Brennpunkte im Kanzleidatenschutz

Trennlinie

Brennpunkte im Kanzleidatenschutz

Das Bundesdatenschutzgesetz (BDSG) gilt in seiner jetzigen Form seit 2001 für alle Kanzleien.  In den letzten 15 Jahren hat sich die Technik ständig weiterentwickelt und somit sind auch die Anforderungen an die Informationssicherheit stetig gestiegen. In diesem Beitrag sollen einige  aktuelle Brennpunkte im Kanzleidatenschutz betrachtet werden.

Ein Beitrag von Stephan Rehfeld, Geschäftsführer der scope & focus Service-Gesellschaft Freie Berufe mbH, 23.5.2016

2 Kanzleidatenschutz

Steuerkanzleien sind nicht-öffentliche Stellen im Sinne des BDSG, die grundsätzlich die datenschutzrechtlichen Regelungen des BDSG einhalten und umsetzen müssen. Die gesetzlich vorgeschriebenen Tätigkeiten im Kanzleidatenschutz müssen durch die Steuerberatungskanzlei umgesetzt werden. Dazu gehören:

  • Prüfung der datenschutzrechtlichen Zulässigkeit von Datenverarbeitungen vor Beginn der Verarbeitung
  • Durchführung von Vorabkontrollen
  • Mitarbeiterunterrichtung und –verpflichtung auf das Datengeheimnis
  • Führen von Verfahrensverzeichnissen
  • Gewährleistung der Betroffenenrechte
  • Einhaltung der Anforderungen an Datenübermittlungen und die Auftragsdatenverarbeitung
  • Auswahl und Umsetzung der erforderlichen Informationssicherheitsmaßnahmen
  • Bestellung eines Kanzleidatenschutzbeauftragten, soweit erforderlich

2.1 Subsidiarität des Datenschutzrechts

Das Berufsrecht der Steuerberater ist im Verhältnis zum Datenschutzrecht lex specialis und in Steuerkanzleien bei datenschutzrechtlichen Prüfungen daher grundsätzlich vorrangig zu beachten. Der Kanzleidatenschutz ist regelmäßig wesentlich schärfer ausgestaltet als der Datenschutz in Unternehmen.

2.2 Verfahrensverzeichnis

Das BDSG fordert von nicht-öffentlichen Stellen nur einen geringen Umfang an Pflichtdokumentationen. Das öffentliche und das interne Verfahrensverzeichnis gehören zum Kanon der datenschutzrechtlichen Pflichtdokumente. Obwohl das interne Verfahrensverzeichnis die Grundlage für die Arbeit eines Kanzleidatenschutzbeauftragten ist, wird es in der Praxis häufig nicht oder nur sehr rudimentär geführt.

Das öffentliche Verfahrensverzeichnis kann jederzeit von jedermann angefordert werden. Die Steuerkanzlei hat auf eine solche Anforderung innerhalb eines angemessenen Zeitraumes zu reagieren und die Informationen bereitzustellen. Geschieht dies nicht, kann sich die anfragende Person an die zuständige Aufsichtsbehörde wenden, um ihr Interesse durchzusetzen.

Insbesondere im Hamburger Raum wurde beobachtet, dass auch ein Verband auch von Steuerkanzleien öffentliche Verfahrensverzeichnisse anforderte. Konnte das öffentliche Verfahrensverzeichnis von den betroffenen Kanzleien nicht innerhalb von vier Wochen vorgelegt werden, schlug der Verband vor, sich einvernehmlich zu einigen  oder die Anfrage an die zuständige Aufsichtsbehörde weiterzuleiten. Die hamburgische Aufsichtsbehörde gab im konkreten Fall Auskunft, dass die Geschäftsaktivitäten des Verbandes bekannt seien, sie aber gezwungen sei, etwaigen Hinweisen des Verbandes nachzugehen.  

