So wird Ihr Büro DSGVO-konform

Wieder einmal viel Wind um nichts? Reiben sich die Verweigerer und Aussitzer zu Recht die Hände? Diese Fragen könnte man zum aktuellen Zeitpunkt vorschnell mit „ja“ beantworten. Doch wer sich mit dem Thema intensiv befasst hat, kommt zu einem anderen Schluss.

Mit der DSGVO gibt es einen Paradigmenwechsel in der Beweispflicht: Unternehmen müssen nun jederzeit in der Lage sein, den datenschutzkonformen Umgang mit personenbezogenen Daten – durch Rechenschaftspflichten – nachzuweisen.

Als selbstständiger Buchhalter kennen Sie das bereits aus der Praxis. Jahrelang war bei einem Mandanten keine Finanzamts- oder Sozialversicherungsprüfung und auf einmal schlagen beide Institutionen los. Sind Sie darauf vorbereitet? Haben Sie das Thema ausgesessen?

Natürlich nicht. Sie sind im Gegenteil durch sorgfältige Arbeit und vorausschauendes Handeln auf solche Szenarien vorbereitet. Sonst würden Ihrem Mandanten unangenehme Schätzungen inklusive damit zusammenhängender Unannehmlichkeiten drohen. Ein wenig ähnlich verhält es sich mit der DSGVO.

Die Datenschutzaufsichtsbehörden überwachen die Durchsetzung der DSGVO. Diese werden im ersten Schritt vermutlich nicht direkt auf Ihr Büro zur Prüfung zukommen.

Jedoch sind die Behörden ab sofort verpflichtet, Anzeigen Dritter nachzugehen. Liegt eine Anzeige vor, prüfen sie die interne, DSGVO-konforme Arbeitsweise. Als Büroinhaber müssen Sie in solch einem Fall Rechenschaft über die datenschutzkonforme Arbeitsweise und Schutzmaßnahmen ablegen können.

Bei sogenannten Dritten kann es sich um einen unzufriedenen Mitarbeiter, verärgerten Mandanten oder gegebenenfalls Konkurrenten handeln. Aber auch Datenpannen können die Aufsichtsbehörden je nach Risiko für die betroffenen Personen auf den Plan rufen.

Für eine eventuelle Kontrolle sollten Sie optimal gerüstet sein. Dabei sind unter anderem folgende Fragen entscheidend: Führen Sie zum Beispiel ein Verzeichnis von Verarbeitungen? Sind Sie den Informationspflichten nach der DSGVO bei Ihren Mandanten nachgekommen? Haben Sie Verträge zur Auftragsverarbeitung mit Ihren Auftragnehmern geschlossen?

Wenn Sie die Fragen durchweg mit „nein“ beantwortet haben, gehören Sie mit hoher Wahrscheinlichkeit zur Gruppe der Aussitzer. Da das Thema DSGVO ein Dauerbrenner ist, sollten Sie sich zeitnah darum kümmern. Verschleppen Sie dieses weiterhin, kann das negative Konsequenzen haben. Bei Verstößen sind Bußgelder von zwei beziehungsweise vier Prozent des Jahresumsatzes fällig. Das können bis zu 20.000.000 Euro sein. Zusätzlich würde die Reputation Ihres Büros darunter leiden.

„Mein Büro ist zu klein, mich betrifft das nicht“: Solch ein Einwand ist schlichtweg falsch. Die DSGVO gilt größenunabhängig für alle nicht-öffentlichen Stellen – also auch für Einzelunternehmen, Verbände und Vereine. Dementsprechend ist es höchste Zeit für adäquate Reaktionen.

1. den Informationspflichten nachkommen: Sie sind verpflichtet, bestehende und neue Mandanten sowie den eigenen Mitarbeiter und Bewerber nach Art. 12 ff. DSGVO über die Datenerhebung zu informieren.
2. ein Verzeichnis von Verarbeitungen gemäß Art. 30 DSGVO – als ein Teil der Rechenschaftspflichten – erstellen: Als Beispiel für eine Verarbeitung kann die Lohn- und Gehaltsabrechnung genannt werden.
3. die Aufzeichnung von Datenpannen nach Art. 33/34 DSGVO organisieren: Als Datenpanne gilt zum Beispiel, wenn der Gehaltszettel unverschlüsselt an den falschen Empfänger übermittelt wurde oder ein USB-Stick mit personenbezogenen Daten verloren geht.
4. Verträge zur Auftragsverarbeitung mit Auftragnehmern nach Art. 28 DSGVO abschließen, die für Sie personenbezogene Daten verarbeiten oder verarbeiten könnten: Darunter fallen unter anderem Aktenvernichter, externe freie Mitarbeiter und Softwareanbieter.
5. technische und organisatorische Maßnahmen (TOM) nach Art. 32 DSGVO treffen: Ein simples Beispiel: Sie haben einen sicher abschließbaren Schrank für sensible Personalakten. Hierbei handelt es sich um eine technische Maßnahme (T). Die organisatorische (O) Maßnahme dazu: Sie schließen den Schrank auch ab und nehmen den Schlüssel mit.

Als selbstständiger Buchhalter verarbeiten Sie sehr viele sensible Daten, zum Teil auch besondere personenbezogene Daten nach Art. 9 DSGVO, beispielsweise zur gewerkschaftlichen und religiösen Zugehörigkeit. Diese erfordern einen speziellen Schutz durch besonders geeignete TOM.

Ich empfehle Ihnen daher, den Datenschutz und die DSGVO nicht auf die leichte Schulter zu nehmen. Sie sollten die beiden Themen – ähnlich wie die bestehenden Pflichten zur Arbeitssicherheit, Sozialversicherung und Lohnsteuer – in Ihren Aufgabenkatalog aufnehmen. Und weisen Sie als verantwortungsvolles Büro Ihre Mandanten auf das Thema hin.

Zur Unterstützung habe ich Ihnen einige Basisdokumente als Downloadpaket zusammengestellt. Die Dokumente sind – soweit es mir möglich war – auf selbstständige Buchhalter abgestimmt