Diese wissenschaftliche Arbeit beleuchtet die Besonderheiten der EU-weit geltenden Datenschutzgrundverordnung und erklärt die wichtigsten Fachtermini. Darüber hinaus wird in einem weiteren Kapitel die Umsetzung anhand konkreter Maßnahmen für kleine und mittelständische Steuerberatungskanzleien hergeleitet.
Der Datenaustausch zwischen Unternehmen wächst mit der zunehmenden Komplexität von genutzten Softwarelösungen sowie der Digitalisierung und Optimierung betrieblicher Prozesse. Die Steuerberatungs- und Wirtschaftsprüfungskanzleien sehen sich mit neuen Herausforderungen konfrontiert, die sich einerseits aus der Tatsache ergeben, dass diese Berufsbranche gesetzlich zur Verschwiegenheit per Gesetz verpflichtet ist (vgl. § 62 StBerG). Andererseits erfordert die am 25.05.2018 in Kraft getretene Datenschutzgrundverordnung eine Vielzahl an organisatorischen Veränderungen im Betriebsablauf (vgl. Art. 99 Abs. 2 DSGVO).
Die aufgeworfene Problemstellung rechtfertigt die Notwendigkeit eines Maßnahmenplans zur Umsetzung der DSGVO in den mittelständischen Steuerberatungskanzleien. Vor der intensiven Auseinandersetzung mit den Folgen und Charakteristika der DSGVO sind einige Begriffsdefinitionen von Nöten. In einem weiteren Schritt werden aufgeworfene Ursache-Wirkungs-Beziehungen in den betrieblichen Zusammenhang der Steuerkanzleien transferiert.
Inhaltsverzeichnis
Inhaltsverzeichnis
Abkürzungsverzeichnis
Abbildungsverzeichnis
1 Einführung
2 Auswirkungen der EU-DSGVO auf datenverarbeitende Unternehmen
2.1 Begriffsdefinition: Personenbezogene Daten
2.2 Begriffsdefinition: Verarbeitung
2.3 Begriffsdefinition: Profiling
2.4 Verbraucherrechte und ihre Anwendungsbereiche im Mandantschaftsverhältnis
2.5 Die DSGVO aus Sicht der Wirtschaft
3 Projektion auf mittelständische Kanzleien
3.1 Maßnahmen und Eintrittswahrscheinlichkeit
3.2 Verfahrensdokumentation
3.3 Skizzierung empirischen Vorgehens
4 Fazit
Literaturverzeichnis
Anhangsverzeichnis
Anhang
Abkürzungsverzeichnis
Art. Artikel
BDSG Bundesdatenschutzgesetz
f. folgende Seite
ff. folgende Seiten
IQ interne Quelle
KMU kleine und mittelständische Unternehmen
Mio. Million/Millionen
Nr. Nummer
S. Seite
StBerG Steuerberatergesetz
StGB Strafgesetzbuch
TNK transnationale Konzerne/Global Players
u. a. unter anderem
v. a. vor allem
vgl. vergleiche
z. B. zum Beispiel
Abbildungsverzeichnis
Abbildung 1 Zufriedenheit der Unternehmen mit der DSGVO
1 Einführung
Eine Bestellung im Internet, das Recherchieren mittels Suchmaschinen, die mediale Kommunikation: Im alltäglichen Leben sind neue Medien zu einem wichtigen Bestandteil geworden. Im Zuge des Konsums multimedialer Angebote hinterlassen die Nutzer1 immer mehr Daten im Netz.
Oftmals sind Verbraucher unzureichend über die Folgen und das Ausmaß der Datenverarbeitung informiert (vgl. Friedrich/Schneider, 2018, S. 9). Darüber hinaus herrscht bei Nutzern von Suchmaschinen Unklarheit darüber, unter welchen Gesichtspunkten die Suchergebnisse dargestellt werden. Betreibern von kostenfreien Suchmaschinen wird daher die Benutzung eines Algorithmus vorgeworfen, dessen Entscheidungsfindung v. a. unter ökonomischen Kriterien zustande kommt (vgl. Theisen, 2017, S. 85).
