#12 Mitarbeiterschulungen

Ihre Mitarbeiter als Dreh- und Angelpunkt der Kanzleisicherheit

Wie das mit kurzen Pausen so ist, werden sie oft länger, als geplant. Aber jetzt meldet sich der „So geht sicher“ Podcast wieder lautstark zurück, und das ist auch gut so, denn unsere Themenliste wird nahezu täglich länger. In der letzten Episode haben wir uns über die Funktion des Datenschutzbeauftragten unterhalten und damit geklärt, wer in Ihrer Kanzlei eigentlich für die Umsetzung des Datenschutzes verantwortlich ist – und wer es tun muss, wenn es keinen Datenschutzbeauftragten gibt. Heute steigen wir in die Frage ein, was der Datenschutzbeauftragte – oder, falls es den nicht gibt, die Kanzleileitung selbst – denn nun in Sachen Datenschutz eigentlich alles regeln muss.

Damit heiße ich Sie herzlich willkommen bei „So geht sicher“, dem Podcast für Datenschutz und IT-Sicherheit in der Steuerkanzlei. Ich bin Christine Munker, Datenschutzberaterin und Geschäftsführerin der Munker Privacy Consulting GmbH.

Wenn wir in dieser und den nächsten Folgen über die Aufgaben des Datenschutzbeauftragten sprechen, möchte ich direkt zwei Annahmen vorwegschicken.

Annahme 1: wenn ich Datenschutzbeauftragter sage, meine ich immer die Person, die in der Kanzlei für den Datenschutz verantwortlich ist. Kanzleien, die keinen Datenschutzbeauftragten benennen müssen, haben diese Aufgabe optimalerweise in der Kanzleileitung oder bei einer entsprechend ausgebildeten Person in der Kanzlei festgezurrt, die das Thema regelmäßig im Blick hat. Der Einfachheit halber spreche ich hier nur vom Datenschutzbeauftragten.

Annahme 2: ich gehe bei der Auflistung der Aufgaben nicht von den im Gesetz festgeschriebenen Vorgaben aus, da die Funktion des Datenschutzbeauftragten hier oft „nur“ einen überwachenden und kontrollierenden Charakter hat. Das bringt Sie in der Praxis allerdings nicht weiter, Sie müssen die Dinge schließlich umsetzen. Diesen Ansatz verfolgen wir übrigens auch in unserer Beratung: dort, wo wir die Funktion des Datenschutzbeauftragten übernehmen, werden wir aktiv tätig und setzen „Hands On“ die notwendigen Maßnahmen um. Alles andere macht ja auch keinen Sinn.

Also, steigen wir ein in unser heutiges Thema: Ihre Mitarbeiter als Dreh- und Angelpunkt der Kanzleisicherheit. Ich sage hier mit Absicht „Kanzleisicherheit“, denn die Tatsache, dass Ihre Mitarbeiter ein ganz wesentlicher Faktor für die Umsetzung der Sicherheitsvorgaben im Alltag sind, betrifft ja nicht nur den Datenschutz.

Gleich vorweg ein paar Beispiele dazu, die wir fast täglich auf unseren Schreibtischen haben:

E-Mail-Versand an den falschen Empfänger.

E-Mail-Versand mit Anhang von anderem Mandanten (bei diesen beiden Punkten hilft Ihnen übrigens auch keine Verschlüsselung weiter).

Fehlversand von Unterlagen per Post.

Identifikation von Personen am Telefon bei Auskunftsanfragen.

Insgesamt: Verhalten am Telefon.

Virenbefall durch Phishing-Mails.

Verlust von Kanzlei-Smartphones oder USB-Sticks

und so weiter.

Das alles sind Beispiele von Datenpannen, die wir ziemlich regelmäßig von Kanzleien gemeldet bekommen. Auffällig dabei ist, dass die Anzahl der Datenpannen bei unseren Kunden sinkt, je länger wir sie betreuen. Das leuchtet ein, denn das Zaubermittel gegen diese Datenpannen ist die Schulung und Sensibilisierung Ihres Kanzleiteams.

Worum geht es bei solchen Schulungen?

