Datenschutz Steuerberater: Das müssen Sie in Ihrer Kanzlei beachten

DSGVO, BDSG, StBerG, DVStB und viele mehr – Das Zusammenwirken verschiedener Datenschutzvorschriften auf nationaler und europäischer Ebene ist komplex. Es besteht datenschutzrechtlicher Handlungsbedarf für Steuerberatungskanzleien. Im nachfolgenden Artikel erhalten Sie eine Darstellung der Datenschutz-Pflichten für Steuerberater und konkrete Praxistipps zur Umsetzung in Ihrer Kanzlei.

Datenschutz in Steuerberatungskanzleien: Gesetzliche Grundlagen

Mandanten müssen sich darauf verlassen können, dass die dem Steuerberater anvertrauten hochsensiblen Daten vertraulich bleiben. Der Datenschutz für Steuerberater spielt deshalb eine wichtige Rolle. Einerseits ist der Steuerberater gemäß seiner Berufsordnung zur Verschwiegenheit verpflichtet. Andererseits sind im Umgang mit personenbezogenen Daten für diesen Berufsstand folgende weitere Gesetze zu beachten:

• Datenschutz-Grundverordnung (DSGVO)
• Bundesdatenschutzgesetz (BDSG)
• Berufsrecht der Steuerberater (StBerG, DVStB, BOStB)
• Strafgesetzbuch (StGB): § 203, Verletzung von Privatgeheimnissen

Wie gestaltet sich der Datenschutz für Steuerberater?

Als Steuerberater sind Sie verpflichtet die Daten Ihrer Mandanten vor Missbrauch zu schützen. Sobald  Sie Mitarbeiter beschäftigen, unterliegt die Kanzlei insbesondere den datenschutzrechtlichen Anforderungen, die personenbezogenen Daten gesetzeskonform zu schützen. Die DSGVO definiert die folgenden Datenschutzgrundsätze, die auch in der steuerlichen Praxis zu beachten sind: 

• Grundsatz der Rechtmäßigkeit
• Transparenzgebot
• Grundsatz der Zweckbindung
• Grundsatz der Speicherbegrenzung oder Datenminimierung
• Grundsätze der Integrität und Vertraulichkeit

Das bedeutet: Sie dürfen beispielsweise nur in dem Umfang Daten erheben und verarbeiten, wie es für die Begründung und Durchführung des Vertragsverhältnisses (Arbeitsvertrag oder Mandatsvertrag) notwendig ist. Des Weiteren sind Sie verpflichtet, Ihre Mandaten bzw. Ihre Mitarbeiter, z.B. mit einer Datenschutzerklärung über die bevorstehende Datenverarbeitung zu informieren.

Wichtig: Die bloße Einhaltung der Datenschutzvorgaben ist für die Steuerkanzlei nicht ausreichend. Als Steuerberater müssen Sie jederzeit dokumentiert nachweisen, dass Sie mit Ihrer Kanzlei die datenschutzrechtlichen Grundsätze aus der Datenschutz-Grundverordnung (DS-GVO) einhalten („Rechenschaftspflicht“). Daraus ergeben sich einige weitere Pflichten, die weiter unten dargestellt werden. 

Steuerberater DSGVO: Welche Daten müssen geschützt werden?

Steuerberater erhalten von Berufs wegen zwangsläufig sehr viele personenbezogene Daten und verarbeiten sie in automatisierter Form. Darunter fallen auch die üblicherweise im Mandatsverhältnis verarbeiteten personenbezogenen Daten:

• Name
• Geburtsdatum
• Anschrift
• Sozialversicherungsnummer 
• Steuernummer
• Kontonummer
• Religionszugehörigkeit als Kirchensteuermerkmal bei der Lohnsteuer 
• Kontaktdaten der gesetzlichen Vertreter, z.B. einer Kapitalgesellschaft  
• Kontaktdaten von Ansprechpartnern
• u.v.m.

