Datenschutz Steuerberater: Das müssen Sie in Ihrer Kanzlei beachten

10. Juni 2024

DSGVO, BDSG, StBerG, DVStB und viele mehr – Das Zusammenwirken verschiedener Datenschutzvorschriften auf nationaler und europäischer Ebene ist komplex. Es besteht datenschutzrechtlicher Handlungsbedarf für Steuerberatungskanzleien. Im nachfolgenden Artikel erhalten Sie eine Darstellung der Datenschutz-Pflichten für Steuerberater und konkrete Praxistipps zur Umsetzung in Ihrer Kanzlei.

Datenschutz in Steuerberatungskanzleien: Gesetzliche Grundlagen

Mandanten müssen sich darauf verlassen können, dass die dem Steuerberater anvertrauten hochsensiblen Daten vertraulich bleiben. Der Datenschutz für Steuerberater spielt deshalb eine wichtige Rolle. Einerseits ist der Steuerberater gemäß seiner Berufsordnung zur Verschwiegenheit verpflichtet. Andererseits sind im Umgang mit personenbezogenen Daten für diesen Berufsstand folgende weitere Gesetze zu beachten:

• Datenschutz-Grundverordnung (DSGVO)
• Bundesdatenschutzgesetz (BDSG)
• Berufsrecht der Steuerberater (StBerG, DVStB, BOStB)
• Strafgesetzbuch (StGB): § 203, Verletzung von Privatgeheimnissen

Wie gestaltet sich der Datenschutz für Steuerberater?

Als Steuerberater sind Sie verpflichtet die Daten Ihrer Mandanten vor Missbrauch zu schützen. Sobald  Sie Mitarbeiter beschäftigen, unterliegt die Kanzlei insbesondere den datenschutzrechtlichen Anforderungen, die personenbezogenen Daten gesetzeskonform zu schützen. Die DSGVO definiert die folgenden Datenschutzgrundsätze, die auch in der steuerlichen Praxis zu beachten sind: 

  • Grundsatz der Rechtmäßigkeit
  • Transparenzgebot
  • Grundsatz der Zweckbindung
  • Grundsatz der Speicherbegrenzung oder Datenminimierung
  • Grundsätze der Integrität und Vertraulichkeit

Das bedeutet: Sie dürfen beispielsweise nur in dem Umfang Daten erheben und verarbeiten, wie es für die Begründung und Durchführung des Vertragsverhältnisses (Arbeitsvertrag oder Mandatsvertrag) notwendig ist. Des Weiteren sind Sie verpflichtet, Ihre Mandaten bzw. Ihre Mitarbeiter, z.B. mit einer Datenschutzerklärung über die bevorstehende Datenverarbeitung zu informieren.

Wichtig: Die bloße Einhaltung der Datenschutzvorgaben ist für die Steuerkanzlei nicht ausreichend. Als Steuerberater müssen Sie jederzeit dokumentiert nachweisen, dass Sie mit Ihrer Kanzlei die datenschutzrechtlichen Grundsätze aus der Datenschutz-Grundverordnung (DS-GVO) einhalten („Rechenschaftspflicht“). Daraus ergeben sich einige weitere Pflichten, die weiter unten dargestellt werden. 

Steuerberater DSGVO: Welche Daten müssen geschützt werden?

Steuerberater erhalten von Berufs wegen zwangsläufig sehr viele personenbezogene Daten und verarbeiten sie in automatisierter Form. Darunter fallen auch die üblicherweise im Mandatsverhältnis verarbeiteten personenbezogenen Daten:

  • Name
  • Geburtsdatum
  • Anschrift
  • Sozialversicherungsnummer 
  • Steuernummer
  • Kontonummer
  • Religionszugehörigkeit als Kirchensteuermerkmal bei der Lohnsteuer 
  • Kontaktdaten der gesetzlichen Vertreter, z.B. einer Kapitalgesellschaft  
  • Kontaktdaten von Ansprechpartnern
  • u.v.m.

