DSGVO-Alarm: Datenschutz und Datensicherheit werden in Steuerkanzleien oftmals noch stiefmütterlich behandelt. Dabei sind Datenschutz und Datensicherheit mehr als reine Pflichtkür nach den GoBD. Steuerkanzleien schalten, wenn sie diese Themen richtig angehen, auch gewisse Risiken aus.
Im letzten Livestream „hsp live um 11“ war Hendrik Sievers, Fachanwalt für IT-Recht, zu Gast und sprach mit Paul Liese (hsp Software) über die Bedeutung von Datenschutz und Datensicherheit für Steuerkanzleien und ihre Mandant:innen. Hendrik Sievers führt im E-Learning zum/zur Digitalisierungsberater:in der hsp academy durch das Modul Datenschutz und Datenschutzrecht. In dieser E-Learning-Einheit räumt er mit den häufigsten Irrtümern im Datenschutzrecht auf, stellt die Grundzüge dar, die in Unternehmen zu berücksichtigen sind, und gibt angehenden Digitalisierungsberater:innen schließlich eine Checkliste mit auf den Weg.
Datenschutz bei der Verfahrensdokumentation
Hendrik Sievers vermittelt in seinem Modul Inhalte, die Steuerberater:innen unbedingt mit ihren Mandant:innen besprechen sollten. Auch das oft leidige Thema Informationspflicht nimmt eine wesentliche Rolle beim E-Learning ein, da Unternehmen im Bereich Datenschutz daran einfach nicht vorbeikommen. Diejenigen, deren Daten genutzt werden, müssen darüber auch korrekt informiert werden. Auch für die Erstellung einer Verfahrensdokumentation ist Datenschutz mitsamt Informationspflicht elementar, da bei der Buchhaltung personenbezogene Daten verarbeitet werden. Die GoBD bilden dabei den Leitfaden zur Erstellung einer Verfahrensdokumentation und legen fest, wie Daten verarbeitet und geschützt werden müssen.
Wie eine Verfahrensdokumentation ist aber auch die Datenschutzdokumentation nicht nur reine Pflicht bei der Betriebsprüfung. Sie bietet – wie die Verfahrens- beziehungsweise Prozessdokumentation auch – viele Vorteile: Welche Datenflüsse gibt es im Unternehmen? Wie können Prozesse optimiert werden? Gibt es doppelte Lizenzen? All das legt eine Prozessdokumentation offen, das Thema Datenschutz regelt dabei den Schutz derjenigen, deren Daten verarbeitet werden. Hendrik Sievers macht aber auch deutlich: „Es geht für Unternehmen auch darum, ob sie die Hoheit über die verarbeiteten Daten haben. Weiß ich, was im Unternehmen passiert? Sind die Daten gegen unbefugte Zugriffe geschützt?“ Um das zu erkennen, ist dem Rechtsanwalt zufolge eine eingehende Beschäftigung mit DSGVO-Themen notwendig.
Sie sehen gerade einen Platzhalterinhalt von Standard. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf den Button unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Ohnehin müssen Datenschutz und Datensicherheit immer zusammen gedacht werden, weiß Hendrik Sievers: „Wenn ich mich mit Datenschutz befasse, werde ich automatisch auch die IT-Sicherheit erhöhen – und umgekehrt.“ Um die Daten zu schützen, müssen sie gegen den unbefugten Zugriff gesichert werden. Und das erfordert ein hohes Maß an Sicherheit. Hacken Unbefugte das System zum Beispiel mit einem Verschlüsselungstrojaner und sind die Daten nicht auf Backup-Servern extern gesichert, hat das für Unternehmen fatale Auswirkungen. „Wenn ich da heutzutage nicht gut aufgestellt bin, kann es sein, dass mein Unternehmen eine ganze Woche lang lahm liegt oder auch große Schäden drohen“, erklärt Hendrik Sievers. Denn nicht nur, dass Unternehmen in so einem Fall nicht mehr in ihre eigenen Systeme gelangen, Hacker haben außerdem vollen Zugriff auf die gespeicherten Daten.
Für Unternehmen jedweder Größe macht es aus Sicht des Fachanwalts Sinn, einen Datenschutzbeauftragten zu bestellen. Vorgeschrieben ist der zwar erst ab einer Größe von 20 Angestellten; da sich aber auch kleine Unternehmen mit Datenschutz und Datensicherheit befassen müssen, ist es hilfreich, einen konkreten Ansprechpartner für diese Themen zu haben. Das reduziert auch den Aufwand für die Geschäftsführung.
Als Berufsgeheimnisträger mit gutem Beispiel vorangehen
Doch nicht nur für die Unternehmen, auch für Steuerberatungskanzleien selbst sind Datenschutz und Datensicherheit relevant. Zum einen verarbeiten Kanzleien selbst personenbezogene Daten, zum anderen sollten sie ihren Mandant:innen gegenüber mit gutem Beispiel vorangehen. „Steuerberater sollten Wege schaffen, Daten sicher auszutauschen“, erklärt Hendrik Sievers. Statt über den unsicheren Weg E-Mail, sollten Steuerkanzleien mit ihren Mandant:innen Daten über gesicherte Online-Plattformen versenden. Denn gehen Steuerberatungskanzleien professionell mit personenbezogen Daten um, stellen sie sich auch in der Außenwirkung gut dar. Schließlich sind Steuerberater:innen Berufsgeheimnisträger und können sich Vorfälle oder gar Skandale in Sachen Datenschutz nicht leisten.
Deshalb sind Steuerkanzleien auch dazu verpflichtet, ihre Mitarbeiter:innen für das Thema Datenschutz zu sensibilisieren und regelmäßig zu schulen – und darüber auch Nachweise vorzulegen. Nehmen die Angestellten zum Beispiel an dem E-Learning von Hendrik Sievers teil, kommen sie dieser Pflicht nach.
Alle Detailfragen klärt das E-Learning aufgrund seiner Länge zwar nicht. Aber Hendrik Sievers steht den Teilnehmenden in den regelmäßigen Live-Calls für eingehende Fragen zur Verfügung. Zudem wird die hsp academy regelmäßige Updates des Kurses anbieten, da sich die Rechtsgrundlage zum Thema Datenschutz ständig ändert. Für den Rechtsanwalt ist eines klar: „Datenschutz kann auch Spaß machen.“ Den Ärger, den das Thema vor allem auf den ersten Blick mit sich bringt, möchte er den angehenden Digitalisierungsberater:innen ersparen.
Paul ist Geschäftsführer der hsp und derjenige, der die Klappe hält. Seine Top-Themen: Medienbrüche mittels Software abschaffen. Verfahrensdokumentation, IKS, TCMS und weitere Compliance Themen. Sein aktuelles Projekt: Verrechnungspreisdokumentationen ohne Medienbrüche erstellen. Mittels Taxonomie.