#27 So läuft das mit dem Datenschutz bei uns.

Christine Munker: Wir waren in den letzten beiden Tagen auf dem Steuerberatertag in Hamburg und durften dort wieder viele Gespräche mit Steuerberatern führen, die uns natürlich ganz oft fragen, wie läuft das eigentlich so ab, wenn wir euch als Datenschutzbeauftragte oder zum Bereich IT-Sicherheit mit einer Beratung beauftragen. Deswegen haben wir uns gedacht, wir reden in der heutigen Podcast-Episode mal darüber, was wir eigentlich tun, wenn wir zu Ihnen kommen dürfen und die Themen Datenschutz und IT-Sicherheit in Ihrer Kanzlei vorantreiben dürfen. Und damit herzlich willkommen zu So geht's sicher, dem Podcast für Datenschutz und IT-Sicherheit in der Steuerkanzlei. Mein Name ist Christine Munker, ich bin Geschäftsführerin der Munker Privacy Consulting GmbH und ich möchte Ihnen jetzt ganz gerne einmal erklären, wie so eine Beratung bei uns abläuft und was wir im Laufe der Zeit alles bei Ihnen angehen. Vorweg schon einmal, wir beraten Kanzleien zum Thema Datenschutz und zum Thema IT-Sicherheit. Beide Themen sind bei uns fest verankert im Unternehmen. Und Sie können immer entscheiden, möchte ich das Thema Datenschutz alleine angehen, weil IT-Sicherheit vielleicht schon jemand anderes macht? Möchte ich mich nur mit dem Thema IT-Sicherheit mit dem Munkers zusammen und Ihren Beratern beschäftigen, weil wir vielleicht einen internen Datenschutzbeauftragten schon benannt haben, der das auch ganz gut macht? Oder möchte ich beides zusammen? Das ist immer eine Geschichte, wenn Sie in diesen Bereichen noch nicht ganz so weit sind mit der Umsetzung, die wir sehr ans Herz legen, denn es gibt eine riesengroße Schnittmenge zwischen Datenschutz und IT-Sicherheit. Das müssen Sie sich so vorstellen, der Datenschutz, der kümmert sich ja die Regelungen zur Verarbeitung personenbezogener Daten. Die IT-Sicherheit, die kümmert sich die sichere Verarbeitung aller Ihrer Datenbestände, ganz kurz so formuliert. Zu allen Ihren Datenbeständen gehören logischerweise auch die personenbezogenen Datenbestände. Und deswegen betreffen die technischen Themen, die sie im Rahmen der IT-Sicherheit umsetzen, immer auch den Datenschutz. Und der Datenschutz fordert die Umsetzung dieser technischen Themen. Und damit stecken wir im Grunde bei dieser Beratung auch schon im Bereich der IT-Sicherheit drin. Deswegen macht es Sinn, dass tatsächlich beides gleichzeitig oder zusammen anzugehen und eventuell auch beides eben aus einer Hand zu haben. Sie können das immer entscheiden, in welchem Bereich Sie

Christine Munker: mit uns arbeiten wollen. Überschneidungen sind natürlich immer gegeben. Sie können das natürlich frei entscheiden, in welchem Bereich Sie mit uns zusammenarbeiten wollen und wenn Sie in dem jeweils anderen Bereich schon einen Partner haben, dann müssen wir uns hier eben entsprechend abstimmen und das funktioniert aber in der Regel auch ganz reibungslos. Wie läuft das Ganze jetzt ab? Wir bieten natürlich grundsätzlich auch an, Sie zu einzelnen Themen oder Projekten zu unterstützen. Häufig werden wir zum Beispiel dazu angefragt, eine neue Webseite zu überprüfen, ob sie denn DSGVU-konform gestaltet ist. Das machen wir natürlich auch. Lieber ist uns allerdings, wenn wir Kanzleien komplett zu einem Thema betreuen dürfen. Denn ansonsten haben wir hier immer nur Stückwerk, so eine Homepage von außen zu betrachten ist ja das eine. Dahinter sind aber natürlich auch Verträge mit Auftragsverarbeitern zu schließen. Und das ist ja auch die Frage im Raum, was zum Beispiel mit Daten passiert, die sie über einen Kontaktformular zugeschickt bekommen. Das endet ja nicht. mit dem Absenden des Kontaktformulars, sondern diese Daten werden auch in Ihrer Kanzlei verarbeitet. Das heißt, bei so Einzelaufträgen müssen wir eben immer irgendwo einen Schnitt machen, der Sie dann auch wieder einem gewissen Teil hilflos oder eben ohne