Als PDF downloaden - Haufe.de
Als PDF downloaden - Haufe.de
Als PDF downloaden - Haufe.de
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
Der Gesetzgeber<br />
verpflichtet auch<br />
die Kanzleien dazu,<br />
sich mit <strong>de</strong>m Thema<br />
Datenschutz intensiv<br />
auseinan<strong>de</strong>rzusetzen.<br />
Prüfung <strong>de</strong>r Arbeitsabläufe<br />
und <strong>de</strong>r IT-Struktur in <strong>de</strong>r Kanzlei<br />
Die Zusammenarbeit startete mit einer Prüfung<br />
<strong>de</strong>r Arbeitsabläufe sowie <strong>de</strong>r IT-Struktur<br />
in <strong>de</strong>r Kanzlei. So wur<strong>de</strong> ein Turnus für <strong>de</strong>n<br />
Wechsel von Passwörtern eingeführt und die<br />
IT-Sicherheit verbessert. Mandantendaten liegen<br />
ausschließlich auf <strong>de</strong>m Kanzleiserver.<br />
Die Arbeitsplatzrechner, sogenannte Thin<br />
Clients, speichern keine Daten, son<strong>de</strong>rn nehmen<br />
Verbindung mit <strong>de</strong>m Windows Terminal<br />
Server auf. Dieser steht in einem verschlossenen,<br />
klimatisierten Raum mit Notstromversorgung,<br />
zu <strong>de</strong>m nur wenige Personen<br />
Zutritt haben. Dazu zählen die Mitarbeiter<br />
<strong>de</strong>s IT-Systempartners.<br />
Auch bei Fremdfirmen wie IT-Systempartnern,<br />
Reparaturdiensten o<strong>de</strong>r Aktenvernichtern<br />
wer<strong>de</strong>n Kanzleien per BDSG zu einer<br />
sorgfältigen Auswahl und einem schriftlichen<br />
Auftrag verpflichtet, in <strong>de</strong>m festgelegt wird,<br />
wie diese mit <strong>de</strong>n Daten umgehen müssen.<br />
„Wer hun<strong>de</strong>rtprozentigen Datenschutz will,<br />
darf wahrscheinlich keine Daten haben“,<br />
lautet die nüchterne Erkenntnis von StB<br />
Carsten Schulz. Dabei nutzt HSP eine zeitgemäße<br />
technische Infrastruktur. Sämtliche<br />
Notebooks verwen<strong>de</strong>n einen Fingerabdruck-<br />
Scanner zur I<strong>de</strong>ntifikation <strong>de</strong>s Nutzers. Daten<br />
wer<strong>de</strong>n auf <strong>de</strong>r Festplatte verschlüsselt abgelegt.<br />
Mandantendaten liegen im Rechenzentrum<br />
<strong>de</strong>r Datev.<br />
Bei <strong>de</strong>ren ASP-System gilt das Prinzip Besitz<br />
und Wissen: Der Anwen<strong>de</strong>r benötigt eine<br />
Smart Card, die mit einem USB-Anschluss<br />
verbun<strong>de</strong>n wird, zusätzlich gibt <strong>de</strong>r Nutzer<br />
sein Kennwort ein, um eine Verbindung zum<br />
Server aufzubauen. „Selbst wenn Rechner<br />
und Smart Card entwen<strong>de</strong>t wer<strong>de</strong>n, kann<br />
<strong>de</strong>r Dieb damit nichts anfangen“, sagt Schulz.<br />
Das gleiche Prinzip kommt bei Datev Net Pro<br />
Mobil zum Einsatz: Ist <strong>de</strong>r Steuerberater mit<br />
Smartphone und Tablet-PC unterwegs, muss<br />
er beispielsweise ein Kennwort eingeben.<br />
Der zweite Schlüssel für die Datenverbindung<br />
zum Server ist eine Nummer (TAN),<br />
die per SMS auf das Smartphone o<strong>de</strong>r Handy<br />
geschickt wird. „Wichtig ist, dass es sich um<br />
zwei getrennte Geräte han<strong>de</strong>lt“, so Schulz.<br />
Sicherheit in <strong>de</strong>r<br />
