Datenmissbrauch – Gläserner Mensch
von Dipl.-Ök. Stephan Rehfeld, Geschäftsführer der scope & focus Service-Gesellschaft Freie Berufe mbH
Kopierer, Computer, Drucker und Scanner erleichtern täglich die Arbeit in den Steuerberatungskanzleien, doch sie bergen auch Gefahren. So sollten Mandantendaten nicht in Kopierläden vervielfältigt werden, da die Kopien auf Festplatten der Kopierer zwischengespeichert werden und sich teilweise über Wochen restaurieren lassen. Auch die Wartung und Vernichtung von Kanzlei-Kopierern ist aus diesem Grund heikel. In solchen Fällen müssen daher die Grundsätze der Auftragsdatenverarbeitung sorgfältig eingehalten werden, damit sich zumindest eine datenschutzgerechte Vernichtung der Festplatten nachweisen lässt. Weiß das der Steuerberater nicht, kann dies für ihn leicht zum Problemfall werden, schließlich hat er die Daten seiner Mandanten geheim zu halten.
Die Möglichkeiten eines Datenmissbrauchs oder -verlusts sind vielfältig, sodass der Steuerberater unwissentlich – quasi nebenbei – Mandantendaten preisgibt. So versehen beispielsweise viele Farblaserdrucker jeden Ausdruck mit unsichtbaren Wasserzeichen sowie Seriennummern.
Doch auch der Mietwagen mit einer Freisprechanlage, die mit einer so genannten Bluetooth-Technik ausgestattet ist, kann zum Verhängnis werden: Damit lassen sich Daten zwischen Geräten drahtlos übertragen. Sind etwa im Adressbuch des Handys sensible Mandantendaten gespeichert, sollte der Steuerberater vorab klären, ob das Adressbuch nicht automatisch im Autoradio gespeichert wird.
Mobiltelefone mit vielen Zusatzfunktionen, so genannte Smartphones, sind ebenfalls gefährlich: Über spezielle zusätzliche Services lassen sich Adressen, Notizen und Nachrichten zwischen dem Handy und E-Mail-Programmen der Kanzlei abgleichen. Die Gefahr dieser Dienste besteht darin, dass die Server häufig in Drittländern stehen, in denen andere Datenschutzgesetze gelten.
Hochkonjunktur für illegalen Datenhandel und -missbrauch
Die Schlagzeilen in puncto Datenschutz häufen sich: Erst im September wurde bekannt, dass die Supermarktkette Lidl wegen der Bespitzelung seiner Mitarbeiter eine Geldstrafe von 1,5 Millionen bezahlen muss. Hintergrund war, dass Lidl seine Filialmitarbeiter mit heimlich installierten Videoüberwachungsanlagen gefilmt und ihr Verhalten ausgewertet hat.
Eine weitere Datenpanne meldete die schleswig-holsteinische Verbraucherschutzzentrale. Nach ihren Angaben wurde mit Datensätzen von 17.000 deutschen Haushalten, inklusive der Kontodaten, illegal im Internet gehandelt. Dies führte unter anderem bereits dazu, dass von den Konten der betroffenen Haushalte illegal Geld abgebucht wurde.
Weiterhin meldete der Berliner Beauftragte für Datenschutz und Informationsfreiheit, dass ihm von der „Verbraucherzentrale Bundesverband e.V.“ (VZBV) Datenträger mit rund sechs Millionen Datensätzen übergeben worden seien, die der VZBV von einem „Datenhändler“ erhalten hatte.
Dabei handele es sich um Adressen, Telefonnummern und Kontoverbindungen von Personen, die offenbar im Internet bei bestimmten Lotteriegesellschaften Lose gekauft, an Gewinnspielen oder Umfragen teilgenommen oder Zeitschriftenabonnements abgeschlossen haben. Ebenso wird vermutet, dass Gesundheitsdaten von Versicherten unberechtigt bereits an Gesundheitsberatungsfirmen weitergegeben worden sind.
Des Weiteren geraten Mitarbeiter – gerade die, die bei Großkonzernen beschäftigt sind - immer öfter in den Verdacht, interne Informationen an Dritte weitergegeben zu haben. Die Konzerne haben darauf reagiert und dienstliche Verbindungsdaten von Mitarbeitern – mit Billigung der Unternehmensleitung – ausgewertet.
Ob solche Auswertungen legal sind, wird momentan geklärt. Weltweit sind öffentliche Verwaltungen durch einen sehr freizügigen Umgang mit personenbezogenen Daten aufgefallen: In Großbritannien sollen Ende November 2007 CDs mit den Daten von zirka 25 Millionen Steuerbürgern in der Behördenpost verschwunden sein. Etwa einen Monat später sollen in neun Verwaltungszentren des Nationalen Gesundheitssystems Kundendaten verloren gegangen sein.