Wenn Sie solche oder ähnliche personenbezogene Daten im Rahmen Ihrer steuerberatenden Tätigkeit bekannt werden, dann ist für Ihre Kanzlei ein Datenschutzkonzept unerlässlich. Dieses umfasst neben einer umfangreichen Planung auch konkreten Maßnahmen und Kontrollen im technischen sowie organisatorischen Bereich.

Datenschutz Steuerkanzlei: Verantwortlicher oder Auftragsverarbeiter? 

In der Praxis stellt sich häufig die Frage, ob der Mandant mit dem Steuerberater einen sogenannten Auftragsverarbeitungsvertrag (AVV) abschließen muss. Die hohe Relevanz dieser Frage lässt sich damit erklären, dass nahezu jedes Unternehmen mit einem Steuerberatungsgesellschaft in Verbindung beispielsweise zur Durchführung der Lohn- und Gehaltsabrechnungen oder zur Erstellung des Jahresabschlusses. 

Antwort: Es muss kein Auftragsverarbeitungsvertrag zwischen Steuerberater und Mandant geschlossen werden. Der deutsche Gesetzgeber hat im Jahr 2019 mit einer Neufassung des § 11 Abs. 2 StBerG für Klarheit gesorgt.  Sämtliche Tätigkeiten des Steuerberaters für seinen Mandanten erfolgen stets weisungsfrei und in eigener Verantwortung.  Demzufolge sind  Steuerberater keine Auftragsverarbeiter, sondern agieren stets als eigenständige Verantwortlicher nach Art. 4 Nr. 7 DSGVO. 

Datenschutzbeauftragter Steuerkanzlei – Ab wann ist ein DSB nötig?

Größere Steuerberatungsgesellschaften benötigen zwingend einen betrieblichen Datenschutzbeauftragten. Nach der Datenschutz-Grundverordnung (DSGVO) und dem Bundesdatenschutzgesetz (BDSG) besteht die Pflicht zur Benennung eines Datenschutzbeauftragten für Steuerberatungsgesellschaften, wenn: 

  • Die Steuerkanzlei beschäftigt mindestens 20 Mitarbeiter, die regelmäßig personenbezogene Daten automatisiert – beispielsweise am Computer – verarbeiten.  
  • Unabhängig von der Beschäftigtenanzahl, verarbeitet die Steuerkanzlei im großen Umfang sensible Daten z.B. Gesundheitsdaten, Religionszugehörigkeit im Rahmen der Lohn- und Gehaltsabrechnung

Steuerberaterkanzleien, die diese Voraussetzungen nicht erfüllen, sind nicht dazu verpflichtet, einen Datenschutzbeauftragten zu benennen. Sie haben jedoch die Möglichkeit, freiwillig als Steuerkanzlei Datenschutzbeauftragten bestellen, um bei der Umsetzung der DSGVO Unterstützung zu erhalten. Die Entscheidung, ob die Steuerkanzlei einen externen Datenschutzbeauftragten bestellt oder einen internen Mitarbeiter für diese Rolle benennt, obliegt dem Kanzleiinhaber. Es ist jedoch ratsam, dass der zukünftige Datenschutzbeauftragte über die erforderliche Fachkunde, gute Kommunikationsfähigkeiten sowie juristische und technische Grundkenntnisse verfügt. 

DSGVO: Die wichtigsten Datenschutz-Pflichten für Steuerberater 

Datenschutz-Defizite in Steuerkanzleien können gerichtliche Auseinandersetzungen, Beschwerden, behördliche Prüfungen oder sogar Bußgelder auslösen. Vor diesem Hintergrund sollten Steuerberatungskanzleien die Datenschutz-Pflichten beachten und die folgenden Praxistipps umsetzen: 

1. Verzeichnis über die Datenverarbeitungen in der Steuerkanzlei

Steuerkanzleien sind zur Erstellung eines Verzeichnisses von Verarbeitungstätigkeiten verpflichtet. Darin werden datenschutzrelevante Geschäftsabläufe erfasst, bei denen in der Kanzlei personenbezogene Daten von Mandanten, Mitarbeitern, Dienstleistern, Websitebesuchern etc. verarbeitet werden.  Einige Beispiele für Verarbeitungstätigkeiten sind: Mandantenverwaltung, Rechnungsstellung, Nutzerverwaltung in der Kanzleisoftware, Bewerbermanagement, Lohnabrechnung, Personalaktenführung, Kontaktanfragen über die Internetseite.  Die Aufstellung und Beschreibung der datenschutzrelevanten Geschäftsprozesse sind auf Verlangen der Aufsichtsbehörde bereitzustellen (Art. 30 Abs. 4 DSGVO). Liegt kein Verarbeitungsverzeichnis vor, drohen Bußgelder. 