Kommunikation oft vernachlässigt<br />
So groß Datenschutz bei <strong>de</strong>r IT-Infrastruktur<br />
geschrieben wird, in <strong>de</strong>r Kommunikation<br />
mit <strong>de</strong>m Mandanten sieht es oft an<strong>de</strong>rs aus.<br />
E-Mails sind so offen wie Postkarten und<br />
viele Mandanten hängen Word- o<strong>de</strong>r Excel-<br />
Dateien mit persönlichen beziehungsweise<br />
geschäftlichen Daten dran. Die HSP Gruppe<br />
verschickt ihre Mails signiert, das be<strong>de</strong>utet,<br />
<strong>de</strong>r Empfänger kann sicher sein, von wem er<br />
o<strong>de</strong>r sie die elektronische Nachricht erhalten<br />
» Tipps für <strong>de</strong>n Datenschutz in <strong>de</strong>r Kanzlei<br />
StB Willy Klöcker seine Entscheidung, die<br />
<strong>de</strong>r Kanzleichef bereits vor sechs Jahren<br />
getroffen hat. Die Kanzlei Klöcker Ravenberg<br />
Meintrup aus <strong>de</strong>m nordrhein-westfälischen<br />
Ladbergen beschäftigt 16 Mitarbeiter. Bei <strong>de</strong>r<br />
Größe ist ein DSB Pflicht, doch will Klöcker<br />
nicht auf die Arbeitskraft eines Mitarbeiters<br />
verzichten, wenn sich dieser weiterbil<strong>de</strong>t<br />
beziehungsweise seiner Aufgabe als DSB<br />
widmet. Der externe DSB kommt regelmäßig<br />
nach Voranmeldung in die Kanzlei, bespricht<br />
mit <strong>de</strong>n Mitarbeitern aktuelle Themen und<br />
Neuerungen. Dabei bringt er Erfahrung und<br />
Wissen aus an<strong>de</strong>ren Unternehmen mit ein,<br />
wie diese die gesetzlichen Vorschriften in die<br />
Praxis umsetzen.<br />
Folgen<strong>de</strong> Punkte sollten Steuerkanzleien in<br />
Zusammenhang mit <strong>de</strong>m Datenschutz im Blick haben:<br />
Schriftliche Ernennung eines Datenschutzbeauftragten (ab <strong>de</strong>m 10. Mitarbeiter,<br />
BDSG §4 f.)<br />
Zugangsschutz bei allen Geräten per Kennwort beziehungsweise Fingerabdruck-<br />
Scanner (Laptop, Tischrechner, Smartphones, Tablet-PCs)<br />
Regelmäßige Än<strong>de</strong>rung <strong>de</strong>r Passwörter<br />
Datensicherung (Backups) und <strong>de</strong>ren Aufbewahrung (am besten außerhalb <strong>de</strong>r<br />
Kanzlei)<br />
Zugangskontrolle zum Server-Raum sowie <strong>de</strong>m Archiv<br />
Server in <strong>de</strong>r Kanzlei: unterbrechungsfreie Stromversorgung, Einbruch-, Brand- und<br />
Wasserschutz<br />
Server in einem Rechenzentrum: Referenzen, Qualitätssiegel wie z.B. ISO 27001<br />
zur IT-Sicherheit<br />
Datenvernichtung (digital und Papier) über Dienstleister o<strong>de</strong>r eigenen Schred<strong>de</strong>r<br />
(es existieren fünf Sicherheitsstufen)<br />
Internetrichtlinie: Private Mail- und Internetnutzung, Nutzung von Cloud-Speicherdiensten<br />
Zugangskontrolle zu <strong>de</strong>n Räumlichkeiten: besetzter Empfang<br />
Datenschutzhinweise auf <strong>de</strong>r Kanzleiwebsite (Cookies, Google-Analytics etc.)<br />
Regelung über telefonische Auskünfte<br />
Schriftliche Datenschutzvereinbarung für die Mitarbeiter<br />
Information an Mandanten über Art <strong>de</strong>r Datenverarbeitung und -speicherung<br />
Quelle: Autor<br />
www.steuer-consultant.<strong>de</strong><br />
2 _ 13 SteuerConsultant 45