Italienische Steuererklärungen von 2005 offen im Netz
Das italienische Finanzministerium hat im Mai 2008 für einen Tag alle Steuererklärungen des Jahres 2005 frei ins öffentliche Netz gestellt. In Deutschland waren rund 500.000 Datensätze von Meldebehörden im Netz frei abrufbar, weil vergessen wurde, das Standardpasswort der Verwaltungs-Software zu ändern.
Die Tatsache, dass der Staat immer mehr Daten von den Bürgern einfordert, macht es dem Betroffenen nicht leichter, sensible Daten zu schützen. So sind beispielsweise folgende Projekte momentan im Einsatz oder stehen vor der Fertigstellung:
- die elektronische Gesundheitskarte
- der elektronische Einkommensnachweis
- der biometrische Pass mit einem kontaktlosen Chip. Darauf sind das Passfoto und zwei Fingerabdrücke gespeichert, die eine berührungslose Identifizierung der Person ermöglichen
- die künftige einheitliche Steuernummer
- die künftige Vorratsdatenspeicherung
- die Lkw-Maut
Die Daten aus diesen Vorhaben unterliegen zwar einer Zweckbindung, jedoch ist angesichts ihrer Qualität und Quantität nicht auszuschließen, dass der Zweck der Erhebung, die Verarbeitung und die Nutzung erweitert wird. Kritisch sind auch Projekte des internationalen Datenaustauschs: Bei Flügen in die Vereinigten Staaten liegen den US-amerikanischen Behörden bereits vor Ankunft des Flugzeugs umfangreiche Daten der Flugpassagiere vor.
Zudem sind dort die Zollbehörden berechtigt, Laptops zu durchsuchen. Einreisende sind verpflichtet, den Zollbehörden Passwörter zu verschlüsselten Festplattenbereichen mitzuteilen. Ähnliche Befugnisse haben britische Zollbehörden. Dieses Risiko sollten sich Steuerberater bei Dienstreisen in diese Länder zumindest dann bewusst machen, wenn er Speichermedien mit Mandantendaten mit sich führt.
Maßnahmen zur Stärkung des Datenschutzes
Das Bundesverfassungsgericht hat im März 2008 veranlasst, die Verfassungsmäßigkeit der Vorratsdatenspeicherung und Online-Durchsuchungen des Gesetzgebers zu überprüfen. Außerdem hat das Bundeskabinett am 20.8.2008 eine Reform des Bundesdatenschutzgesetzes beschlossen, das noch in dieser Legislaturperiode (bis Oktober 2009) verabschiedet werden soll. Ziel ist es, mehr Transparenz und Rechtssicherheit zu schaffen, um der Bedeutung von Auskunfteien und dem Einsatz von Scoring-Verfahren, die der Standardisierung von Kreditwürdigkeitsprüfungen dienen, Rechnung zu tragen. Seit September 2007 liegt zudem der Entwurf des Bundesdatenschutzauditgesetzes vor. Damit sollen datenschutzkonforme Verfahren und Produkte von Unternehmen mit einem Gütesiegel versehen werden. Dieses könnte dann werbewirksam als Wettbewerbsvorteil genutzt werden. Es ist jedoch ungewiss, wann das umstrittene Gesetz tatsächlich verabschiedet wird.
Datenschutzgesetz für Arbeitnehmer in der Diskussion
Ferner wird seit Längerem darüber diskutiert, ein Arbeitnehmer–Datenschutzgesetz zu schaffen, um die Stellung des Arbeitnehmers zu stärken und die Regelungslücken der aktuellen Gesetze zu schließen. Das Thema Datenschutz ist sowohl umfangreicher als auch risikoreicher geworden. Ein Datenmissbrauch kann für Berater weitreichende Konsequenzen haben, auch, weil Kontrollen und Strafen verschärft werden. Ein sensibler Datenumgang ist folglich unerlässlich, damit er und seine Mandanten nicht zum gläsernen Menschen degradieren.
Diplom-Ökonom Stephan Rehfeld,
Geschäftsführer der scope & focus GmbH,
der IT-Tochter des Steuerberaterverbands Niedersachsen Sachsen-Anhalt e.V.,
externer Datenschutzbeauftragter, Datenschutzbeauftragter (TÜV)
Veröffentlicht in: Steuer-Consultant 10/2008, Seite 60 f.
