Datenschutz Steuerberater Checkliste

Warum Datenschutz für Steuerberater existenziell wichtig ist

Steuerberaterkanzleien gehören zu den Berufsgruppen mit dem höchsten Datenschutzrisiko. Täglich verarbeiten Sie Einkommens- und Vermögensdaten, Kontoinformationen, Informationen über familiäre Verhältnisse und teils sogar Gesundheitsdaten Ihrer Mandanten. Ein Datenschutzverstoß kann nicht nur empfindliche Bußgelder nach sich ziehen, sondern auch das Vertrauensverhältnis zu Ihren Mandanten nachhaltig beschädigen.

Die Praxis zeigt, dass viele Steuerberaterkanzleien ihre Datenschutzpflichten noch nicht vollständig umgesetzt haben. Oftmals fehlt es an klaren Prozessen, dokumentierten Verfahrensverzeichnissen oder angemessenen technisch-organisatorischen Maßnahmen. Dabei ist die Umsetzung mit der richtigen Herangehensweise durchaus machbar.

Rechtliche Grundlagen für Steuerberater

DSGVO als zentraler Rechtsrahmen

Die Datenschutz-Grundverordnung (DSGVO) bildet den zentralen Rechtsrahmen für die Verarbeitung personenbezogener Daten in der gesamten Europäischen Union. Für Steuerberater sind insbesondere Artikel 6 (Rechtmäßigkeit der Verarbeitung), Artikel 32 (Sicherheit der Verarbeitung) und Artikel 37 (Bestellung eines Datenschutzbeauftragten) von besonderer Bedeutung.

Ergänzende nationale Regelungen

Neben der DSGVO gelten in Deutschland ergänzende Regelungen aus dem Bundesdatenschutzgesetz (BDSG). Besonders relevant ist hier § 38 BDSG, der die Bestellung eines Datenschutzbeauftragten für nicht-öffentliche Stellen regelt. Die Schwelle liegt bei 20 Personen, die ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind.

Berufsrechtliche Verschwiegenheitspflicht

Steuerberater unterliegen einer besonderen Verschwiegenheitspflicht. Diese berufsrechtliche Verpflichtung geht Hand in Hand mit den datenschutzrechtlichen Anforderungen und verstärkt die Notwendigkeit eines besonders sorgfältigen Umgangs mit Mandantendaten.

Pflicht zur Bestellung eines Datenschutzbeauftragten

Wann ist ein Datenschutzbeauftragter erforderlich?

Die Bestellungspflicht tritt ein, wenn in der Regel mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind. In Steuerberaterkanzleien ist diese Schwelle schnell erreicht, denn praktisch alle Mitarbeiter arbeiten täglich mit Mandantendaten in der Kanzleisoftware.

Interner oder externer Datenschutzbeauftragter?

Grundsätzlich können Sie einen Mitarbeiter zum internen Datenschutzbeauftragten bestellen oder einen externen Dienstleister beauftragen. Beide Varianten haben Vor- und Nachteile.

Ein interner Datenschutzbeauftragter kennt die Kanzleiabläufe bereits und ist vor Ort präsent. Allerdings benötigt er umfangreiche Schulungen, muss sich kontinuierlich weiterbilden und darf nicht in Interessenkonflikte geraten. 

Ein externer Datenschutzbeauftragter bringt die erforderliche Fachkunde bereits mit, haftet für seine Beratung und kann unabhängiger agieren. Zudem vermeiden Sie interne Rollenkonflikte und müssen keine Kapazitäten für Schulungen aufwenden.

Anforderungen an die Fachkunde

Der Datenschutzbeauftragte muss über die erforderliche Fachkunde verfügen. Dies umfasst fundierte Kenntnisse der DSGVO, des BDSG, der relevanten Rechtsprechung sowie technisch-organisatorisches Verständnis für IT-Sicherheitsmaßnahmen.

