Fast ein Jahr DSGVO liegt hinter uns. Nach einem unruhigen Start mit vielen Presseberichten, ächzten die deutschen Aufsichtsbehörden unter einer Unmenge an Anfragen und Beschwerden. Bereits diese Tatsache kann man als ein Zeichen für eine veränderte Wahrnehmung des Themas in Wirtschaft und Gesellschaft werten. Die Aufsichtsbehörden haben als Hilfestellung zahlreiche Orientierungshilfen und weitere Stellungnahmen veröffentlicht. Teilweise leider mit unterschiedlichen Ansätzen. Es bleiben somit in vielen Bereichen Fragen ungeklärt, so auch im Umfeld der steuerberatenden Berufe. Sei es das Thema E-Mail-Verschlüsselung oder die Frage, ob die Leistungen eines Steuerberaters als Auftragsverarbeitung im Sinne der DSGVO zu werten sind. Auch bzgl. des Auskunfts-und Informationsverhaltens an Mandanten und der Mitarbeiter oder Familienmitgliedern sind Besonderheiten zu beachten, die in der DSGVO so nicht berücksichtigt werden.
E-Mail-Verschlüsselung
Unter anderem zum Themenbereich E-Mail-Verschlüsselung und Auskunfts-und Informationsverhaltens an Mandanten hat der gemeinsame Arbeitskreis „Verhaltensregeln Datenschutz“ der Bundessteuerberaterkammer (BStBK) und des Deutschen Steuerberaterverbands (DStV) in den „Hinweisen für den Umgang mit personenbezogenen Daten durch Steuerberater und Steuerberatungsgesellschaften“ (zu finden auf den Homepages von BStBK und DStV) erste Lösungen an die Hand gegeben und zahlreiche Tipps für die Umsetzung in den Kanzleien beschrieben.
Diese Hinweise wurden vergangenes Jahr durch die BStBK als Kapitel 5.2.4 in das Berufsrechtliche Handbuch (Stand: September 2018) aufgenommen. In diesen Hinweisen werden auch Empfehlungen zum Thema E-Mail-Verschlüsselung ausgesprochen. In diesem Zusammenhang wird die klare Empfehlung ausgesprochen, sich bei alleiniger Nutzung der Transportverschlüsselung davon zu überzeugen, dass sowohl der E-Mail-Anbieter der Kanzlei als auch des Mandanten ihren Sitz in Deutschland haben und dass Kanzlei und Mandant die Transportverschlüsselung in ihrem Mail-Client aktiviert haben. Denn nutzt man „lediglich“ die Transportverschlüsselung, so wird der Inhalt der E-Mail bei der Übermittlung zwischen dem Absender und seinem E-Mail-Anbieter sowie zwischen zwei E-Mail-Anbietern untereinander und zwischen E-Mail-Anbieter und Empfänger verschlüsselt. Nachdem alle deutschen E-Mail-Anbieter dem Fernmeldegeheimnis unterliegen, wäre somit die gesamte Verbindung geschützt, aber nur so lange die E-Mail-Korrespondenz innerhalb Deutschlands von Statten geht.
Verschlüsselungsmethoden
Nun haben die deutschen Aufsichtsbehörden in den vergangenen Jahren zwar stets die Ende-zu-Ende-Verschlüsselung als alleinige Möglichkeit der Kommunikation zwischen Berufsgeheimnisträger und Mandant, und im Übrigen auch unter Berufsgeheimnisträgern dargestellt. Es zeichnet sich momentan jedoch durchaus eine Tendenz ab, welche die Transportverschlüsselung als Alternative zur Ende-zu-Ende-Verschlüsselung ansieht. So erschien beispielsweise in der BRAK-Mitteilung 3/2018 unter dem Titel „Anwaltliche Kommunikation per E-Mail“ ein Aufsatz, in dem die Transportverschlüsselung für Anwaltskanzleien als durchaus ausreichend dargestellt wurde. Allerdings wurde dort nicht die Frage geklärt, inwiefern die Kommunikation außerhalb Deutschlands durch die Transportverschlüsselung geschützt werden soll.
In der Praxis dürfte es gerade dem Steuerberater Probleme bereiten zu überprüfen, ob alle Mandanten ihre E-Mail-Server in Deutschland stehen haben, so dass in der Konsequenz doch wiederum nur die Ende-zu-Ende-Verschlüsselung als sichere Lösung bleibt, es sei denn, der Mandant erteilt seine Einwilligung in die unverschlüsselte E-Mail-Kommunikation. Aber auch dann muss die Kanzlei eine Möglichkeit der Verschlüsselung anbieten können und sollte sich nicht alleine auf Einwilligungen abstützen. Ferner ist genau im Einzelfall zu betrachten, ob die alleinige Einwilligung des E-Mail-Empfängers ausreicht. Das dürfte in der Regel aus berufsrechtlichen Gründen nicht der Fall sein! Gerade bei der Übertragung von Lohnunterlagen, in denen auch Daten der Mitarbeiter des Mandanten enthalten sind, ist dies der Fall.
Nicht verschwiegen werden darf an dieser Stelle das Risiko, das für die Kanzlei mit der Einwilligung der Mandanten einhergeht. Der Fehlversand einer unverschlüsselten E-Mail stellt sowohl einen Verstoß gegen die berufsrechtliche Verschwiegenheit dar, als auch eine Datenschutzpanne, welche innerhalb von 72 Stunden an die zuständige Datenschutz-Aufsichtsbehörde zu melden ist. Im eigenen Interesse der Kanzlei ist es deswegen nicht ratsam, mittels Einwilligung von einer sicheren E-Mail-Kommunikation abzuweichen.