Unterstützung hinterlässt in dem Bereich, der dann hinten dran kommt. Also eben der richtigen Verarbeitung dieser Daten in Ihrer Kanzlei. Und da mögen wir es einfach ganz gerne, wenn wir Sie als komplett Anbieter unterstützen dürfen, wenn wir sie mit einem ganzen, kompletten, nachhaltigen Beratungspaket über die Jahre betreuen dürfen. Und das ist tatsächlich auch die Lösung, für die sich die meisten Kanzleien bei uns entscheiden. Denn sagen wir mal ehrlich, das Thema Datenschutz wollen die meisten Steuerberater einfach vom Tisch haben und sind eben auf der Suche nach jemanden, der sie dabei an der Hand nimmt, der ihnen die Themen, die sie selbst entscheiden müssen und vorantreiben müssen, entsprechend vorbereitet und alles andere im Hintergrund am besten. selber überwacht und unterstützt. Wir starten bei der Beratung, egal jetzt ob IT-Sicherheit oder Datenschutz oder beides zusammen, immer mit einer Bestandsaufnahme. Natürlich müssen wir erstmal den Status quo in Ihrer Kanzlei analysieren, zu wissen, was denn überhaupt zu tun ist und wo denn eventuell Gefahren lauern und Themen stecken, die wir besonders priorisiert angehen sollten. Dazu kommen wir natürlich gerne in Ihre Kanzlei. Wir kennen

Christine Munker: Wir lernen gerne ihre Teams scannen und wir schauen uns natürlich auch super gerne ihre Kanzleiräume an, denn auch da stecken ja immer so ein paar Themen drin, die in der IT-Sicherheit und im Datenschutz relevant sind zum Thema Zugangsmöglichkeiten, zu den Räumlichkeiten, vor allem auch was Serverräume und so weiter angeht. Das machen wir ganz gerne vor Ort. Das geht aber auch super online. Heutzutage gibt es ja gar keine Probleme mehr. Und zu den relevanten Bereichen schicken Sie uns einfach Videos oder Bilder zu, wo wir uns das angucken können. Wir kommen vielleicht auch einfach bei Gelegenheit mal vorbei, wenn wir zum Beispiel bei anderen Kunden in ihrer Gegend sind, dann haben wir nicht so einen großen Aufwand, was die Reisekosten und die Reisezeiten angeht. Das lässt sich alles prima organisieren, so wie es einfach reinpasst und so wie es ihnen auch lieber ist. Denn es gibt viele Kanzleien, einfach sagen, ich möchte meine Ansprechpartner vor Ort haben, ich möchte, dass meine Mitarbeiter und Mitarbeiterinnen sie kennenlernen. Da machen wir das natürlich auch gerne eben alles bei ihnen in der Kanzlei. Wenn wir diese Bestandsaufnahme gemacht haben, diesen Status Quo einmal festgestellt haben, Dann bekommen Sie von uns zum einen einen Bericht über die Bestandsaufnahme, wenn Sie denn brauchen. Das muss nicht unbedingt sein, denn wir sprechen ja auch darüber, was wir da so alles festgestellt haben. Es gibt aber viele Kanzler, die das einfach einmal dokumentiert haben wollen, eben auch die Möglichkeit zu haben, den Status nachzuweisen und die Aktivitäten nachzuweisen. Also eben auch die Durchführung dieser Bestandsaufnahme, was Sie aber auf jeden Fall bekommen. Und das ist eigentlich das Kernstück des Ganzen. ist ein sehr detaillierter Maßnahmenplan, in dem alles das, was wir feststellen, was noch zu tun ist, was optimierungsfähig ist, enthalten ist und das Ganze natürlich auch versehen mit Prioritäten aus unserer Sicht. Danach gehen wir im Grunde in die laufende Betreuung Ihrer Kanzlei über. Das bedeutet, dass wir uns eben diesen Maßnahmenplan vornehmen, die Prioritäten besprechen, die Maßnahmen besprechen, die als erstes umzusetzen sind. Und dann gehen wir das gemeinsam mit Ihnen Schritt für Schritt an. Was sich dabei super bewährt hat, sind sogenannte Quartalstermine. Das heißt, wir machen einmal im Quartal ein Online-Meeting oder wir sind auch mal vor Ort, wenn sich das eben gerade gut ergibt und schnappen uns ein Thema, beispielsweise Ihre Website oder Mitarbeiter-Schulungen oder eben das Thema Verträge zur Auftragsverarbeitung mit Ihren Dienstleistern, was auch immer da eben ansteht. Und das arbeiten wir.

