Gesetzgeber stellt klar: Steuerberater sind keine Auftragsverarbeiter

Der Gesetzgeber hat mit einem neugefassten §11 Steuerberatungsgesetz Klarheit zu einer bis zuletzt nicht eindeutig gelösten Frage geschaffen:

Steuerberater sind nicht Auftragsverarbeiter, und zwar auch dann nicht, wenn sie „nur“ die Lohnbuchhaltung durchführen.

In dem neu geschaffenen §11 Abs. 2 StBerG heißt es konkret:

„Die Personen und Gesellschaften nach § 3 sind bei Verarbeitung sämtlicher personenbezogener Daten ihrer Mandanten Verantwortliche gemäß Artikel 4 Nummer 7 der Datenschutz-Grundverordnung (EU) 2016/679.“

Eine Verarbeitung im Auftrag durch Steuerberater, Steuerberatungsgesellschaften etc. ist somit per se ausgeschlossen.

Auch wenn die deutlich überwiegende Meinung bereits seit geraumer Zeit davon ausgegangen ist, dass Steuerberater bei der Ausübung ihrer geschäftsmäßigen Tätigkeit keine Auftragsverarbeiter sind, so hatte es doch immer wieder auch durchaus relevante gegenläufige Meinungen gegeben.

So schreibt zum Beispiel der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg:

„Während Steuerberater und ihre berufsständischen Vertretungen hier bisher klar die Position vertreten, dass die Leistung des Steuerberaters immer eine eigenverantwortlich erbrachte fachliche Beratung sei und der Steuerberater, gleich, welchen Auftrag er übernimmt, grundsätzlich keine weisungsabhängige Tätigkeit ausübe, wird dies jedenfalls von einzelnen Datenschutzaufsichtsbehörden genau anders bewertet. Auch ich bin diesbezüglich dezidiert anderer Auffassung. Danach kommt für die Beauftragung des Steuerberaters mit der laufenden Lohn- und Gehaltsabrechnung datenschutzrechtlich nur eine Auftragsverarbeitung im Sinne des Artikels 28 DS-GVO in Betracht.“ (Stand: 30.12.2019).

Auch die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen hatte bisher eine ähnliche Position vertreten.

Die Auffassung der Landesbeauftragten ist aber spätestens nach der am 19.12.2019 in Kraft getretenen Gesetzesänderung in dieser Form eindeutig nicht mehr haltbar.

Die Frage der Auftragsverarbeitung durch Steuerberater ist Dank der Klarstellung im Gesetzestext vielmehr abschließend beantwortet: Steuerberater sind bei Ausübung ihrer geschäftsmäßigen Tätigkeit nicht Auftragsverarbeiter im Sinne der DSGVO.

Schadsoftware Emotet legt IT-Systeme der Stadt Frankfurt lahm

Alle IT-Systeme der Stadt Frankfurt am Main sowie in Bad Homburg mussten (am 18.12.2019) aus Sicherheitsgründen heruntergefahren werden. Offensichtlich wurden die Systeme durch die Schadsoftware Emotet befallen, die über eine E-Mail auf die städtischen Server eingeschleust wurde.

Durch einen Virenscanner-Alarm habe die Stadt aus Sicherheitsgründen alle Systeme heruntergefahren um eine weitere Verbreitung der Schadsoftware zu verhindern. Damit standen alle städtischen Online-Dienste nicht zur Verfügung, was zu massiven Einschränkungen bei Schulen und Behörden führte. Ebenso war der Publikumsverkehr auf den Ämtern lahmgelegt, da die Mitarbeiter keinen Zugriff auf erforderliche Daten hatten. Mittlerweile konnten (am 20.12.2019) alle Dienste wieder uneingeschränkt arbeiten ohne das weitere Schäden verursacht wurden

Besonders auffallend ist zur Zeit, dass mittlerweile öffentliche Einrichtungen im besonderen Maße von diesem Trojaner befallen werden. So sind neben Frankfurt am Main, Bad Homburg und einige Bundesbehörden auch das Berliner Kammergericht, die Katholische Hochschule Freiburg sowie die Universität Göttingen von Emotet lahmgelegt worden.

