(Fakten-)Check: Erste Erfahrungen mit der DSGVO

Steuerberater brauchen Antworten

(Fakten-)Check: Erste Erfahrungen  mit der DSGVO

Nach einem holprigen Start und begleitet von mancherlei Falschmeldungen kommt die DSGVO langsam in unserem Alltag an. Bei den deutschen Aufsichtsbehörden gingen seit dem 25. Mai 2018 rund 27.000 Beschwerden ein, und mehr als 12.000 Datenschutzverletzungen wurden gemeldet. Allein dies ist ein Zeichen für eine veränderte Wahrnehmung des Themas in Wirtschaft und Gesellschaft.

Die ersten Erfahrungen mit der DSGVO zeigen aber auch, dass nicht alle datenschutzrechtlichen Probleme auf einen Schlag zu lösen sind. Gerade im Umfeld der steuerberatenden Berufe bleiben einige Fragen offen. Wie zum Beispiel gestaltet sich das Auskunfts- und Informationsrecht im Hinblick auf die berufsrechtliche Verschwiegenheit, welche Anforderungen sind an die Verschlüsselung von E-Mails zu richten und wie ist das Verhältnis zwischen Steuerberater und Mandant datenschutzrechtlich einzuordnen (Stichwort Auftragsverarbeitung: Ja oder Nein)?

Zu Ersterem haben Bundessteuerberaterkammer (BStBK) und Deutscher Steuerberaterverband (DStV) klare Hinweise in den „Hinweisen für den Umgang mit personenbezogenen Daten durch Steuerberater und Steuerberatungsgesellschaften“ (zu finden auf den Homepages von BStBK und DStV) gegeben. Auskünften beispielsweise an Mitarbeiter oder Familienangehörige von Mandaten steht die berufsrechtliche Verschwiegenheitspflicht klar im Wege.

Anforderungen an E-Mail-Verschlüsselung

Der Umgang mit dem Thema E-Mail-Verschlüsselung hingegen führt in vielen Fällen eher zur Verunsicherung. Während die deutschen Aufsichtsbehörden in den vergangenen Jahren die Ende-zu-Ende-Verschlüsselung als alleinige Möglichkeit der Kommunikation zwischen Berufsgeheimnisträger und Mandant, und im Übrigen auch unter Berufsgeheimnisträgern, propagiert haben, sind hier neue Ansätze auch seitens der Aufsichtsbehörden erkennbar. So erschien in der BRAK-Mitteilung 3/2018 unter dem Titel „Anwaltliche Kommunikation per E-Mail“ ein Aufsatz, in dem die Transportverschlüsselung als ausreichend dargestellt wurde.

Exkurs
Bei der Transportverschlüsselung (z. B. mit TLS 1.2) wird der Inhalt bei der Übermittlung zwischen dem Absender und seinem E-Mail-Anbieter sowie zwischen zwei E-Mail-Anbietern untereinander und zwischen E-Mail-Anbieter und Empfänger verschlüsselt. Deutsche E-Mail-Anbieter unterliegen zwar dem Fernmeldegeheimnis und können zudem über datenschutzrechtliche Vereinbarungen (Auftragsvereinbarung) und Verpflichtungen auf § 203 Strafgesetzbuch (Verletzung von Privatgeheimnissen) gebunden werden. Was aber ist mit ausländischen E-Mail-Anbietern?

Die „Hinweise für den Umgang mit personenbezogenen Daten durch Steuerberater und teuerberatungsgesellschaften (Stand Oktober 2018)“, welche als Kapitel 5.2.4 in das berufsrechtliche Handbuch für Steuerberater aufgenommen wurden, gehen noch über die Empfehlungen der Bundessteuerberaterkammer hinaus („Hinweise zur E-Mail-Kommunikation“, GM 004/2019) und empfehlen, sich bei alleiniger Nutzung der Transportverschlüsselung davon zu überzeugen, dass sowohl der E-Mail-Anbieter der Kanzlei als auch des Mandanten ihren Sitz in Deutschland haben und dass Kanzlei und Mandant die Transportverschlüsselung in ihrem Mail-Client aktiviert haben.

Hand aufs Herz: Wüssten Sie, wo Sie nachprüfen können, ob Sie mit TLS-Verschlüsselung senden?