Christine Munker: gemeinsam durch und zwar bleiben wir da dran, bis es abgehakt ist. Wir schicken Ihnen nicht endlose Checklisten oder E-Mails mit Vorgaben und Anhängen, dies müssen Sie machen, jenes müssen Sie machen, sondern wir gehen das Ganze wirklich hands-on mit Ihnen gemeinsam durch und arbeiten so lange an einem Thema, bis es dann auch erledigt ist und sowohl Sie als auch wir das Ganze erstmal von der To-do-Liste haben, bis es dann eben so weit ist, dass wir es wieder anschauen müssen, denn die Dinge verändern sich ja. im Zeitablauf ein bisschen. Genau, im Rahmen dieser Quartalstermine machen wir auch entsprechende Dokumentationen, sodass wir dann einmal im Jahr einen Jahresbericht erstellen können. Das möchte die DSGVO eben gerne so, dass wir entsprechend auch nachweisen und dokumentieren, was gemacht worden ist in ihrer Kanzlei und was angegangen worden ist. Und so starten wir einfach mit den ersten Schritten in die laufende Umsetzung. Wie schnell wir die Maßnahmen dann im Endeffekt umsetzen, das liegt ganz bei Ihnen, denn das kommt natürlich zum einen darauf an, wie die Rückmeldungen der Mitarbeiter in Ihrer Kanzlei stattfindet, wie das möglich ist. Das ist ja auch immer eine zeitliche Komponente bei Ihnen und Ihren Mitarbeitern, die uns dazu arbeiten. Und das liegt natürlich auch daran, wie schnell Sie das Ganze einfach vom Schreibtisch haben wollen. Wenn Sie sagen, na ja, wir starten da jetzt eben mal, solange wir regelmäßig dranbleiben kriegen, wird das ja in einem überschaubaren Zeitaufwand alles geregelt. Dann machen wir das ganz entspannt im Laufe der Quartalstermine. Wir haben aber auch Kunden, die sagen, nee, jetzt komm, jetzt lassen wir uns das mal in einem Aufwasch machen, dann haben wir da erstmal einen Haken dran und können eben dann nächstes Jahr wieder genauer drauf schauen. Dann machen wir das natürlich genauso. Das liegt ganz bei Ihnen. Diese Kunden mögen es zum Beispiel auch ganz gerne, wenn wir nicht in Quartalsterminen arbeiten, sondern tatsächlich in Jahresterminen, wo wir uns dann einmal im Jahr länger Zeit nehmen, sie dafür aber unterjährig in Anführungszeichen in Ruhe lassen, außer es passiert irgendetwas Besonderes, wo man eben mal draufschauen muss oder miteinander reden muss. Das liegt auch ganz bei Ihnen, je nachdem wie Sie sich das von der Betreuung her eben wünschen. Wie läuft die Priorisierung der Maßnahmen ab? Was machen wir zuerst? Wir gehen da so ein bisschen unkonventionell vor, denn eigentlich gibt es im Datenschutz schon eine relativ klare Vorstellung davon, was zuerst gemacht werden sollte. Das ist in der Regel das Verzeichnis der Verarbeitungstätigkeiten.

