuen Dokumentations- und Transparenzpflichten der DSGVO die Umsetzung weiterer Maßnahmen in Ihrer Kanzlei. Die Erstellung eines Datenschutz-Leitfadens, das Führen eines umfassenden Verarbeitungsverzeichnisses sowie die Anpassung bestehender Auftragsverarbeitungsverträge sind hier nur einige exemplarische Beispiele, um den Mindestanforderungen der DSGVO gerecht zu werden. Auch an dieser Stelle unterstützen wir Sie gerne.