Steuerberater
DSGVO Mindestanforderungen
In diesem Beispiel betreibt ein Steuerberater eine Kanzlei und betreut Firmenkunden.
Er hat 5 Angestellte, die die Klientenbuchhaltung, Lohnverrechnung und Beratung machen. Es gibt eine Sekretärin, die die Rezeption und Mädchen für alles ist. Es gibt eine Webseite, einen externen IT-Spezialisten, der sich um die IT-Landschaft kümmert. Die Buchhaltung für die Klienten wird mit einer Cloud-Computing-Plattform verarbeitet.
Seine datenschutzrelevanten Tätigkeiten sind:
Verarbeitung der Daten seiner Klienten – zur Erstellung der ordnungsgemäßen Buchhaltung und Verwaltung der offenen Posten.
Verarbeitung der Daten seiner Klienten – im Bereich Lohnverrechnung.
Verarbeitung der Daten seiner Klienten – für Beratung und Rechnungslegung.
Eine Webseite wird über einen Hoster betrieben.
Interne Personalverwaltung mit interner Lohnverrechnung.
Die DSGVO stellt an ihn folgende Mindestanforderung:
- Er muss seine Mitarbeiter über die DSGVO schulen.
- Seine Mitarbeiter müssen eine Geheimhaltungsvereinbarung (Datenschutzverpflichtung) unterschreiben.
- Das Verzeichnis der Verarbeitungstätigkeiten muss gemacht werden.
- Seine Informations- und Auskunftspflichten erfüllt er mit einer guten Datenschutzerklärung auf der Webseite.
- Jeder Klient wird über den Datenschutz bei Vertragsabschluss ausreichend informiert.
- Die Löschung von Daten hängt bei ihm von den verschiedenen Aufbewahrungspflichten ab. Also stellt er diese fest, und informiert darüber in seiner Datenschutzerklärung.
- Mit dem externen IT-Techniker, Webhoster, dem Cloud-Anbieter und Google, macht er einen Vertrag zur Auftragsverarbeitung (Ja, das sind seine Auftragsverarbeiter).
- Er macht seine Standardmaßnahmen zur Datensicherung, und stellt sicher, dass keine Daten die Kanzlei unverschlüsselt verlassen.
- Für ihn gilt auch die Verpflichtung, bei Datenschutzverletzungen die Aufsichtsbehörde zu informieren.
Um diese Dinge braucht sich unser Steuerberater nicht sorgen:
Er braucht keine Datenschutz-Folgenabschätzung (DSFA), weil kein hohes Risiko besteht. Einen Datenschutzbeauftragten braucht er auch nicht bestellen.
Ist das jetzt wirklich alles was er machen muss?
Nein, das oben Aufgeführte stellt das absolute Minimum dar, was er machen muss. Ein weiteres praktisches Beispiel ist auf dieser Seite zu finden. Hier habe ich eine Zusammenstellung für den Direktvertrieb gemacht. Da sind auch konkrete Beispiele für Formulare.
Die hier vorliegende Publikation ist eine allgemeine, unverbindliche Information. Die Inhalte sind die Ansichten und Interpretationen des Datenschutzkompasses zur Zeit der Erstellung.
Die Informationen sind mit größtmöglicher Sorgfalt erstellt worden, es besteht aber kein Anspruch auf sachliche Richtigkeit, komplette Vollständigkeit und Aktualität. Dieses Werk ist auch keine Referenz für die Umstände und Lösungen des Einzelfalles.
Die Verwendung liegt in der Verantwortung des Lesers. Wir übernehmen keine Haftung für die Verwendung. Dieses Werk ist als Hilfestellung zur Umsetzung der Datenschutz-Grundverordnung zu verstehen.
Zum richtigen Zeitpunkt lohnt sich die Hinzunahme eines Datenschutzexperten, weil er sicherstellen kann, dass in Ihrer Umsetzung alles in Ordnung ist. Der Aufwand wird aber viel geringer sein, da schon die nötige Vorarbeit geleistet wurde.
Ist eine Frage offen geblieben?
War die Erklärung verständlich?
Was kann ich besser machen?