Der Datenaustausch zwischen Unternehmen wächst mit der zunehmenden Komplexität von genutzten Softwarelösungen sowie der Digitalisierung und Optimierung betrieblicher Prozesse. Die Steuerberatungs- und Wirtschaftsprüfungskanzleien sehen sich mit neuen Herausforderungen konfrontiert, die sich einerseits aus der Tatsache ergeben, dass diese Berufsbranche gesetzlich zur Verschwiegenheit per Gesetz verpflichtet ist (vgl. §62 StBerG). Andererseits erfordert die am 25.05.2018 in Kraft getretene Datenschutzgrundverordnung2 eine Vielzahl an organisatorischen Veränderungen im Betriebsablauf (vgl. Art. 99 Abs. 2 DSGVO).
Die aufgeworfene Problemstellung rechtfertigt die Notwendigkeit eines Maßnahmenplans zur Umsetzung der DSGVO in den mittelständischen Steuerberatungskanzleien. Vor der intensiven Auseinandersetzung mit den Folgen und Charakteristika der DSGVO sind einige Begriffsdefinitionen von Nöten. In einem weiteren Schritt werden aufgeworfene Ursache-Wirkungs-Beziehungen in den betrieblichen Zusammenhang der Steuerkanzleien transferiert.
2 Auswirkungen der EU-DSGVO auf datenverarbeitende Unternehmen
2.1 Begriffsdefinition: Personenbezogene Daten
Als personenbezogene Daten werden die Informationen eingestuft, die Bezug auf die Identität einer natürlichen Person nehmen. Die Identität einer Person kann durch eine unmittelbare oder mittelbare Zuteilung personenspezifischer Merkmale ermittelt werden. Dazu zählen z. B. Personalien, biometrische Daten, Gesundheitsdaten, geographische Aufenthaltsdaten sowie Daten zur Identifikation im Internet (vgl. Art. 4 Nr. 1 DSGVO).
2.2 Begriffsdefinition: Verarbeitung
Eine Verarbeitung gemäß Art. 4 Nr. 2 DSGVO umfasst manuelle und automatische Handlungen, die personenbezogene Daten gewinnen, abändern, veröffentlichen, in elektronischer oder nicht-elektronischer Form aufbewahren, kategorisieren und auswerten sowie Handlungen, die personenbezogene Daten beseitigen oder entfernen.
2.3 Begriffsdefinition: Profiling
Unter dem Begriff Profiling definiert der Gesetzgeber „jede Art der automatisierten Verarbeitung personenbezogener Daten, die darin besteht, dass diese personenbezogenen Daten verwendet werden, um bestimmte persönliche Aspekte (…) zu bewerten“ (Art. 4 Nr. 4 DSGVO). In der Praxis umfasst das Profiling insbesondere die Analyse und Prognose von Konsumverhalten. Profiling wird im allgemeinen Sprachgebrauch zunehmend mit dem Scoring gleichgesetzt, was als Erweiterung des Profilings definiert werden kann. Beim Scoring werden personenbezogene Daten so ausgewertet, dass eine Entscheidungsfindung zu Abschluss, Verwaltung oder Kündigung eines Geschäftsverhältnisses getroffen wird (vgl. Domurath/Neubeck, 2018, S. 9).
2.4 Verbraucherrechte und ihre Anwendungsbereiche im Mandantschaftsverhältnis
Die DSGVO dient primär dem Verbraucherschutz und soll die Position des Endkunden im digitalen Wirtschaftsverkehr stärken.
In erster Linie liegt die Verantwortung zur Einhaltung der DSGVO bei Geschäftsführern von Unternehmen. Besonders ist dabei, dass zusätzlich die Nachweispflicht und somit die Beweislast zur Einhaltung der gesetzlichen Vorschrift der Geschäftsleitung obliegt. Die zuständigen Datenschutzbeauftragten der Länder und unterstellte Behörden haben das Recht, diese Beweise einzufordern, und können bei Nichterbringen Bußgelder verhängen, wobei dem Betroffenen nicht nachgewiesen werden muss, ob ein Verstoß vorliegt. Vielmehr stellt das Nichtvorhandensein des Einhaltungsnachweises einen Regelverstoß dar (vgl. Völkel, 2018, S. 13). Es gelten entsprechend Art. 5 Abs. 2 sowie Art. 24 Abs. 1 DSGVO. Es lässt sich feststellen, dass die Bußgeldgestaltung, die im Vergleich zum BDSG verschärft wurde, eine sensibilisierende Wirkung hat. Die Bußgelder bei DSGVO-Verstößen können bis zu 20 Mio. Euro oder vier Prozent vom Weltumsatz pro Jahr betragen. Verblüffend ist dabei, dass unter Umständen Mitarbeiter in leitender Funktion mit ihrem Privatvermögen haftbar sind (vgl. Schricker, 2018, S. 35).
