Datenschutzkonforme Datenvernichtung in der Steuerberatung

Warum das Thema brennt

Aufbewahrungspflichten gehören zum Grundwissen der Steuerberatung: Zehn Jahre für Buchungsbelege, sechs Jahre für Handelsbriefe – diese Fristen sitzen. Weit weniger präsent ist im Kanzleialltag die Kehrseite derselben Medaille: Auch das Löschen personenbezogener Daten ist keine wohlmeinende Empfehlung, sondern eine unmittelbar aus der Datenschutz-Grundverordnung erwachsende Rechtspflicht. Und sie reicht weiter, als vielen bewusst ist. Wer Daten länger speichert als erforderlich, riskiert einen Verstoß gegen den Grundsatz der Speicherbegrenzung.

Die Aufsichtsbehörden schärfen ihre Instrumente. Bußgeldverfahren wegen unzureichender Löschpraktiken nehmen zu – das Bayerische Landesamt für Datenschutzaufsicht stellte in seiner Prüfkampagne 2024 fest, dass über 60 % der geprüften Unternehmen keine dokumentierten Aufbewahrungsfristen vorweisen konnten. Dass auch die vorzeitige Löschung einen Verstoß gegen die DSGVO darstellen kann, hat der Hamburgische Beauftragte für Datenschutz inzwischen ausdrücklich klargestellt. Hinzu kommen zivilrechtliche Schadensersatzansprüche nach Art. 82 DSGVO, die Betroffene direkt gegen die Kanzlei richten können.

Paradoxerweise sind es oft gerade die Sorgfalt und die berufliche Vorsicht der Berater, die das Problem verschärfen: Aus dem Gedanken heraus, im Streitfall auf alle Unterlagen zurückgreifen zu können, wird schlicht alles aufgehoben. Ein gut gemeinter, rechtlich aber problematischer Reflex. Dieser Artikel will das Bewusstsein für die Löschpflicht schärfen und einen konkreten, praxistauglichen Leitfaden an die Hand geben, mit dem auch kleinere Kanzleien ohne übermäßigen Aufwand ein DSGVO-konformes Löschkonzept aufbauen können.

Rechtliche Grundlagen im Überblick

DSGVO: Das Prinzip der Speicherbegrenzung

Das Herzstück der datenschutzrechtlichen Löschpflicht findet sich in Art. 5 Abs. 1 lit. e DSGVO. Danach müssen personenbezogene Daten in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist. Dieses als Speicherbegrenzung bezeichnete Prinzip ist eines der Kernprinzipien der DSGVO und steht gleichrangig neben Rechtmäßigkeit, Transparenz und Zweckbindung.

Ergänzend normiert Art. 17 DSGVO das Recht auf Löschung ("Recht auf Vergessenwerden"). Betroffene Personen – also Mandanten, deren Mitarbeitende im Rahmen der Lohnbuchhaltung oder eigene Kanzleimitarbeitende – können die Löschung ihrer Daten verlangen, wenn diese für den ursprünglichen Zweck nicht mehr benötigt werden, keine Aufbewahrungspflichten entgegenstehen und auch keine andere Rechtsgrundlage für die Weiterverarbeitung besteht. Unternehmen und Kanzleien sind verpflichtet, auf solche Anfragen innerhalb eines Monats zu reagieren.

Besondere praktische Bedeutung kommt Art. 5 Abs. 2 DSGVO zu. Die sogenannte Rechenschaftspflicht verpflichtet den Verantwortlichen – also die Kanzlei – nachzuweisen, dass er die Datenschutzgrundsätze einhält. Ohne dokumentiertes Löschkonzept und ohne Löschprotokolle ist dieser Nachweis in der Praxis kaum belastbar zu führen. Das Löschkonzept ist damit nicht nur operativ sinnvoll, sondern ein unmittelbares Compliance-Instrument.

Berufsrechtliche Aufbewahrungspflichten

Das Spannungsfeld zwischen datenschutzrechtlicher Löschpflicht und steuerrechtlicher Aufbewahrungspflicht ist für die steuerberatende Praxis prägend. § 147 Abgabenordnung (AO) und § 257 Handelsgesetzbuch (HGB) schreiben für eine Vielzahl von Unterlagen Aufbewahrungsfristen von sechs oder zehn Jahren vor. Während dieser Fristen ist eine Löschung der entsprechenden personenbezogenen Daten grundsätzlich nicht zulässig – die Aufbewahrungspflicht stellt als gesetzliche Verpflichtung nach Art. 6 Abs. 1 lit. c DSGVO eine hinreichende Rechtsgrundlage für die Verarbeitung dar.

