DATEV unterstützt den steuerlichen Berater auch bei der Einhaltung des Datenschutzes. Vor welchen Herausforderungen Kanzleien stehen und was die Genossenschaft auch für die IT-Sicherheit ihrer Mitglieder unternimmt, erläutert der Datenschutzbeauftragte Bernd Bosch.
Herr Bosch, Sie sind seit vielen Jahren im Außendienst von DATEV als externer Datenschutzbeauftragter im Einsatz. Wie muss ich mir einen typischen Arbeitstag vorstellen?
BOSCH: Datenschutz ist für den Berufsstand und für DATEV zentrale Grundvoraussetzung. Die Mandantinnen und Mandanten vertrauen einfach auf einen verlässlichen Datenschutz. Datenpannen oder Datenschutzverstöße würden dieses Vertrauen in den Grundfesten erschüttern. Durch die fortschreitende Digitalisierung werden immer mehr Daten in IT-Systemen verarbeitet. Deshalb steht das Thema natürlich im Fokus. Ich berate und unterstütze Kanzleien und Mandanten zu ihren Datenschutzpflichten, überwache deren Einhaltung und schule Mitarbeiter. Das geschieht in regelmäßigen Terminen vor Ort – seit Pandemiezeiten auch per Videokonferenz – und in telefonischen Beratungen. Daneben gibt es weitere gesetzliche Aufgaben, wie zum Beispiel eine erste Anlaufstelle für die Aufsichtsbehörde einzurichten. Zudem bin ich Referent in Seminaren zur Ausbildung kanzleiinterner Datenschutzbeauftragter.
Lassen Sie uns über die DS-GVO sprechen. Seit 2018 hat sich sicher viel getan, es besteht aber weiterhin noch große Unsicherheit.
Das ist richtig. Unsere Mitglieder haben sich der Thematik sehr unterschiedlich angenommen. Wir hatten im Jahr 2018 einen regelrechten Run auf unser Angebot, durch einen externen Datenschutzbeauftragten von DATEV betreut zu werden. Zeitweise konnten wir der starken Nachfrage nicht mehr nachkommen und mussten unsere Kunden vertrösten. Mittlerweile haben wir unser Team vergrößert und können problemlos Termine anbieten. Durch die große Nachfrage sieht man, dass sich der Berufsstand von Anfang an sehr intensiv mit der DS-GVO beschäftigt hat. Die Herangehensweisen variierten von abwartend und zögerlich bis zu sehr ambitioniert.
Viele Kanzleien haben sich also für ganz unterschiedliche Wege bei der Umsetzung der DS-GVO-Vorgaben entschieden. Wie haben Sie das wahrgenommen?
Da gibt es in der Tat große Unterschiede. Zunächst einmal muss nicht jede Kanzlei oder jedes Unternehmen einen Datenschutzbeauftragten benennen. Das ist von der Anzahl derer abhängig, die ständig mit der automatisierten Verarbeitung von personenbezogenen Daten beschäftigt sind, aber auch von einigen anderen Faktoren. Wichtig ist aber, dass alle Kanzleien und Unternehmen – unabhängig von der Pflicht zur Benennung eines Datenschutzbeauftragten – die Vorgaben der DS-GVO einhalten müssen. Und da beginnt die eigentliche Herausforderung.
Können Sie näher erläutern, worin die Unterschiede zwischen einem internen und einem externen Datenschutzbeauftragten bestehen?
Viele Kanzleien und Unternehmen haben jemanden aus den eigenen Reihen benannt. Man spricht dann von einem internen Datenschutzbeauftragten. Der interne Datenschutzbeauftragte erscheint auf den ersten Blick kostengünstiger. Der Mitarbeiter ist ja ohnehin schon im Unternehmen beschäftigt. Das stimmt aber nur bedingt, denn natürlich fällt diese Person dann zeitweise für ihre eigentliche Tätigkeit aus. Es ergeben sich auch einige arbeitsrechtliche Besonderheiten. Der Datenschutzbeauftragte ist in seiner Tätigkeit gegenüber dem Arbeitgeber weisungsfrei. Außerdem genießt er einen besonderen Kündigungsschutz. Die regelmäßige Weiterbildung zum Erhalt der Fachkunde sorgt zum Teil für hohe Kosten und Ausfallzeiten. Da kommen monatlich schnell mehrere Hundert Euro zusammen. Bei der Wahl eines externen Datenschutzbeauftragten hingegen gilt es, auf einem nahezu unüberschaubaren Markt einen seriösen Dienstleister zu finden. Dieser Markt hat sich aufgrund der hohen Nachfrage durch die DS-GVO 2018 sprunghaft entwickelt. Von der One-Man-Show bis zu großen Beratungshäusern ist alles vertreten. Die Preise variieren allerdings erheblich. Oft sind Kosten intransparent und die enthaltenen Leistungen nicht klar.
Welche Rolle spielen Sie in diesem ganzen Angebot?