Christine Munker: Das ist sozusagen eine Übersicht über alle die Prozesse, in denen Sie personenbezogene Daten verarbeiten, mit diversen Zusatzinformationen dazu, aus denen wir als Datenschützer sehen, was genau in Ihrer Kanzlei mit personenbezogenen passiert. Wir müssen das natürlich irgendwann erstellen, haben aber gerade in Steuerkanzleien mittlerweile eine wesentlich pragmatischere Vorgehensweise. Und zwar kümmern wir uns zuallererst alles was man von außen erkennt. Das heißt, wir kümmern uns zuallererst Ihre Homepage, die Datenschutzhinweise Ihrer Homepage, die Datenschutzkonformität Ihrer Homepage. Wir kümmern uns die Schulung Ihrer Mitarbeiter, insbesondere auch das Thema Auskünfte am Telefon, Kommunikation mit Demandanten, per E-Mail oder diverse Messenger. Also alles das, was irgendwo eine Schnittstelle zur Außenwelt hat, das gehen wir als Allererstes an. Auch die Verträge mit Ihren Dienstleistern, denn hier werden ja Daten nach außen gegeben, beziehungsweise die Dienstleister haben Zugriff auf ihre Daten und da hätten wir eben schon auch gerne ordentliche Regelungen. Das steht bei uns in der Prioritätenliste auch relativ weit oben und alles andere wird dann eben Schritt für Schritt nachgezogen. All die internen Themen, die dann eben auch noch im Datenschutz beleuchtet werden müssen. Und ganz ähnlich machen wir das bei der IT-Sicherheit. Wir schauen uns eben die Priorisierung der Maßnahmen an und gucken in der IT-Sicherheit logischerweise, wo besteht denn die größte Gefahr, dass von außen jemand auf ihre Systeme zugreifen kann oder zum Beispiel Schadsoftware in ihre Systeme eindringen kann. Und das sind für uns die Punkte, die als allererstes abgestellt werden müssen. Zusätzlich natürlich das Thema Mitarbeiterschulungen, denn gerade in der IT-Sicherheit ist das ein wesentlicher Faktor, das Sicherheitsniveau wirklich spürbar zu steigern, dass ihre Mitarbeiter über bestimmte Dinge Bescheid wissen. Stichwort Fishing-Attacken beispielsweise. Da kommt es einfach drauf an, ob der Mitarbeiter weiß, Darf ich jetzt da draufklicken oder nicht? Und wie erkenne ich, dass ich es nicht tun sollte? Das geht alles über Schulung, Schulung, Schulung. Das ist im Endeffekt unsere Vorgehensweise. Das heißt, wir gucken uns zuerst an, wo kann eine Gefahr von außen kommen, sowohl im Datenschutz als auch in der IT-Sicherheit. Und dann gucken wir uns die internen Themen an, Schritt für Schritt, und zwar genau in der Geschwindigkeit, die sie für richtig halten. Wichtig ist dabei auch immer, wenn wir als Datenschutzbeauftragte oder IT-Sicherheitsbeauftragte

Christine Munker: benannt sind. Natürlich müssen wir ständig überwachen und kontrollieren und Ihnen auf die Nerven gehen, Sie darauf hinweisen, was noch zu tun ist. Das müssen wir auch wirklich tun und das sehen Sie uns bitte nach, denn sonst haben wir ein Haftungsproblem, wenn wir nicht nachweisen, dass wir auf Dinge hingewiesen haben. Aber verantwortlich sind ja letztlich Sie und Sie entscheiden, in welcher Geschwindigkeit was geregelt wird. Was wir gar nicht mögen, das darf ich an der Stelle auch sagen, sind Kanzleien, die uns benennen und dann hören wir nie wieder was von Ihnen, weil wir dann also als Datenschutzbeauftragte benannt sind, weil beispielsweise irgendein Mandant das eben sehen wollte, dass es dann Datenschutzbeauftragte gibt. Allerdings muss ich auch sagen, mittlerweile ist das Gespür für dieses Thema, die Sensibilität für dieses Thema in den Kanzleien so hoch, dass wir nur noch ganz selten diese Problematik haben, dass irgendetwas pro forma passiert, sondern die meisten von Ihnen wissen ganz genau, dass Datenschutz und vor allem die IT-Sicherheit notwendig sind und wichtig sind. und gehen das Ganze dann auch entsprechend nachhaltig an. Mit welchen Pauschalen arbeiten