2.3 Auftragsdatenverarbeitung – Kanzlei als Auftraggeber

Werden von Dritten personenbezogene Daten im Auftrag einer Steuerkanzlei erhoben, verarbeitet oder genutzt, so ist dies regelmäßig eine Auftragsdatenverarbeitung (ADV). Die Kanzlei ist dann Auftraggeber und muss die Anforderungen an einen solchen Vertrag aus § 11 BDSG beachten. Ein solches Auftragsverhältnis besteht zum Beispiel bei der Vernichtung von Datenträgern durch einen Dienstleister, egal ob die Daten auf Papier oder digital vorliegen. Grundsätzlich ist auch die Prüfung oder Wartung der Kanzlei-EDV durch Dritte eine ADV (§ 11 Abs. 5 BDSG), da eine Kenntnisnahmemöglichkeit von personenbezogenen Daten durch Dritte besteht. Beispiele sind die (Fern-)Wartung durch den Systempartner oder auch die Kopiererwartung durch externe Firmen.

Aufgrund der verschärften Prüfpraxis der Aufsichtsbehörden und der vermehrten Verhängung von Bußgeldern empfiehlt es sich, in der Steuerkanzlei alle möglichen ADVs zu identifizieren und wo nötig entsprechende Verträge zur ADV abzuschließen.

Ungeachtet der datenschutzrechtlichen Anforderungen an ein solches Outsourcing sind natürlich auch die berufsrechtlichen Bestimmungen zu beachten.

2.4 Auftragsdatenverarbeitung – Kanzlei als Auftragnehmer

Steuerkanzleien sind im Mandatsverhältnis selbst nur in Ausnahmefällen Auftragnehmer einer ADV. Obwohl dies von der Literatur inzwischen geklärt ist , wenden sich Mandanten oder deren Datenschutzbeauftragte immer wieder an Kanzleien mit der Bitte, einen Vertrag zur ADV zu schließen. Ein solcher Vertrag kann und darf durch die Kanzlei nicht geschlossen werden, wenn kein Auftragsdatenverhältnis vorliegt.

2.5 Technisch-organisatorische Maßnahmen

Als technisch-organisatorische Maßnahmen werden im Datenschutzrecht Maßnahmen der Informationssicherheit bezeichnet. Der Gesetzgeber verlangt von Steuerkanzleien, dass die personenbezogenen Daten, die die Kanzlei verarbeitet, mit Hilfe von Informationssicherheitsmaßnahmen angemessen geschützt werden. In <§ 9 Satz 2 BDSG weist der Gesetzgeber explizit darauf hin, dass die Auswahl der technisch-organisatorischen Maßnahmen verhältnismäßig sein muss. Die Verhältnismäßigkeit bestimmt sich dabei regelmäßig aus Sicht der Betroffenen. Die Aufsichtsbehörden ordnen in ihrem Schutzklassenmodell personenbezogene Daten, die einem Berufsgeheimnis unterliegen, generisch in die höchste Schutzklasse ein.

2.5.1 Internet-Auftritt

Kanzlei-Web-Seiten können inzwischen sehr komplexe technische Systeme sein und sollten permanent aus Sicht des Datenschutz- und Wettbewerbsrechts und der Informationssicherheit bewertet werden. Alle Kanzlei-Auftritte im Internet, auch auf Xing, Facebook oder in Kanzlei-Apps, sollten ein rechtssicheres Impressum enthalten. Ferner ist zu prüfen, ob die Internet-Auftritte auch eine Datenschutzerklärung enthalten müssen . Ist dies zu bejahen, so ist diese ebenfalls einzubinden. Fehlen Impressum und Datenschutzerklärung oder sind sie falsch oder unvollständig, kann dies zu Abmahnungen führen. Auch Social-Media-Buttons müssen datenschutzkonform in die Auftritte eingebunden werden.