Wenn Sie solche oder ähnliche personenbezogene Daten im Rahmen Ihrer steuerberatenden Tätigkeit bekannt werden, dann ist für Ihre Kanzlei ein Datenschutzkonzept unerlässlich. Dieses umfasst neben einer umfangreichen Planung auch konkreten Maßnahmen und Kontrollen im technischen sowie organisatorischen Bereich.

Datenschutz Steuerkanzlei: Verantwortlicher oder Auftragsverarbeiter? 

In der Praxis stellt sich häufig die Frage, ob der Mandant mit dem Steuerberater einen sogenannten Auftragsverarbeitungsvertrag (AVV) abschließen muss. Die hohe Relevanz dieser Frage lässt sich damit erklären, dass nahezu jedes Unternehmen mit einem Steuerberatungsgesellschaft in Verbindung beispielsweise zur Durchführung der Lohn- und Gehaltsabrechnungen oder zur Erstellung des Jahresabschlusses. 

Antwort: Es muss kein Auftragsverarbeitungsvertrag zwischen Steuerberater und Mandant geschlossen werden. Der deutsche Gesetzgeber hat im Jahr 2019 mit einer Neufassung des § 11 Abs. 2 StBerG für Klarheit gesorgt.  Sämtliche Tätigkeiten des Steuerberaters für seinen Mandanten erfolgen stets weisungsfrei und in eigener Verantwortung.  Demzufolge sind  Steuerberater keine Auftragsverarbeiter, sondern agieren stets als eigenständige Verantwortlicher nach Art. 4 Nr. 7 DSGVO. 

Datenschutzbeauftragter Steuerkanzlei – Ab wann ist ein DSB nötig?

Größere Steuerberatungsgesellschaften benötigen zwingend einen betrieblichen Datenschutzbeauftragten. Nach der Datenschutz-Grundverordnung (DSGVO) und dem Bundesdatenschutzgesetz (BDSG) besteht die Pflicht zur Benennung eines Datenschutzbeauftragten für Steuerberatungsgesellschaften, wenn: 

• Die Steuerkanzlei beschäftigt mindestens 20 Mitarbeiter, die regelmäßig personenbezogene Daten automatisiert – beispielsweise am Computer – verarbeiten.  
• Unabhängig von der Beschäftigtenanzahl, verarbeitet die Steuerkanzlei im großen Umfang sensible Daten z.B. Gesundheitsdaten, Religionszugehörigkeit im Rahmen der Lohn- und Gehaltsabrechnung

Steuerberaterkanzleien, die diese Voraussetzungen nicht erfüllen, sind nicht dazu verpflichtet, einen Datenschutzbeauftragten zu benennen. Sie haben jedoch die Möglichkeit, freiwillig als Steuerkanzlei Datenschutzbeauftragten bestellen, um bei der Umsetzung der DSGVO Unterstützung zu erhalten. Die Entscheidung, ob die Steuerkanzlei einen externen Datenschutzbeauftragten bestellt oder einen internen Mitarbeiter für diese Rolle benennt, obliegt dem Kanzleiinhaber. Es ist jedoch ratsam, dass der zukünftige Datenschutzbeauftragte über die erforderliche Fachkunde, gute Kommunikationsfähigkeiten sowie juristische und technische Grundkenntnisse verfügt. 

DSGVO: Die wichtigsten Datenschutz-Pflichten für Steuerberater 

Datenschutz-Defizite in Steuerkanzleien können gerichtliche Auseinandersetzungen, Beschwerden, behördliche Prüfungen oder sogar Bußgelder auslösen. Vor diesem Hintergrund sollten Steuerberatungskanzleien die Datenschutz-Pflichten beachten und die folgenden Praxistipps umsetzen: 

