Top-5-Auswirkungen

Im Mai 2018 löst die Datenschutz-Grundverordnung (DSGVO) das Bundesdatenschutzgesetz (BDSG) ab. Als Verordnung wirken die neuen Datenschutzregelungen direkt und müssen nicht wie Richtlinien in das nationale Gesetz umgesetzt werden. Die neuen Datenschutzregelungen führen auch bei Kanzleien zu einschneidenden Änderungen in Arbeitsabläufen. Wir stellen die TOP-5-Änderungen im Folgenden kurz vor.

Stephan Rehfeld, Geschäftsführer der Firma scope & focus GmbH, 27.1.2017

TOP 1: Hohe Anforderungen an die Informationssicherheit

In Artikel 32 DSGVO verlangt der europäische Gesetzgeber auch von Steuerberatungskanzleien den Betrieb eines sogenannten Informationssicherheits-Managementsystems. Ein solches System ist relativ aufwändig in der Erstellung und dem Betrieb. Erleichterungen für KMUs sind nicht vorgesehen.

Die Notwendigkeit und Umsetzungsintensität von Maßnahmen der Informationssicherheit müssen am Risiko für die Rechte und Freiheiten des Betroffenen ausgerichtet werden. Der Gesetzgeber verlangt von Steuerberatungskanzleien also auch den Betrieb eines Risikomanagementsystems.

TOP 2: Schnelle Meldungen bei Verlust von personenbezogenen Daten

Eine Weisheit unter Informationssicherheitsexperten ist: „Es ist nicht die Frage ob, sondern wann Daten verloren gehen.“

Die Grenzen zur Meldung des Verlusts von personenbezogenen Daten werden wesentlich herabgesetzt. Dies wird dazu führen, dass der Umfang von meldepflichtigen Datenpannen erheblich steigen wird. Datenpannen sind dann innerhalb von 72 Stunden der zuständigen Aufsichtsbehörde zu melden, der zu meldende Informationsmindestumfang ist klar definiert.

TOP 3: Pflicht zur Meldung des Kanzlei-Datenschutzbeauftragten

Nach heutigem Wissensstand wird die Grenze zur Bestellung eines DSBs nach den heute geltenden Größenregeln bestimmt, d.h. mehr als neun mit der Datenverarbeitung beschäftigten Personen. In der Praxis wird jedoch der Bestellpflicht häufig nicht nachgekommen. Dies erklärt sich beispielsweise aus Unkenntnis der Regelung.

In der DSGVO reguliert der Gesetzgeber, zusätzlich zur Bestellpflicht eines DSBs auch eine Pflicht zur Meldung der bestellten Person gegenüber der zuständigen Aufsichtsbehörde.

TOP 4: Neue Verträge mit Zulieferern

Das BDSG schreibt bei der Beauftragung von Subunternehmern vor, dass Verträge zur Auftragsdatenverarbeitung (ADV) geschlossen werden müssen. In diesen Verträgen muss dem Dienstleister auch ein angemessenes Informationssicherheitsniveau vorgeschrieben werden. Die Einhaltung der Verträge zur ADV muss durch den Auftraggeber regelmäßig überprüft werden.

Aufgrund des immens gestiegenen Haftungs- und Bußgeldrisikos sind alle Verträge zur Auftragsdatenverarbeitung neu zu bewerten.

Zu klären ist noch, ob Steuerberatungskanzleien in der DS-GVO im Verhältnis zum Mandanten als Auftragsdatenverarbeiter klassifiziert werden. Sollte dies der Fall sein, wird dies zu einem sehr aufwändigen Vertragsmanagement in Steuerberaterkanzleien führen.

TOP 5: Verhaltensregeln und Zertifizierungen

Für Steuerberatungskanzleien gibt es zwei Möglichkeiten, etwaige Bußgelder im Falle eines Datenschutz-Verstoßes zu mindern: die Kanzlei setzt genehmigte Verhaltensregeln um oder lässt sich regelmäßig Datenschutzzertifizieren. Während der Berufsstand aktuell über die Erstellung eigener Verhaltensregeln nachdenkt, arbeiten Zertifizierer bereits an konkreten Zertifizierungskonzepten. Beide Möglichkeiten der Risikominimierung sollten Kanzleien unbedingt im Blick behalten.

Fazit

Der europäische Gesetzgeber macht mit dem Datenschutz ernst: Bußgeldgrenzen werden auf existenzbedrohliche Höhen gesetzt: 10 bis 20 Mio. EURO oder 2% - 4% des weltweiten Jahreskonzernumsatzes. Zusätzlich wird das Personal der zuständigen Aufsichtsbehörden aufgestockt, um z.B. dem erhöhten Prüfungsbedarf nachkommen zu können.

Allen Steuerberatungskanzleien kann nur geraten werden, sich schon jetzt mit den neuen Anforderungen der DSGVO auseinanderzusetzen, mögliche Umsetzungen der Datenschutz-Anforderungen zu prüfen und sich bereits jetzt Kapazitäten bei seriösen Anbietern von Datenschutz-Dienstleistungen zu sichern.