Geheimniswahrung - Datenauslagerung nicht ungefährlich

Artikeldownload

Nahezu alle Kanzleien bedienen sich bei der Erhebung, Verarbeitung oder Nutzung von personenbezogenen Daten von Mandanten und Mitarbeitern Dritter.

Systemhäuser führen Fernwartungen der Kanzlei­EDV durch, an Rechenzentren werden Daten übermittelt, die dort gespeichert und verarbeitet werden, externe Firmen werden mit der Akten­ und Datenträgervernichtung beauftragt. Ein weiterer Bereich ist die Telearbeit, die in Kanzleien immer häufiger Anwendung findet. Mitarbeiter arbeiten von zu Hause aus, Kanzleiinhaber greifen mobil auf Kanzleidaten zu.

Neben berufsrechtlichen Vorschriften sind bei den genannten Bereichen unbedingt aber auch datenschutzrechtliche Vorschriften zu beachten.

Das Datenschutzrecht selbst kennt zwei Formen der Auslagerung - die Auftragsdatenverarbeitung und die Funktionsübertragung.

Auch bei der Telearbeit sind datenschutz­rechtliche Maßnahmen zu treffen, obwohl sie regelmäßig nicht zur Auftragsdatenverarbeitung oder Funktionsübertragung zählt.

Auftragsdatenverarbeitung

Sie zeichnet sich dadurch aus, dass der Auftragnehmer Daten weisungsgebunden erhebt, verarbeitet oder nutzt. Eine Auftragsdatenverarbeitung liegt dann vor, wenn folgende datenschutzrechtliche Kriterien erfüllt sind:

1. fehlende Entscheidungsbefugnis des Auftragnehmers,
2. weisungsgebundene Unterstützung des Auftraggebers,
3. fehlende vertragliche Beziehung des Auftragnehmers zum Betroffenen,
4. Umgang nur mit Daten, die der Auftraggeber zur Verfügung stellt.

Der Auftraggeber hat die Zulässigkeit der Datenerhebung zu prüfen und die Rechte der Betroffenen, zum Beispiel auf Auskunft, Korrektur und Löschung, zu gewährleisten.

Bei der Vergabe von Auftragsdatenverarbeitungen muss er gleichzeitig Vorkehrungen treffen, um das gesetzlich garantierte Datenschutzniveau für die Betroffenen zu garantieren. Zudem muss der Auftraggeber den Auftrag zur Auftragsdatenverarbeitung schriftlich erteilen. In der Praxis lässt sich aus Gründen der Rechtssicherheit auf entsprechende Standardverträge zurückgreifen.

In dem Vertrag sind unbedingt die Art und der Umfang der Datenerhebung, ­verarbeitung oder ­nutzung, die technischen und organisatorischen Maßnahmen und etwaige Unterauftragsverhältnisse festzulegen. Insbesondere Unterauftragsverhältnisse können sich als sehr problematisch erweisen.

Ein Beispiel illustriert dies: Ein Kanzleirechner ist defekt und ein Systemhaus wird mit der Reparatur beauftragt. Sollte nun vom Systemhaus der Rechner zur Reparatur an den Hersteller gesendet werden, so ist der Auftraggeber nicht mehr Herr der Daten, die auf dem Rechner gespeichert sind.

Während der Auftragsdatenverarbeitung muss der Auftraggeber also stichprobenartig die Einhaltung des Datenschutzes durch den Auftragnehmer kontrollieren. Auftragnehmer selbst sollten durch Vorlage eines entsprechenden Sicherheitskonzepts, Audits oder von Testaten von Sachverständigen nachweisen, dass sie ihren datenschutzrechtlichen Pflichten nachkommen können. Ist dies der Fall, ist eine Vor-Ort-Prüfung nicht zwingend vorgeschrieben.

Funktionsübertragung

Geht das Auftragsverhältnis über eine Auftragsdatenverarbeitung hinaus, liegt eine Funktionsübertragung vor, die sich durch folgende Kriterien auszeichnet:

1. Überlassung von Nutzungsrechten an den Daten,
2. eigenverantwortliche Sicherstellung von Zulässigkeit und Richtigkeit der Daten durch den Dienstleister,
3. Sicherstellen der Rechte von Betroffenen, wie Benachrichtigungspflicht und Auskunftsanspruch.

Die Weitergabe personenbezogener Daten stellt eine Datenübermittlung im Sinne des Bundesdatenschutzgesetzes (BDSG) dar. Dementsprechend muss geprüft werden, ob eine Einwilligung des Betroffenen, ein datenschutzrechtlicher Erlaubnistatbestand vorliegt oder ein anderes Gesetz dies erlaubt.

Verfügt beispielsweise eine Kanzlei über Tochtergesellschaften, so ist bei einem personenbezogenen Datenaustausch zu beachten, dass das Datenschutzrecht keinen Konzernvorbehalt kennt. Somit ist auch ein Datenaustausch zwischen Mutter­ und Tochtergesellschaft nach den Grundsätzen der Auftragsdatenverarbeitung oder Funktionsübertragung vorzunehmen.