1. Verzeichnis über die Datenverarbeitungen in der Steuerkanzlei

Steuerkanzleien sind zur Erstellung eines Verzeichnisses von Verarbeitungstätigkeiten verpflichtet. Darin werden datenschutzrelevante Geschäftsabläufe erfasst, bei denen in der Kanzlei personenbezogene Daten von Mandanten, Mitarbeitern, Dienstleistern, Websitebesuchern etc. verarbeitet werden.  Einige Beispiele für Verarbeitungstätigkeiten sind: Mandantenverwaltung, Rechnungsstellung, Nutzerverwaltung in der Kanzleisoftware, Bewerbermanagement, Lohnabrechnung, Personalaktenführung, Kontaktanfragen über die Internetseite.  Die Aufstellung und Beschreibung der datenschutzrelevanten Geschäftsprozesse sind auf Verlangen der Aufsichtsbehörde bereitzustellen (Art. 30 Abs. 4 DSGVO). Liegt kein Verarbeitungsverzeichnis vor, drohen Bußgelder. 

2. Datensicherheit in der Steuerkanzlei: Technische und organisatorische Maßnahmen

Steuerkanzleien sind für den Schutz personenbezogener Daten verantwortlich. Es sind geeignete technische und organisatorische Datensicherheitsmaßnahmen durch den Steuerberater festzulegen. Die DSGVO macht in Art. 32 DSGVO keine konkreten Vorgaben, welche Maßnahmen dies im Einzelnen sind. Die Maßnahmen sind risikoorientiert festzulegen und können je nach Digitalisierungsgrad und technischer Ausstattung der Kanzlei variieren. Üblicherweise umfassen diese Maßnahmen beispielsweise den physischen Zutritt zu Gebäuden, die Arbeitsplatzsicherheit (Home-Office-Richtlinie, Passwortrichtlinien, Endgeräte-Verschlüsselung, 2-Faktor-Authentifizierung Zugriffsrechte)  und sichere Übertragungswege zwischen Steuerberater und Mandant (z. B. verschlüsselter E-Mail-Versand, Datenaustausch über einen Cloud-Dienst oder anderweitigen Schnittstellen). 

3. Mitarbeiter regelmäßig schulen

Das Durchführen von regelmäßigen Datenschutz-Schulungen für Mitarbeiter ist gesetzlich vorgesehen und somit wichtiger Teil eines ganzheitlichen Datenschutz-Konzepts. Sie sollten Ihre Mitarbeiter gleich zu Beginn des Arbeitsverhältnisses zu den Datenschutz-Grundlagen zu schulen. Basierend auf diesem Grundlagenwissen können in zukünftigen Schulungen spezielle Inhalte vermittelt werden. Hier geht es zum einen um die spezifischen Aufgaben der einzelnen Mitarbeitergruppen (Steuerberater, Sekretariat, Personalabteilung, Buchhaltung). Ein denkbares Beispiel für zielgruppenspezifische Lerninhalte ist z. B. der Ablauf „Auskünfte am Telefon“, der insbesondere für das Sekretariat von Bedeutung sein dürfte.

4. Auf Betroffenenfragen in der Steuerkanzlei vorbereiten

Steuerberaterkanzleien sollten sich und ihre Mitarbeiter auf etwaige Anfragen zum Datenschutz vorbereiten. Jede betroffene Person (z. B. Mandant, Mitarbeiter oder ehemalige Mitarbeiter, Dienstleister) kann Auskunft darüber verlangen, ob personenbezogene Daten über sie verarbeitet werden. Falls dies der Fall ist, hat der Betroffene das Recht zu erfahren, welche konkreten Daten verarbeitet werden. Neben dem Auskunftsrecht können betroffene Personen auch die Löschung ihrer gespeicherten personenbezogenen Daten verlangen. Die Kanzlei muss dem Betroffenen unter Berücksichtigung einiger formaler Voraussetzungen innerhalb der Frist von einem Monat antworten. Ob Auskunftsersuchen oder Löschanfrage, die Umsetzung in der Kanzlei hat ihre Stolperfallen. Es ist daher sinnvoll, Prozesse oder Verfahrensabläufe vorab zu definieren, um fristgerecht auf Betroffenenanfragen zu antworten. Insbesondere gut informierte Mitarbeiter und klare Verantwortlichkeiten können helfen, der Geltendmachung von Betroffenenrechten adäquat zu entsprechen sowie Bußgelder und andere Sanktionen zu vermeiden.

