Als PDF downloaden - Haufe.de
Als PDF downloaden - Haufe.de
Als PDF downloaden - Haufe.de
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
Interview<br />
„Datenschutz muss höchste Priorität haben“<br />
RA Dr. Nils Christian Haag verantwortet die Bereiche Datenschutz und<br />
IT-Compliance bei <strong>de</strong>r Intersoft Consulting Services AG aus Hamburg.<br />
SteuerConsultant: Wann müssen Kanzleichefs<br />
einen Datenschutzbeauftragten<br />
bestellen?<br />
RA Dr. Nils Christian Haag: Kanzleien müssen<br />
in <strong>de</strong>r Regel einen Datenschutzbeauftragten<br />
bestellen, wenn sie zehn o<strong>de</strong>r mehr<br />
Mitarbeiter beschäftigen.<br />
SteuerConsultant: Welche Gesetze und<br />
Bestimmungen sind hier maßgeblich?<br />
Haag: Steuerkanzleien müssen wie an<strong>de</strong>re<br />
Unternehmen <strong>de</strong>r Privatwirtschaft die Regelungen<br />
<strong>de</strong>s Bun<strong>de</strong>sdatenschutzgesetzes<br />
(BDSG) einhalten. Neben <strong>de</strong>m Stan<strong>de</strong>srecht<br />
sind weiter Spezialvorschriften zu beachten,<br />
beispielsweise das Telemediengesetz beim<br />
Betrieb einer Unternehmenswebseite o<strong>de</strong>r<br />
<strong>de</strong>s Kunsturhebergesetzes beim Veröffentlichen<br />
von Mitarbeiterfotos.<br />
SteuerConsultant: Was müssen Steuerberater<br />
beim Datenschutz beachten?<br />
Haag: Der Schutz <strong>de</strong>r Vertraulichkeit von<br />
Mandantendaten sollte für je<strong>de</strong> Steuerkanzlei<br />
höchste Priorität haben. Eine unbefugte<br />
Kenntnisnahme durch Dritte stellt nicht nur<br />
einen massiven Datenschutzverstoß dar,<br />
son<strong>de</strong>rn dürfte vor allem das Image je<strong>de</strong>r<br />
Kanzlei ernsthaft bedrohen.<br />
Zu empfehlen ist die Durchführung eines<br />
internen Datenschutz-Audits, um vorhan<strong>de</strong>ne<br />
Schwachstellen auszumachen und zu<br />
beseitigen. Oft fehlt es an erfor<strong>de</strong>rlichen<br />
Dokumenten zum Datenschutz, aber auch<br />
an technischen Schutzmaßnahmen. Auch<br />
Auslagerungen von Prozessen bei Fremdfirmen<br />
sind datenschutzrechtlich zu kontrollieren:<br />
Wer<strong>de</strong>n Mandantendaten durch<br />
externe Dienstleister verarbeitet, beispielsweise<br />
durch einen IT-Dienstleister o<strong>de</strong>r<br />
einen Aktenvernichter, sind diese vertraglich<br />
auf gewisse Datenschutzstandards zu<br />
verpflichten.<br />
SteuerConsultant: Was versteht man dabei<br />
unter einer internen und einer externen<br />
Lösung?<br />
Haag: Eine interne Lösung wäre die Bestellung<br />
eines eigenen Mitarbeiters zum<br />
Datenschutzbeauftragten. Hierbei sollte<br />
man jedoch beachten, dass Führungskräfte<br />
und IT-Verantwortliche nicht bestellt<br />
wer<strong>de</strong>n dürfen, da diese sich sonst selbst<br />
kontrollieren müssten. Eine externe Lösung<br />
be<strong>de</strong>utet die Bestellung eines Experten einer<br />
Fremdfirma in Verbindung mit einem Beratervertrag.<br />
Das BDSG lässt diese Variante<br />
explizit zu.<br />
SteuerConsultant: Wo liegen die Vorteile<br />
und Nachteile <strong>de</strong>r bei<strong>de</strong>n Lösungen?<br />
Haag: Ein interner Mitarbeiter wird häufig<br />
gewählt, weil die Kosten für einen externen<br />
Berater gescheut wer<strong>de</strong>n. Wenn man es<br />
mit <strong>de</strong>m Datenschutz jedoch ernst meint,<br />
geht diese Rechnung oft nicht auf. Denn<br />