Das muss letztendlich jeder Kunde für sich entscheiden. Von großem Vorteil ist, dass wir die Kanzleiprozesse unserer Mitglieder sehr gut kennen sowie die vielfach eingesetzte DATEV-Software. Somit bieten wir eine Komplettlösung für unsere Kunden aus erster Hand, und das bei transparenten Kosten. Die Dienstleistung wird über eine vereinbarte monatliche Pauschale abgerechnet. Dafür bekommen unsere Kunden eine sehr individuelle Betreuung. Im Hintergrund arbeitet ein ganzes Team von Datenschützern, sodass wir auch Ausfallzeiten sehr gut ausgleichen können. Und im Datenschutz kommt es manchmal auf Stunden an – beispielsweise bei der Meldung von Datenschutzverstößen an die Aufsichtsbehörden oder bei Antworten auf sogenannte Betroffenenanfragen. Im Paket ist neben der dauerhaften persönlichen Betreuung ein Jahrestermin enthalten, bei dem wir vor Ort oder online aktuelle Themenstellungen besprechen. Zusätzlich bekommen unsere Kunden ein umfangreiches Vorlagenpaket – wahlweise als ProCheck-Variante oder als Word-Vorlage, mit deren Hilfe den datenschutzrechtlichen Dokumentationspflichten nachgekommen werden kann. Darüber hinaus sind in unserer Dienstleistung die jährlich aktualisierten Lernvideos zur Mitarbeitersensibilisierung kostenfrei dabei. Kanzleien, bei denen keiner aus unserem Team als Datenschutzbeauftragter benannt ist, bieten wir selbstverständlich auch unsere Beratungsleistungen an, beispielsweise in Form einer Datenschutzanalyse. Übrigens sind wir als Datenschutzbeauftragte nicht nur für Kanzleien tätig, sondern auch in Unternehmen. Unser gesamtes Dienstleistungsangebot gilt auch für Mandanten im sogenannten mitgliedsgebundenen Mandantengeschäft.
Datenschutzverstöße müssen den Aufsichtsbehörden gemeldet werden. Was heißt das konkret?
Den Aufsichtsbehörden sind durch die datenschutzrechtlich Verantwortlichen binnen 72 Stunden seit Bekanntwerden Datenschutzverstöße zu melden, außer es liegt kein Risiko für die Betroffenen vor. Bei hohem Risiko sind auch die Betroffenen proaktiv zu informieren. Für die Erkennung von Datenschutzverstößen und der Einschätzung daraus resultierender Risiken müssen in allen Kanzleien und Unternehmen entsprechende Prozesse vorhanden sein. Die Aufsichtsbehörden kommen aber auch dann ins Spiel, wenn Datenschutzverstöße von Dritten, etwa von Mandanten, Kunden oder Mitarbeitern, angezeigt werden. Zudem führen Aufsichtsbehörden regelmäßig Routineüberprüfungen bei zufällig ausgewählten Unternehmen durch. Bei Verstößen kann es dann teilweise zu empfindlichen Geldbußen kommen.
Welche Anlässe treiben die meisten um? Geben Sie uns abschließend ein kleines Fazit?
Meine Kunden vertrauen auf die schnelle Unterstützung bei Datenschutzverstößen und der Beurteilung, ob diese an die Aufsichtsbehörde oder die Betroffenen gemeldet werden müssen. Anfragen dazu erreichen mich fast täglich. Ein großes Einfallstor für Datenschutzverstöße, nicht zuletzt seit Einführung des Telekommunikation-Telemedien-Datenschutz-Gesetzes im vergangenen Dezember, stellt aber auch die eigene Website dar. Hier seien nur die Stichwörter Cookies, Tracking-Tools und Google-Dienste, wie Google Analytics, Google Fonts oder Google Maps, genannt. Es wird immer noch sehr viel falsch gemacht, interessanterweise auch von professionellen Webseitenerstellern. Deshalb haben wir unser Portfolio um eine Website-Analyse erweitert. Neben der Datenschutzerklärung wird dabei auch der technische Aufbau der Seite auf veraltete Komponenten mit potenziellen Sicherheitslücken überprüft. Seit 2021 unterstützen wir unsere Kunden zudem bei der Durchführung von IT-Sicherheits- und Datenschutz-Audits ihrer Mandanten, die immer häufiger vorkommen. Bei der Beantwortung dieser meist sehr umfangreichen Fragebögen arbeiten wir eng mit anderen DATEV-Abteilungen zusammen. Da die Audits oftmals für den englischsprachigen Raum benötigt werden, stellen wir diese auf Nachfrage auch zweisprachig zur Verfügung. Weitere Highlights sind Beratungen zu Datenschutz im Homeoffice und zur Nutzung von Cloud-Anwendungen, zum Beispiel Microsoft 365. Die Themen gehen uns jedenfalls nicht aus.
Mehr dazu
finden Sie unter www.datev.de/dsb:
- Datenschutz-Analyse, www.datev.de/shop/71587
- DATEV Website-Analyse, www.datev.de/shop/71881
- Erstellung und Individualisierung eines Löschkonzepts, www.datev.de/shop/71381
- Lernvideo online „Datenschutz in der Kanzlei – Mitarbeiterunterweisung 2022“, www.datev.de/shop/78900
- Lernvideo online „Datenschutz im Unternehmen – Mitarbeiterunterweisung 2022“, www.datev.de/shop/78901
- Kompaktwissen für Berater: Datenschutzrecht für Berater (StB, RA, WP), www.datev.de/shop/35741