Verzeichnis von Verarbeitungstätigkeiten erstellen

Zweck und Bedeutung des Verarbeitungsverzeichnisses

Das Verzeichnis von Verarbeitungstätigkeiten ist das zentrale Dokumentationsinstrument im Datenschutz. Es verschafft Ihnen und der Aufsichtsbehörde einen systematischen Überblick über alle Datenverarbeitungsprozesse in Ihrer Kanzlei. Ohne ein vollständiges Verarbeitungsverzeichnis können Sie im Fall einer Datenschutzkontrolle nicht nachweisen, dass Sie die Anforderungen der DSGVO erfüllen. Das Verzeichnis ist daher nicht nur formale Pflicht, sondern ein praktisches Arbeitsinstrument für ein strukturiertes Datenschutzmanagement.

Pflichtangaben für jede Verarbeitungstätigkeit

Name und Kontaktdaten der Verantwortlichen: Ihre Kanzlei als verantwortliche Stelle sowie die Kontaktdaten Ihres Datenschutzbeauftragten.

Zwecke der Verarbeitung: Beispielsweise „Erstellung der Finanzbuchhaltung für Mandanten“ oder „Durchführung der Lohn- und Gehaltsabrechnung“.

Kategorien betroffener Personen: Mandanten, Arbeitnehmer der Mandanten, eigene Mitarbeiter, Bewerber, Lieferanten etc.

Kategorien personenbezogener Daten: Stammdaten, Kontaktdaten, Vertragsdaten, Zahlungsdaten, Einkommensdaten, bei Lohnabrechnungen auch Gesundheitsdaten.

Kategorien von Empfängern: An wen werden die Daten weitergegeben? Finanzämter, Sozialversicherungsträger, Banken, IT-Dienstleister, Rechenzentren.

Drittlandtransfers: Falls Daten in Länder außerhalb der EU übermittelt werden, müssen die Garantien dokumentiert werden.

Löschfristen: Wann werden die Daten gelöscht? Häufig orientiert sich dies an steuerrechtlichen Aufbewahrungsfristen.

Technisch-organisatorische Maßnahmen: Eine allgemeine Beschreibung der Sicherheitsmaßnahmen wie Verschlüsselung, Zugangskontrollen, Firewall-Systeme.

Verarbeitungstätigkeiten in Steuerberaterkanzleien

In Ihrer Kanzlei sollten Sie unter anderem folgende Verarbeitungstätigkeiten dokumentieren:

• Mandatsverwaltung und Korrespondenz
• Finanzbuchhaltung für Mandanten
• Lohn- und Gehaltsabrechnung
• Jahresabschlusserstellung
• Steuererklärungserstellung
• Betriebsprüfungsbegleitung
• Bewerbermanagement
• Personalverwaltung eigener Mitarbeiter
• Marketingmaßnahmen und Newsletter-Versand
• Website-Betrieb mit Kontaktformular
• Videokonferenz-Beratungen
• Archivierung und Datensicherung

Datenschutz-Folgenabschätzung bei Risikoverarbeitungen

Wann ist eine DSFA erforderlich?

Eine Datenschutz-Folgenabschätzung (DSFA) ist immer dann durchzuführen, wenn eine Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat. Dies ist insbesondere der Fall bei umfangreicher Verarbeitung sensibler Daten oder systematischer Überwachung.

Für Steuerberaterkanzleien ist eine DSFA typischerweise erforderlich bei:

• Umfangreicher Verarbeitung von Gesundheitsdaten im Rahmen der Lohnabrechnung
• Einsatz neuer Technologien wie KI-gestützter Dokumentenanalyse
• Videoüberwachung von Kanzleiräumen mit umfangreicher Erfassung
• Profiling-Maßnahmen für Marketingzwecke

Durchführung einer DSFA

Eine DSFA umfasst die systematische Beschreibung der Verarbeitungsvorgänge, eine Bewertung der Notwendigkeit und Verhältnismäßigkeit, eine Risikobewertung für die Betroffenen sowie die Beschreibung von Maßnahmen zur Risikominimierung. Der Prozess sollte dokumentiert und regelmäßig überprüft werden, wenn sich die Rahmenbedingungen ändern.

Auftragsverarbeitung rechtssicher gestalten

Wann liegt Auftragsverarbeitung vor?