Werden Content-Module, Google Maps, Google Analytics oder andere Dienste verwendet, so muss darauf in der Datenschutzerklärung hingewiesen werden. Bei der Einbindung von Tools zur Reichweitenmessung (Web-Statistiken) muss mit dem Anbieter in der Regel ein Vertrag zur ADV geschlossen werden, und es sind meist auch Maßnahmen zur Anonymisierung der IP-Adresse des Besuchers zu treffen.  Die Aufsichtsbehörden verfügen über Tools zur Massenprüfung der Einbindung von Diensten Dritter und setzen diese auch ein.

Werden auf der Kanzlei-Web-Seite Kontaktformulare eingebunden, so ist zu prüfen, ob für das Formular eine Einwilligung des Interessenten notwendig ist (§ 13 Abs. 2 TMG). In letzter Zeit wurden Kanzleien wegen fehlender Einwilligungen bei Kontaktformularen abgemahnt.

Durch die Änderungen des Telemediengesetzes (TMG) durch das IT-Sicherheitsgesetz gibt es neue Pflichten für Web-Seiten-Betreiber. Durch den neuen § 13 Abs. 7 TMG sind Anbieter von Telemedien dazu aufgefordert, Kontaktformulare abzusichern.Sie müssen außerdem die eingesetzte Web-Software aktuell halten, soweit dies technisch realisierbar und zumutbar ist.

2.5.2 E-Mail-Verkehr

Die E-Mail ist als Kommunikationsmedium aus dem Kanzleialltag nicht mehr wegzudenken und wird von den Mandanten auch verlangt. Bis jetzt ungelöst ist die Verschlüsselung von Mandantendaten bei der E Mail-Übermittlung , dennoch vertritt die Datenschutz-Aufsichtsbehörde die Ansicht, dass eine Pflicht zur Verschlüsselung bestünde. Rechtlich eindeutig geklärt ist diese Forderung jedoch noch nicht.  Technisch kann zumindest eine durchgängige Verschlüsslung des E-Mail-Verkehrs nicht umgesetzt werden, da sich bis heute kein Verschlüsselungsstandard am Markt etabliert hat. Daher greifen viele Kanzleien auf die schriftliche „Entbindung von der Verschwiegenheit bei E-Mails“ durch den Mandanten zurück. Einer ernsthaften Überprüfung würde dieser Weg vermutlich jedoch nicht standhalten.  Der Einsatz des Verschlüsselungsprotokolls TLS 1.2 beim Mail-Server der Kanzlei sollte daher eine Maßnahme in die richtige Richtung sein.

Andere Lösungsansätze sind Dienste wie „Unternehmen online“, „Teamdrive“ oder das „Mandantenportal“. Dabei werden die Daten auf gesicherten Servern mittels gesicherten Zugängen ausgetauscht.

2.5.3 Smartphones

Der Trend zum mobilen Arbeiten bildet sich auch in Kanzleien ab. In Kanzleien werden, zumindest auf der Leitungsebene, Smartphones verwendet. Die Geräte dienen neben der Telefonie auch zum Abrufen von E-Mails. Datenschutz- und berufsrechtliche Fallen bestehen hier bei der Nutzung von Apps und der rechtskonformen Vernichtung der Mobiltelefone. Ein Beispiel: werden Sprachdienste genutzt (Siri, Cortana, Google Now), so wird die Sprache aufgenommen und nicht vom Smartphone unmittelbar selbst erkannt und verarbeitet. Die Spracherkennung wird vielmehr in den Rechenzentren der Anbieter vorgenommen. Hier droht eine Verletzung des Berufsgeheimnisses.

3 Fazit

Mit der zunehmenden Digitalisierung der Arbeitswelten werden auch die Anforderungen an den Datenschutz in den Kanzleien weiter steigen. Kanzleiinhaber sollten bei der Implementierung neuer Büro- und Kommunikationstechnik stets das Augenmerk darauf legen, die Sicherheit der Mandantendaten den gesetzlichen Anforderungen entsprechend zu gewährleisten.