wir, mit welchen Konstellationen, was eben die laufende Betreuung angeht. Wir haben früher mal, viele unserer Kunden haben das noch, die allermeisten, so all inclusive Pauschalen gehabt. Denn das kommt noch aus Zeiten vor der DSGVO, da war das Thema Datenschutz so unglaublich. Überschaubar. Das war richtig schön. Damals war aber auch das Thema Internet, Digitalisierung, KI, KI gab es damals im Grunde noch gar nicht in der Praxis. Das war auch wahnsinnig überschaubar in den Kanzleien. Heute hat sich das geändert. Wenn wir heute so eine All-Inclusive-Pauschale anbieten würden, dann wäre das wahnsinnig unfair, weil es so unterschiedlich organisierte Kanzleien gibt. Wir haben die Kanzleien, man nehme es mir jetzt bitte nicht übel, aber das ist immer so ein schönes Beispiel. die klassische Fünf-Matten-Kanzlei in Niederbayern, irgendwo im Bayerischen Wald. Nehmen wir mal sowas. Da gibt es einfach Kanzleien, die sind da seit ganz ganz langer Zeit, die haben einen festen mananten Stamm. Da gibt es auch nicht so übermäßig viele Kanzleien, der Konkurrenzdruck ist da nicht so groß. Man findet auch entspannt Mitarbeiter, man muss keine HR-Kampagnen auf Social Media starten. Diese Kanzleien haben oft eine Internetseite, die eher so einer Visitenkarte gleicht.

Christine Munker: Es gibt auch viele Kanzleien, die haben noch gar keine Internetseite, weil sie die gar nicht brauchen, weder Mitarbeiter zu finden, noch Mandanten zu finden. Die arbeiten vor sich hin, die haben ihre Software im Einsatz, keine wahnsinnig tollen Cloud-Anbieter, keine großen Digitalisierungsprojekte und das mit der KI, das schauen wir uns mal später an. Das ist ja vollkommen legitim. Jeder arbeitet so, wie er das gerne möchte. Diese Kanzleien haben aber natürlich einen ganz anderen Zeitaufwand in der Betreuung, was IT-Sicherheit und Datenschutz angeht, als Kanzleien, die zum Beispiel über mehrere Standorte arbeiten, die HR-Kampagnen in Social Media betreiben, die Marketingkampagnen über Social Media betreiben, die Mitarbeiter finden müssen auf alle möglichen Wege, die man sich so vorstellen kann, weil es eben zum Beispiel in Ballungsgebieten, sprechen wir mal von Düsseldorf, einfach schwierig ist, Mitarbeiter zu finden, die automatisieren und digitalisieren, weil sie eben wenig Mitarbeiter finden, aber wahnsinnig viele Mandanten finden könnten, wenn sie denn ihre Prozesse optimieren und beschleunigen. Das heißt, da wird wahnsinnig viel Technik eingesetzt, da wird wahnsinnig viel nach außen kommuniziert, da wird sehr modern digital gearbeitet, da ist KI ein Riesenthema und das sind natürlich Kanzleien. Ich möchte nicht sagen, dass es nicht solche Kanzleien auch im Bayerischen Wald gibt, ganz bestimmt. Ist jetzt nur einfach mal ganz plakativ, den Unterschied aufzuzeigen. In solchen Kanzleien brauchen wir natürlich viel mehr Zeit alleine schon, zum Beispiel die ganzen Dienstleister zu checken. Wir haben einen anderen Schulungsbedarf für die Mitarbeiter, denn wenn wir über KI reden, dann ist das eine andere Schulung, als wenn wir einfach nur über das Verhalten am Telefon reden. Wir haben insgesamt in der Betreuung einfach ganz andere Themen rund die Digitalisierung, als wenn eine Kanzlei in Anführungszeichen althergebracht standardisiert erarbeitet. Das ist, glaube ich, für jeden verständlich und dementsprechend ist es auch unfair. wenn wir eine Pauschale haben, die sich zum Beispiel an der Anzahl Niederlassungen und an der Mitarbeitergröße orientiert, an der Mitarbeiteranzahl, denn die sagt ja gar nichts darüber aus, wie die Kanzlei arbeitet und die Kanzlei, in unserem Beispiel jetzt aus dem Bayerischen Wald, würde im Verhältnis eigentlich zu viel bezahlen, die Kanzlei aus Düsseldorf vielleicht eigentlich zu wenig. Und das eben zu umgehen, haben wir mittlerweile Pauschalen.

