Als Steuerberater DS-GVO-konform personenbezogene Daten verarbeiten
Der Datenschutz ist verpflichtend für alle Unternehmen und Organisationen, die personenbezogene Daten von Betroffenen verarbeiten – Größe und Branche spielen dabei keine Rolle.
Insbesondere für Berufe wie Steuerberater, bei denen nicht selten auch sensible personenbezogene Daten verarbeitet werden, muss der Datenschutz eingehalten werden. Diese Fachleute haben den Zugang zu sensiblen Informationen, die nicht nur vor unbefugtem Zugriff geschützt werden müssen, sondern auch im Einklang mit gesetzlichen Vorgaben verarbeitet werden müssen.
In diesem Artikel erläutern wir, was unter personenbezogenen Daten verstanden wird, welche Arten von personenbezogenen Daten in Steuerkanzleien verarbeitet werden und wie der Datenschutz für betroffene Personen umgesetzt werden kann.
Was sind personenbezogene Daten?
Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Gemäß der Datenschutzgrundverordnung (DS-GVO) fällt jede Angabe, die direkt oder indirekt auf eine Person zurückgeführt werden kann, unter diesen Begriff. Dazu zählen etwa:
- Name
- Adresse
- E-Mail-Adresse
- Telefonnummer
- Geburtsdatum
- Steueridentifikationsnummer
Darüber hinaus gibt es noch personenbezogene Daten besonderer Kategorien. Diese müssen zusätzlich geschützt werden. Dazu gehören Information ethische Herkunft, politische Meinungen, religiöse und weltanschauliche Überzeugungen, aber auch Gewerkschaftszugehörigkeit, genetische Daten, biometrische Daten oder Gesundheitsdaten.
BLOG-TIPP: PERSONENBEZOGENE DATEN BESONDERER KATEGORIEN IM DATENSCHUTZ
Welche personenbezogenen Daten werden in Steuerkanzleien verarbeitet?
Steuerberater und Insolvenzberater bearbeiten eine Vielzahl von (personenbezogenen) Daten, die oft sehr sensibel sind. Dazu zählen Namen, Kontaktdaten, Geburtsdaten sowie Finanzdaten und Einkommensinformationen der Mandanten, Informationen über Unternehmen, wie etwa Unternehmensform, Umsatz, Steuernummer und Beschäftigtenzahlen, Informationen aus Verträgen zwischen Mandanten und der Kanzlei, einschließlich Vertragsinhalte und -bedingungen und Daten, die zur Abwicklung von Zahlungen verwendet werden. Bei bestimmten Beratungstätigkeiten können auch gesundheitsbezogene Informationen relevant werden.
Die Verarbeitung dieser Daten erfordert ein hohes Maß an Sorgfalt und die Einhaltung von Datenschutzrichtlinien, um den gesetzlichen Anforderungen gerecht zu werden.
Umsetzung des Datenschutzes für Steuerberater
Die Verschwiegenheitspflicht ist eine Grundlage bei der Arbeit eines Steuerberaters, dies ist gem. seiner Berufsverordnung festgelegt. Diese enthält den sogenannten Grundsatz der Subsidarität.
Jeder Steuerberater ist grundsätzlich zur Bestellung eines Datenschutzbeauftragten verpflichtet. Eine Ausnahme liegt vor, wenn die Kanzlei nicht mehr als 19 Angestellte regelmäßig beschäftigt. Auch für den Steuerberater gilt die Umsetzung der Datenschutzgrundverordnung (DS-GVO) und des Bundesdatenschutzgesetzes (BDSG).
Besonders ist dabei, dass Steuerberater auch besondere Kategorien von personenbezogenen Daten als Verantwortliche weisungsfrei (nach DS-GVO) verarbeiten können und daher nicht als Auftragsverarbeiter qualifiziert werden können. Eine steuerberatende Tätigkeit eines Steuerberaters ist keine Auftragsverarbeitung im Sinne der DS-GVO.
