Datenschutz in einer Steuerungsberatungskanzlei: Wohl oder Übel

Das Thema Datenschutz ist nicht nur für Unternehmen, sondern auch für Steuerberatungskanzleien eine eher unangenehme Pflicht. Viele Kanzleiinhaber wissen in groben Zügen um die rechtlichen Anforderungen, trösten sich aber damit, dass andere Kollegen das Thema auch nicht mit erster Priorität oder gar nicht behandeln. Auch gibt es die Stellungnahme der Bundesrechtsanwaltskammer, die hinsichtlich der mandatsbezogenen Informationsverarbeitung keine Verpflichtung zur Stellung eines Beauftragten für Datenschutz annimmt. In Anbetracht der gesetzlichen Sanktionen erscheint eine solche Haltung allerdings nicht angezeigt.

 

Die gesetzlichen Vorgaben, insbesondere im Bundesdatenschutzgesetz (BDSG), geben dem Betroffenen verschiedene Möglichkeiten, den Umgang mit personenbezogenen Daten selbst zu kontrollieren. Der Betroffene hat Rechtsansprüche auf Auskunft bezüglich seiner Daten (§ 34 BDSG), Benachrichtigung (§§ 4, 33 Abs. 1 BDSG), Berichtigung, Sperrung oder Löschung (§ 35 BDSG), Widerspruch und darüber hinaus einen Schadensersatzanspruch (§ 7 BDSG). Er kann sich zur Durchsetzung seiner Rechte an die Datenschutzaufsichtsbehörde, an ein Zivilgericht zur gerichtlichen Geltendmachung seiner Ansprüche oder auch an die Strafverfolgungsbehörden wenden. Die Datenschutzaufsichtsbehörden können verschiedene Maßnahmen ergreifen, um Datenschutzverstöße zu ahnden. Neben der Beanstandung gegenüber der verantwortlichen Stelle und der Unterrichtung der Betroffenen besteht die Möglichkeit, ein Bußgeldverfahren durchzuführen oder Strafantrag zu stellen. Das zeigt, dass der Gesetzgeber durchaus Wert darauf legt, dass die datenschutzrechtlichen Vorgaben in allen nicht-öffentlichen Bereichen auch umgesetzt werden.

 

 

Datenschutz im Überblick

Dreh- und Angelpunkt der datenschutzrechtlichen Vorschriften ist der Schutz personenbezogener Daten. Daten sind alle Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person. Dazu gehören die Adresse, das Alter, das Geburtsdatum oder auch das Einkommen. Daten sind nicht nur die Personaldaten, sondern umfassen einen viel größeren Bereich von Einzelangaben. Nicht geschützt werden Daten von juristischen Personen, beispielsweise einer GmbH oder eines eingetragenen Vereins. Das Bundesdatenschutzgesetz will die persönlichen Daten, insbesondere im Rahmen der elektronischen Datenverarbeitung, schützen. Im Bereich einer Steuerberatungskanzlei sind dies insbesondere die Daten der Mandanten, von Familienangehörigen, Mitarbeitern, Lieferanten des Steuerberaters. Die letzte Reform des Datenschutzrechtes hat den Anwendungsbereich des Bundesdatenschutzgesetzes ausgeweitet. sind gem. § 2 Abs. 4 BDSG eine „nicht-öffentliche Stelle“ und damit Adressat des BDSG.

 

 

Grundprinzipien

Im Datenschutz gelten mehrere Grundprinzipien. Wichtig ist das so genannte „Verbotsprinzip“. Grundsätzlich geht das BDSG immer von einem Verbot mit Erlaubnisvorbehalt aus. Das heißt in der Praxis, dass die Erhebung, Verarbeitung oder Nutzung von Daten zunächst einmal verboten ist. Sie ist nur zulässig, wenn entweder eine Erlaubnis durch ein Gesetz, eine Erlaubnis durch eine andere Rechtsvorschrift oder eine Einwilligung des Betroffenen vorliegt. Bei der Einwilligung des Betroffenen legt § 4 a BDSG weitere Details fest. Beispielsweise wird gefordert, dass die Einwilligung in den meisten Fällen schriftlich abgegeben wird. Darüber hinaus ist der Betroffene über die Tragweite seiner Einwilligung aufzuklären. Wenn die Einwilligung im Rahmen anderer Erklärungen mit abgegeben wird, so verlangt das Gesetz eine besondere Heraushebung dieser Erklärung.

