Sicherheitsmaßnahmen - Ohne Kontrolle geht nichts

Artikeldownload

von Dipl.-Ök. Stephan Rehfeld, Geschäftsführer der scope & focus Service-Gesellschaft Freie Berufe mbH

Datenschutz gewinnt, analog zu der rasant angestiegenen Speicherung von Informationen und Daten, immer stärker an Bedeutung, auch in den Steuerberatungskanzleien. Gleichzeitig machen sich die - möglichen - Betroffenen immer stärker Gedanken darüber, was mit ihren Daten geschieht und können Auskünfte einholen.

Eine Kontrolle des Datenschutzrechts in Steuerberatungskanzleien ist in mehrfacher Weise möglich - ob durch Betroffene, den Datenschutzbeauftragten oder die verantwortliche Stelle sowie durch Aufsichtsbehörden.

Selbstkontrolle durch Betroffene

Der Betroffene verfügt über unabdingbare Auskunfts­ und Korrekturrechte, die die verantwortliche Stelle nicht einschränken kann. Die Auskunftsrechte umfassen einerseits ein "Verfahrensverzeichnis für jedermann", andererseits die Karteiauskunft.

Grundsätzlich können alle diejenigen, die mit einer Steuerberatungskanzlei zu tun haben, von einer Kanzlei ein "Verfahrensverzeichnis für jedermann" anfordern. Folgende Angaben muss dieses Datenblatt umfassen:

1. Die Kontaktdaten, also die Identität der verantwortlichen Stelle, in diesem Fall also die der Steuerkanzlei
2. Auskunft über den Zweck der Datenerhebung, ­verarbeitung oder ­nutzung
3. Auskunft über die betroffenen Personengruppen und Datenkategorien
4. Auskunft über den Empfänger/Kategorien von Empfängern der personenbezogenen Daten
5. Auskunft über die Regelfristen für die Löschung der Daten
6. Auskunft darüber, ob geplant ist, Daten in Drittstaaten zu übermitteln

Steuerkanzleien können sich eine Anleitung zur Erstellung des "Verfahrensverzeichnisses für jedermann" von der DStV­Webseite herunterladen. (www.dstv.de/archiv/anleitungverf.verz.logo.pdf).

Unabhängig davon verfügt ein Betroffener über die Möglichkeit, von einer Kanzlei unentgeltlich Auskunft gemäß § 34 BDSG zu verlangen. Prinzipiell muss die Steuerberatungskanzlei die Auskunft schriftlich erteilen und umfasst demnach "die zu seiner Person gespeicherten Daten und auch, soweit sie sich auf die Herkunft dieser Daten beziehen, Empfänger oder Kategorien von Empfängern, an die Daten weitergegeben werden, und den Zweck der Speicherung." Kanzleien haben hier allerdings unbedingt zu prüfen, ob berufsrechtliche Gründe dazu führen, dass eine Auskunft zu verweigern ist.

Der Betroffene selbst wiederum muss sein Auskunftsbegehren nicht schriftlich stellen, eine mündliche Anfrage ist ausreichend. Uneinig ist sich die Literatur, in welchem Zeitraum eine solche Kanzleiauskunft zu erteilen ist - in der Diskussion sind Zeiträume zwischen zwei und vier Wochen.

Im Falle eines Falles kann der Betroffene verlangen, dass falsche Daten zu seiner Person zu berichtigen sind. Bei einer unzulässigen Speicherung oder einem Wegfall des Zwecks der Speicherung kann der Betroffene auch eine Löschung seiner Daten verlangen. Sensitive Daten müssen gelöscht werden, wenn die Richtigkeit von der verantwortlichen Stelle nicht bewiesen werden kann. Stehen der Löschung zum Beispiel handelsrechtliche Aufbewahrungsfristen entgegen, muss dennoch eine Sperrung der personenbezogenen Daten vorgenommen werden.

Eine Sperrung der Daten muss ebenfalls vorgenommen werden, wenn folgende Voraussetzungen zutreffen:

• Es besteht Grund zu der Annahme, dass einer Löschung schutzwürdige Interessen des Betroffenen entgegenstehen
• die Richtigkeit/Unrichtigkeit der personenbezogenen Daten lässt sich nicht feststellen
• eine Löschung bedeutet einen unverhältnismäßig hohen Aufwand für die Kanzlei.

Eigenkontrolle durch die Kanzlei­-Datenschutzbeauftragten

Die Aufgaben des Datenschutzbeauftragten sind im Bundesdatenschutzgesetz definiert. Er prüft beispielsweise die Zulässigkeit der Verarbeitung personenbezogener Daten, erarbeitet Richtlinien für den Umgang mit diesen Daten und führt auch Vorabkontrollen durch beziehungsweise kommt etwaigen gesetzlichen Meldepflichten nach. Außerdem muss der Datenschutzbeauftragte stichprobenartige Kontrollen zur Umsetzung des Datenschutzes durchführen und Protokolle auswerten.