Zum einen natürlich um die Grundlagen aus dem Datenschutz und auch einiger Themen aus der IT-Sicherheit. Wichtig ist allerdings, hier kein Grundsatzreferat über die einzelnen Artikel der DSGVO zu halten – dem wird niemand lange seine Aufmerksamkeit schenken. Vielmehr sollten Sie Ihre Mitarbeiter zu den Themen sensibilisieren, die in ihrem Alltag eine Rolle spielen. Je nachdem, wie Ihre Kanzlei strukturiert ist, empfehlen wir sogar, diese Schulungen Abteilungsweise durchzuführen, da Ihr Kanzleiorga-Team sich bestimmt anderen Aufgaben im Alltag gegenüber sieht als beispielsweise Wirtschaftsprüfer bei der Durchführung von Audits.

Die Inhalte sollten möglichst praktischer Natur sein. Wenn Sie Ihre Mitarbeiter beispielsweise darauf trainieren wollen, Phishing-Mails zu erkennen und richtig darauf zu reagieren, können Sie sich beispielsweise die aktuellsten „Maschen“ der Betrüger auf der Homepage der Verbraucherzentrale ansehen, die ein „Phishing-Radar“ anbietet. Den Link dorthin habe ich Ihnen in die Shownotes gepackt und bei der Gelegenheit selbst nachgesehen, wie viele der Phishing-Hinweise aus dem Mai dieses Jahres mir selbst schon untergekommen sind. Spannend. Erklären Sie also Ihren Mitarbeitern an diesen Beispielen, wie man eine Phishing-Mail erkennt und mit welchen Vorsichtsmaßnahmen sie die mittlerweile wirklich gut gemachten Betrugsversuche entschärfen können.

Ein anderes wichtiges Thema ist die Auskunftserteilung am Telefon, insbesondere im Sekretariat. Was soll man sagen, wenn ein Kollege krank oder im Urlaub ist? Wie verhält man sich, wenn Auskünfte am Telefon erfragt werden und der Anrufer nicht persönlich bekannt ist? Und wie klappt diese Identifikation noch, wenn mit Hilfe von KI Stimmen imitiert werden können, was auch heute schon für betrügerische Fake-Anrufe genutzt wird (kleiner Tipp: vereinbaren Sie ein Telefonpasswort wie z.B. die Mandantennummer).

Kommunizieren Sie in diesen Schulungen auch interne Regelungen, wie z.B. Inhalte aus Ihrer IT-Richtlinie, damit diese den Mitarbeitern präsent bleiben. Ist es erlaubt, private Geräte wie z.B. Smartphones zum Aufladen via USB-Kabel an dem Kanzleirechner anzuschließen? Wie gehen Sie mit Datenbeständen auf Notebooks oder USB-Sticks um, welche Passwortregeln haben Sie festgelegt? Gibt es einen Notfallplan für den Fall eines IT-Ausfalls, und kennen alle grob den Ablauf? Denken Sie daran: steter Tropfen höhlt den Stein. Je öfter Sie die Themen ansprechen, desto besser werden Sie im Gedächtnis Ihres Teams verankert. Und, ganz wichtig: im Gespräch erfahren Sie, ob es in der Praxis Probleme bei der Umsetzung von Regelungen gibt, und können diese lösen.

Wie sollten solche Schulungen nun in der Praxis ablaufen? Da sind Ihrer Phantasie keine Grenzen gesetzt. Sie haben in Ihrer Kanzlei ein regelmäßiges gemeinsames Frühstück etabliert? Nutzen Sie 30 Minuten im Anschluss daran. Gibt es einen Jour-Fixe, digital oder online? Setzen Sie immer ein kurzes und knackiges Datenschutzthema mit auf die Agenda. Sie organisieren interne Fortbildungstage? Bitten Sie ihren Datenschutzprofi, ein oder zwei aktuelle Themen in diesem Rahmen anzusprechen.

Wir organisieren die Schulungen bei unseren Kunden über verschiedene Wege, die gut und gerne miteinander kombiniert werden können. Als Basisschulung bieten wir ein eLearning speziell für Steuerkanzleien an. Wir empfehlen, diese Grundlagenschulung einmal jährlich durchzuführen und sprechen darin allgemein gültige und wichtige Themen an. Kanzleien, die Schulungen lieber „live“ in der Kanzlei durchführen möchten, können dies beispielsweise mit der Durchführung unserer Datenschutzbesuche super kombinieren. Auch eine individuelle Online-Schulung im Rahmen eines Webmeetings lässt sich wunderbar gestalten. Dazu bekommen unsere Kunden alle zwei Monate einen Datenschutz-Newsletter von uns, den sie an ihre Mitarbeiter verteilen können. Darin werden aktuelle Themen kurz und leicht verständlich aufgegriffen. Mit Kunden, die das Thema Sensibilisierung gerne im Rahmen von Kanzleifrühstücken abbilden, besprechen wir Themen und Inhalte vorab, so dass sie bestens für einen kurzen Vortrag gerüstet sind.