2. Datensicherheit in der Steuerkanzlei: Technische und organisatorische Maßnahmen

Steuerkanzleien sind für den Schutz personenbezogener Daten verantwortlich. Es sind geeignete technische und organisatorische Datensicherheitsmaßnahmen durch den Steuerberater festzulegen. Die DSGVO macht in Art. 32 DSGVO keine konkreten Vorgaben, welche Maßnahmen dies im Einzelnen sind. Die Maßnahmen sind risikoorientiert festzulegen und können je nach Digitalisierungsgrad und technischer Ausstattung der Kanzlei variieren. Üblicherweise umfassen diese Maßnahmen beispielsweise den physischen Zutritt zu Gebäuden, die Arbeitsplatzsicherheit (Home-Office-Richtlinie, Passwortrichtlinien, Endgeräte-Verschlüsselung, 2-Faktor-Authentifizierung Zugriffsrechte)  und sichere Übertragungswege zwischen Steuerberater und Mandant (z. B. verschlüsselter E-Mail-Versand, Datenaustausch über einen Cloud-Dienst oder anderweitigen Schnittstellen). 

3. Mitarbeiter regelmäßig schulen

Das Durchführen von regelmäßigen Datenschutz-Schulungen für Mitarbeiter ist gesetzlich vorgesehen und somit wichtiger Teil eines ganzheitlichen Datenschutz-Konzepts. Sie sollten Ihre Mitarbeiter gleich zu Beginn des Arbeitsverhältnisses zu den Datenschutz-Grundlagen zu schulen. Basierend auf diesem Grundlagenwissen können in zukünftigen Schulungen spezielle Inhalte vermittelt werden. Hier geht es zum einen um die spezifischen Aufgaben der einzelnen Mitarbeitergruppen (Steuerberater, Sekretariat, Personalabteilung, Buchhaltung). Ein denkbares Beispiel für zielgruppenspezifische Lerninhalte ist z. B. der Ablauf „Auskünfte am Telefon“, der insbesondere für das Sekretariat von Bedeutung sein dürfte.

4. Auf Betroffenenfragen in der Steuerkanzlei vorbereiten

Steuerberaterkanzleien sollten sich und ihre Mitarbeiter auf etwaige Anfragen zum Datenschutz vorbereiten. Jede betroffene Person (z. B. Mandant, Mitarbeiter oder ehemalige Mitarbeiter, Dienstleister) kann Auskunft darüber verlangen, ob personenbezogene Daten über sie verarbeitet werden. Falls dies der Fall ist, hat der Betroffene das Recht zu erfahren, welche konkreten Daten verarbeitet werden. Neben dem Auskunftsrecht können betroffene Personen auch die Löschung ihrer gespeicherten personenbezogenen Daten verlangen. Die Kanzlei muss dem Betroffenen unter Berücksichtigung einiger formaler Voraussetzungen innerhalb der Frist von einem Monat antworten. Ob Auskunftsersuchen oder Löschanfrage, die Umsetzung in der Kanzlei hat ihre Stolperfallen. Es ist daher sinnvoll, Prozesse oder Verfahrensabläufe vorab zu definieren, um fristgerecht auf Betroffenenanfragen zu antworten. Insbesondere gut informierte Mitarbeiter und klare Verantwortlichkeiten können helfen, der Geltendmachung von Betroffenenrechten adäquat zu entsprechen sowie Bußgelder und andere Sanktionen zu vermeiden.

