Datensicherheit und Compliance für Steuerberater
Finanzangelegenheiten sind Vertrauenssache – und damit sind auch Datensicherheit und Compliance für Steuerberater zentrale Aspekte. Denn neben der vertraulichen Behandlung von Finanzdaten spielt auch die Pflicht zum Schutz der Persönlichkeitsrechte der Mandanten eine wichtige Rolle. Um stets DSGVO-konform zu arbeiten, müssen Steuerberater höchste Sicherheitsmaßnahmen ergreifen, sowohl bei der Kommunikation als auch bei der Archivierung der Daten ihrer Kunden.
Compliance bestimmt also wesentlich den Modus Operandi des Tagesgeschäfts. Hier dürfen keine Kompromisse gemacht werden – zum Wohle der Mandanten und um den guten Ruf der Kanzlei nicht aufs Spiel zu setzen!
Bestmöglicher Datenschutz und Compliance für Steuerberater – zum Wohle der Mandanten
Die Wahl des richtigen Steuerberaters ist daher auch oft eine Frage des Bauchgefühls. Vermittelt er hohe Fachkompetenz und das Gefühl, dass vertrauliche Daten ausreichend vor unrechtmäßigem Fremdzugriff geschützt sind? Das erhöht die Wahrscheinlichkeit, neue Kunden zu gewinnen sowie Bestandskunden zufriedenzustellen und letztendlich zu behalten.
Neben der Einhaltung datenschutzrechtlicher Anforderungen sind Steuerberater auch zur Verschwiegenheit verpflichtet. Als gesetzliche Grundlage gelten dabei unter anderem:
- das Bundesdatenschutzgesetz (BDSG-neu)
- das Strafgesetzbuch (StGB) – vgl. §203 (Verletzung von Privatgeheimnissen)
- das Berufsrecht der Steuerberater (StBerG, DVStB, BOStB)
- die Abgabeordnung (AO)
- die Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff (GoBD)
Mit Inkrafttreten der Datenschutzgrundverordnung (DSGVO) wurden die Pflichten für den rechtskonformen Umgang mit sensiblen und personenbezogenen Daten nochmals verschärft und die Betroffenenrechte umfassend gestärkt. So sieht die DSGVO etwa ein umfassendes Datenschutzkonzept vor. Ein fahrlässiger Umgang mit Kundendaten hätte nicht nur Sanktionen oder hohe Bußgelder zur Folge, sondern auch einen massiven Vertrauensverlust… ganz zu schweigen von dem damit einhergehenden Imageschaden.
Um die sensiblen Daten seiner Kunden optimal zu schützen und gleichzeitig einen orts- und zeitunabhängigen Zugriff für den Steuerberater selbst ermöglichen zu können, führt kein Weg an cloudbasierten Diensten vorbei. Umso wichtiger ist logischerweise die Auswahl einer geeigneten und sicheren Cloud-Lösung, denn nicht jeder Provider bietet auch das gleiche Maß an Datensicherheit. Eine wichtige Entscheidungshilfe bieten Datenschutz-Zertifikate, wie zum Beispiel jenes nach dem Trusted Cloud Datenschutzprofil (TCDP). Das TCDP ist ein Prüfstandard, der den datenschutzrechtlichen Anforderungen des Bundesdatenschutzgesetzes an Cloud Computing entspricht. Clouddienste, die in der höchsten Schutzklasse (III) für Cloud-Dienste zertifizieren, garantieren – zum aktuellen Zeitpunkt – eine BDSG- und DSGVO-konforme Auftragsdatenverarbeitung und somit Compliance für Steuerberater.
Keine Kompromisse beim Datenschutz
Die meisten Cloud-Anbieter verwenden für die Datenübermittlung eine Ende-zu-Ende-Verschlüsselung. So verhindert man ein unrechtmäßiges Abgreifen von Daten während des Transfers. Ein Angreifer benötigt zum Auslesen der verschlüsselten Informationen den dazugehörigen Datenschlüssel. Ohne diesen ist es ihm unmöglich, die transferierten Datenpakete einzusehen. Doch eine Sicherheitsvorkehrung ist nur so lange gut, bis das erste Schlupfloch auftritt: Die Achillesferse der Cloud ist und bleibt die Datenverarbeitung.
In dem Moment, in dem eine Datei geöffnet und bearbeitet wird, muss die Verschlüsselung temporär aufgehoben werden. Dabei handelt es sich um eine technische Notwendigkeit, denn verschlüsselte Daten lassen sich – zumindest nach dem aktuellen Stand der Technik – nicht verarbeiten. Was aber nützt ein „sicheres“ Dokument, wenn man damit aus Sicherheitsgründen nicht arbeiten kann?
Auch für dieses Datenschutz-Dilemma gibt es eine Lösung: Confidential Computing. (Was das bedeutet und wie es funktioniert, erklären wir hier.)
Confidential Computing für höchste Sicherheit
Das Prinzip der versiegelten Datenverarbeitung auf Server-Ebene wurde im Rahmen des Trusted-Cloud-Programms des Bundesministeriums für Wirtschaft und Energie entwickelt. Ein Konsortium rund um das Fraunhofer-Institut für Angewandte und Integrierte Sicherheit (AISEC), dem TÜV Süd Unternehmen uniscon und SecureNet hat es sich zur Aufgabe gemacht, eine geschützte Datenverarbeitung auf isolierten und abgesicherten Servern zu realisieren. Jeglicher Zugriffsversuch von unberechtigten Dritten wird mit dem sofortigen Herunterfahren der verarbeitenden Server quittiert. Die dabei in der Bearbeitung befindlichen (temporären) Daten werden gelöscht. Auf diese Weise erreicht man mit Confidential Computing ein Sicherheitsniveau, das viele andere Lösungen am Markt nicht bieten können.
Cloud-Lösungen wie idgard®, die auf diesem Ansatz basieren, sind bereits seit einigen Jahren im Einsatz und werden nicht nur von Steuerberatern, sondern auch von anderen Branchen, die strengen Datenschutzauflagen unterliegen, produktiv genutzt.
Für welchen Dienst und welche Technologie sich ein Steuerberater auch entscheiden mag: Er ist durch seine besonderen Pflichten angehalten, die Daten seiner Klienten mit oberster Sorgfalt und dem maximalen Datenschutz zu bedenken. Denn neben der Mehrung des Wohlstands seiner Kunden zählt auch der Schutz ihrer Geheimnisse zu seinen Kernaufgaben.