Buchhaltungsunternehmen müssen sich für die DSGVO rüsten

Am 25. Mai tritt die Datenschutzgrundverordnung in Kraft. Geregelt wird darin der betriebliche Umgang mit personenbezogenen Daten, betroffen sind daher alle Unternehmer. Für die Buchhaltungsberufe bedeuten die neuen Vorschriften, dass sie einerseits verantwortlich für ihre eigenen Unternehmensdaten sind und zusätzlich als Auftragsverarbeiter für die Daten...
207
207

Am 25. Mai tritt die Datenschutzgrundverordnung in Kraft. Geregelt wird darin der betriebliche Umgang mit personenbezogenen Daten, betroffen sind daher alle Unternehmer. Für die Buchhaltungsberufe bedeuten die neuen Vorschriften, dass sie einerseits verantwortlich für ihre eigenen Unternehmensdaten sind und zusätzlich als Auftragsverarbeiter für die Daten ihrer Klienten auftreten und auch in dieser Funktion die Vorgaben der DSGVO erfüllen müssen.

Ein Kernpunkt der DSGVO ist das Datenverarbeitungsverzeichnis. Dieses Verzeichnis müssen Buchhaltungsunternehmen für die internen datenschutzrelevanten Vorgänge im Betrieb führen, aber auch als Auftragsverarbeiter gesondert für jeden ihrer Kunden, wobei die Dokumentationspflicht als Auftragsverarbeiter geringer ist als jene als Verantwortlicher. „Als Auftragsverarbeiter ist eine entsprechende schriftliche Vereinbarung mit dem Klienten über die Verarbeitung der Daten abzuschließen. Werden zur Leistungserfüllung auch Subunternehmen hinzugezogen, muss in der Vereinbarung darauf hingewiesen werden“, sagt Elke Steinbacher, Berufsgruppensprecherin der UBIT Salzburg.

Datensicherheit und Mitarbeiterschulung

Als Auftragsverarbeiter ist das Buchhaltungsunternehmen verpflichtet, geeignete technische und organisatorische Maßnahmen zu treffen, um sicherzustellen, dass die Anforderungen der DSGVO eingehalten werden und der Schutz der Rechte der betroffenen Personen gewährleistet ist. Dazu zählen etwa Passwortsicherung, Zugriffsbeschränkungen und Daten-Backup. Verantwortung trägt der Buchhaltungsunternehmer auch für alle unterstellten Personen, die Zugang zu den verarbeiteten personenbezogenen Daten haben. Durch Aufklärung und Schulung ist dafür zu sorgen, dass die Mitarbeiter das Datengeheimnis wahren.

DSGVO-Tipps für Buchhaltungsberufe:

  • Anmeldedaten neuer Mitarbeiter von Klienten und auch der eigenen Mitarbeiter gehören zu den personenbezogenen Daten und müssen im Verarbeitungsverzeichnis ausgewiesen werden.
  • Bei der Verwendung von Cloudservices muss mit dem Dienstleister (= Auftragsverarbeiter) ein schriftlicher Vertrag abgeschlossen werden, in dem er gewährleistet, dass er die Bestimmungen der DSGVO einhält und entsprechende Maßnahmen zur Datensicherheit setzt.
  • Mitarbeiter müssen in Bezug auf die DSGVO geschult und über das Datengeheimnis aufgeklärt werden. Es ist besondere Sorgfalt bei der Personalauswahl, Schulung und Rechtevergabe zu achten.
  • Unbefugte Personen wie etwa Reinigungspersonal dürfen keinen Zugriff zu Buchhaltungsdaten haben – das gilt auch für die Arbeit im Homeoffice.
  • Bei Dienstverträgen sind die wesentlichen Punkte der Datenverarbeitung wie etwa für die Personalverrechnung gesetzlich legitimiert und brauchen keine gesonderte Zustimmung. Bei anderen personenbezogenen Daten ist situationsabhängig zu beurteilen, ob eine Zustimmungserklärung nötig ist.
Elke Steinbacher, Berufsgruppensprecherin Buchhaltung der UBIT Salzburg
Kredit Andreas Kolarik

„Bei Nichteinhaltung der Vorgaben drohen hohe Verwaltungsstrafen. Auch wenn nicht bei jedem Verstoß damit zu rechnen ist, dass die Höchststrafen zur Anwendung kommen, dürfen die Datenschutzbestimmungen nicht auf die leichte Schulter genommen werden. Es ist davon auszugehen, dass Verletzungen künftig viel schärfer geahndet werden. Das kann Unternehmen empfindlich treffen“, sagt Steinbacher.

Mustervereinbarung für Auftragsverarbeitung und Muster-Verarbeitungsverzeichnisse sowie weitere Informationen zur DSGVO gibt es unter www.wko.at/datenschutz