Die Verarbeitung personenbezogener Daten ist grundsätzlich nur dann zulässig, wenn eine zweckgebundene Einwilligung zur Datenverarbeitung erteilt wurde oder ein geschlossenes Vertragsverhältnis dies erfordert (vgl. Art 6 Abs. 1 a und b DSGVO). Diese Tatsache ist im Mandantschaftsverhältnis regelmäßig gegeben. Des Weiteren haben Betroffene das Recht auf umfassende Aufklärung über die Verwendung ihrer personenbezogenen Daten. Die berufsständische Ordnung eines Wirtschaftsprüfers ordnet beispielsweise an, vor Auftragsannahme einer gesetzlich vorgeschriebenen Pflichtprüfung das Mandat inhaltlich und strukturell zu durchdringen (Friedrich/Schneider, 2018, S. 23)3. Daraus resultiert, dass bereits vor Vertragsschluss personenbezogene Daten verarbeitet werden. Demnach sind Mandanten bei Vertragsschluss- oder Beendigung grundsätzlich gemäß Art. 13 DSGVO zu unterrichten. Die Verantwortlichkeit liegt beim Kanzleiinhaber bzw. Geschäftsführer. Ein weiteres Recht, das die DSGVO den Betroffenen einräumt, ist das Recht auf Auskunft, u. a. über Tatsache der Datenverarbeitung, dessen Zweck, betroffene Daten, Kategorien und Auskunft über ein Recht auf Beschwerde bei der zuständigen Aufsichtsbehörde (vgl. Art. 15 DSGVO). Es greifen zusätzlich §29 Abs. 1 Satz 2 BDSG und §29 Abs. 3 Satz 1 BDSG (vgl. Friedrich/Schneider, 2018, S. 27). Diese Exzeption nimmt Bezug auf die berufsspezifische Verschwiegenheitspflicht von Steuerberatern und Wirtschaftsprüfern.
2.5 Die DSGVO aus Sicht der Wirtschaft
Das ifo Institut hat im Auftrag von Randstad Deutschland in repräsentativen Umfragen herausgefunden, dass rund drei Viertel der befragten Unternehmen die DSGVO eher negativ bewerten4. Dabei gibt es kaum branchenspezifische Unterschiede, sondern die Einstellung gegenüber der DSGVO ist stark von der Unternehmensgröße abhängig. KMU sehen in der Verordnung eine größere Herausforderung als TNK (vgl. Schricker, 2018, S. 35 ff.). Abmahnungen und Musterprozesse schaffen weitere Unsicherheiten und erfordern Anpassungen bestehender Prozesse an die Rechtsprechung (vgl. Firlus, 2018, S. 1 f.).
Abbildung 1 Zufriedenheit der Unternehmen mit der DSGVO
Abbildung in dieser Leseprobe nicht enthalten
Quelle: Schricker, 2018, S.36
3 Projektion auf mittelständische Kanzleien
3.1 Maßnahmen und Eintrittswahrscheinlichkeit
Die Datenschutzverschärfung kann für die Kanzleien trotz der hohen Anforderungen als Chance begriffen werden. Als Markenprofilierung steigern hohe Datenschutzstandards nicht nur den Unternehmenswert, sondern sichern vielmehr einen Wettbewerbsvorteil gegenüber Konkurrenten (vgl. von Chrzanowski, 2018, S. 4 f.). Viele Kanzleien greifen bei der Umsetzung der DSGVO auf externe Berater und Expertenwissen zurück, wobei erst durch die Gesetzesänderung des §203 StGB vom 29.06.2017 die Weitergabe personenbezogener Daten an Dritte zur Vertragserfüllung im Mandantschaftsverhältnis den Anforderungen der Digitalisierung angepasst wurde. Zuvor handelten Berufsgeheimnisträger wie Wirtschaftsprüfer und Steuerberater in einem rechtlichen Graubereich, wenn sie beispielsweise IT-Dienstleistungen in Anspruch nahmen (vgl. Lenger, 2018, S. 8 f.).
