06.10.2020 | Bilanz und Steuern | ID: 1075164

Datenschutz im Steuerrecht: Was ist zu beachten?

Albert Scherzer

Auch Steuerberater und Anwälte unterliegen grundsätzlich der DSGVO. Erfahren Sie in diesem Beitrag, welche Pflichten Steuerberater hinsichtlich des Datenschutzes treffen.

Seit dem 25. Mai 2018 ist die bereits am 24. Mai 2016 in Kraft getretene europäische Datenschutz-Grundverordnung (DSGVO) die zentrale Grundlage. Trotz einer zweijährigen Übergangszeit bestehen bei vielen Steuerberatungskanzleien weiterhin Unklarheiten im Hinblick auf die Anwendbarkeit des Datenschutzes sowie die erforderlichen Maßnahmen zum Schutz personenbezogener Daten.

Zahlreiche Steuerberater vertraten die Ansicht, die DSGVO wäre aufgrund der ohnehin bestehenden standesrechtlichen Geheimhaltungspflichten nicht auf sie anwendbar. Doch unabhängig von besonderen Berufspflichten gelten die Regelungen für jede natürliche oder juristische Person, die eigenverantwortlich oder im Auftrag eines Dritten personenbezogene Daten zumindest teilweise automatisiert verarbeitet (zB mittels Computersystemen). Dies wäre schon dann gegeben, wenn ein Berufsanwärter Daten in eine Tabelle eintippt. Folglich erfasst die DSGVO auch Steuerberater.

Datenschutzrelevante Tätigkeiten von Steuerberatern

• Verarbeitung von Klientendaten zur Erstellung der ordnungsgemäßen Buchhaltung und Verwaltung der offenen Posten
• Verarbeitung der Klientendaten zum Zwecke der Lohnverrechnung
• Verarbeitung der Klientendaten zum Zwecke der Beratung und Rechnungslegung

Steuerberater sind Verantwortliche

Dies lässt sich von der DSGVO beziehungsweise eigenverantwortlichen Entscheidungsbefugnis und Weisungsfreiheit ableiten. In der Zusammenarbeit mit Kunden werden Steuerberater als Verantwortliche tätig. Es ist daher keine Vereinbarung zur Auftragsverarbeitung abzuschließen, sondern es gelten die strengen Sorgfaltsmaßstäbe für Verantwortliche.

Die Datenschutzbehörde hat diesen Umstand gegenüber der Kammer der Steuerberater und Wirtschaftsprüfer (KSW) bestätigt. Dies gilt sogar dann, wenn Steuerberater lediglich als Lohnverrechner für Klienten tätig werden. Dabei hat die Datenschutzbehörde auf eine kürzlich veröffentlichte rechtskräftige Entscheidung verwiesen (DSB-D122.767/0001-DSB/2018).

Diese Pflichten sind vom Verantwortlichen zu erfüllen

Der Verantwortliche ist für den kompletten Datenverarbeitungsvorgang verantwortlich und muss auch in der Lage sein, den Nachweis zu erbringen, dass er sämtliche Pflichten erfüllt. Er fungiert als erster Ansprechpartner für betroffene Personen und Behörden.

Zusammenfassung der einzelnen Pflichten

• Informationspflichten gegenüber den betroffenen Personen
• Erledigung der Anträge und Anfragen bzgl Betroffenenrechte
• Integration geeigneter technischer und organisatorischer Maßnahmen: Hierfür muss auch ein Nachweis erbracht werden können. Er ist daher für die Implementierung der Datensicherheitsmaßnahmen sowie den Datenschutz durch Technikgestaltung verantwortlich.
• Er und seine Vertreter müssen ein Verzeichnis aller Datenverarbeitungstätigkeiten führen, die ihrer Zuständigkeit unterliegen. Eine Verpflichtung zur Zusammenarbeit mit der Aufsichtsbehörde besteht auf Anfrage.
• Im Falle einer Datenschutzverletzung muss der Verantwortliche unverzüglich (spätestens in 72 Stunden) eine Meldung an die Aufsichtsbehörde durchführen (mit Ausnahmen)
• Der Verantwortliche hat Risikoanalysen der Datenanwendungen durchzuführen.
• Ein Datenschutzbeauftragter ist zu bestellen, falls die Kerntätigkeit des Unternehmers eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich macht oder in der umfangreichen Verarbeitung besonderer Kategorien von Daten oder von Daten über strafrechtliche Verurteilungen und Straftaten

Dürfen Steuerberater Steuerakte überhaupt noch per E-Mail verschicken?

E-Mails müssen auf Basis der DSGVO nicht zwingend verschlüsselt versendet werden. Unverschlüsselte E-Mails bieten jedoch keine hinreichende Datensicherheit und können von Dritten unter Umständen mitgelesen werden. Dringend zu empfehlen ist daher die Verschlüsselung bei der Weitergabe von heiklen Daten wie Bankverbindungen, Kreditkartendaten und Ähnlichem.