5. Steuerkanzlei Website: Datenschutzerklärung einbinden

Zahlreiche Steuerkanzleien verfügen über eine Internetseite. Bereits beim Aufruf der Webseite wird die IP-Adresse als personenbezogenes Datum des Webseitenbesuchers verarbeitet. Über das Kontaktformular werden Daten in Form von Name, Telefonnummer, E-Mail-Adresse erhoben. Über diese Datenerhebung müssen Steuerkanzleien die betroffenen Personen informieren. Deshalb brauchen Sie für eine datenschutzkonforme Internetpräsenz eine auf Ihre Webseite individuell angepasste Datenschutzerklärung.

Werden Analyse- oder Marketingtools eingesetzt, die für die Funktionsfähigkeit der Kanzlei-Website nicht erforderlich sind, ist ein Cookie-Banner verpflichtend.  Dieser Banner muss dem Webseitenbesucher beim erstmaligen Besuch der Website angezeigt werden. Darüber hinaus darf der Banner den Zugriff auf die Datenschutzinformation und das Impressum nicht verdecken oder beeinträchtigen

7. Auftragsverarbeitung in der Steuerpraxis: Zusammenarbeit mit Dienstleistern

Mit dem Thema Auftragsverarbeitung sollten sich Steuerkanzleien auseinandersetzen da es eine hohe praktische Relevanz besitzt und in einem engen Zusammenhang mit der beruflichen Verschwiegenheitspflicht steht. Unter Auftragsverarbeitung versteht man die Konstellation, dass sich eine Kanzlei zur Durchführung bestimmter Tätigkeiten externer Dienstleister bedient, die im Rahmen ihrer Tätigkeit personenbezogene Daten der Kanzlei erheben, verarbeiten oder nutzen. Das Vorliegen einer Auftragsverarbeitung erfordert nach Art. 28 DSGVO den Abschluss eines Auftragsverarbeitungsvertrages zwischen Steuerkanzlei und Dienstleister

Beispiele für Auftragsverarbeitung:

  • Anbieter der Kanzleisoftware, z.B. DATEV, ADDISONAgenda
  • Entsorgungsunternehmen 
  • Externe IT-Dienstleister mit Remote-Zugriff
  • Tracking-Software, z.B. Google Analytics 

8. Auf einen möglichen Datenschutzverstoß in der Steuerkanzlei vorbereiten

Auch in der steuerlichen Beratungspraxis kann es schnell passieren: Versehentlich wird eine Rechnung an einen falschen Mandanten versendet und dieser erhält Einblicke in die wirtschaftliche Situation eines anderen Mandanten. Weitere Beispiele für Datenpannen in der Steuerkanzlei sind vergessene oder gestohlene Dienstgeräte (Laptops, Handys), versehentlicher Mail-Versand mit offenem Verteilerkreis, Fehler in der Kanzleisoftware mit unberechtigten Zugriffen und Diebstahl von Login-Daten infolge einer Phishing-Attacke. Da auch Steuerberater dazu verpflichtet sind, eine Datenschutzverletzung innerhalb von 72 Stunden an die zuständige Aufsichtsbehörde zu melden, müssen sie ihre Mitarbeiter zu diesem Thema sensibilisieren und einen Vorfallreaktionsplan etablieren.

Was passiert bei der Nichteinhaltung der DSGVO?

Der Datenschutz in der Steuerberatungskanzlei sollte nicht auf die leichte Schulter genommen werden. Bei Datenschutzverletzungen (Datenpannen) können die Konsequenzen für betroffene Personen sehr weitreichend sein. Jede Datenpanne muss daher sehr ernst genommen und regelmäßig innerhalb von 72 Stunden der zuständigen Behörde gemeldet werden.

FAQ zu Datenschutz Steuerberater

Müssen die DSGVO-Vorgaben von Steuerkanzleien beachtet werden?  

Ja,  jede Steuerkanzlei ist unabhängig von Mitarbeiteranzahl, Rechtsform oder Größe vom Anwendungsbereich der Datenschutz-Grundverordnung umfasst und muss diese vollumfänglich einhalten.

Wann muss eine Steuerkanzlei einen Datenschutzbeauftragten benennen? 