 

Ein weiteres Prinzip des Datenschutzes ist das Gebot der Datenvermeidung und Datensparsamkeit, wie dies in § 3 a BDSG festgelegt ist. In einer Steuerberatungskanzlei dürfen daher nur erhoben und verarbeitet werden, die für die jeweilige Mandatsbearbeitung erforderlich sind. Weiterhin erwartet das BDSG, dass beim Betroffenen zu erheben sind (§ 4 Abs. 2 BDSG). Daraus ergeben sich insbesondere Informationspflichten gegenüber Betroffenen, deren Daten erhoben werden. In den meisten Fällen muss allerdings ein Steuerberater aufgrund des Mandatsverhältnisses nicht gesondert über die Erhebung entsprechender Daten informieren. Allerdings ist dabei zu beachten, dass weitergehende Auswertungen personenbezogener Daten eine entsprechende Einwilligung des Betroffenen bedürfen. Das Gesetz geht diesbezüglich von einer Zweckbindung der personenbezogenen Daten aus.

 

 

Datenschutz und Verschwiegenheit

Gemäß § 57 StBerG gehört es zu den allgemeinen Berufspflichten eines Steuerberaters
oder Steuerbevollmächtigten, dass er seinen Beruf verschwiegen ausübt. Darüber hinaus hat ein Steuerberater oder Steuerbevollmächtigter gem. § 62 StBerG seine Gehilfen, die nicht selbst Steuerberater oder Steuerbevollmächtigte sind, ebenfalls zur Verschwiegenheit zu verpflichten. Die strafrechtlichen Konsequenzen einer Verletzung der Verschwiegenheit sind in § 203 StGB aufgezeigt. Diese Verschwiegenheitsverpflichtungen bestehen neben den Verpflichtungen aus dem . Das regelt die Behandlung von personenbezogenen Daten, die Verschwiegenheitspflicht als allgemeine Berufspflicht umfasst alle Informationen, die ein Steuerberater oder Steuerbevollmächtigter erhält.

 

In einem Schreiben der Bundessteuerberaterkammer vom 09.03.2005 wird zur Anwendbarkeit des Bundesdatenschutzgesetzes auf Steuerberater und Steuerbevollmächtigte Stellung genommen. Unter Bezugnahme auf die Veröffentlichungen der Bundesrechtsanwaltskammer hatte die Bundessteuerberaterkammer den Bundesbeauftragten für Datenschutz um eine entsprechende Stellungnahme gebeten. Der Bundesdatenschutzbeauftragte geht davon aus, dass die Vorschriften des BDSG nur dann verdrängt werden, wenn abweichende spezialgesetzliche Vorschriften den Umgang mit personenbezogenen Daten regeln.

 

Nach seiner Auffassung ist dies bei der Bundesrechtsanwaltsordnung nicht der Fall, so dass der Bundesdatenschutzbeauftragte zu einer gegenteiligen Auffassung als die Bundesrechtsanwaltskammer kommt. In der Empfehlung der Bundessteuerberaterkammer wird darauf hingewiesen, dass zwischen den beteiligten Standesorganisationen eine einheitliche Auffassung erarbeitet werden soll. Die Bundessteuerberaterkammer empfiehlt zunächst die Anwendung des Bundesdatenschutzgesetzes für Steuerberatungskanzleien.

 

 

Bestellung eines Datenschutzbeauftragten

Gemäß § 4 f. BDSG haben nicht-öffentliche Stellen einen Datenschutzbeauftragten zu bestellen, wenn mehr als vier Personen mit der Erhebung, Verarbeitung oder Nutzung personenbezogener Daten beschäftigt sind. In vielen Steuerberatungskanzleien sind die Mitarbeiter mit der Lohn- und Gehaltsabrechnung für Mandanten und den Steuersachen von Privatpersonen befasst, so dass diese zahlenmäßige Schwelle meist überschritten ist. Sollte eine Steuerberatungskanzlei Außenstellen oder Filialen haben, so ist die Kanzlei als Ganzes zu sehen. Für die Filialen und Außenstellen ist kein eigener Datenschutzbeauftragter zu bestellen. Der Inhaber der Kanzlei ist bei der Zählung nicht mit zu berücksichtigen.

 

Da das Gesetz nicht zwischen Vollzeitbeschäftigten und Teilzeitkräften differenziert, ist die „Kopfzahl“ der beschäftigten Arbeitnehmer entscheidend. Die Qualifikation ist bei der Betrachtung der gesetzlichen Voraussetzungen für die Bestellung eines Datenschutzbeauftragten nicht von Bedeutung.