Folgende Maßnahmen sollten ausgeführt werden, um den Grundstein für die Gewährleistung der Gesetzeskonformität sicherzustellen: Bestandsaufnahme der bestehenden Betriebsprozesse, Bestandsaufnahme getroffener Datenschutzmaßnahmen, Erstellung eines öffentlichen Verfahrensverzeichnisses, Erstellung einer Besucherregelung, Vereinbarungen mit externen Vertragspartnern, Verschlüsselte Datenübertragung, Schulung der Mitarbeiter, Erstellung von Datenschutzbelehrungen und weiteren Formularen für die Mandanten (vgl. Clostermann, 2016, S. 4 ff.).
Die wahrscheinlichste Konfrontation mit der DSGVO in der Praxis wird in Form eines Auskunfts- oder Löschungsersuchens5 auftreten, wofür eine standardisierte Antwort erarbeitet werden sollte. Des Weiteren ist zu beachten, dass auch die Datenverarbeitung im Besteuerungsverfahren der Finanzbehörden von der DSGVO betroffen ist, wodurch Auskunftsersuchen der Kanzleien beeinträchtigt werden können (vgl. Dierichs, 2018, S. 10 f.).
3.2 Verfahrensdokumentation
Die Verfahrensdokumentation ist eine der wichtigsten Säulen des Maßnahmenpaketes in den Beratungsstellen (vgl. Heester, 2018, S. 18). In diesem Dokument müssen u. a. Speicherfristen, Verarbeitungsschritte, Zuständigkeiten und Löschungsprozedere erörtert werden. Wenn ein Mandant länger als zwei Jahre keinen Kontakt mit der Kanzlei aufnimmt, müssen dessen Daten gelöscht werden. Bewerberdaten werden besonders sensibel behandelt und müssen sechs Monate nach Bewerbungseingang vernichtet werden (vgl. Ammon, 2018, S. 16 f.). Eine IT-Lösung für die Steuerberater ist diesbezüglich unerlässlich (vgl. Hinkelmann, 2018, S. 18 f.).
3.3 Skizzierung empirischen Vorgehens
Um die genauen Erfordernisse von Maßnahmen zur Umsetzung der DSGVO in einer Steuerberatungskanzlei analysieren zu können, ist eine empirische Datenerhebung von Nöten. Vorab ist eine Erfassung betriebsinterner Abläufe wichtig, um Eintrittswahrscheinlichkeit und Plausibilität für die tatsächliche Inanspruchnahme der Verbraucherrechte abzuschätzen. Eine Datenerhebung zur Kundenzufriedenheit ist einzuholen, um Risiken für eventuelle Konfrontationen zwischen Mandanten und der Kanzlei zu eruieren (vgl. von Chrzanowski, 2018, S. 4). Mitarbeiter, darunter auch Angestellte im Homeoffice, müssen ausreichend geschult sein, was mittels Umfragen zu überprüfen ist. Für die Datenerhebungen bieten sich papierhafte Fragebögen und onlinebasierte Umfragen gleichermaßen an, wobei letztere Auswertungen erleichtern.
[...]
1 Im Folgenden wird aus Gründen der besseren Lesbarkeit ausschließlich die männliche Form verwendet. Es können dabei aber sowohl männliche als auch weibliche und geschlechtsneutrale Personen gemeint sein.
2 Im Folgenden wird aus Gründen der besseren Lesbarkeit ausschließlich die Abkürzung DSGVO verwendet.
3 Man beachte die Empfehlungen des Instituts der Wirtschaftsprüfer in Deutschland e. V. (IDW PS 261).
4 Siehe hierzu Abbildung 1.
5 Siehe Anhang.