BLOG-TIPP: DATENSCHUTZ IN DER PRAXIS – AV-VERTRÄGE
Personenbezogene Daten in Steuerkanzleien schützen
Personenbezogene Daten werden in Steuerkanzleien auf unterschiedliche Arten verarbeitet. Beim Datenschutz ist es unerheblich, ob personenbezogene Daten in Papierform oder digital verarbeitet werden. Die Daten müssen vor dem Zugriff unbefugter Dritter geschützt werden.
BLOG-TIPP: EFFEKTIVE UMSETZUNG VON TECHNISCHEN UND ORGANISATORISCHEN MASSNAHMEN (TOM) IM DATENSCHUTZ
Datenschutz: Umsetzung für Steuerberater
Die Rechte der betroffenen Personen müssen jederzeit gewahrt bleiben. Betroffene müssen transparent über die Verarbeitung ihrer Daten informiert werden. Dies geschieht durch Datenschutzerklärungen, die klar und verständlich formuliert sind.
Betroffene haben das Recht, Auskunft über die über sie gespeicherten Daten zu erhalten und können unter bestimmten Bedingungen die Berichtigung oder Löschung ihrer Daten verlangen.
Die Verarbeitung personenbezogener Daten muss durch geeignete technische und organisatorische Maßnahmen (TOM) gesichert werden. Dazu gehören unter anderem Zugriffsrechte, Verschlüsselungen und regelmäßige Sicherheitsschulungen.
Steuerberater sind verpflichtet, die Einhaltung des Datenschutzes dokumentieren zu können. Dazu zählt auch die Führung von Verzeichnissen über die Verarbeitungstätigkeiten (VVT).
BLOG-TIPP: VERZEICHNIS VON VERARBEITUNGSTÄTIGKEITEN (VVT) IM DATENSCHUTZ
Die Rolle eines externen Datenschutzbeauftragten
Steuerkanzleien müssen alle im Datenschutz verpflichteten Vorgaben umsetzen. Das betrifft sowohl die personenbezogenen Daten ihrer Mandanten als auch jene Daten der Angestellten, Bewerber, Interessenten und möglicher Lieferanten.
Eine Besonderheit beim Arbeitsverhältnis und der dort verarbeiteten personenbezogenen Daten ist die Verarbeitung personenbezogener Daten – unter bestimmten Voraussetzungen – zum Zweck der Aufklärung von Straftaten im Beschäftigtenverhältnisses.
In diesem Kontext wird die Rolle eines externen Datenschutzbeauftragten (DSB) besonders relevant. Die Verarbeitung von personenbezogenen Daten in Steuerkanzleien stellt sich nicht selten komplex dar. Ein externer DSB ist ein fachkundiger Ansprechpartner, der ein tiefes Verständnis der datenschutzrechtlichen Anforderungen hat und spezifische Kenntnisse über die Branche mitbringt.
BLOG-TIPP: BESCHÄFTIGTENDATENGESETZ (BESCHDG) – WAS BESAGT DER REFERENTENENTWURF?
Steuerberater und die Umsetzung des Datenschutzes
Steuerberater stehen in der Verantwortung, den Schutz personenbezogener Daten ernst zu nehmen. Durch die Einhaltung der datenschutzrechtlichen Vorgaben und den Einsatz eines externen Datenschutzbeauftragten wird rechtlichen Risiken effektiv begegnet.
Der Datenschutz ist ein integraler Bestandteil der professionellen Dienstleistungen und sollte in jedem Fall als Chance zur Verbesserung der Mandantenbeziehungen und der eigenen Prozesse betrachtet werden.
Dennis Manz ist seit über 20 Jahren selbstständig. Ist in der IT für unterschiedliche Branchen und seit langer Zeit auch im Bereich Buchhaltung und Steuerrecht tätig. Als Gründer und Geschäftsführer der Datenschutzberater.NRW GmbH betreut er zusammen mit seinem Team erfolgreich Unternehmen, Praxen, Steuerberater und unterschiedliche Einrichtungen in Sachen Datenschutz und GoBD-Beratung.