Auftragsverarbeitung nach Art. 28 DSGVO liegt vor, wenn ein externer Dienstleister personenbezogene Daten in Ihrem Auftrag und nach Ihren Weisungen verarbeitet. Typische Auftragsverarbeiter in Steuerberaterkanzleien sind:

• Rechenzentren und Cloud-Anbieter für Kanzleisoftware
• IT-Dienstleister und Systemhäuser
• Aktenvernichtungsdienste
• Archivierungsdienstleister
• Videokonferenz-Anbieter
• Newsletter-Versanddienstleister
• Wartung und Support für IT-Systeme

Anforderungen an den Auftragsverarbeitungsvertrag (AVV)

• Gegenstand und Dauer der Verarbeitung
• Art und Zweck der Verarbeitung
• Art der personenbezogenen Daten und Kategorien betroffener Personen
• Pflichten und Rechte des Verantwortlichen
• Weisungsbefugnis des Verantwortlichen
• Vertraulichkeitsverpflichtung der Mitarbeiter des Auftragsverarbeiters
• Technisch-organisatorische Maßnahmen nach Art. 32 DSGVO
• Regelungen zur Inanspruchnahme von Subunternehmern
• Unterstützungspflichten bei Betroffenenanfragen
• Pflicht zur Löschung oder Rückgabe der Daten nach Vertragsende
• Prüfrechte und Nachweispflichten
• Haftungsregelungen

Technisch-organisatorische Maßnahmen umsetzen

Vertraulichkeit: Zugangs- und Zugriffskontrolle

Unbefugte dürfen keinen Zugang zu Ihren IT-Systemen und Räumlichkeiten erhalten. Setzen Sie daher folgende Maßnahmen um:

• Sichere Passwörter und regelmäßige Passwortwechsel
• Zwei-Faktor-Authentifizierung für Fernzugriffe
• Berechtigungskonzept mit Rollenvergabe
• Protokollierung von Zugriffen auf besonders sensible Daten
• Abschließbare Büroräume und Serverschränke
• Besucherregelung mit Begleitung betriebsfremder Personen
• Clean-Desk-Policy für Arbeitsplätze

Integrität: Schutz vor Manipulation

Ihre Daten müssen vor unbefugter Veränderung geschützt werden:

• Regelmäßige Datensicherungen (täglich, wöchentlich, monatlich)
• Versionierung von Dokumenten
• Berechtigungskonzept mit Schreibrechten nur für autorisierte Personen
• Einsatz von Verschlüsselungstechnologien
• Malware-Schutz und regelmäßige Updates

Verfügbarkeit: Schutz vor Datenverlust

Stellen Sie sicher, dass Ihre Systeme und Daten verfügbar bleiben:

• Redundante Systeme und Ausfallsicherungen
• Notfallplan für IT-Ausfälle
• Regelmäßige Tests der Datensicherungen
• Dokumentation der Wiederherstellungsverfahren

Belastbarkeit: Schnelle Wiederherstellung

Im Notfall müssen Sie die Datenverarbeitung schnell wiederherstellen können:

• Disaster-Recovery-Plan
• Alternative Arbeitsplätze bei Ausfall der Kanzleiräume
• Testläufe der Notfallszenarien

Mitarbeiterschulung und Sensibilisierung

Verpflichtung auf das Datengeheimnis

Alle Mitarbeiter müssen schriftlich auf die Vertraulichkeit verpflichtet werden. Diese Verpflichtung sollte bei der Einstellung erfolgen und gilt auch nach Beendigung des Arbeitsverhältnisses fort. Bewahren Sie die unterschriebenen Verpflichtungserklärungen in den Personalakten auf, um die Einhaltung nachweisen zu können.

Regelmäßige Datenschutzschulungen

Ihre Mitarbeiter müssen die Datenschutzanforderungen kennen und im Arbeitsalltag umsetzen können. Führen Sie daher mindestens jährlich Datenschutzschulungen durch.

Inhalte sollten sein:

• Grundprinzipien der DSGVO
• Umgang mit Mandantendaten im Kanzleialltag
• Erkennen von Phishing-Mails und Cyberangriffen
• Verhalten bei Datenpannen
• Betroffenenrechte und deren Umsetzung
• Besonderheiten bei der Verarbeitung sensibler Daten

Umgang mit Betroffenenrechten

Informationspflichten erfüllen

Mandanten müssen nach Art. 13 und 14 DSGVO umfassend über die Datenverarbeitung informiert werden. Dies erfolgt üblicherweise durch:

• Datenschutzerklärung auf der Website
• Datenschutzhinweise bei Vertragsabschluss
• Zusätzliche Informationen bei besonderen Verarbeitungssituationen

Die Informationen müssen in präziser, transparenter und leicht verständlicher Sprache formuliert sein.