Christine Munker: in denen wir ein Zeitkontingent eingebaut haben und zwar ein Zeitkontingent, mit dem all die regelmäßigen Aufgaben, die wir im Datenschutz und der IT-Sicherheit haben, gut abgedeckt ist und ein Zeitkontingent, mit dem wir natürlich auch noch Platz für die Umsetzung haben. Und jetzt kommt es eben genau auf das an, was ich vorhin schon erklärt habe, wie schnell wollen Sie umsetzen. Wenn Sie sagen, wir machen das jetzt einfach Schritt für Schritt, dann ist schon ein ganz guter Teil des Aufwands. in dieser Pauschale mit enthalten. Wenn Sie sagen, ich will das jetzt alles ziemlich schnell durchziehen, dann kommen wir natürlich im ersten Jahr auf einen Zeitaufwand, größer ist als das Kontingent. Dann wird das eben entsprechend mit unseren Tagessätzen nachberechnet. Das können Sie aber jederzeit eben selber entscheiden. Mit dieser Pauschale, mit der in der Pauschale enthaltenen Zeit sind die Basics im Datenschutz auf jeden Fall schon mal ganz gut abgegolten. Wenn wir auf Kanzleien treffen, in denen wir von vornherein schon sehen können, Da ist ein großer Zeitaufwand und die möchten auch wirklich alles durchleuchtet haben. Dann können wir in Absprache mit Ihnen natürlich eben auch die Pauschale gleich so aufbauen, dass wir sagen, da ist ein bisschen mehr Zeit mit drin. Das ist variabel. Das heißt im Grunde, wir haben grundsätzlich eben die Vorgehensweise, dass wir nach der Bestandsaufnahme, wo wir den Maßnahmenplan erarbeiten, mit Ihnen in die laufende Betreuung gehen. Sehr gerne Quartalsweise, Thema für Thema, wenn Sie das lieber möchten, aber auch einmal im Jahr in einem großen Aufwachs, je nachdem. was für Sie eben organisatorisch besser abzubilden ist. Und diese Beratungsleistungen, sowohl im Datenschutz als auch in der IT-Sicherheit oder in beiden zusammen, die decken wir mit einer Beratungspauschale ab, die wir individuell auf Ihre Kanzlei und Ihre Bedürfnisse anpassen können und die eben schon ein ganz ordentliches Zeitkontingent auch mit enthält, sodass wir hier nicht immer wegen jeder halben Stunde abrechnen müssen und dass wir auch nicht immer auf die Uhr schauen müssen, sondern die Basics einfach schon mal mit organisiert sind. Soweit zudem. wie wir arbeiten und wie wir vorgehen im Bereich Datenschutz und IT-Sicherheit. Heute mit wenigen technischen Themen oder rechtlichen Themen, dafür mal eben mit einer Information aus der Praxis. Wenn Sie neugierig geworden sind, wenn Sie Interesse an einem dieser Themen haben, dann wenden Sie sich gerne an uns. Die Kontaktdaten finden Sie wie immer in den Show Notes dieser Episode. Rufen Sie uns gerne an und wenn Ihnen

Christine Munker: unser Podcast gefallen hat, dann freuen wir uns, wenn Sie ihn abonnieren oder vielleicht auch Ihren Kollegen sagen, dass es da was ganz interessantes gibt. Das wäre schön. Vielen Dank für Ihre Zeit und Ihre Aufmerksamkeit und bis zur nächsten Episode. Bis bald!