Die Kosten für den Datenschutz in einer Steuerkanzlei werden in Zukunft deutlich steigen. Denn die Anforderungen, die die neue Datenschutz-Grundverordnung an Kanzleien stellt, sind teils erheblich. Auch wenn die Regelungen erst ab Mai 2018 in Kraft treten, muss jetzt schon einiges getan werden.

 

Bisher kam ein Mitarbeiter einer Steuerberaterkanzlei mit dem Kanzleidatenschutz kaum in Berührung. Nur bei der Aufnahme seiner Tätigkeit wurde er über das Datengeheimnis unterrichtet und auf das Datengeheimnis verpflichtet.

 

Das ändert sich ab 25.8.2018

Eine Kanzlei muss künftig jederzeit nachweisen können, dass sie über eine funktionierende Datenschutz-Organisation verfügt. Alle Mitarbeiter in einer Steuerberatungskanzlei müssen so geschult sein, dass sie in der Lage sind, ihre Datenschutzaufgaben zu erfüllen.

Bereits bekannte Datenschutz-Mechanismen werden in Zukunft wesentlich strenger ausgelegt und die Kanzlei sieht sich neuen Anforderungen gegenüber. Das sind insbesondere:

  • Die Anforderungen an die Datenschutz-Dokumentation durch die Rechenschaftspflicht erhöhen sich massiv.
  • Mit einer Erhebung personenbezogener Daten müssen die Kanzleien die neuen Transparenzpflichten umsetzen und deren Einhaltung im Rahmen von Kontrollen der zuständigen Aufsichtsbehörde nachweisen.
  • Im Rahmen der Informationssicherheit bei der Verarbeitung personenbezogener Daten muss ein Datenschutz-Risikomanagement etabliert sein und die Prinzipien des Privacy by Design und des Privacy by Default eingehalten werden. Des Weiteren ist die Einrichtung eines Verfahrens zur Meldung von Datenschutzvorfällen erforderlich.
  • Zu überprüfen sind alle Aufträge mit Dienstleistern, ob diese den neuen Anforderungen der Datenschutz-Grundverordnung entsprechen. Wurden die vorgeschriebenen Verträge bisher nicht geschlossen, so ist dies unbedingt nachzuholen. Sollten Vertragspartner nicht in der Lage sein, das erforderliche Datenschutz-Niveau zu erfüllen, muss sich die Kanzlei von diesen trennen.

Bei Verstößen gegen die Datenschutz-Grundverordnung drohen existenzbedrohliche Bußgelder von bis zu 20 Mio. EUR oder 4 % vom weltweiten Konzernumsatz.

 

Die Zeit drängt, bis Mai nächsten Jahres ist es nicht mehr weit und qualifizierte Berater rar gesät. Diese Schritte sollten Steuerberatungskanzleien deshalb jetzt einleiten. Sie müssen

  • sich mit den neuen Datenschutzregelungen vertraut machen;
  • einen Datenschutzbeauftragten berufen, soweit dies gesetzlich vorgeschrieben ist, und die Bestellung veröffentlichen und der zuständigen Datenschutz-Aufsichtsbehörde ab dem 25.5.2018 melden;
  • identifizieren und dokumentieren, welche personenbezogenen Daten sie verarbeiten, von wo die personenbezogenen Daten stammen und an wen sie weitergegeben werden;
  • für alle Verarbeitungen personenbezogener Daten die rechtlichen Erlaubnisnormen identifizieren und dokumentieren;
  • ihre bisherige Informationssicherheit um ein Datenschutz-Risikomanagement erweitern und die Grund­sätze des Privacy by Design und Privacy by Default einhalten;
  • Verfahren zum gesetzeskonformen Umgang mit Betroffenenrechten ausbilden und betreiben;
  • sicherstellen, dass sie Auskunftsanfragen von Betroffenen vollständig im vorgeschriebenen Zeitraum erteilen können;
  • die vorgeschriebenen Verträge zur Auftragsverarbeitung abgeschlossen haben und die datenschutzkonforme Leistungserbringung regelmäßig überprüfen;
  • bestehende Datenschutz-Erklärungen überprüfen und wenn notwendig aktualisieren. Die neuen Transparenzvorschriften sind unbedingt einzuhalten;
  • organisieren, wie sie Einwilligungen datenschutzkonform formulieren, einholen und archivieren;
  • sicherstellen, dass sie über entsprechende Mechanismen verfügen, um Datenlecks entdecken, behandeln und melden zu können;

müssen die eigenen Mitarbeiter so schulen, dass sie in der Lage sind, ihre Datenschutzaufgaben zu erfüllen. Die Schulungen sind zu dokumentieren.