• 25. Juli 2014

Steuerkanzleien zwischen Cloud und Spionage

Dirk Munker (Foto: privat)

Steuerkanzleien zwischen Cloud und Spionage

Steuerkanzleien zwischen Cloud und Spionage 1024 347 Steuerköpfe

Jüngst hat Edward Snowden angesichts elektronischer Überwachung in einem Interview mit dem Guardian bestimmte Berufsgruppen dazu aufgerufen, die Sicherheit ihrer Kommunikation hochzuschrauben. Darunter auch accountants, also die Verarbeiter wirtschaftlicher Daten wie Buchhalter, Steuerberater und Wirtschaftsprüfer. Der Datenschützer und Unternehmensberater Dirk Munker sprach mit steuerkoepfe.de über Sicherheitssstandards und -lücken in Steuerkanzleien.

Sollten sich deutsche Berater von diesem Aufruf angesprochen fühlen?

Wenn wir in der „Vor-Snowden-Zeit“ im Rahmen unserer Beratung auf die Gefahren des unverschlüsselten E-Mail-Verkehrs hingewiesen haben (Vergleich E-Mail/Postkarte) mussten wir uns oft die Frage gefallen lassen: „Wen interessiert denn das und wenn, wer hätte denn schon die Zeit dies alles zu lesen?“ Mittlerweile ist klar, dass es technisch möglich ist, die Kommunikation ganzer Staaten über einen längeren Zeitraum zu kopieren und auszuwerten. Alle Berufsgruppen, die mit sensiblen Daten umgehen, insbesondere natürlich Berufsträger die einer Schweigepflicht nach § 203 Strafgesetzbuch unterliegen, sollten sich daher angesprochen fühlen. Hierzu gehören neben Steuerberatern, Wirtschaftsprüfern und Anwälten unter anderem auch Ärzte, Apotheker sowie zahlreiche weitere Berufe aus dem sozialen Bereich.

Mit der Verschwiegenheit nehmen die Berater und Beraterinnen es sehr ernst, spiegelt sich das auch in der Benutzung elektronischer Kommunikation?

Leider nein, es ist immer noch üblich, mit den Mandanten per unverschlüsselter E-Mail zu verkehren. Viele Berater wiegen sich in Sicherheit, da sie doch eine Einwilligung hierfür eingeholt habe. Offen bleibt hierbei jedoch die Frage, ob man den Mandant im Zuge der Einwilligung auch hinreichend über die Tragweite seines Handelns aufgeklärt hat. Letztlich muss sich der Berater noch überlegen, ob er eine solche Vorgehensweise mit seinem beruflichen Selbstverständnis in Einklang bringen kann.

Gibt es Schwachstellen oder Unsitten aus datenschutzrechtlicher Sicht?

Neben der bereits angesprochenen Schwachstelle im E-Mail-Verkehr treffen wir häufig auf unzureichende Passwörter, fehlende Verträge mit Dienstleistern, ungenügender Sensibilisierung der Mitarbeiter für die Gefahren bei der Nutzung des Internets, fehlender Bestellung eines Datenschutzbeauftragter, unzureichende Datensicherungsmaßnahmen sowie Mängeln im Impressum und den Datenschutzhinweisen des Internetauftritts der Kanzlei.

Die von Snowden skizzierte Gefahr lässt sich wohl am ehesten als Spionage bezeichnen. Sind Ihnen solche Fälle bekannt?

Durch Industriespionage entstehen alleine in Deutschland jährlich Schäden in zweistelliger Milliardenhöhe. Was die Steuerberater angeht, sei nur an den Fall der hessischen Steuerberatungskanzlei erinnert, die bereits 2008 um 100.000 Euro erleichtert wurde.

Wenn nicht: Welche Gefahren werden beim Thema Datenschutz zu wenig beachtet?

Mit zu den größten Risiken gehört nach wie vor der unverschlüsselte Datentransfer und der unverschlüsselte Transport von Daten. Hierzu gehören neben USB-Sticks und externen Festplatten auch Notebooks mit lokal gespeicherten personenbezogenen Daten. Hier hilft nur die Verschlüsselung der Festplatten bzw. des Speichermedien um zu verhindern, dass Daten bei Verlust in unbefugte Hände fallen. Man stelle sich vor, alleine am Flughafen Frankfurt werden jährlich mehr als 15.000 Laptops vergessen!

Bei welcher Infrastruktur können sich Berater und Beraterinnen zurücklehnen und sagen: Die größten Gefahren habe ich ausgeschaltet?

Das lässt sich nicht pauschal beantworten, da hier zahlreiche Aspekte ineinandergreifen. Auf alle Fälle sollte der Datenzugriff von mobilen Geräten über eine geschlüsselte Verbindung auf die Kanzlei oder ein zertifiziertes deutsches Rechenzentrum erfolgen, anstatt auf lokal gespeicherte Datenbestände zurückzugreifen. Einige Softwarehersteller verfügen zudem über Möglichkeiten die Kommunikation zwischen Mandant und Berater über eine Art „Secure Data Space“ abzubilden, so dass nicht einmal Verbindungsdaten anfallen. Wo dennoch Risiken und Schwachstellen in der Kanzlei vorhanden sind, lässt sich letztlich nur durch einen professionellen Berater im Zuge eines Audits vor Ort in Erfahrung bringen.