Darüber hinaus sind berufsrechtliche Vorschriften zu beachten. Das Steuerberatungsgesetz (StBerG) enthält in § 66 Regelungen zur Handakte, die Steuerberatern Pflichten zur Aufbewahrung auferlegen. Auch die Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff (GoBD) sind relevant, insbesondere für die Frage, ob digitale Dokumente die Anforderungen an die unveränderliche Archivierung erfüllen.

Entscheidend ist: Die Aufbewahrungspflicht schützt nicht vor der Löschpflicht – sie verschiebt sie nur zeitlich. Sobald die gesetzliche Aufbewahrungsfrist abgelaufen ist und keine anderen Rechtfertigungsgründe mehr bestehen, entsteht eine echte Löschpflicht. Diese darf nicht einfach ignoriert werden.

Das Verzeichnis der Verarbeitungstätigkeiten als Fundament

Ohne ein aktuelles Verzeichnis der Verarbeitungstätigkeiten (VVT) nach Art. 30 DSGVO lässt sich kein funktionsfähiges Löschkonzept aufbauen. Das VVT dokumentiert, welche personenbezogenen Daten zu welchen Zwecken verarbeitet werden, auf welcher Rechtsgrundlage und wie lange die Aufbewahrung geplant ist. Es bildet damit die Datenbasis, auf der das Löschkonzept aufsetzt. Kanzleien, die ihr VVT noch nicht oder nur rudimentär gepflegt haben, sollten mit der Aktualisierung beginnen, bevor sie ein Löschkonzept entwickeln. 

Was ist ein Löschkonzept – und warum braucht es jede Kanzlei?

Ein Löschkonzept ist ein strukturiertes Dokument, das für alle von einer Organisation verarbeiteten personenbezogenen Daten festlegt, wann und wie diese gelöscht oder vernichtet werden. Es definiert Löschklassen, ordnet Datenkategorien diesen Klassen zu, legt Fristen und Verfahren fest und regelt Verantwortlichkeiten und Nachweisführung.

Häufig wird das Löschkonzept mit den Datenschutzhinweisen bzw. der Datenschutzerklärung gegenüber Mandanten verwechselt. Das ist ein Irrtum. Die Datenschutzhinweise sind ein nach außen gerichtetes, transparenzschaffendes Dokument. Das Löschkonzept hingegen ist ein internes Steuerungsinstrument, das den tatsächlichen Umgang mit Daten organisiert. Beide Dokumente sind notwendig, erfüllen aber unterschiedliche Funktionen.

Hinsichtlich der Struktur empfiehlt es sich, an der ISO 27555 (Leitlinien zur Löschung personenbezogener Daten) zu orientieren. Ein verbreitetes Missverständnis ist, das Löschkonzept sei nur für große Unternehmen relevant. Das ist falsch. Die DSGVO macht bei ihrer Anwendbarkeit keine Ausnahme für kleine oder mittlere Kanzleien. Jede Steuerberatungskanzlei – ob Einzelkanzlei oder überregionale Sozietät – verarbeitet regelmäßig personenbezogene Daten und muss deshalb einen strukturierten Löschprozess etablieren.

Datenkategorien in der steuerberatenden Praxis

Ein realitätsnahes Löschkonzept setzt eine vollständige Inventur aller verarbeiteten Datenkategorien voraus. In der steuerberatenden Praxis begegnet man typischerweise den folgenden Kategorien, die jeweils unterschiedliche Fristen und Löschverfahren erfordern:

Mandantenbezogene Daten

Stammdaten des Mandanten (Name, Adresse, Steueridentifikationsnummer, Kontaktdaten) sind die Basis jeder Mandatsbeziehung. Sie unterliegen nach Mandatsende keiner besonderen steuerrechtlichen Aufbewahrungspflicht, sind aber für die Abwicklung offener Forderungen und mögliche Haftungsfragen relevant. Regelmäßig wird eine Aufbewahrung bis zum Ablauf der zivilrechtlichen Regelverjährung von drei Jahren (§ 195 BGB) als Mindestzeitraum angesehen. Für Schadensersatzansprüche gegen Steuerberater gilt § 68 StBerG, der eine kenntnisabhängige Verjährungsfrist von drei Jahren sowie eine absolute Höchstfrist vorsieht; in Verbindung mit möglichen laufenden Betriebsprüfungen wird in der Praxis häufig eine Aufbewahrung von bis zu sechs Jahren als sachgerecht angesehen.