Bei der Schadsoftware Emotet, die in den jeweiligen Systemen gefunden wurde, handelt es sich mit großer Wahrscheinlichkeit um eine der „gefährlichsten Schadsoftwares“, die laut Bundesamt für Sicherheit in der Informationstechnik (BSI) weltweit unterwegs sind.

Mehr zum Thema finden Sie hier:
Handelsblatt

Maßnahmen zur Prävention beim BSI:
BSI: Maßnahmen zum Schutz vor Emotet und gefährlichen E-Mails im Allgemeinen

Bundesbehörden warnen vor gefährlichen E-Mails

Einige Bundesbehörden sind aus noch ungeklärtem Grund mit der gefährlichen Schadsoftware Emotet infiziert worden. Laut dem Bundesamt für Sicherheit in der Informationstechnik (BSI) sind dabei zwar keine Schäden bei den Behörden aufgetreten, jedoch werden im Namen des Staates gefährliche E-Mails versendet, die aber auf keinen Fall von staatlichen Stellen stammen.

Die Schadsoftware konnte von den Behörden E-Mail-Adressen sowie ganze Mail-Verläufe auslesen und versucht diese Tarnung zu nutzen, um sich weiter zu verbreiten. Laut BSI ist die Schadsoftware in der Lage, auf bestehende E-Mail-Konversationen zu antworten und daher als authentische Mail zu wirken. „Emotet gilt derzeit als die gefährlichste Schadsoftware der Welt“, warnt das BSI. Einmal infiziert, könnten bei betroffenen Rechnern weitere gefährliche Schadsoftware nachgeladen werden, so zum Beispiel Banking-Trojaner die Konten knacken oder Ransomware, die Dateien verschlüsseln und damit Lösegeld von den Betroffenen fordern.

„Sollte eine verdächtige Mail oder ein entsprechende Anhang dennoch geöffnet worden sein, sollten Anwenderinnen und Anwender umgehend ihren IT-Sicherheitsbeauftragten informieren“ rät das BSI. Außerdem hat das Bundesamt für Sicherheit in der Informationstechnik einige Hinweise zur Prävention und Empfehlungen für Betroffene auf ihren Internetseiten zur Verfügung gestellt.

Mehr zum Thema finden Sie hier:
Süddeutsche Zeitung
oder hier:
Bundesamt für Sicherheit in der Informationstechnik

Smartphones im Betrieb: Android vs. iOS

Aus dem Alltag der meisten Menschen ist das Smartphone nicht mehr wegzudenken. Morgens wird man vom Wecker des Geräts geweckt, schreibt schnell noch eine WhatsApp an Schatzi/Sohnemann/Mutti, und springt dann unter die Dusche, um dort über die wasserfesten Lautsprecher via Bluetooth die Musik-App abzuspielen. Auf dem Weg zur Arbeit ruft man noch schnell die letzten Börsennachrichten ab, fährt dank SmartHome die Heizung runter, die zu Hause noch auf voller Power brummt, weil man vergessen hat, sie auszuschalten. Abends auf dem Heimweg besorgt man noch die Sachen, die man im Laufe des Tages via Smartphone-Assistent auf die Einkaufsliste gesetzt hat, um im Anschluss an das Date erinnert zu werden, zu dem man sich natürlich mittels GPS lotsen lässt. Zum Tagesabschluss geht’s noch ins Fitnessstudio, dessen Auswertungs­ergebnisse dank SmartWatch direkt beim lokalen Sportschuh­geschäft, wahlweise direkt bei der Krankenkasse gespeichert werden. Oder hoffentlich doch nur auf dem Gerät?

