Ein Jahr DSGVO: Was aus der Grundverordnung wurde und wie Agenda beim Datenschutz hilft

25. Mai 2018. Für viele war es ein Schreckensdatum am Horizont. Eine Horrorgeschichte mit fünf Buchstaben: DSGVO. Die Einführung der Datenschutz-Grundverordnung jährt sich in diesem Mai. Was ist seitdem passiert? War es wirklich so schlimm? Worauf müssen Steuerberater achten und wie kann Agenda ihnen dabei helfen?

Der Rummel war enorm, die Folgen eher kleiner

„Die Datenschutz-Grunderschütterung“ (Spiegel Online) oder „Schlägt nun die Stunde der Abmahnanwälte?“ (WirtschaftsWoche): Die Panik war greifbar, als im vergangenen Frühling die Datenschutz-Grundverordnung aktiv wurde. Am Ende kam es wie so häufig und die Suppe wurde nicht so heiß gegessen, wie sie gekocht wurde. Saftige Strafen gab es dennoch, allerdings nur in Frankreich. Hier traf es vor allem Google und weniger die kleineren Betriebe. In Deutschland wurden bis jetzt 75 Unternehmen abgestraft, Millionenklagen blieben dabei jedoch aus.

Was hat sich geändert?

Und obwohl „die Stunde der Abmahnwelle“ ausblieb, hat sich dennoch einiges verändert. Vor allem ist vielen Menschen und damit vielen Mandanten richtig bewusst geworden, dass Datenschutz wichtig und dass diese Klinge nun scharf ist.

Auch wenn das Steuerberatergesetz schärfer als die DSGVO ist, gab es für Steuerberater Änderungen. So sind vor allem die Anforderungen an die technischen Vorkehrungen konkretisiert worden.

Lieber Vorkehrungen als Nachsicht

Insbesondere hinsichtlich dem technischen Schutz von personenbezogenen Daten sind die Vorgaben der DSGVO wesentlich präziser.

Daten dürfen nur „in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen.“ Dazu zählt auch der physische Zugriff auf IT-Infrastrukturen, in denen personenbezogene Daten verarbeitet werden. Darüber hinaus muss jeder Steuerberater in der Lage sein, Daten bei einem technischen Zwischenfall rasch wiederherzustellen.

Diese Anforderungen in der eigenen Kanzlei sicherzustellen, ist mit einem hohen Aufwand verbunden. Das Auslagern der eigenen IT schafft hier deswegen nicht nur mehr Sicherheit, sondern reduziert auch den eigenen Dokumentationsaufwand. Neben einem wirksamen Schutz durch Firewall und Virenschutz, wie ihn Agenda Security liefert, sollte zumindest auf eine standortunabhängige Datensicherung wertgelegt werden. Diese schützt nicht nur vor einem Hardware-Schaden, sondern sichert auch physische Bedrohungen – wie z. B. einen Brand – wirksam ab.

Die Lösung lautet hier Agenda ASP. Die Kanzleisoftware wird komplett ausgelagert und erreicht ein Sicherheitsniveau, das in der eigenen Kanzlei nicht erreicht werden kann.

Bei allen Anstrengungen rund um IT-Sicherheit darf jedoch nicht vergessen werden: Die DSGVO ist nicht auf Digitales beschränkt. Auch der Zugriff auf Aktenordner, interne Prozessabläufe o. Ä. sollte nicht vernachlässigt werden.

Cloudanwendungen schützen die externe Kommunikation

Logisch, die E-Mail ist der Standard in der täglichen Kommunikation mit Mandanten. In der Regel wird eine E-Mail unverschlüsselt über mehrere Server hinweg zum Empfänger übertragen. Das macht die Nachricht grundsätzlich für „jeden“ lesbar: also zu einem relativ unsicheren Medium.

Verschlüsselte E-Mails haben sich bisher nicht durchgesetzt, da der Absender den öffentlichen Schlüssel von jedem Empfänger benötigt, was bei vielen E-Mails äußerst kompliziert ist. Also bleiben für personenbezogene Daten nur noch Fax oder Brief? Nein, es gibt weit bessere Möglichkeiten.

Mit Auswertungen Online können Dateien, Dokumente und Auswertungen DSGVO-konform und schnell mit dem eigenen Mandanten über ein Online-Portal ausgetauscht werden. Und auch die Mandanten können beliebige Dateien sicher zur Verfügung stellen. Diese Bereitstellung der Dokumente ist direkt in die Arbeitsabläufe der Software integriert. Das ermöglicht nicht nur eine sichere Kommunikation, sondern spart auch Zeit.

Um also wirklich DSGVO-konform zu arbeiten, sollten keinerlei personenbezogene Daten unverschlüsselt per E-Mail versendet werden. Besser ist die Nutzung von Auswertungen Online.

Das Gleiche gilt auch für Gehaltsabrechnungen. Oft werden sie noch unverschlüsselt per E-Mail an den Mandanten gesendet. Mit Lohn- und Gehaltsdokumente Online existiert eine sichere Alternative. Dort werden Abrechnungsdokumente verschlüsselt in einem Online-Portal zum Abruf bereitgestellt. Die Nutzer erhalten dann immer noch eine E-Mail, die über den Eingang neuer Dokumente informiert. Darüber hinaus werden die Abrechnungen über mindestens drei Jahre archiviert.

Wichtig wegen der Haftung: Vereinbarung zur Auftragsdatenverarbeitung

Wer Daten in seiner Software verarbeitet, benötigt eine Vereinbarung zur Auftragsdatenverarbeitung mit dem entsprechenden Anbieter, also beispielsweise mit uns. Darüber hinaus sollte mit uns eine Vereinbarung zur beruflichen Verschwiegenheit getroffen werden. Das schafft die Grundlage, die eigenen Prozesse zu dokumentieren. Bei Agenda geht das ganz leicht im Kundenbereich und zwar hier.

Fazit

Die DSGVO hat den Schutz personenbezogener Daten wieder präsent gemacht. Althergebrachte und nachlässige Arbeitsweisen sind seitdem spürbar zurückgegangen. Dank dem Einsatz moderner Mittel wie beispielsweise Cloudanwendungen lassen sich die Anforderungen meist ohne Komforteinbußen erfüllen.