Buchführungs- und Jahresabschlussunterlagen

Buchungsbelege, Kontoauszüge, Rechnungen sowie Jahresabschlüsse und Lageberichte unterliegen der zehnjährigen Aufbewahrungspflicht nach § 147 AO und § 257 HGB. Hierbei enthält der Begriff "Unterlagen" bei digitaler Verarbeitung stets auch die zugehörigen Metadaten und Protokolldaten, die im Löschkonzept gesondert zu berücksichtigen sind.

Lohnbuchhaltungsdaten

Lohnabrechnungen, Sozialversicherungsnachweise, Zeitnachweise und ähnliche Unterlagen unterliegen ebenfalls der zehnjährigen Frist. Besondere Aufmerksamkeit verdient die Tatsache, dass Lohnbuchhaltungsdaten regelmäßig besondere Kategorien personenbezogener Daten im Sinne von Art. 9 DSGVO enthalten können, namentlich Gesundheitsdaten (Krankmeldungen, Schwerbehinderung) oder Daten zur Religionszugehörigkeit (Kirchensteuer). Für diese gilt ein erhöhtes Schutzniveau, das sich auch auf die Lösch- und Vernichtungsverfahren auswirkt.

Korrespondenz und Beratungsunterlagen

E-Mails mit Geschäftsbezug sind nach GoBD sechs Jahre aufzubewahren, wenn sie der Vorbereitung oder Abwicklung eines Handelsgeschäfts dienen. Interne Beratungsvermerke und Aktennotizen unterliegen keiner gesetzlichen Aufbewahrungspflicht im engeren Sinne, sollten aber aus haftungsrechtlichen Gründen mindestens bis zum Ablauf der Verjährungsfrist aufbewahrt werden. Reine Routinekommunikation ohne Sachbezug (z.B. Terminvereinbarungen) kann dagegen nach Erfüllung des Zwecks gelöscht werden.

Daten von Mitarbeitenden

Personalakten, Gehaltsabrechnungen und arbeitsrechtliche Unterlagen unterliegen nach Beendigung des Arbeitsverhältnisses gestaffelten Fristen. Allgemeine Personalakteninhalte können nach drei bis fünf Jahren gelöscht werden, Unterlagen zur Sozialversicherung und Lohnsteuer hingegen erst nach zehn Jahren. Bewerbungsunterlagen von nicht eingestellten Bewerbern sollten spätestens sechs Monate nach der Absage gelöscht werden. Hintergrund: § 21 Abs. 5 AGG sieht eine Anspruchsfrist von zwei Monaten vor; die in der Praxis verbreitete Empfehlung von sechs Monaten dient als Sicherheitspuffer für etwaige Nachfragen oder Widersprüche und hat sich als angemessene Faustregel etabliert.

Aufbewahrungs- und Löschfristen im Überblick

Die folgende Tabelle gibt eine strukturierte Übersicht der wichtigsten Datenkategorien mit ihren Fristen und empfohlenen Löschverfahren. Sie erhebt keinen Anspruch auf abschließende Vollständigkeit und ersetzt keine rechtliche Einzelfallprüfung:

Hinweis: Die Aufbewahrungsfristen beginnen grundsätzlich mit Ablauf des Kalenderjahres, in dem das jeweilige Dokument erstellt wurde oder die Geschäftstätigkeit geendet hat (§ 147 Abs. 4 AO). Laufen steuerrechtliche Verfahren, Betriebsprüfungen, Einsprüche oder gerichtliche Verfahren, sind die Fristen entsprechend zu hemmen bzw. zu verlängern.

Das Löschkonzept in der Praxis – Schritt für Schritt

Im Folgenden wird der Aufbau eines Löschkonzepts als strukturierter Prozess mit sieben Schritten dargestellt. Der Aufwand für die erstmalige Erstellung ist bei guter Vorbereitung überschaubar; die laufende Pflege hält sich in Grenzen, wenn die Strukturen erst einmal stehen.

