Identifikation und Umsetzung der Datenschutzgrundverordnung (DSGVO)
Hintergrund
Die in Ostbrandenburg ansässige und langjährig tätige Steuerkanzlei bietet verschiedene steuer- und handelsrechtliche Dienstleistungen an. Diese umfassen u. a. die Erstellung eines Jahresabschlusses, Steuerberatung, Buchführung und Bilanzierung sowie Beratung in Finanzierungsfragen.
Herausforderung
Im Rahmen der durch die Steuerkanzlei angebotenen Dienstleistungen werden personenbezogene Daten verarbeitet. Da der Schutz personenbezogener Daten zentraler Gegenstand und primäres Ziel der seit Mai 2018 rechtsverbindlichen und unmittelbar geltenden DSGVO ist, ist die Steuerkanzlei in besonderem Maße verpflichtet, sich an die Rechtsnormen und Bestimmungen dieser zu halten.
Lösung
Die Einhaltung der Regelungen der DSGVO zur Verarbeitung personenbezogener Daten hat für die Steuerkanzlei eine hohe Priorität. Daher wurden systematisch alle personellen, infrastrukturellen, organisationalen und prozessualen Unternehmensaspekte, die Datenschutz und -verarbeitung sowie Informationssicherheit tangieren, analysiert, um ein entsprechendes Konzept und einen Maßnahmenkatalog abzuleiten.
Umsetzung
Die systematische Erfassung des Ist-Zustandes (durch Gespräche und Befragungen vor Ort) offenbarte, dass bereits einige informationssicherheits- und datenschutzrelevanten Vorkehrungen getroffen wurden – u. a. ein Datensicherungskonzept und eine Alarmanlage zur Verhinderung von Diebstahl von Geräten und den damit verbundenen Daten. Es zeigte sich jedoch auch, dass einige Mandanten Daten in Papierform – vergleichsweise ungeschützt – übermitteln.
Auf Basis der Ist-Analyse konnten Verbesserungspotentiale identifiziert und entsprechende Maßnahmen konzipiert, priorisiert und umgesetzt werden. Dazu zählten insbesondere die Bestellung eines Datenschutzbeauftragten, die Erstellung und Verteilung einer Datenschutzerklärung für bzw. an die Mandanten und über die Website, die Schulung der Mitarbeitenden zu datenschutzrechtlichen Themen und die Installation eines sicheren Prozesses für die Übermittlung von Mandantenunterlagen und –informationen.