16.02.2001 · IWW-Abrufnummer 010235
Kanzleiführung professionell 01/2001
Die berufsrechtliche Pflicht zur Verschwiegenheit und ihre organisatorische Absicherung beim EDV-Einsatz
von RA FASteuerrecht Jürgen Gemmer, Braunschweig
In ?Kanzleiführung professionell? haben wir bereits zum Thema ?Darf ein Steuerberater Buchführungsarbeiten an einen Subunternehmer vergeben?? Stellung genommen und sind den damit zusammenhängenden Fragen nach dem Umfang der Verschwiegenheitspflicht und Problemen mit dem Versicherungsschutz nachgegangen. Die gleiche Problematik stellt sich auch beim Einsatz des Datevrechenzentrums sowie anderer externer Hardware- bzw. Softwaremitarbeiter. Auch in diesen sensiblen Bereichen ist eine Regelung im Vorfeld bezüglich des Umgangs mit vertraulichen Mandantendaten unerlässlich. Eine entsprechende Muster-Rahmenvereinbarung finden Sie in diesem Beitrag.
Pflicht zur Zugangskontrolle bei personenbezogenen Daten
Zu der berufsrechtlichen Pflicht zur Verschwiegenheit gehört auch ihre organisatorische Absicherung. Mit anderen Worten: Berufsangehörige haben dafür Sorge zu tragen, dass Unbefugte während und nach Beendigung der Tätigkeit keinen Einblick in die Unterlagen ihres Auftraggebers erhalten. Eine ähnliche Bestimmung enthält § 9 Bundesdatenschutzgesetz. Danach haben auch Berufsangehörige bei der Verarbeitung personenbezogener Daten die Datensicherungsmaßnahmen zu ergreifen, die erforderlich sind, um die Ausführung der Datenschutzvorschriften des Bundesdatenschutzgesetzes zu gewährleisten. In einer Anlage zu § 9 Bundesdatenschutzgesetz hat der Gesetzgeber die zu beachtenden Sicherheitsanforderungen näher konkretisiert, zu denen auch die Zugangskontrolle gehört, die mit den Leseranfragen angesprochen ist. Zugangskontrolle bedeutet, jedem Unbefugten ist der Zugang zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet werden, zu verwehren.
Bei der Datev ergeben sich in der Praxis keine Probleme
Soweit sich der Berufsangehörige zur Erledigung seiner Aufgaben dem Datev-Rechenzentrum bedient, dürften sich keine datenschutzsrechtlichen Probleme ergeben. Nach den allgemeinen Geschäftsbedingungen verpflichtet sich die Datev gegenüber jedem Berufsangehörigen, die Verarbeitung personenbezogener Daten nur im Rahmen der Weisungen des Mitgliedes durchzuführen. Bei Durchführung des Auftrages hat sich die Datev darüber hinaus verpflichtet, die Einhaltung der maßgeblichen Vorschriften des Bundesdatenschutzgesetzes sicherzustellen.
Vorsicht ist bei kanzleifremden Hard- und Softwaremitarbeitern geboten
Ein beachtliches Problem ist jedoch gegeben, wenn kanzleifremde Personen (z.B. Servicetechniker, Programmierer oder anderes Wartungspersonal) an Hard- oder Software Arbeiten durchführen. Hier ist es im Regelfall notwendig, dass diesen Personen Datenmaterial innerhalb der Kanzlei zugänglich gemacht wird. Möglicherweise wird sogar ein Teil der Hardware einschließlich der auf Datenträgern gespeicherten personenbezogenen Daten zur Reparatur und dergleichen außerhalb der Kanzleiräume verbracht. In diesen Fällen ist es notwendig, den mit Wartung, Reparatur und dergleichen beauftragten Betrieb gesondert zur Verschwiegenheit und zur Einhaltung der datenschutzrechtlichen Bestimmungen zu verpflichten.
Arbeitet der Berufsangehörige ständig mit einem Unternehmen zwecks Wartung/Reparatur/Service etc. der EDV-Anlage zusammen, sollte eine generelle Vereinbarung über die Behandlung von vertraulichen Daten des Beraters getroffen werden. Diese Rahmenvereinbarung könnte folgenden Wortlaut haben:
Musterformulierung
Rahmenvereinbarung über den Umgang mit vertraulichen Daten
|
Leser-Service: Soweit es die Umstände erfordern, ist diese Rahmenvereinbarung mit verschiedenen Serviceunternehmen zu treffen oder es ist vor Durchführung des jeweiligen Auftrages eine Vereinbarung für den Einzelfall zu treffen. Inhaltlich kann dann diese Einzelvereinbarung entsprechend der Musterformulierung gefasst werden.