 

 

Gesetzliche Anforderungen

In § 4 f Abs. 2 BDSG wird beschrieben, welche Voraussetzungen ein Datenschutzbeauftragter haben soll. Das BDSG formuliert dies so:

 

„Zum Beauftragten für den Datenschutz darf nur bestellt, wer die zur Erfüllung seiner Aufgaben erforderliche Fachkunde und Zuverlässigkeit besitzt.“

 

Es wird erwartet, dass der Datenschutzbeauftragte die datenschutzrechtlich relevanten Regelungen kennt und auch praktisch anwenden kann. Das Gesetz hat keine bestimmte Ausbildungsverordnung oder einen Ausbildungsstandard festgelegt. Der Datenschutzbeauftragte muss sich über die Entwicklung im Datenschutz und in der Datensicherheit laufend informieren. Mit dem Kriterium „Zuverlässigkeit“ verbindet das BDSG die Anforderung einer sorgfältigen und gründlichen Arbeitsweise. Darüber hinaus soll der Datenschutzbeauftragte auch gegenüber dem Steuerberater oder Steuerbevollmächtigten die datenschutzrechtlichen Belange vertreten können.

 

Im Schreiben der Bundessteuerberaterkammer vom 09.03.2005 wird ein älterer Hinweis widerrufen, dass auch der Inhaber einer Steuerberatungspraxis sich zum Datenschutzbeauftragten bestellen kann. Diese Empfehlung war kein guter Ratschlag der Bundessteuerberaterkammer. Ein Datenschutzbeauftragter soll keinen Interessenkollisionen ausgesetzt sein, die sich aus seinen anderen Aufgaben ergeben. Damit scheiden beispielsweise EDV-Leiter oder Arbeitnehmer des EDV-Dienstleisters aus, der die IT-Infrastruktur der Steuerberatungskanzlei betreut. Auch von der Bestellung des Ehegatten oder von Verwandten des Kanzleiinhabers ist unter diesem Gesichtspunkt abzuraten.

 

 

Aufgaben des Datenschutzbeauftragten

Zu den Aufgaben des Beauftragten für den Datenschutz gehört u.a. die Überwachung der ordnungsgemäßen Anwendung der Datenverarbeitungsprogramme, mit deren Hilfe personenbezogene Daten verarbeitet werden sollen. Das Gesetz verlangt vom Inhaber einer Steuerberatungskanzlei, dass er den Datenschutzbeauftragten rechtzeitig über Vorhaben der automatisierten Verarbeitung personenbezogener Daten unterrichtet. Weiterhin soll der Beauftragte für den Datenschutz die bei der Verarbeitung personenbezogener Daten tätigen Personen durch geeignete Maßnahmen mit den Vorschriften des BDSG sowie anderen Vorschriften des Datenschutzes vertraut machen. Damit wird deutlich, dass neben den rechtlichen Kenntnissen gewisse technische Kenntnisse Voraussetzung sind, um die Aufgabe als Datenschutzbeauftragter sinngebend auszufüllen.

 

Betrieblich ist der Datenschutzbeauftragte dem Inhaber der Steuerberatungskanzlei unmittelbar zu unterstellen und in der Ausübung seiner Tätigkeit im Gebiet des Datenschutzes weisungsfrei. Er darf wegen der Erfüllung seiner Aufgaben nicht benachteiligt werden.

 

 

Auftragsdatenverarbeitung

§ 11 BDSG enthält Einzelheiten zur so genannten Auftragsdatenverarbeitung. Häufig werden bestimmte Tätigkeiten outgesourct. Typische Beispiele sind die vom Steuerberater für seine Mandanten durchgeführten Gehaltsabrechnungen. Das Gesetz geht in § 11 Abs. 1 BDSG davon aus, dass bei einer Auftragsdatenverarbeitung der Auftraggeber für die Einhaltung der Vorschriften des BDSG und anderer Vorschriften über den Datenschutz verantwortlich ist. Dieser Verantwortung wird er dadurch gerecht, dass er einen schriftlichen Auftrag erteilt, der Festlegungen zur Datenerhebung, Verarbeitung und Nutzung enthält und die technischen und organisatorischen Maßnahmen zur Datensicherheit festlegt. Nur auf Weisungen des Auftraggebers darf der Auftragnehmer die Daten erheben, verarbeiten oder nutzen.

 

Es ist allerdings umstritten, ob diese Regelung so auf eine Auftragsdatenverarbeitung durch einen Steuerberater anzuwenden ist. Der Steuerberater wird in den meisten Fällen die Gehaltsabrechnung eigenverantwortlich durchführen und keine weisungsgebundene Tätigkeit übernehmen. Insoweit wird die Auffassung vertreten, dass bei entsprechenden Konstellationen nicht der Auftraggeber und Mandant für die Einhaltung der datenschutzrechtlichen Vorgaben verantwortlich ist, sondern der Steuerberater.

 

 

Extern oder intern

Immer wieder stellt sich die Frage, ob eine externe Beauftragung eines Datenschutzbeauftragten sinnvoll ist. Im Schreiben der Bundessteuerberaterkammer vom 09.03.2005 wird darauf hingewiesen, dass eine externe Beauftragung durchaus möglich ist und der Pflicht zur Verschwiegenheit nicht widerspricht. Die Bundessteuerberaterkammer verweist auf einen Besuch des Bundesbeauftragten für den Datenschutz, der diesen Standpunkt in Gesprächen so vertreten hat.