Auskunftsansprüche bearbeiten

Mandanten haben das Recht, Auskunft über die sie betreffenden Daten zu erhalten. Sie müssen die Anfrage innerhalb eines Monats beantworten und dabei alle gespeicherten Daten strukturiert aufführen.

Berichtigungen, Löschungen und Einschränkungen

Betroffene können die Berichtigung unrichtiger Daten, die Löschung nicht mehr benötigter Daten oder die Einschränkung der Verarbeitung verlangen. Prüfen Sie jeden Antrag sorgfältig auf seine Berechtigung.

Praktische Checkliste für Ihre Datenschutz-Compliance

Organisatorische Grundlagen

• Datenschutzbeauftragten bestellen (intern oder extern)
• Verzeichnis von Verarbeitungstätigkeiten erstellen und aktuell halten
• Datenschutz-Folgenabschätzung für Risikoverarbeitungen durchführen
• Datenschutzkonzept schriftlich dokumentieren
• Löschkonzept erstellen und umsetzen

Verträge und Dokumentation

• Auftragsverarbeitungsverträge mit allen Dienstleistern abschließen
• Mitarbeiter auf Datengeheimnis verpflichten
• Datenschutzerklärung auf Website veröffentlichen und aktualisieren
• Informationspflichten bei Mandatsbeginn erfüllen
• Einwilligungserklärungen für Newsletter und Marketing einholen

Technische Sicherheit

• Zugangs- und Zugriffskontrollen einrichten
• Verschlüsselung für E-Mails und Datenträger nutzen
• Firewall und Virenschutz implementieren
• Regelmäßige Datensicherungen einrichten und testen
• Passwortrichtlinien festlegen und durchsetzen
• Zwei-Faktor-Authentifizierung aktivieren

Mitarbeiter und Prozesse

• Jährliche Datenschutzschulungen durchführen
• Prozesse für Betroffenenrechte etablieren
• Notfallplan für Datenpannen erstellen
• Datenpannen-Dokumentation führen
• Regelmäßige Kontrolle der Auftragsverarbeiter

Website und Onlinemarketing

• Cookie-Consent-Tool rechtskonform einrichten
• Social-Media-Integration datenschutzfreundlich gestalten
• Kontaktformulare mit SSL-Verschlüsselung sichern
• Analytics-Tools datenschutzkonform konfigurieren

Datenschutz als Vertrauensfaktor und Wettbewerbsvorteil

Datenschutz in der Steuerberatung ist keine lästige Pflicht, sondern eine Chance, sich als vertrauenswürdiger Partner zu positionieren. Mandanten vertrauen Ihnen ihre sensibelsten Daten an – ein professionelles Datenschutzmanagement zeigt, dass Sie dieses Vertrauen ernst nehmen.

Die Umsetzung der Datenschutzanforderungen mag zunächst aufwändig erscheinen, lässt sich aber mit strukturiertem Vorgehen und der richtigen Unterstützung effizient bewältigen. Wichtig ist, nicht alle Anforderungen gleichzeitig perfektionieren zu wollen, sondern pragmatisch die kritischen Bereiche prioritär anzugehen.

Als Fachanwalt für IT-Recht und zertifizierter Datenschutzbeauftragter (TÜV) unterstütze ich Steuerberaterkanzleien dabei, Datenschutz-Compliance praxisnah und effizient umzusetzen. Gemeinsam entwickeln wir Lösungen, die zu Ihrer Kanzlei passen und gleichzeitig rechtssicher sind.

Vereinbaren Sie gerne ein Erstgespräch, in dem ich Ihre individuelle Situation analysiere und Ihnen konkrete Handlungsempfehlungen gebe. Eine Rückmeldung erhalten Sie in der Regel innerhalb eines Werktags.

Häufig gestellte Fragen