Die Möglichkeiten dieser kleinen Wundercomputer sind scheinbar grenzenlos und ein Ende der Leistungsfähigkeit dieser Geräte ist noch lange nicht in Sicht. Kein Wunder, dass viele einen solchen Alleskönner auch im Unternehmen einsetzen möchten.

Als Unternehmen unterliegen Sie allerdings vielfachen rechtlichen Vorschriften, unter anderem denen der Datenschutz-Grundverordnung (DSGVO). Für die Frage, welche Smartphones rechtmäßigerweise im Unternehmen eingesetzt werden dürfen, spielt nicht zuletzt das Betriebssystem eine entscheidende Rolle. Hierbei spielen am Markt nur zwei Varianten eine Rolle – iOS von Apple und Android von Google. Bei der Beurteilung dieser Systeme wird man insbesondere zwei Betrachtungs­winkel beleuchten müssen: einerseits die Sicherheit des Geräts, damit unplanmäßige Datenabflüsse weitestgehend ausgeschlossen werden können, andererseits aber auch mögliche planmäßige Datenabflüsse, die das Gerät per se vorsieht.

Strukturell unterscheiden sich die Betriebssysteme deutlich. Das Android-Betriebssystem ist im Kern ein Open-Source-Projekt, das jedermann Einsicht in die zu Grunde liegende Programmierung gewährt. Im Unterschied dazu hält Apple sein Betriebssystem iOS ausschließlich in den eigenen Händen und lässt sich nicht in die Karten gucken. Dadurch können Hacker sehr viel einfacher Sicherheits­schwachstellen unter Android ausfindig machen und ausnutzen als dies bei iOS möglich ist, da der Quellcode für iOS nicht öffentlich ist.

Ein weiteres potentielles Sicherheits­risiko ist, dass es App-Herstellern sehr viel leichter gemacht wird, ihre Software bei Android im Play Store zu platzieren als dies im App Store von Apple der Fall ist. Apps, die in Apples App Store vertrieben werden wollen, durchlaufen ein strengeres Auswahlverfahren. Zudem werden die Zugriffs­berechtigungen auf die Ressourcen des Geräts durch Apple restriktiver beäugt als dies bei Google der Fall ist. Dementsprechend ist es einfacher, im Play Store von Google Schadsoftware zu platzieren als im App Store von Apple.

Darüber hinaus gibt es Unterschiede in der Verbreitung von Software-Updates, die unter anderem auch dazu dienen, potentielle Sicherheits­schwachstellen zu schließen. Bei Android läuft dies sehr viel schleppender als bei iOS. Dadurch dass viele Smartphone-Hersteller oder Mobilfunkanbieter eigene Anpassungen am Kern-Betriebssystem von Android vornehmen, ist ein unmittelbares Durchreichen an die Endnutzer nicht möglich. Erst müssen die Anpassungen der Hersteller in das neue Update eingearbeitet werden, bevor es an alle verteilt werden kann. Dadurch bleiben mögliche Sicherheitslücken länger als notwendig offen und sind dann durch die Freigabe des Updates auch noch allgemein bekannt. Dadurch dass iOS lediglich auf Apple-Geräten betrieben wird und keine weiteren Instanzen zwischen­geschaltet sind, kann die Verbreitung von Updates unmittelbar auf sämtliche Geräte ausgerollt werden. Insgesamt ist die Update-Rate des iOS-Betriebssystems ohnehin sehr viel höher als bei Android.

Auch aus Sicht der planmäßigen Datenabflüsse unterscheiden sich die Betriebssysteme wiederum strukturell. Das eigentliche Geschäftsmodell von Google ist die Sammlung möglichst vieler Nutzerdaten, um diese gewinnbringend zu verwerten. Nach einer Studie aus August 2018 funkt Android 10-mal öfter nach Hause (zu Google) als iOS [Fun-Fact am Rande: Google erhebt bei normalem Gebrauch sogar mehr Daten über iOS-Nutzer als Apple selbst].