In der Praxis dürfte dies also gewaltige Probleme bereiten, sodass in der Konsequenz wiederum nur die Ende-zu-Ende-Verschlüsselung als sichere Lösung bleibt, es sei denn, der Mandant erteilt seine Einwilligung in die unverschlüsselte E-Mail-Kommunikation. Eine solche Einwilligung setzt aber voraus, dass der Mandant hinreichend über die Konsequenzen seines Handelns aufgeklärt wird und die Einwilligung dokumentiert wird. Die Kanzlei muss dem Mandanten aber die Verschlüsselung seiner E-Mails als Standard anbieten können, und sei es (als Notlösung) auch nur die Verschlüsselung der Inhalte z. B. als verschlüsselte PDF-Datei oder als ZIP-Datei.

Das erhöhte Risiko einer unverschlüsselten E-Mail für die Kanzlei sollte an dieser Stelle jedoch nicht verschwiegen werden, denn der Fehlversand stellt sowohl einen Verstoß gegen die Verschwiegenheitspflicht dar als auch eine Datenschutzpanne, welche innerhalb von 72 Stunden an die zuständige Datenschutz-Aufsichtsbehörde zu melden ist.

Auftragsverarbeitung – konträre Bewertungen

Ein leidiges Thema stellt seit vielen Jahren die Frage dar, ob die Leistungen eines Steuerberaters gegebenenfalls als Auftragsverarbeitung anzusehen sind. Gerade in Zusammenhang mit der Lohn- und Gehaltsabrechnung erhitzen sich hierbei die Gemüter. Der Landesbeauftragte für den Datenschutz Baden-Württemberg widmet dem Thema „Steuerberater und Lohnbuchhaltung“ in seinem aktuellen Tätigkeitsbericht ein eigenes Kapitel. Sein Fazit: „Übernimmt ein Steuerberater neben seiner eigentlichen Steuerberatertätigkeit (Hilfe in Steuersachen) zusätzlich weitere Aufgaben, handelt es sich um Auftragsverarbeitung … und bedarf einer entsprechenden Vereinbarung mit dem datenschutzrechtlich verantwortlichen Auftraggeber.“

Das Bayerische Landesamt für Datenschutzaufsicht hingegen vertritt auf seiner Homepage unter der Rubrik „FAQ zur DSGVO“ genau die gegenteilige Ansicht: „Auch wenn Steuerberater nur die Lohnbuchhaltung für einen Mandanten durchführen, müssen sie dafür aufgrund des Steuerberaterrechts die eigene Verantwortung übernehmen und können sich nicht, wie allgemeine Dienstleister zur Lohnabrechnung, auf Weisungen von Mandanten berufen. Steuerberater arbeiten deshalb aus unserer Sicht regelmäßig eigenverantwortlich aufgrund eines Mandantenvertrags und dürfen von den Mandanten im Rahmen der Erforderlichkeit für ihre Tätigkeit … personenbezogene Kunden- und/oder Arbeitnehmerdaten verarbeiten.“

In den „Hinweisen für den Umgang mit personenbezogenen Daten durch Steuerberater und Steuerberatungsgesellschaften“ findet man ebenfalls eine eindeutige Vorgabe: „Die Leistung des Steuerberaters ist immer eine eigenverantwortlich erbrachte fachliche Beratung und ist somit keine Auftragsverarbeitung. Dies gilt insbesondere auch für die Lohn- und Gehaltsabrechnung sowie für vereinbare Tätigkeiten … Damit muss der Steuerberater keine Verträge zur Auftragsverarbeitung mit seinen Mandanten abschließen.“

Diese konträren Aussagen führen dazu, dass bayerische Steuerberater mit Mandanten aus Baden-Württemberg sich in einer Zwickmühle befinden. Während baden-württem-bergische Mandanten den Abschluss eines Vertrages zur Auftragsverarbeitung fordern, stehen dem konträre Aussagen von BStBK, DStV und bayerischer Aufsichtsbehörde gegenüber. Ganz zu schweigen von der Frage, ob der Abschluss eines solchen Vertrages in der Konsequenz nicht gar einen berufsrechtlichen Verstoß darstellen würde.

All diese Beispiele zeigen, dass es noch einige datenschutzrechtliche Fragen im Umfeld der steuerberatenden Berufe zu lösen gilt. Am dringlichsten erscheint allerdings die Einordnung der Leistungen des Steuerberaters. Hier sollten die deutschen Aufsichtsbehörden in der Datenschutzkonferenz (DSK), dem Gremium der unabhängigen deutschen Datenschutzaufsichtsbehörden des Bundes und der Länder, dringend gemeinsame Vorgaben definieren.

Unterstützung durch die LSWB-Akademie

Die LSWB-Akademie bietet am 15. Juli ein DSGVO-Update-Seminar für Datenschutzbeauftragte in der Steuerkanzlei an. Zudem sind im Herbst weitere Seminare zum Thema geplant. 

Von Dirk Munker, Munker Privacy Consulting