Schritt 1: Datenbestand erheben und im VVT dokumentieren

Ausgangspunkt ist eine vollständige Bestandsaufnahme aller in der Kanzlei verarbeiteten personenbezogenen Daten. Diese Erfassung erfolgt idealerweise im Rahmen der Pflege des Verzeichnisses der Verarbeitungstätigkeiten nach Art. 30 DSGVO. Erfasst werden müssen nicht nur die digitalen Systeme (Kanzleisoftware, DATEV, E-Mail-Server, Cloud-Dienste), sondern auch physische Akten und Papierdokumente. Häufig übersehene Datenquellen sind lokale Backups, alte Datensicherungen sowie Kopien auf externen Datenträgern.

Schritt 2: Datenkategorien und Löschklassen bilden

Auf Basis der Bestandsaufnahme werden die erfassten Daten in Kategorien zusammengefasst und diesen Kategorien Löschklassen zugeordnet. Eine Löschklasse beschreibt das Fristmodell (z.B. "Löschen nach 10 Jahren ab Jahresende") und das anzuwendende Vernichtungsverfahren. Die DIN 66398 bzw. die ISO 27555 schlägt hierfür ein standardisiertes Vorgehen vor, das sich gut auf die Kanzleipraxis übertragen lässt. Typischerweise wird man für eine mittelgroße Steuerberatungskanzlei mit vier bis acht Löschklassen auskommen.

Schritt 3: Löschfristen festlegen und begründen

Für jede Datenkategorie bzw. Löschklasse wird eine konkrete Löschfrist festgelegt und die Rechtsgrundlage dokumentiert, um die Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO erfüllen zu können. Eine Frist "weil das schon immer so war" genügt nicht.

Schritt 4: Löschregeln und -verfahren definieren

Neben der Frist ist das Verfahren zu bestimmen. Bei digitalen Daten ist ein Verfahren vorzusehen, das eine Wiederherstellung nach dem Löschvorgang zuverlässig verhindert. Erforderlich ist ein sicheres Überschreiben oder eine kryptografische Vernichtung des Schlüssels bei verschlüsselten Datenträgern; einschlägige technische Empfehlungen finden sich im BSI-IT-Grundschutz.

Bei der Vernichtung physischer Datenträger mit personenbezogenen Inhalten verweist die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) auf die internationale Norm ISO/IEC 21964, die seit 2023 die zurückgezogene DIN 66399 abgelöst hat – inhaltlich allerdings unverändert: Schutzklassen und Sicherheitsstufen bleiben weiterhin der praktische Referenzrahmen.¹

Für Steuerunterlagen, Lohnbuchhaltungsdaten und andere sensible Mandantendaten sollten erhöhte Sicherheitsstufen bei der Akten- und Datenträgervernichtung eingesetzt werden. In der Praxis empfiehlt sich die Zusammenarbeit mit zertifizierten Entsorgungsdienstleistern einschließlich dokumentierter Vernichtungsnachweise.

Schritt 5: Zuständigkeiten klären

Ein Löschkonzept, das keine Zuständigkeiten benennt, ist wertlos. Es muss klar geregelt sein, wer in der Kanzlei für die Durchführung der Löschungen verantwortlich ist, wer die Löschfristen überwacht und wer im Zweifel entscheidet, ob eine Frist bereits abgelaufen ist oder noch läuft (z.B. wegen eines anhängigen Verfahrens). In größeren Kanzleien empfiehlt sich die Benennung eines Datenschutzkoordinators, der diese Aufgaben wahrnimmt oder koordiniert.

Schritt 6: Löschprotokollierung einführen

Jede Löschung ist zu protokollieren. Das Protokoll muss mindestens enthalten: das Datum der Löschung, die betroffene Datenkategorie, das angewandte Löschverfahren und die verantwortliche Person. Dies mag zunächst bürokratisch erscheinen, ist aber der einzige Weg, um gegenüber Aufsichtsbehörden und in Schadensersatzprozessen den Nachweis zu führen, dass die Kanzlei datenschutzkonform agiert hat. Für kleine Kanzleien genügt eine einfache Tabelle in der Kanzleisoftware oder in einer passwortgeschützten Excel-Datei.

Schritt 7: Regelmäßige Überprüfung und Aktualisierung

Ein Löschkonzept ist kein statisches Dokument. Es ist mindestens einmal jährlich sowie anlässlich wesentlicher Veränderungen (neue Dienste, neue Dienstleister, neue Mandatsbereiche, Gesetzesänderungen) zu überprüfen und gegebenenfalls anzupassen. Die Überprüfung selbst ist ebenfalls zu dokumentieren.