 

Die Bundessteuerberaterkammer empfiehlt bei der Bestellung einer externen Datenschutzbeauftragung eine gewisse Zurückhaltung. Dies gilt auch, wenn der Datenschutzbeauftragte ein kanzleifremder Steuerberater ist. Ihre Auffassung begründet die Kammer damit, dass bei etwaigen Haftungsansprüchen gegen den Kanzleiinhaber, die aus der Tätigkeit des externen Datenschutzbeauftragten resultieren, die Vermögensschaden-Haftpflichtversicherung und auch die Police des externen Steuerberater-Datenschutzbeauftragten solche Schäden nicht umfasst. Wenn dagegen Schäden von Mitarbeitern der Kanzlei in ihrer Eigenschaft als interner Datenschutzbeauftragter begangen werden, so besteht ein entsprechender Versicherungsschutz.

 

Allerdings arbeiten einige Steuerberaterkammern mit entsprechenden Unternehmen zusammen und fördern die Bestellung von externen Datenschutzbeauftragten. Dabei ist die Frage zu klären, ob ein Zugriffsrecht des externen Datenschutzbeauftragten auf mandantenbezogene Daten wegen des Berufsgeheimnisses ausdrücklich zu beschränken ist. Hier bestehen zurzeit unterschiedliche Rechtsauffassungen. Beispielsweise vertritt die Mehrheit der Datenschutzaufsichtsbehörden zusammen mit der Bayerischen Datenschutzaufsichtsbehörde die Auffassung, dass die Verschwiegenheitspflicht des Steuerberaters gegenüber seinem externen Datenschutzbeauftragten nicht besteht. Nach dieser Auffassung kann der externe Datenschutzbeauftragte im Rahmen seiner Aufgabenerfüllung auch Mandantendaten einsehen. Wenn man der gegenteiligen Auffassung folgt, so müsste jeweils zur Einsichtnahme in die Mandantendaten die Einwilligung der Betroffenen eingeholt werden. Dies ist in der Praxis sicherlich eine organisatorische Hürde.

 

Der Vorteil eines externen Datenschutzbeauftragten ist die schnelle und unproblematische Verfügbarkeit des technischen und rechtlichen Know-hows. Auch werden insbesondere bei kleineren Steuerberatungskanzleien Interessenkollisionen vermieden. Wird ein eigener interner Datenschutzbeauftragter bestellt, so wird dies in den meisten Fällen ein angestellter Steuerberater sein. Dann ist für eine zuverlässige Funktionserfüllung dem Datenschutzbeauftragten ausreichend Zeit zur Erfüllung seiner Aufgaben zur Verfügung zu stellen. Auch muss der Kanzleiinhaber darauf achten, dass sich der Mitarbeiter die entsprechende Fachkunde aneignet. Dies kann u.a. durch Datenschutz-Lehrgänge erfolgen, die zum Teil von den Mitgliedsverbänden des Deutschen Steuerberaterverbandes e.V. angeboten werden.

 

Zu der Frage, ob eine interne oder externe Lösung kostengünstiger ist, lässt sich keine allgemein gültige Aussage treffen. Dies hängt zum einen vom Umfang der Tätigkeit des Datenschutzbeauftragten ab, zum anderen von der Frage, ob ein Mitarbeiter bereits die nötige Fachkunde hat oder zumindest über technische und rechtliche Grundkenntnisse verfügt.

 

 

Zusammenfassung

Nach Auffassung der Bundessteuerberaterkammer ist bis zur endgültigen Klärung davon auszugehen, dass auf Steuerberater und Steuerbevollmächtigte das BDSG Anwendung findet. Dann besteht auch eine Pflicht, einen externen oder internen Datenschutzbeauftragten zu bestellen. Damit sind weitere organisatorische Maßnahmen verbunden. Es empfiehlt sich, das Thema Datenschutz dabei nicht isoliert anzugehen, sondern in diesem Zusammenhang ein Gesamtkonzept für die IT-Sicherheit für die eigene Kanzlei zu entwickeln. Weiterführende Informationen sind beim Bundesamt für die Sicherheit in der Informationstechnologie (www.bsi.de) zu finden.

 

 

 
1 Star2 Stars3 Stars4 Stars5 Stars (Noch keine Bewertungen)
Loading...

Rechtsanwalt Thomas Feil in den Medien

Schreibe einen Kommentar
Deine E-Mail-Adresse wird nicht veröffentlicht.

Sie können folgende HTML-Tags benutzen:

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> 

*
*