Die Steuerberatungskanzlei ist bei der Datenauslagerung aber nicht nur Auftraggeber, sondern auch Auftragnehmer. Bei einem Mandat im Bereich der Lohn­ oder Finanzbuchhaltung ist etwa zu unterscheiden, ob die Kanzlei Auftragnehmer im Sinne einer Auftragsdatenverarbeitung oder einer Funktionsübertragung ist. Die Mehrzahl der Mandate wird den Regelungen der Funktionsübertragung unterliegen.

Obwohl das Berufsrecht verlangt, dass "Steuerberater und Steuerbevollmächtigte [...] ihren Beruf unabhängig, eigenverantwortlich, gewissenhaft, verschwiegen [...] auszuüben" haben, kann das Ergebnis einer datenschutz-rechtlichen Prüfung des Mandatsverhältnisses sein, dass eine Auftragsdatenverarbeitung vorliegt. Dies kann bei der Auslagerung einer reinen Lohn­ und Gehaltsabrechnung der Fall sein.

In der Praxis verlangen Mandanten zunehmend von Steuerberatern, einen Vertrag zur Auftragsdatenverarbeitung zu unterschreiben. In diesen Fällen sollte der Steuerberater oder sein Datenschutzbeauftragter prüfen, welche Form der datenschutzrechtlichen Auslagerung vorliegt. Außerdem ist unbedingt zu beachten, dass das Berufsrecht Vorrang vor den datenschutzrechtlichen Vorschriften hat. Dementsprechend ist ein etwaiger Vertrag zur Auftragsdatenverarbeitung auszugestalten.

Telearbeit

Bei der Teleheimarbeit handelt es sich um keine Auftragsdatenverarbeitung. Datenschutzrechtlich ist hier für die Verarbeitung der personenbezogenen Daten weiterhin die Kanzleileitung verantwortlich.

So muss am Heimarbeitsplatz auf die Umsetzung technischer und organisatorischer Maßnahmen Wert gelegt werden. Einige Tipps:

Der Rechner und die Software müssen Kanzleieigentum sein und dürfen nur für den Telearbeiter zugänglich sein. Gleichzeitig darf der Mitarbeiter seinen Rechner nur für dienstliche Zwecke in der entsprechenden Konfiguration verwenden. Ein Zugriff auf den Rechner und die dort gespeicherten Daten darf nur mit Passwort möglich sein. Für lokale Datenbestände, die verschlüsselt werden müssen, muss ein Sicherungskonzept ausgearbeitet und angewandt werden.

Auch die Wartung der Hard­ und Software muss datenschutzkonform geregelt sein, wobei eine digitale Datenübermittlung verschlüsselt erfolgen muss. Zudem müssen die Mitarbeiter den Datenbestand ihres Rechners täglich mit einem Anti­Virenprogramm überprüfen.

Dienstliche Unterlagen und Sicherungsmedien sind in verschlossenen Sicherheitsschränken aufzubewahren, zu denen Dritte keinen Zugang haben. Eine Entsorgung dienstlicher Unterlagen und Sicherungsmedien muss datenschutzkonform sein, ebenso muss ein Transport dienstlicher Unterlagen und Datenträger in verschlossenen Behältern erfolgen.

Problematisch ist der Einsatz eines Telefaxes in den Räumen des Arbeitnehmers, denn hier ist unbedingt auf die Einhaltung des Fernmeldegeheimnisses zu achten. Auch während der Arbeit mit dienstlichen Daten ist sicherzustellen, dass Dritte wie etwa Familienangehörige keine Einsicht in vertrauliche Daten erhalten.

Abhängig vom Einzelfall sind eventuell sogar bauliche Maßnahmen vorzunehmen.

Aufseiten der Kanzlei ist darauf zu achten, dass ein möglicher Fernzugriff nur durch den Telearbeiter und nicht durch unautorisierte Dritte vorgenommen werden kann. Zugleich muss der Umfang des Zugriffs auf das erforderliche Maß beschränkt sein. Für den Fernzugriff ist ein Datenschutzkonzept auszuarbeiten.

Der Arbeitgeber, der Datenschutzbeauftragte und auch die Aufsichtsbehörde für den nicht öffentlichen Bereich haben Kontrollaufgaben. Um den Konflikt zwischen diesen Kontrollaufgaben und der grundgesetzlich garantierten Unverletzlichkeit der Wohnung des Teleheimarbeiters zu lösen, muss unbedingt eine vertragliche Regelung gefunden werden.

Sämtliche Regelungen sind schriftlich niederzulegen und dem Telearbeiter zur Verfügung zu stellen. Bei der datenschutzkonformen Umsetzung der Telearbeit sollten Kanzleien unbedingt auf die Arbeitshilfen der Aufsichtsbehörden für den nicht öffentlichen Bereich zurückgreifen.

Diplom-Ökonom Stephan Rehfeld,
Geschäftsführer der scope & focus GmbH,
der IT-Tochter des Steuerberaterverbands Niedersachsen Sachsen-Anhalt e.V.
und externer Datenschutzbeauftragter.

Veröffentlicht in: Steuer-Consultant 4/2008, Seite 50

• Datenschutz
• | Produkte
  • | externer DSB
  • | DS-Organisation
  • | Schulung
• | Fachinformationen
  • | Fachinformationen
• | Seminare
  • | DS-Seminare
• | Ansprechpartner
  • | Koordination
  • | Ansprechpartner

 

Seite drucken
Seite empfehlen
Kontakt