bei einer internen Lösung wer<strong>de</strong>n nicht nur<br />
Kapazitäten eines Mitarbeiters gebun<strong>de</strong>n.<br />
Dieser muss sich einarbeiten, Literatur<br />
anschaffen und regelmäßig fortgebil<strong>de</strong>t<br />
wer<strong>de</strong>n, wodurch direkte Kosten entstehen.<br />
Datenschutz ist ein solches Spezialgebiet,<br />
welches selbst ein Rechtsanwalt mit zwei<br />
Staats examina nicht ohne größeren Mehraufwand<br />
bewältigen kann.<br />
Externe Datenschutzbeauftragte profitieren<br />
von <strong>de</strong>r Erfahrung aus <strong>de</strong>r Beratung<br />
verschie<strong>de</strong>ner Unternehmen. Im Datenschutz<br />
geht es oft darum, pragmatische<br />
Lösungen zu fin<strong>de</strong>n, die möglichst wenig in<br />
an<strong>de</strong>re Geschäftsabläufe eingreifen. Diese<br />
Lösungen können viele interne Datenschutzbeauftragte<br />
mangels Erfahrung oft<br />
nicht kennen, sodass viele dazu neigen,<br />
bestimmte Vorhaben aus Datenschutzgrün<strong>de</strong>n<br />
ganz zu verhin<strong>de</strong>rn.<br />
SteuerConsultant: Wo liegen die Fallstricke<br />
beim Thema Datenschutz?<br />
Haag: Nehmen wir nur mal das BDSG, dann<br />
drohen bei Verstößen Bußgel<strong>de</strong>r von bis zu<br />
300.000 Euro. In <strong>de</strong>r Praxis dürfte das größte<br />
Risiko für eine Steuerkanzlei jedoch darin<br />
bestehen, dass ein Datenschutzverstoß zu<br />
einer Rufschädigung führt. Verletzungen <strong>de</strong>s<br />
Datenschutzes sind ein dankbares Thema<br />
für Zeitungen und Blogs.<br />
SteuerConsultant: Welche Aspekte und<br />
Fragen sind beim Datenschutz wichtig?<br />
Haag: Technische Schutzmaßnahmen im<br />
Bereich <strong>de</strong>r IT sind Teil <strong>de</strong>r gesetzlichen<br />
Anfor<strong>de</strong>rungen <strong>de</strong>r Datenschutzgesetze<br />
und wer<strong>de</strong>n in vielen Kanzleien häufig noch<br />
nicht ernst genug genommen. Vertrauliche<br />
Daten wer<strong>de</strong>n oft ungeschützt per E-Mail<br />
versen<strong>de</strong>t und die eigenen IT-Systeme sind<br />
nicht ausreichend gegen Angriffe von außen<br />
geschützt.<br />
Beson<strong>de</strong>rs zu beachten sind also die Vertraulichkeit<br />
<strong>de</strong>r elektronischen Speicherung<br />
und Übermittlung von Daten, aber auch die<br />
Verfügbarkeit <strong>de</strong>r Daten durch Backups und<br />
weitere Maßnahmen <strong>de</strong>r Informationssicherheit.<br />
SteuerConsultant: Wie lauten die häufigsten<br />
Fragen für die Umsetzung <strong>de</strong>r<br />
Regeln im Kanzleialltag?<br />
Haag: Häufig geht es um die Frage, ob<br />
geson<strong>de</strong>rte Datenschutzvereinbarungen<br />
mit Mandanten geschlossen wer<strong>de</strong>n müssen.<br />
In <strong>de</strong>r Regel ist dies nicht erfor<strong>de</strong>rlich,<br />
da ein Steuerberater nicht weisungsgebun<strong>de</strong>n<br />
tätig ist und <strong>de</strong>shalb auch nicht nach<br />
§ 11 BDSG verpflichtet wer<strong>de</strong>n muss. An<strong>de</strong>rs<br />
ist es beispielsweise dann, wenn nur die<br />
Gehaltsabrechnungen für einen Mandanten<br />
versen<strong>de</strong>t wer<strong>de</strong>n.<br />
Was die technische Absicherung von Daten<br />
angeht, sollte er an die Verschlüsselung von<br />
Daten <strong>de</strong>nken, wenn diese auf Notebooks<br />
o<strong>de</strong>r USB-Sticks seine Kanzlei verlassen.<br />
www.steuer-consultant.<strong>de</strong><br />
2 _ 13 SteuerConsultant 47