Apple jedoch versucht weitestgehend, Dienste und Daten über das lokale Gerät abzuwickeln, wie beispielsweise Standort-Daten und Navigationsrouten, die bei Apple selbst lediglich mit einer zufälligen und damit nicht rückverfolgbaren Kennung verarbeitet werden. Auch intelligente Foto-Auswertungen finden auf dem Gerät selbst statt und nicht wie bei Google über die Server des Anbieters. Insgesamt finden viele der Verarbeitungs­schritte mit zufälligen Kennungen statt und zudem voneinander unabhängig, so dass eine Zusammenführung der Daten technisch bedingt eingeschränkt ist.

Im Hinblick auf alle diese Aspekte ist mithin aus Datenschutz-Sicht für ein Unternehmen iOS der Vorzug zu geben.

Für beide Varianten gilt allerdings: sofern Cloud-Dienste der Anbieter genutzt werden sollen, um dort personenbezogene Daten zu speichern wie beispielsweise Adressbücher, Terminbücher und ähnliches, egal ob Google, Apple oder ein anderer Anbieter, bedarf es hierfür einer datenschutz­rechtlichen Auftragsverarbeitungs­vereinbarung. In dieser Vereinbarung sind grundlegende Regeln zum Umgang mit diesen Daten festgehalten, insbesondere das Verbot, die Daten für eigene Zwecke zu nutzen. Liegt diese nicht vor, kann der Cloud-Dienst nicht datenschutzkonform eingesetzt werden. Bei grenz­überschreitendem Datenaustausch sind zusätzliche Maßnahmen zum Datenschutz zu treffen.

Darüber hinaus gilt für beide Betriebssysteme, dass eine strikte Trennung zwischen geschäftlichen und privaten Daten stattzufinden hat. Wenn Sie private und geschäftliche Daten vermischen, werden Sie eine saubere Lösung niemals hinbekommen. Scheidet ein Mitarbeiter aus, werden entweder die privaten oder die geschäftlichen Daten kompromittiert.

Egal, welches Betriebssystem Sie letztendlich wählen, empfiehlt sich ein Mobile Device Management, mit dem Sie die Geräte zentral verwalten können, Updates zentral einspielen können, Sicherheits­einstellungen festlegen können und im Krisenfall die Geräte auch aus der Ferne zurücksetzen können. Ab zehn Geräten ist der Einsatz eines Mobile Device Managements unabdingbar. Bei einem geringeren Einsatz lässt sich statt eines MDM auch organisatorisch gegensteuern. Zu empfehlen ist in jedem Fall eine Richtlinie für die betreffenden Mitarbeiter, die genau regelt, welche Apps genutzt werden dürfen, welche Passwort-Vorgaben einzuhalten sind, wie mit den Verbindungs­möglichkeiten des Geräts umzugehen ist, welche Verschlüsselungen zu verwenden sind, welche Updates von wem unter welchen Bedingungen aufgespielt werden dürfen oder müssen, und weitere sicherheits­relevante Fragen geklärt werden können.

Das Bundesamt für Sicherheit in der Informations­technik (BSI) hat sich mit der Frage beschäftigt, welche Grund­einstellungen vorgenommen werden sollten und was zu beachten ist bei der Einrichtung sowohl eines iOS-Geräts als auch eines Android-Geräts, hier finden Sie die entsprechenden Informationen:

Letzen Endes bringen die besten Sicherheits­einrichtungen nichts, wenn der Nutzer nicht für sicherheits­kritische Belange sensibilisiert ist. Das größte Einfallstor für Durchbrechungen der Sicherheit ist derzeit der Mensch. Aus diesem Grunde empfehlen wir die Installation der App „Menschenverstand“ bei Ihren Mitarbeitern und regelmäßige Awareness-Maßnahmen.

Ass. iur. Nicole Krause
Juristische Mitarbeiterin bei der GINDAT GmbH