Obwohl der Datenschutzbeauftragte zum Kontrollsystem des Datenschutzes hinzugezählt wird, ist er in der Praxis in erster Linie Ansprechpartner für die Kanzleileitung, die Mitarbeiter, die Mandanten und Dritte.

Fremdkontrolle durch die Aufsichtsbehörde

Für die Datenschutzkontrolle in Kanzleien ist die Aufsichtsbehörde des jeweiligen Bundeslandes für den nicht­öffentlichen Bereich zuständig (s. Grafik). Die Aufsichtsbehörden selbst sind befugt, anlassbezogene - der Regelfall -, aber auch anlassfreie Kontrollen durchzuführen. Eine anlassbezogene Prüfung kann etwa durch die Verletzung der unabdingbaren Betroffenenrechte oder aber durch eine Anrufung der Aufsichtsbehörde durch den Kanzlei­-DSB erfolgen.

Kommt es zu einer datenschutzrechtlichen Prüfung, haben Kanzleien gegenüber der Aufsichtsbehörde eine Auskunftspflicht. Diese umfasst - vorbehaltlich anderer gesetzlicher Regelungen - Betretungs­, Prüfungs­ und Einsichtsrechte. Verstöße gegen das Datenschutzrecht kann die Aufsichtsbehörde mit Bußgeldern oder Ordnungswidrigkeiten ahnden. Darüber hinaus besteht ein Strafantragsrecht. Damit kann die Aufsichtsbehörde die Behebung von technischen Mängeln unter Androhung eines Zwangsgeldes anordnen. Sollte die verantwortliche Stelle dem nicht nachkommen, können auch einzelne Datenverarbeitungen untersagt werden. Ebenso kann die Aufsichtsbehörde einen Datenschutzbeauftragten abberufen, wenn er nicht über die notwendige Fachkunde oder Zuverlässigkeit verfügt.

Quelle: Miller in Miller/Rehfeld

Aus der Praxis

Die Landesbeauftragten für den nicht­öffentlichen Bereich geben teilweise Auskunft über ihre Prüftätigkeit. Nach ihren Informationen ist die Anzahl der fachlichen Anfragen bei denAufsichtsbehörden gestiegen. Allein der Berliner Beauftragte für den Datenschutz erhielt 2007 über 1.400 schriftliche oder elektronische Eingaben. Das Spektrum der Anfragen erstreckt sich auf viele Lebensbereiche, eine Auswahl können Interessenten etwa im 30. Tätigkeitsbericht des Landesbeauftragten für Datenschutz und Informationsfreiheit der Freien Hansestadt Bremen einsehen.

Eine Übersicht über die Mängel, die Aufsichtsbehörden bei Prüfungen von Unternehmen festgestellt haben, lässt sich demTätigkeitsbericht des Hamburgischen Datenschutzbeauftragten von 2006/2007 entnehmen. Demnach haben die geprüften Unternehmen 49 Prozent keinen oder nicht alle Mitarbeiter auf den Datenschutz verpflichtet. In 86 Prozent der Fälle waren die zu führenden Verfahrensverzeichnisse gar nicht vorhanden oder unvollständig. In 54 Prozent der Prüfungen war kein Datenschutzbeauftragter bestellt, nicht schriftlich bestellt, fachlich unqualifiziert oder es lag ein Interessenkonflikt vor.

Erschreckend sind die Zahlen im Bereich der IT­Sicherheit. So waren 91 Prozent der Passwörter veraltet, hatten keine ausreichende Zeichenlänge oder einen mangelhaften Zeichenmix. Sie garantieren daher auchnur einen geringen oder keinen Schutz der EDV­Systeme.

Auch gab es Mängel bei technischen und organisatorischen Maßnahmen. So hatten 67 Prozent der geprüften Unternehmen einen mangelhaften Kopierschutz für personenbezogene Daten oder es gab keine Sperrung von Schnittstellen. Solche Fälle sind als sehr bedenklich einzustufen, da einem Datenabfluss aus dem Unternehmen Tür und Tor geöffnet ist. Die Einhaltung des Datenschutzes gewinnt auch in den Steuerberatungskanzleien verstärkt an Bedeutung.

Diplom-Ökonom Stephan Rehfeld,
Geschäftsführer der scope & focus GmbH,
der IT-Tochter des Steuerberaterverbands Niedersachsen Sachsen-Anhalt e.V.
externer Datenschutzbeauftragter, Datenschutzbeauftragter (TÜV)

Veröffentlicht in: Steuer-Consultant 7/2008, Seite 58 f.

• Datenschutz
• | Produkte
  • | externer DSB
  • | DS-Organisation
  • | Schulung
• | Fachinformationen
  • | Fachinformationen
• | Seminare
  • | DS-Seminare
• | Ansprechpartner
  • | Koordination
  • | Ansprechpartner

 

Seite drucken
Seite empfehlen
Kontakt