Auftragsverarbeitung
Ein nicht minder ungeklärtes Thema im Bereich der Steuerberatung ist die Fragestellung, ob einzelne Leistungen eines Steuerberaters als Auftragsverarbeitung anzusehen sind. Immer wieder ist die Lohn- und Gehaltsabrechnung hierbei im Fokus. Im aktuellen 34. Datenschutz-Tätigkeitsbericht 2018 des Landesbeauftragten für den Datenschutz Baden-Württemberg (LfDI BW ) widmet die Behörde dem Thema „Steuerberater und Lohnbuchhaltung“ ein eigenes Kapitel (1.10). Das Schlussfazit am Ende der Ausführung: „Übernimmt ein Steuerberater neben seiner eigentlichen Steuerberatertätigkeit (Hilfe in Steuersachen) zusätzlich weitere Aufgaben, handelt es sich um Auftragsverarbeitung im Sinne des Artikels 28 DSGVO und bedarf einer entsprechenden Vereinbarung mit dem datenschutzrechtlich verantwortlichen Auftraggeber.“ (Der Tätigkeitsbericht ist auf der Webseite des LfDI BW als PDF abrufbar).
Eine genau konträre Auffassung hierzu findet sich ebenfalls im Internet. Das Bayerische Landesamt für Datenschutzaufsicht schreibt unter der Rubrik „FAQ zur DSGVO“: „Bei Steuerberatern ist nach unserer Auffassung zu sehen, dass diese nach dem insoweit geltenden Fachrecht (Steuerberatungsgesetz) als Freiberufler selbständig, weisungsunabhängig und eigenverantwortlich tätig sind und dementsprechend auch einer strafbewehrten persönlichen Geheimhaltungspflicht unterliegen (vgl. z. B. § 57 Steuerberatungsgesetz, § 203 Abs. 1 Nr. 3 des Strafgesetzbuches). Das widerspricht der Weisungsgebundenheit im Sinne von Art. 28 Abs. 3 lit. a DSGVO. Des Weiteren ist den Steuerberatern eine gewerbliche Tätigkeit außerhalb des Steuerberaterrechts grundsätzlich untersagt (§ 57 Abs. 4 Nr. 1 Steuerberatungsgesetz).“
Gleicher Argumentation folgen auch BStBK und DStV in den oben bereits genannten „Hinweisen für den Umgang mit personenbezogenen Daten durch Steuerberater und Steuerberatungsgesellschaften“: „Die Leistung des Steuerberaters ist immer eine eigenverantwortlich erbrachte fachliche Beratung und ist somit keine Auftragsverarbeitung. Dies gilt insbesondere auch für die Lohn- und Gehaltsabrechnung sowie für vereinbare Tätigkeiten gemäß § 57 Abs. 3 StBerG, die der Steuerberater nach dem Steuerberatungsgesetz (StBerG) immer eigenverantwortlich ausführen muss. Damit muss der Steuerberater keine Verträge zur Auftragsverarbeitung mit seinen Mandanten abschließen.“
Diese unterschiedliche Auslegung einer europäischen Verordnung innerhalb der Binnengrenzen der EU führt nun zu einem Dilemma. Dieser kommt insbesondere offen zum tragen, wenn Steuerberater und „Lohnmandant“ ihren Sitz in unterschiedlichen Bundesländern haben: Der baden-württembergische Mandant wäre somit, nach Auffassung seiner zuständigen Datenschutzaufsichtsbehörde, in der Pflicht, mit dem bayerischen Steuerberater einen Vertrag zu Auftragsverarbeitung schließen. Der bayerische Steuerberater wiederum kann sich auf die Aussagen seiner Datenschutz-Aufsichtsbehörde und der BStBK beziehen und den Abschluss eines solchen Vertrages ablehnen. Unberücksichtigt bei dieser datenschutzrechtlichen Auseinandersetzung bleibt die Frage, ob der Abschluss eines Vertrages zu Auftragsverarbeitung in allerletzter Konsequenz nicht gar einen berufsrechtlichen Verstoß darstellen würde.
Fazit
Beide Beispiele aus dem Umfeld der steuerberatenden Berufe zeigen, dass es noch einige datenschutzrechtliche Fragen zu lösen gilt. Die Datenschutzkonferenz (DSK), dem Gremium der unabhängigen deutschen Datenschutzaufsichtsbehörden des Bundes und der Länder, sollte dringend einheitliche Vorgaben definieren und somit Rechtssicherheit schaffen. Insbesondere die Einordnung der Leistungen eines Steuerberaters muss vor dem Hintergrund der berufsrechtlichen Stellung abschließend geklärt werden.
Produktempfehlung
Im NWB Verlag ist ein auf die Tätigkeit von Steuerberatern zugeschnittener Praxisleitfaden zur Umsetzung der DSGVO erschienen:
Ich finde die neuen Grundverordnungen für Datenschutz ganz gut. Es gibt ja mehr und mehr, was man als Unternehmensbesitzer beachten muss, aber man kann nie zu vorsichtig sein, wenn es um Sicherheit und private Information geht. Ich finde es lohnenswert, wenn man eine professionelle Datenschutzberatung beauftragt. Dann sind Probleme in diesem Bereich leichter zu vermeiden.