Ingo Goblirsch LL.M. berät und unterstützt seit über 20 Jahren kleine und mittelständische Unternehmen, Kanzleien, Städte und Gemeinden in Sachen Datenschutz und Informationssicherheit. Dabei verfolgt Ingo Goblirsch einen ganz besonderen Ansatz, denn er versteht das Thema Datenschutz als eine Art Dreieck. Ein Dreieck, das sich aus den Bereichen Datenschutzrecht, IT und betrieblichen Prozessen zusammen setzt. Das Ziel ist eine ganzheitliche Datenschutz-Compliance, die sich in der Praxis gut umsetzen lässt und Datenpannen vorbeugt. Wir von KHS vertrauen seit Jahren auf seine Expertise und freuen uns, sein Know-how im Bereich der Wirtschaftsprüfung und Steuerberatung in diesem Interview mit Ihnen teilen zu können.
Warum ist das Thema Datenschutz gerade im Bereich der Wirtschaftsprüfung und Steuerberatung so wichtig?
Ingo Goblirsch: Wirtschaftsprüfer:innen (WP) und Steuerberater:innen (StB) sind aufgrund ihrer Berufspflichten an eine Verschwiegenheitspflicht gebunden, die sich nicht nur auf sie selbst, sondern auch auf ihre Mitarbeitenden erstreckt. Verletzungen dieser Pflichten können strafrechtliche Konsequenzen haben. Im Rahmen von Jahresabschlussprüfungen fordern Wirtschaftsprüfer oft umfangreiche Auskünfte, die Einblick in eine Vielzahl von Unternehmensunterlagen gewähren. Dabei werden häufig personenbezogene Daten der Mandant:innen oder Dritter verarbeitet, was datenschutzrechtliche Vorschriften erfordert. Auch Steuerberater:innen haben viele Berührungspunkte mit dem Datenschutz und müssen die datenschutzrechtlichen Anforderungen erfüllen, wie in den (im September 2023 aktualisierten) Hinweisen der Bundessteuerberaterkammer festgelegt.
Was macht ein benannter Datenschutzbeauftragter?
Ingo Goblirsch: Ein benannter Datenschutzbeauftragter hat gesetzliche und individuelle Pflichten. Gesetzlich ist er für die Beratung und Unterstützung der datenschutzrechtlichen Anforderungen verantwortlich und überwacht deren Einhaltung. Zusätzlich unterstützt er bei der Erstellung von Informationen für Webseiten, führt Schulungen durch, stellt Vorlagen für Verarbeitungsverzeichnisse bereit und hilft im Ernstfall, beispielsweise bei Datenschutzverletzungen. Er muss dabei auch die Frage klären, ob bestimmte Vorfälle meldepflichtig sind und wie das entstandene Risiko für die Betroffenen minimiert werden kann.
Warum ist es ratsam, die Mitarbeitenden regelmäßig in Sachen Datenschutz zu schulen?
Ingo Goblirsch: Mitarbeitende sind entscheidend für die Umsetzung des Datenschutzes, nicht nur der Datenschutzbeauftragte. WP und StB haben täglich mit hochsensiblen Daten zu tun und müssen sicherstellen, dass sie den Datenschutz nicht fahrlässig verletzen. Das Vertrauen der Mandant:innen ist ein wertvolles Gut, das erhalten werden muss. Außerdem ändern sich die Datenschutzanforderungen ständig. Entsprechend ist es für die Mitarbeitenden und das Unternehmen wichtig, auf dem neuesten Stand zu bleiben, um Veränderungen in Gesetzen und Vorschriften zu berücksichtigen.
Welche Themen wurden im letzten KHS Datenschutz-Workshop behandelt?
Ingo Goblirsch: Der letzte KHS Datenschutz-Workshop war bereits die zweite Schulungsmaßnahme zum Thema Datenschutz und Informationssicherheit innerhalb von anderthalb Jahren. Im letzten Workshop wurde das zuvor per Onlineschulung Gelernte vertieft, unter anderem durch Gruppenarbeit. Themen wie das Löschen von Daten und der Umgang mit Auskunftsanfragen wurden behandelt. Des Weiteren wurden typische IT-Angriffe simuliert und der richtige Umgang zur Abwehr dieser Angriffe im Sinne einer „digitalen Selbstverteidigung“ beigebracht. Es ging aber auch um kanzleispezifische Themen wie dem sicheren Datenübertragungswerkzeug „mykhs“ und den Schutz vor Phishing-Mails.
Was sind aktuell die größten Datenschutzrisiken?
Ingo Goblirsch: Die größten Risiken sind Cyberangriffe, Fehlversände von sensiblen Informationen und das Risiko, das Thema Datenschutz nach dem anfänglichen Hype bei der Einführung der DSGVO zu vernachlässigen. Unsichere Datenübermittlung ist ebenfalls ein Risiko, das durch sichere Verschlüsselung minimiert werden kann.
Welche Tools oder Technologien empfehlen Sie, um die Datenschutz-Compliance zu unterstützen?
Ingo Goblirsch: Die Wahl der Tools und Technologien hängt von der Größe des Unternehmens und der Intensität der Datenverarbeitung ab. Kleinere Unternehmen können mit Vorlagen für Verarbeitungsverzeichnisse und Schulungsunterlagen unterstützt werden, während größere Unternehmen (ab 20 Mitarbeitenden) einen benannten Datenschutzbeauftragten und häufig auch eine intensivere und individuelle Beratung benötigen. Die Techniken und Methoden sind ähnlich wie bei klassischer Projektarbeit, erfordern jedoch individuelle Anpassungen. Da gibt es zum Beispiel eine Offene-Punkte-Liste, regelmäßige Termine oder Treffen, und ein Pflichtenheft, deren Einträge einmalig oder laufend bearbeitet werden.
Wie lässt sich die Einhaltung von datenschutzrechtlichen Anforderungen überwachen?
Ingo Goblirsch: Die Überwachung datenschutzrechtlicher Anforderungen ist eine der Kernaufgaben eines Datenschutzbeauftragten. Er muss sicherstellen, dass die datenschutzrechtlichen Anforderungen eingehalten werden. Die Geschäftsführung wiederum muss jederzeit nachweisen können, dass das Unternehmen datenschutzkonform handelt. Beides zusammen erfordert eine enge Zusammenarbeit, regelmäßige Treffen und eine gelebte Datenschutz-Kultur.