Hallo und herzlich willkommen zu #sogehtsicher, dem Podcast zu Datenschutz, IT-Sicherheit und KI-Compliance in der Steuerkanzlei. Mein Name ist Christine Munker, ich bin Geschäftsführerin der Munker Privacy Consulting GmbH und ich möchte mit Ihnen heute in Tag 2 unserer Frühjahrsputz-Aktion einsteigen.

Heute geht es um Ihre Dienstleister und die Frage, ob diese wirklich sicher sind. Wir machen eine Vertrags-Inventur und werfen einen Blick darauf, welche Vorgaben mindestens erfüllt sein sollten, damit Sie als Steuerberater mit diesem Dienstleister zusammenarbeiten können.

Sind Ihre Dienstleister wirklich "sicher"?

Die Vertrags-Inventur - unser Thema im Frühjahrsputz, Tag 2.

Verschwiegenheit, Auftragsverarbeitung, Berufsgeheimnis. Es ist an der Zeit für einen kritischen Blick auf Ihre Dienstleister. Was ist zu tun? Zuerst einmal die Basics im den Verträgen checken.

Haben Sie mit jedem Dienstleister einen aktuellen Vertrag, in dem - wenn notwendig - auf Serviceleistungen festgelegt sind (z.B. Hotlinezeiten bei Onlinediensten, Verfügbarkeitsgarantien).

Haben Sie mit jedem Dienstleister, der theoretisch Zugang zu personenbezogenen Daten in Ihrer Kanzlei hat (IT-Dienstleister, Softwareanbieter, Entsorgungsunternehmen etc.) einen Vertrag zur Auftragsverarbeitung (AVV) abgeschlossen? Gibt es in diesem AVV eine Aufstellung von technisch-organisatorischen Maßnahmen (TOM), die für die Einhaltung der DSGVO und damit für die Vertraulichkeit der Daten sorgen sollen?

Haben Sie mit jedem Dienstleister, der theoretisch Kenntnis von Mandatsinformationen nehmen kann, eine Verpflichtung auf die Verschwiegenheit nach §203 StGB abgeschlossen? Dazu empfehlen wir Ihnen in unsere Podcastfolge zum §203 StGB reinzuhören.

Denken Sie hierbei auch an Dienstleister wie Reinigungspersonal, den Getränkelieferanten mit Zugang zu den Räumen oder ähnliches. Hier muss in den meisten Fällen kein AVV abgeschlossen werden, eine Verpflichtung auf die Verschwiegenheit unterzeichnen zu lassen reicht in den meisten Fällen aus.

Unser Tipp, damit dieser Frühjahrsputz auch langfristig wirkt: erstellen Sie sich direkt eine Übersicht über alle Dienstleister, die Sie in diesem Zuge identifizieren. Vermerken Sie dort, ob die entsprechenden Unterlagen vorhanden sind, wann sie abgeschlossen wurden, ob die technisch-organisatorischen Maßnahmen einmal fachmännisch geprüft wurden und - ganz wichtig - was Sie bei diesem Dienstleister beauftragt haben, welche Datenkategorien dort verarbeitet werden und wie wichtig die Dienstleistung für die Leistungserbringung Ihrer Kanzlei ist. Das hilft Ihnen später sehr, wenn Sie diese Vertragsinventur wieder turnusmäßig durchführen, wenn Sie das Backup-Konzept für Ihre Kanzlei unter die Lupe nehmen oder einen Notfallplan erstellen wollen.

Die Vertrags-Inventur schaffen Sie vermutlich nicht heute schnell nebenbei. Die Frühjahrsputz-Aktion soll Sie dazu bringen, mit ein paar wichtigen Themen jetzt loszulegen. Also: tragen Sie sich einen Termin ein, wann Sie mit der Inventur starten, oder delegieren Sie die Aufgabe und vereinbaren Sie einen Termin zur Besprechung der Ergebnisse. Und ganz wichtig: tragen Sie sich direkt den nächsten Termin ein, z.B. in einem Jahr, um die jetzt erstellte Liste wieder auf ihre Aktualität zu prüfen!

Zum Schluss noch ein kleiner Beipackzettel zu dieser Folge – gerade bei Verträgen steckt der Teufel bekanntlich im Detail, das muss ich Ihnen nicht erklären. Daher will ich einmal darauf hinweisen, dass wir heute natürlich erst einmal an der Oberfläche kratzen. Die Tatsache, dass ein Dienstleister einen Vertrag zur Auftragsverarbeitung mit Ihnen abschließt, ist ein wichtiger Fakt, denn genug Dienstleister tun das nicht und kommen damit für die Zusammenarbeit mit der Kanzlei nicht in Frage. Liegt ein Vertrag zur Auftragsverarbeitung vor, muss dieser natürlich auch noch geprüft werden, denn wenn an der richtigen Stelle das falsche steht, hilft Ihnen das auch nicht weiter und Sie können den Dienstleister nicht beauftragen. Darüber sprechen wir aber sehr gerne in den kommenden Folgen dieses Podcasts – im Anschluss an den Frühjahrsputz.

Das war Tipp 2 von 7 in unserem Frühjahrsputz für mehr Sicherheit in Ihrer Kanzlei! Morgen widmen wir uns dem Thema Arbeitsanweisungen und werfen einen Blick darauf, welche Vorgaben und Richtlinien es in Ihrer Kanzlei gibt und ob die eigentlich noch zusammenpassen. Vielleicht finden wir ja auch raus, was fehlt.

Sie möchten keinen der verbleibenden Kanzlei-Tipps verpassen? Dann abonnieren Sie am Besten jetzt gleich unseren Podcast #sogehtsicher, den finden Sie auf unserer Homepage www.munker.info oder in allen gängigen Podcast-Apps. Folgen Sie uns, wenn Sie mögen, gerne auf LinkedIn, Facebook oder Instagram, auch dort finden Sie unsere Tipps zum Frühjahrsputz und natürlich auch laufend jede Menge Informationen rund um Datenschutz, IT-Sicherheit und KI-Compliance in der Steuerkanzlei.

Vielen Dank für Ihre Zeit und bis zur nächsten Folge!

#sogehtsicher - Die Experten für Datenschutz, IT-Sicherheit und KI-Compliance in der Steuerkanzlei.