DSGVO: Wie Sie ein Verzeichnis der Verarbeitungstätigkeiten aufstellen

Seit letztem Jahr gilt die Datenschutz-Grundverordnung (DSGVO). Viele Vorschriften sind seit diesem Zeitpunkt auch in Steuerberaterkanzleien verpflichtend. Dazu gehört das sogenannte Verzeichnis der Verarbeitungstätigkeiten. Was in diesem Verzeichnis stehen muss und wie Sie es schnell aufstellen, zeigt Ihnen dieser Beitrag.

Das muss im Verzeichnis der Verarbeitungstätigkeiten stehen

Die DSGVO verpflichtet auch Steuerkanzleien, ein Verzeichnis der Verarbeitungstätigkeiten zu führen.

Beachte
Das Verzeichnis ist zwingend zu führen, da Steuerkanzleien nicht nur gelegentlich personenbezogene Daten verarbeiten. Sollte dieses Verzeichnis in Ihrer Kanzlei noch nicht vorliegen, sollten Sie es schnellstmöglich aufstellen. Nicht nur die Tätigkeiten für Mandanten sind dort aufzunehmen, sondern auch interne Tätigkeiten, bei denen personenbezogene Daten verarbeitet werden, z.B. der Bewerbungsprozess innerhalb Ihrer Kanzlei.

Folgende Punkte müssen aufgezeichnet werden:

  1. die Tätigkeiten, bei denen personenbezogene Daten verarbeitet werden, z.B. Erstellung der Finanzbuchhaltung oder der Lohnbuchhaltung
  2. Name und Kontaktdaten des Verantwortlichen nach der DSGVO, also des Kanzleiinhabers, bei Vorhandensein eines Datenschutzbeauftragen auch dessen Angaben
  3. Zweck der Verarbeitungstätigkeit, also der Grund, warum persönliche Daten für diese Verarbeitungstätigkeit erhoben bzw. verarbeitet werden
  4. die von der Bearbeitung betroffenen Personen und Daten
  5. die Empfänger, denen die Daten offengelegt werden, also z.B. das Finanzamt, aber auch die internen Bearbeiter
  6. Grund für die Offenlegung gegenüber dem Empfänger
  7. Findet ein Transfer ins Drittland statt, also ein Land außerhalb des Geltungsbereichs der DSGVO?
  8. Löschungsfristen für die Daten
  9. die Beschreibung der technischen und organisatorischen Maßnahmen (TOM) nach Art. 32 DSGVO, die u.a. zur Verhinderung von Datenverlusten festgelegt wurden

So sammeln Sie die Tätigkeiten für das Verzeichnis

Schreiben Sie sich über den Tag hinweg alle Tätigkeiten auf, die Sie erledigt haben. Damit haben Sie die meisten Tätigkeiten, die Sie aufnehmen müssen, identifiziert. Stellen Sie sich zu den Tätigkeiten folgende Fragen:

  • Wer erhält Zugriff auf die Daten?
  • Warum wird der Zugriff gewährt?
  • Welche personenbezogenen Daten werden verarbeitet?
  • Warum werden diese Daten verarbeitet?
  • Werden Daten in ein Land übermittelt, das nicht unter die Bestimmungen der DSGVO fällt, z.B. in die USA?
  • Wann werden die Daten gelöscht? Gibt es Vorschriften, die eine kürzere Löschungsfrist vorsehen als die gesetzliche Aufbewahrungsfrist?
  • Welche konkreten Maßnahmen werden ergriffen, um die Daten vor Datenverlusten zu schützen?
Porträt von Timo Kaiser

Timo Kaiser

Timo Kaiser ist Steuerfachwirt, Fachassistent Lohn und Gehalt. Als Kanzleimanager ist er neben fachlichen Aufgaben für die Prozessoptimierung und Digitalisierung in einer Kanzlei mit ca. 25 Mitarbeitern zuständig.