Jeder Steuerberater, der mehr als vier Arbeitnehmer (es gilt das "Kopfprinzip") mit der Bearbeitung personenbezogener Daten beschäftigt, ist zur Bestellung eines Datenschutzbeauftragten (DSB) verpflichtet. Es kann ein Mitarbeiter (interner DSB) oder ein externer DSB bestellt werden.

Sollte ein interner DSB bestellt werden, so darf seine Tätigkeit als DSB nicht im Konflikt mit seinen betrieblichen Aufgaben stehen. Als interner DSB scheiden dementsprechend der Kanzleiinhaber, Verwandte des Kanzleiinhabers oder auch der Systemadministrator aus. Doch Vorsicht: Sollte eine Kanzlei weniger als fünf Mitarbeiter mit der Verarbeitung personenbezogener Daten beschäftigen, so bedeutet dies nicht, dass die Regelungen des BDSG 2001 nicht zu beachten sind. Es muss lediglich kein DSB bestellt werden. Ein Verfahrensverzeichnis für jedermann und eine IT-Sicherheitsrichtlinie müssen dennoch erstellt und die Umsetzung der Richtlinie auch durchgesetzt werden.

Obwohl DSB als Beruf gewertet wird, gibt es keine Ausbildung zum DSB. Gefordert werden lediglich Zuverlässigkeit und Fachkunde. Fachkunde umfasst juristische, betriebswirtschaftliche, innerbetriebliche und auch EDV-Kenntnisse. Die Bestellung hat schriftlich zu erfolgen. Einem internen Mitarbeiter sollte auch eine Stellenbeschreibung bei der Bestellung ausgehändigt werden. Der DSB ist dann der Kanzlei-Führung direkt unterstellt. Es muss ihm die Möglichkeit gegeben werden, seine Aufgaben während seiner normalen Arbeitszeit zu erfüllen, aus seiner Tätigkeit dürfen ihm keine Nachteile erwachsen, entsprechende Arbeitshilfen müssen ihm an die Hand gegeben werden.

Aufgaben des Datenschutzbeauftragten

Der Aufgabenkatalog des DSB ist sehr umfassend. Er/Sie

• muss die Kanzlei-Mitarbeiter für Datenschutz sensibilisieren, i.d.R. schulen
• muss ein Verfahrensverzeichnis für jedermann erstellen
• hat eine interne Verarbeitungsübersicht zu erstellen
• hat die Zulässigkeit der Anwendung eines Verfahrens zu prüfen (Vorabkontrolle; Datenübermittlung ins Ausland)
• hat den ordnungsgemäßen Einsatz von EDV-Programmen zu überwachen
• muss den Kanzleiinhaber bei technischen und organisatorischen Maßnahmen beraten (Risikoanalyse; Prävention; Protokollierung)
• hat bei Auftragsdatenverarbeitung und Outsourcing auf eine datenschutzrechtliche Weiterverarbeitung der personenbezogenen Daten zu achten (Auswahl des Auftragnehmers; Vertragsgestaltung; Prüfung oder Wartung automatisierter Verfahren)
• hat die Rechte Dritter zu kontrollieren und zu wahren (Benachrichtigung der Betroffenen; Auskunft an Betroffene; Berichtigung, Löschung und Sperrung von Daten)
• muss jährlich einen Tätigkeitsbericht erstellen
• muss sich aus- und weiterbilden
• muss ein Datenschutzhandbuch bzw. -richtlinien erstellen.

Die Aufgaben des DSB sind als kontinuierlicher Prozess zu verstehen. Bei Änderung oder Neuaufnahme von Verfahren, in denen personenbezogene Daten verarbeitet werden, ist der DSB fachlich einzubeziehen, neu eingestellte Mitarbeiter müssen auf das Datengeheimnis verpflichtet und geschult werden. Der DSB sollte auch stichprobenartig die Einhaltung der datenschutzrechtlichen Bestimmungen prüfen und den Kanzleiinhaber jährlich über seine Tätigkeiten informieren.

Folgen des nicht ordnungsgemäßen Bestellens eines Datenschutzbeauftragten

Wird entgegen den Vorschriften des BDSG kein Datenschutzbeauftragter bestellt, kann dies mit einem Bußgeld bis zu 25.000 Euro geahndet werden. Aus der Verletzung der gesetzlichen Bestimmungen kann überdies ein erheblicher Image-Schaden erwachsen.

Hilfen des Steuerberaterverbandes

• In regelmäßigen Intervallen wird der Verband für Kanzleimitarbeiter Schulungen zur Sensibilisierung für datenschutzrechtlich relevante Vorgänge durchführen, eine Erleichterung für den internen Datenschutzbeauftragten.
• Der Steuerberaterverband MV schließt sich dem Rahmenvertrag des Steuerberaterverbandes Niedersachsen an. Dieser hat mit dem Zulieferer von Dokumentationssoftware (DEMAL GmbH) einen Rahmenvertrag geschlossen, durch den die Software BDSG Basic kostengünstiger bezogen werden kann.