Hallo liebe Kollegen,
ich möchte mal in die Runde fragen, wie es bei Ihnen mit der Einwilligung zur Datenerfassung praktiziert wird, wenn keine schriftlichen Verträge mit Mandanten geschlossen werden. Gibt es irgendwo ein "DSGVO-sicheres" Muster für Steuerberater, das einem Einkommensteuermandanten vorgelegt werden kann?
Vielen Dank vorab...
Hallo,
ein Muster gibt es unter https://www.dstv.de/interessenvertretung/beruf/beruf-aktuell/tb-19-16-cm-aktueller-muster-steuerberatungsvertrag-des-dsti-bietet-unterstuetzung-in-der-berufspraxis. Ob es "DSGVO-sicher" ist, kann ich Ihnen nicht sagen. Auf jeden Fall ist das Muster schon was älter ...
Viele Grüße.
Vielen Dank... ich schau mal.
Wenn mir einer seine Unterlagen überlässt, willigt er damit nicht konkludent in die Erfassung seiner Daten ein?
Was sonst soll ich denn mit den vom Mandanten überlassenen Daten des Mandanten machen?
Muss der Mandant einwilligen, dass die Daten an das DATEV Rechenzentrum geschickt werden?
Herr Gesierich, genau dieser Gedanke treibt mich auch um. Konkludentes Handeln und inwieweit bedingt das eine schriftliche Auftragserteilung ab?
Fest steht ja schon mal, dass wir Steuerberater keine "Auftragsverarbeiter" sind.
Die Tätigkeit des Steuerberaters nach dem Steuerberatungsgesetz für seinen Mandanten erfolgt in dessen eigener Verantwortung und ist keine so genannte „Auftragsverarbeitung“. Dies gilt auch für die Lohn- und Gehaltsabrechnung, die wir für den Mandanten machen.
Der Mandant muss also keinen Vertrag zur Auftragsverarbeitung mit uns abschließen.
Siehe auch hier (Ziffer 7):
Super... sehe gerade, dass die Kammer diesen Link gelöscht hat
Sie meinte dies auf Seite 4 Anhang B:
https://www.lda.bayern.de/media/dsk_kpnr_13_auftragsverarbeitung.pdf
Nun könnte relativ schnell analysiert sein: Wenn ich als Steuerberater kein Auftragsverarbeiter i.S. der DSGVO bin, führe ich auch keine Aufträge in deren Sinne aus, womit sich schon gar keine Grundlage für ein schriftliches Auftragsvereinbarung-Erfordernis ergibt...
Hallo,
mir geht es nicht um die Auftragsvereinbarung, weil diese nach aktuellem Stand für StB hauptsächlich nicht erforderlich ist.
Mir geht es um die Informationspflicht gem. Artikel 13 DSGVO:
https://dsgvo-gesetz.de/art-13-dsgvo/
Diese Informationspflichten gelten m.E. sofort bei Auftragsannahme.
Ganz praktikabel könnte das Audit in Print mit Entgegennahme der Unterlagen ausgehändigt werden oder "zeitgleich" per E-Mail überlassen werden.
"Bezüglich der Beauftragung erhalten Sie unsere Hinweise zu Art.13 DSGVO im Anhang."
... sind ja keine personenbezogene Daten enthalten. Den Zeitpunkt der Erhebung würde ich chronologisch mit Beginn der Erfassung der Stammdaten zusammenlegen; die reine "Lagerung" bis zur Bearbeitung würde ich nicht als "Erhebung" i.S.d.G. sehen.
Zu o.g. Info-Satz könnte noch "Wir haben mit der Bearbeitung Ihrer Unterlagen begonnen."
Muss man das explizite Einverständnis des Mandanten einholen, dass man seine Daten speichern darf?
Nein, siehe Art. 6 Abs. 1 lit b) DSGVO.
https://dsgvo-gesetz.de/art-6-dsgvo/
Doch ist immer eine Abwägung zu treffen, welche personenbezogenen Daten zur Abwicklung des Mandats dringend erforderlich sind (Grundsatz der Datenminimierung und dem sparsamen Umgang mit personenbezogenen Daten). Alles was nicht unbedingt dafür erforderlich ist bedarf zur Verarbeitung zusätzlich der Einwilligung des Betroffenen (Art. 6 Abs. 1 lit a) DSGVO).
Also bei einem Mandat sicherlich erforderlich und daher vom Auftrag ohne Einwilligung gedeckt (Name, Anschrift, Telefon, Mail, Fax, Steuernummer, …..), i.d.R. aber nicht Körpergröße, Augenfarbe ……. (Gedanken sind frei).
Ich würde bezüglich der Datenspeicherung sogar den Kontext zum Begriff "Auftragsverarbeiter" zu "Auftragsverarbeitung" ziehen und fast behaupten, dass Art. 6 für Steuerberater damit gar nicht einschlägig ist, da er w.o. ausgeführt nicht zur betroffenen Personengruppe der Auftragsverarbeiter gehört.
Ist dies plausibel oder denke ich da zu kurz?
Sehe ich auch so. Der StB ist höchstens Auftrags-Verarbeiter, wenn er ausschließlich Lohn-Abrechnungen für einen Mandanten macht, aber womöglich ist selbst das noch strittig.
Es wäre wohl dann eine Auftrags-Datenverarbeitung, wenn es sich um eine bloße "Einhackerei" der Daten handeln würde (Datentypisten).
Zumindest wird/wurde das immer in den entsprechenden Seminaren so referiert....
Spannend wäre noch, wenn die digitale Personalakte für die Lohnabrechnung genutzt wird. Viel zu viele Daten, die kein Lohn sind und es wird als Leistung angeboten Nur der Berater kann bei der digitalen Personalakte beschriften und zuordnen. Hier könnte es sich um einen eigenen Auftrag handeln.
Viele Grüße
T. Reich
PS.: Lesen und mitteilen, ob eine getrennte E-Mail-Benachrichtigung notwendig ist.