Halten wir fest: Ihr Datenschutz- und Sicherheitsniveau hängt ganz wesentlich davon ab, wie viel Ahnung Ihre Mitarbeiter haben und wie gut sie auf wichtige Situationen im Kanzleialltag vorbereitet sind. Die einfachste und beste Möglichkeit, dieses Knowhow aufzubauen und zu festigen, sind regelmäßige Schulungen, oder nennen wir es lieber „Gespräche“, denn das Wort Schulung hat oft den Charakter einer reinen Beschallungsveranstaltung, und das führt Sie bestimmt nicht zum Ziel. Reden Sie mit Ihrem Team, erklären Sie die Regeln, erklären Sie warum es wichtig ist, diese Dinge einzuhalten und in welcher Form Ihre Mitarbeiter Ihnen und der Kanzlei helfen, wenn Sie sich an die Regeln halten.

Am Ende noch ein spannendes Argument für die Kanzleileitung: wenn Datenpannen trotz Schulung passieren – und das werden sie, denn wir sind alle nur Menschen und machen auch mal Fehler – kann Ihnen daraus kein Strick gedreht werden. Sie dokumentieren einfach, wann Sie welches Thema in welchem Mitarbeiterkreis angesprochen haben und haben damit einen guten Nachweis, für die Umsetzung der Regelungen in der Praxis Sorge getragen zu haben.

Damit bin ich am Ende unseres Podcast bzw. unserer heutigen Episode angelangt und hoffe, Sie haben die ein oder andere Anregung für die Durchführung von Sensibilisierungsmaßnahmen in Ihrer Kanzlei mitgenommen.

Zusätzlich habe ich noch einen Lesetipp für Sie, nämlich das Buch „Datenschutz in der Steuerberatung“, dass mein Mann und ich gemeinsam geschrieben haben. Das Buch ist im Erich Schmidt Verlag erschienen und vermittelt neben den wichtigsten Grundlagen auch einen Leitfaden für den Einstieg in den Datenschutz. Den Link zum Buch finden Sie in den Shownotes.

Außerdem empfehle ich Ihnen einen Blick auf die Webseite der Bundessteuerberaterkammer, die gemeinsam mit dem Deutschen Steuerberaterverband konkrete Hinweise, Muster und Praxishilfen im Rahmen der „Hinweise für den Umgang mit personenbezogenen Daten durch Steuerberater und Steuerberatungsgesellschaften“ zur Verfügung stellt. Diese enthalten u.a. die wichtigsten To-Dos und Vorlagen zur Umsetzung des aktuellen EU-Datenschutzrechts in den Steuerberatungskanzleien. Ich möchte an dieser Stelle natürlich nicht unerwähnt lassen, dass Dirk Munker sich von Anfang an aktiv in den Arbeitskreis zur Erstellung und Aktualisierung der Unterlagen einbringt und sein Praxisknowhow in Teile der Unterlagen eingeflossen ist. Den Link dorthin finden Sie auf der Website www.bstbk.de unter „Themen“ und dort bei „Brennpunktthemen“, ich stelle ihn auch hier in die Shownotes dieser Episode.

All die Informationen, die Sie hier im Podcast hören, können Sie übrigens auch in Schriftform direkt in Ihr E-Mail-Postfach bekommen. Für alle, die lieber lesen als hören, gibt es nämlich den „So geht sicher.“ Newsletter, damit liefern wir Ihnen die gleichen News und Infos als Text auf den Tisch. Abonnieren können Sie den Newsletter auf unserer Webseite www.munker.info unter dem Menüpunkt „Kontakt“, den Link dazu stelle ich auch noch hier in die Shownotes.

Wenn Sie spezielle Themenwünsche haben, oder Fragen zur heutigen Episode, Hinweise oder Kritik, dann schreiben Sie uns gerne, die Kontaktdaten finden Sie wie immer in den heute wirklich viel zitierten Shownotes. Und wenn Sie mehr von diesem Podcast hören wollen, sollten Sie „so geht sicher“ JETZT GLEICH abonnieren. Bis bald!

Phishing-Radar: Archiv | Verbraucherzentrale.de