Technische und organisatorische Maßnahmen (TOM)

Das Löschkonzept entfaltet seine Wirkung erst dann vollständig, wenn es durch geeignete technische und organisatorische Maßnahmen (TOM) nach Art. 32 DSGVO unterstützt wird. Die folgenden Aspekte sind in der Steuerberatungspraxis besonders relevant:

Sichere Löschung digitaler Daten

Für eine nachweislich sichere Löschung sind geeignete technische Verfahren einzusetzen; bei der Außerbetriebnahme von Speichermedien ist eine sichere Löschung oder physische Vernichtung vorzusehen.

Vernichtung physischer Unterlagen

Welche Sicherheitsstufen für die Vernichtung von Papierunterlagen heranzuziehen sind, wird oben unter Schritt 4 dargestellt. Aus Sicht der technischen und organisatorischen Maßnahmen nach Art. 32 DSGVO tritt eine weitere Schicht hinzu: Wer die Vernichtung an einen externen Dienstleister auslagert – etwa über regelmäßig geleerte Sicherheitstonnen oder mobile Schreddercontainer –, beauftragt damit eine Auftragsverarbeitung im Sinne von Art. 28 DSGVO.

Erforderlich ist ein Auftragsverarbeitungsvertrag mit den nach Art. 28 Abs. 3 DSGVO geforderten Mindestinhalten; in der Praxis empfiehlt es sich, zusätzlich Kontroll- und Auditrechte, Subunternehmerketten sowie die Pflicht zur Vorlage von Vernichtungsnachweisen ausdrücklich zu regeln. Geeignete Dienstleister weisen ihre Eignung regelmäßig durch eine entsprechende, anerkannte Zertifizierung nach. Über jede Abholung ist ein Vernichtungsprotokoll oder -zertifikat zu erstellen und zu archivieren – die Nachweispflicht aus Art. 5 Abs. 2 DSGVO trifft im Prüfungsfall den Verantwortlichen, nicht den Dienstleister.

Backups und Archive

Einer der häufigsten blinden Flecken in Löschkonzepten sind Backupsysteme. Das Löschkonzept muss regeln, wie Backups in den Löschprozess einbezogen werden: etwa durch definierte Backup-Zyklen, automatische Überschreibung, gesperrte Wiederherstellung gelöschter Daten in den Produktivbetrieb und dokumentierte Ausnahmefälle. Backups dürfen nicht unbegrenzt aufbewahrt werden; entscheidend ist, dass sie nur solange bestehen, wie es für Wiederherstellungszwecke erforderlich ist.

Cloud-Dienste und externe Dienstleister

Immer mehr Kanzleien nutzen Cloud-Dienste für die Dokumentenablage, die Lohnbuchhaltung oder die Kommunikation mit Mandanten. Dabei ist zu beachten: Der Cloud-Anbieter ist Auftragsverarbeiter im Sinne von Art. 28 DSGVO. Der Auftragsverarbeitungsvertrag (AV-Vertrag) muss zwingend Regelungen zur Löschung von Daten nach Vertragsende und auf Weisung der Kanzlei enthalten.

Für DATEV-Nutzer ist anzumerken, dass DATEV als genossenschaftlicher Dienstleister eigene Lösch- und Archivierungskonzepte bereitstellt. Diese entbinden die Kanzlei jedoch nicht von der eigenen Pflicht, ein Löschkonzept zu führen und die DATEV-seitig verfügbaren Löschfunktionen auch tatsächlich zu aktivieren und zu nutzen.

Häufige Fehler und Fallstricke

Aus der Praxis lassen sich einige typische Fehlerquellen identifizieren, die in Kanzleien regelmäßig zu Compliance-Lücken führen:

"Wir heben alles auf, um sicher zu gehen"

Dieser Gedanke ist verständlich, aber rechtlich gefährlich. Wer Daten über das notwendige Maß hinaus aufbewahrt, verletzt das Speicherbegrenzungsprinzip. Die Argumentation, man habe "auf der sicheren Seite" bleiben wollen, schützt nicht vor einem Bußgeld. Richtig ist das Gegenteil: Wer nicht weiß, was er hat, kann es nicht schützen, und wer zu viel aufbewahrt, vergrößert sein Haftungsrisiko, weil im Falle eines Datenschutzvorfalls mehr Daten betroffen sind.

