Ein Steuerberater wird in erster Linie danach bewertet, wie gut er mit dem ihm anvertrauten Geld seiner Kunden umgeht. Was zählt, sind eine optimal Beratung und die bestmögliche Weichenstellungen für ihre Finanzangelegenheiten. Doch auch Datensicherheit und Integrität spielen eine zentrale Rolle.
In der Steuerberatung ist der vertrauliche Umgang mit Kundendaten das A und O.
Edler von Rabenstein / fotolia (Sujetbild mit Fotomodellen)
Die Wahl des richtigen Steuerberaters ist daher auch oft eine Frage des Bauchgefühls. Vermittelt er hohe Fachkompetenz und das Gefühl, dass vertrauliche Daten ausreichend vor unrechtmäßigem Fremdzugriff geschützt sind, erhöht das die Wahrscheinlichkeit, neue Kunden zu gewinnen sowie Bestandskunden zufriedenzustellen und letztendlich zu behalten.
Neben der Einhaltung datenschutzrechtlicher Anforderungen sind Steuerberater auch zur Verschwiegenheit verpflichtet. Als gesetzliche Grundlage gelten dabei unter anderem:
- das Bundesdatenschutzgesetz (BDSG-neu)
- das Strafgesetzbuch (StGB) - vgl. §203 (Verletzung von Privatgeheimnissen)
- das Berufsrecht der Steuerberater (StBerG, DVStB, BOStB)
- die Abgabeordnung (AO)
- die Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff (GoBD)
Sensible Kundendaten in der Cloud schützen
Mit Inkrafttreten der Datenschutzgrundverordnung (DSGVO) wurden die Pflichten für den rechtskonformen Umgang mit sensiblen und personenbezogenen Daten nochmals intensiviert und die Betroffenenrechte umfassend gestärkt. So sieht die DSGVO etwa ein entsprechend umfassendes Datenschutzkonzept vor. Ein fahrlässiger Umgang hätte nicht nur Sanktionen oder teure Bußgelder zur Folge, sondern auch einen massiven Vertrauensverlust und damit einhergehend einen enormen Imageschaden.
Um die sensiblen Daten seiner Kunden optimal zu schützen und gleichzeitig einen orts- und zeitunabhängigen Zugriff für den Steuerberater selbst ermöglichen zu können, führt kein Weg an der Cloud vorbei. Umso wichtiger ist dabei die Auswahl einer geeigneten und sicheren Lösung, denn nicht jeder Cloud-Provider bietet auch das gleiche Maß an Datensicherheit.
Datenschutz-Zertifikate erleichtern die Wahl des Providers
Eine wichtige Entscheidungshilfe bieten Datenschutz-Zertifikate, wie zum Beispiel jenes nach dem Trusted Cloud Datenschutzprofil (TCDP). Das TCDP ist ein Prüfstandard, der den datenschutzrechtlichen Anforderungen des Bundesdatenschutzgesetzes an Cloud Computing entspricht. Cloud-Dienste, die in der höchsten Schutzklasse (III) zertifizieren, garantieren zum aktuellen Zeitpunkt eine BDSG- und DSGVO-konforme Auftragsdatenverarbeitung und somit Rechtskonformität für den Steuerberater.
Die meisten Cloud-Anbieter verwenden für die Datenübermittlung eine Ende-zu-Ende-Verschlüsselung. Somit kann ein unrechtmäßiges Abgreifen der Daten während des Transfers verhindert werden. Ein Angreifer benötigt zum Auslesen der verschlüsselten Informationen den dazugehörigen Datenschlüssel. Ohne diesen ist es ihm unmöglich die transferierten Datenpakete einzusehen. Doch eine Sicherheitsvorkehrung ist nur so lange gut, bis das erste Schlupfloch auftritt.
Die Achillesferse der Cloud ist und bleibt die Datenverarbeitung. In dem Moment, wenn eine Datei geöffnet und bearbeitet wird, muss die Verschlüsselung temporär aufgehoben werden. Dabei handelt es sich um eine technische Notwendigkeit, denn verschlüsselte Daten können - zumindest nach dem aktuellen Stand der Technik - nicht verarbeitet werden. Doch was nützt ein abgeriegeltes Dokument, wenn man damit aus Sicherheitsgründen nicht arbeiten kann?
Mit Confidential Computing zu mehr Datensicherheit
Auch für dieses Datenschutz-Dilemma gibt es eine Lösung: Confidential Computing. Darunter versteht man den Ansatz, Daten nicht nur bei der Speicherung und Übertragung zu verschlüsseln, sondern sie auch während der Verarbeitung so zu versiegeln, dass unbefugte Zugriffe ausgeschlossen sind.
Das lässt sich sowohl auf Chip-Ebene realisieren, wie es beispielsweise Intel, Microsoft & Co seit einigen Jahren pilotieren, als auch auf Server-Ebene. Auf Chip-Ebene werden die zu schützenden Daten in sicheren Enklaven, den sogenannten Trusted Execution Environments, verarbeitet. Diese Enklaven ermöglichen eine isolierte und überprüfbare Verarbeitung von Daten auf nicht vertrauenswürdigen Computersystemen, wie fremden Rechnern oder der Cloud im Allgemeinen.
Ähnlich funktioniert Confidential Computing auf Server-Ebene, wo die Daten vor ihrer Verarbeitung auf separate Server übertragen, die mit einem Notfallmechanismus vor Fremdzugriff schützen. Die Server verfügen über reduzierte Schnittstellen und gehärtete Betriebssysteme, so dass auch ein privilegierter Adminzugriff während der Verarbeitung sensibler Daten zuverlässig ausgeschlossen ist.
Cloud-Lösungen für strenge Datenschutzauflagen
Zugriffsversuche von unberechtigten Dritten werden mit dem sofortigen Herunterfahren der verarbeitenden Server quittiert. Die dabei in der Bearbeitung befindlichen Daten werden gelöscht. Cloud-Lösungen, die auf diesem Ansatz basieren, sind bereits seit einigen Jahren im Einsatz und werden nicht nur von Steuerberatern, sondern auch von anderen Branchen, die strengen Datenschutzauflagen unterliegen, produktiv genutzt.
Fazit: Für welchen Dienst und welche Technologie sich ein Steuerberater auch entscheiden mag, er ist durch seine besonderen Pflichten angehalten, die Daten seiner Klienten mit oberster Sorgfalt und dem maximalen Datenschutz zu bedenken. Denn neben der Mehrung des Wohlstands seiner Kunden zählt auch der Schutz ihrer Geheimnisse zu seinen Kernaufgaben.