5. Steuerkanzlei Website: Datenschutzerklärung einbinden

Zahlreiche Steuerkanzleien verfügen über eine Internetseite. Bereits beim Aufruf der Webseite wird die IP-Adresse als personenbezogenes Datum des Webseitenbesuchers verarbeitet. Über das Kontaktformular werden Daten in Form von Name, Telefonnummer, E-Mail-Adresse erhoben. Über diese Datenerhebung müssen Steuerkanzleien die betroffenen Personen informieren. Deshalb brauchen Sie für eine datenschutzkonforme Internetpräsenz eine auf Ihre Webseite individuell angepasste Datenschutzerklärung.

6. Steuerkanzlei Website: – Cookie Banner implementieren

Werden Analyse- oder Marketingtools eingesetzt, die für die Funktionsfähigkeit der Kanzlei-Website nicht erforderlich sind, ist ein Cookie-Banner verpflichtend.  Dieser Banner muss dem Webseitenbesucher beim erstmaligen Besuch der Website angezeigt werden. Darüber hinaus darf der Banner den Zugriff auf die Datenschutzinformation und das Impressum nicht verdecken oder beeinträchtigen

7. Auftragsverarbeitung in der Steuerpraxis: Zusammenarbeit mit Dienstleistern

Mit dem Thema Auftragsverarbeitung sollten sich Steuerkanzleien auseinandersetzen da es eine hohe praktische Relevanz besitzt und in einem engen Zusammenhang mit der beruflichen Verschwiegenheitspflicht steht. Unter Auftragsverarbeitung versteht man die Konstellation, dass sich eine Kanzlei zur Durchführung bestimmter Tätigkeiten externer Dienstleister bedient, die im Rahmen ihrer Tätigkeit personenbezogene Daten der Kanzlei erheben, verarbeiten oder nutzen. Das Vorliegen einer Auftragsverarbeitung erfordert nach Art. 28 DSGVO den Abschluss eines Auftragsverarbeitungsvertrages zwischen Steuerkanzlei und Dienstleister. 

Beispiele für Auftragsverarbeitung:

• Anbieter der Kanzleisoftware, z.B. DATEV, ADDISON,  Agenda
• Entsorgungsunternehmen 
• Externe IT-Dienstleister mit Remote-Zugriff
• Tracking-Software, z.B. Google Analytics 

8. Auf einen möglichen Datenschutzverstoß in der Steuerkanzlei vorbereiten

Auch in der steuerlichen Beratungspraxis kann es schnell passieren: Versehentlich wird eine Rechnung an einen falschen Mandanten versendet und dieser erhält Einblicke in die wirtschaftliche Situation eines anderen Mandanten. Weitere Beispiele für Datenpannen in der Steuerkanzlei sind vergessene oder gestohlene Dienstgeräte (Laptops, Handys), versehentlicher Mail-Versand mit offenem Verteilerkreis, Fehler in der Kanzleisoftware mit unberechtigten Zugriffen und Diebstahl von Login-Daten infolge einer Phishing-Attacke. Da auch Steuerberater dazu verpflichtet sind, eine Datenschutzverletzung innerhalb von 72 Stunden an die zuständige Aufsichtsbehörde zu melden, müssen sie ihre Mitarbeiter zu diesem Thema sensibilisieren und einen Vorfallreaktionsplan etablieren.

Was passiert bei der Nichteinhaltung der DSGVO?

Der Datenschutz in der Steuerberatungskanzlei sollte nicht auf die leichte Schulter genommen werden. Bei Datenschutzverletzungen (Datenpannen) können die Konsequenzen für betroffene Personen sehr weitreichend sein. Jede Datenpanne muss daher sehr ernst genommen und regelmäßig innerhalb von 72 Stunden der zuständigen Behörde gemeldet werden.

FAQ zu Datenschutz Steuerberater