Vergessene Backups und Datenkopien

Auch Backups und Datenkopien müssen systematisch berücksichtigt werden. Andernfalls besteht das Risiko, dass Daten zwar im Primärsystem gelöscht, aber über Sicherungskopien weiterhin vorgehalten werden.

Ausgeschiedene Mandanten: Wann löschen?

Nach Beendigung eines Mandats müssen die aufbewahrungspflichtigen Unterlagen bis zum Ablauf der Fristen aufbewahrt werden. Nicht aufbewahrungspflichtige Daten – etwa interne Kommunikation ohne Sachbezug, Gesprächsnotizen über persönliche Belange des Mandanten oder Marketing-Profildaten – sind hingegen zeitnah zu löschen. Die Unterscheidung zwischen aufbewahrungspflichtigen und nicht aufbewahrungspflichtigen Daten ist im Löschkonzept sauber zu treffen.

Kanzleiübergabe und Kanzleiauflösung

Bei der Übergabe einer Kanzlei an einen Nachfolger oder bei der Auflösung der Kanzlei entstehen besondere datenschutzrechtliche Herausforderungen. Mandantendaten dürfen nicht einfach "mitverkauft" oder an den Nachfolger übergeben werden, ohne dass hierfür eine geeignete Rechtsgrundlage besteht. Die Übertragung von Mandantendaten im Rahmen einer Kanzleiübergabe erfordert eine sorgfältige berufs- und datenschutzrechtliche Prüfung. Mandanten sind über die Übergabe zu informieren und haben das Recht, der Übertragung ihrer Daten zu widersprechen. Das Löschkonzept sollte einen eigenen Abschnitt für dieses Szenario enthalten.

Fehlende Dokumentation als eigenständiger Verstoß

Selbst wer faktisch richtig löscht, begeht einen Verstoß gegen die Rechenschaftspflicht, wenn er die Löschung nicht dokumentiert. Im Rahmen einer Datenschutzprüfung muss die Kanzlei nachweisen können, dass sie ein Löschkonzept hat und danach handelt. Fehlende Dokumentation kann auch dann zu Bußgeldern führen, wenn materiell nichts falsch gemacht wurde.

Praxishilfe: Checkliste zur Einführung eines Löschkonzepts

Die folgende Checkliste unterstützt Kanzleien bei der strukturierten Einführung und Überprüfung ihres Löschkonzepts. Sie kann als interne Arbeitsunterlage genutzt und im Rahmen der Rechenschaftspflicht als Nachweis dokumentiert werden:

Fazit und Handlungsempfehlung

Ein Löschkonzept ist keine Aufgabe für übermorgen – es ist eine unmittelbare gesetzliche Anforderung, die aus der DSGVO folgt und in der steuerberatenden Praxis nach wie vor zu oft vernachlässigt wird. Das Gute: Ein funktionsfähiges Löschkonzept muss nicht komplex sein. Es muss vollständig sein.

Wer heute noch kein Löschkonzept hat, sollte pragmatisch einsteigen:

• Zunächst das Verzeichnis der Verarbeitungstätigkeiten aktualisieren oder neu erstellen.

• Dann die wichtigsten Datenkategorien identifizieren und die Fristen dokumentieren.

• Anschließend klare Verfahren und Zuständigkeiten festlegen und die Löschprotokollierung einführen.

Dieses Grundgerüst genügt für die meisten kleinen und mittleren Kanzleien als Startpunkt und kann sukzessive verfeinert werden.

Für komplexere Situationen – etwa bei mehreren Standorten, umfangreicher Cloud-Nutzung oder bei Kanzleien mit mehr als zehn Mitarbeitenden – empfiehlt sich die Einbindung eines externen Datenschutzbeauftragten oder eines spezialisierten Datenschutzberaters. Die Investition rechnet sich angesichts der Bußgeldrisiken und der wachsenden Sensibilität von Mandanten und Mitarbeitenden für das Thema Datenschutz.

Steuerberater sind es gewohnt, ihren Mandanten komplexe Rechtspflichten verständlich zu machen und begehbare Wege aufzuzeigen. Der gleiche analytische Blick lohnt sich auch dann, wenn die Kanzlei einmal selbst Gegenstand der Betrachtung ist.