Ganz speziell hat Snowden vor der Verwendung von dropbox gewarnt und stattdessen spideroak.com empfohlen. Beides sind cloud-Dienste, die das Bereitstellen von Dateien ermöglichen. Warum soll der eine Dienst sicherer sein, als der andere?

Bei Nutzung eines Dienstleisters dem personenbezogene Daten oder sensible Unternehmensdaten anvertraut werden, gilt es grundsätzlich zu hinterfragen, wie diese Daten vor unbefugtem Zugriff geschützt werden. Hinzu kommt, dass durch den USA PATRIOT Act (Uniting and Strengthening America by Providing Appropriate Tools Required to Intercept and Obstruct Terrorism Act of 2001; zu deutsch etwa: „Gesetz zur Stärkung und Einigung der USA durch Bereitstellung geeigneter Instrumente, um Terrorismus aufzuhalten und zu blockieren“) US-amerikanischen Behörden ohne richterliche Anordnung auf die Datenbestände von US-amerikanischen Unternehmen zugreifen können. Selbst ausländische Töchter sind nach dem US-amerikanischen Gesetz verpflichtet, Zugriff auf ihre Datenbestände zu gewähren; selbst dann, wenn lokale Gesetze dies untersagen. Dies bringt viele europäische Tochterunternehmen in die Zwickmühle. Deshalb raten wir insbesondere im Bereich der oben angesprochen Berufsgruppen die einer Schweigepflicht unterliegen generell deutsche Dienstleister zu nutzen. Es gibt hier ausreichende Lösungen mit vergleichbaren Funktionalitäten.

Spielen diese Dienste in der Kommunikation von Kanzleien eine Rolle?

Die dropbox ist in manchen Kanzleien anzutreffen, wird aber zum Glück meist nicht zur Speicherung von personenbezogenen Daten anzutreffen. Verbreitet ist jedoch die unbedachte Nutzung von Cloud-Diensten in Zusammenhang mit Smartphones. Man stelle sich vor, ein Mitarbeiter erhält ein dienstliches Smartphone, beispielsweise ein iPhone. Er synchronisiert die Kontaktdaten der Mandanten auf dieses Gerät, verbindet das Gerät dann mit seinem privaten Apple-Account, lädt Apps herunter, die im schlimmsten Fall die gespeicherten Kontakte auslesen und erstellt die BackUps in der iCloud, die wiederum auf amerikanischen Servern gespeichert werden.

Welche cloud-Dienste können Berater und Beraterinnen guten Gewissens benutzen?

Die Berater tuen mit Sicherheit gut daran, auf Lösungen deutscher Anbieter zurückzugreifen. Vor Vertragsschluss sollte man sich auf alle Fälle davon überzeugen, dass diese Anbieter in ihrem Unternehmen eines ausreichendes Datenschutz- und Datensicherheitsniveau implementiert haben. Vor diesem Hintergrund hat der Gesetzgeber bereits 2009 die Anforderungen des § 11 Bundesdatenschutzgesetzes an einen potentiellen Auftragsdatenverarbeiter verschärft (so nennt man Dienstleister die im Kundenauftrag unter anderem personenbezogene Daten speichern oder übertragen). So darf der Auftraggeber (z.B. eine Steuerkanzlei) nur einen Auftragnehmer (z.B. Rechenzentrum, Softwarehersteller etc.) beauftragen, wenn er sich bereits vor Vertragsschluss davon überzeugt hat, dass dieser datenschutzkonform arbeitet. Wir können das nur dringend empfehlen, denn die Verantwortung für die personenbezogenen Daten verbleibt bei einem solchem Auftragsverhältnis beim Auftraggeber. Hat also beispielsweise das Rechenzentrum einer Steuerkanzlei einen Datenverlust zu verzeichnen, so ist es am Steuerberater, diese Datenschutzpanne seinen Mandanten und der zuständigen Datenschutzaufsichtsbehörde mitzuteilen. Auf den damit verbundenen Imageverlust und die folgenden finanziellen Verluste muss ich vermutlich nicht weiter eingehen.

[blue_box]

Über Dirk Munker:

Dirk Munker ist Datenschutzauditor und Datenschutzmanager sowie Geschäftsführer der Munker Unternehmensberatung mit Sitz in Herrsching am Ammersee. Als externer Datenschutzbeauftragter betreut er Steuerkanzleien und andere Unternehmen. Darüber hinaus ist der Autor als Dozent im Bereich Datenschutz beim TÜV Rheinland tätig.

Dirk Munker (Foto: privat)

Dirk Munker (Foto: privat)

  1. Datenschutz München Marketing – Munker Unternehmensberatung
  2. Dirk Munker | XING
  3. Mail: info@munker.info
  4. Tel.: 08152 9998412
  5. Mobil: 0151 53786111
  6. Datev & DSiN: Leitfaden mit Verhaltensregeln zur Informationssicherheit

    [/blue_box]