Jede Steuerkanzlei, in der mindestens 20 Personen mit der Verarbeitung personenbezogener Daten befasst sind, muss einen betrieblichen Datenschutzbeauftragten benennen. Die Berufsträger in der Steuerkanzlei, Auszubildende, Leiharbeitnehmer und Praktikanten sind dabei zu berücksichtigen.

Wer darf zum Datenschutzbeauftragten in der Steuerkanzlei bestellt werden? 

Datenschutzbeauftragter kann ein Mitarbeiter oder ein externer Dienstleister sein, der über entsprechende Fachkunde und Praxiserfahrung verfügt. Ausgeschlossen sind jedoch Mitglieder der Kanzleileitung, leitende Angestellte und IT-Leiter wegen des Verbots der Selbstkontrolle und den zugrundeliegenden Interessenskonflikten.

Muss der Datenschutzbeauftragte auf den Kanzleiwebseiten genannt werden?

Nein, eine namentliche Nennung des Datenschutzbeauftragten muss nicht erfolgen. Allerdings müssen seine Kontaktdaten veröffentlicht werden, sodass der Datenschutzbeauftragte direkt kontaktiert werden kann. Hierfür empfiehlt sich die Erstellung eines Funktionspostfachs, z.B. datenschutz@kanzlei-name.de

Dürfen die personenbezogenen des Mandanten verarbeitet werden? 

Ja, sofern der Steuerberater und der Mandant einen Mandatsvertrag geschlossen haben, dient dieser als Rechtsgrundlage für die Verarbeitung der personenbezogenen Daten (Art. 6 Abs. 1 lit. b DSVO).

Ist die Einwilligung der Beschäftigten erforderlich zur Durchführung der Lohn- und Gehaltsbuchführung durch den Steuerberater?

Nein, die Einwilligung ist nicht erforderlich, um die Verarbeitung zu rechtfertigen.

Wie werden die Löschfristen bestimmt?  

Die Löschfristen bestimmen sich regelmäßig nach den gesetzlichen Aufbewahrungspflichten. Im Rahmen des Löschkonzeptes ist daher zu prüfen, ob Rechtfertigungsgründe für eine Verlängerung des Aufbewahrungszeitraums vorliegen

Wer ist der datenschutzrechtlich Verantwortliche? 

„Verantwortlicher“ ist die natürliche oder juristische Person, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Bei Einzelkanzleien ist der die Kanzlei führende Steuerberater „Verantwortlicher“ im Sinne des Datenschutzrechts. Bei Personengesellschaften (insbesondere GbR, oHG, KG inkl. GmbH & Co. KG, Partnerschaften) sind die Gesellschafter die „Verantwortlichen“. Bei Kapitalgesellschaften (insbesondere GmbH, UG (haftungsbeschränkt), AG und KGaA) ist die Kapitalgesellschaft als juristische Person der „Verantwortliche“ und wird von der
Geschäftsführung vertreten.

UNVERBINDLICHES UND KOSTENLOSES ERSTGESPRÄCH VEREINBAREN

ÜBER DEN AUTOR

Meryem Aslankoc

Meryem Aslankoc ist Wirtschaftsjuristin (LL.M.), zugelassene Steuerberaterin und Datenschutzberaterin bei ALPHATECH Consulting. Sie verfügt über langjährige Erfahrung beim Aufbau von Datenschutz-Managementsystemen und unterstützt Unternehmen bei der Implementierung effektiver Datenschutzstrategien. Mit ihrem umfassenden Fachwissen und ihrer praktischen Erfahrung unterstützt sie Unternehmen verschiedener Branchen bei der Sicherstellung der DSGVO-Compliance.

Mehr zu diesem Thema erfahren

Verwandte Blogbeiträge

Kontaktieren Sie uns!
Gerne beantworten wir Ihre Fragen zum Thema Datenschutz und IT-Sicherheit.

Ihr Ansprechpartner

Yanick Röhricht LL.M.

Zertifizierter Datenschutzbeauftragter (TÜV), zertifizierter Informationssicherheitsbeauftragter (DGI)

ALPHATECH
Consulting GmbH

Querstraße 2
65203 Wiesbaden

Telefon

+49 611 445 010 04

Wir arbeiten zertifiziert

Social Media