Es ist schon Bestandteil der berufsrechtlichen Pflicht zur Verschwiegenheit von Steuerberatern die ausreichende technische und organisatorische Absicherung von Daten, Datenträgern und Kommunikationsgeräten bzw. -wegen (z.B. E-Mail-Verkehr) sicherzustellen. Der § 9 BDSG enthält vergleichbare Bestimmungen und konkretisiert diese noch: In einer Steuerberaterpraxis - die selbst oder im Auftrag personenbezogene Daten erhebt - verarbeitet oder nutzt, sind - unter Beachtung des Verhältnismäßigkeitsprinzips - die erforderlichen technischen und organisatorischen Maßnahmen zu treffen, um die Ausführung des BDSG und die Erfüllung der in der Anlage zum BDSG genannten Anforderungen zu gewährleisten. Im Einzelnen werden in der Anlage zu § 9 BDSG die folgenden Sicherheitsanforderungen gestellt:
Zutrittskontrolle
Unbefugten ist der Zutritt zu den
Datenverarbeitungsanlagen zu verwehren. Dies kann z.B. durch Abschließen der
Räume, in denen sich die Geräte befinden, und kontrollierte Schlüsselausgabe nur
an die berechtigten Personen gewährleistet werden.
Zugangskontrolle
Die Nutzung der Datenverarbeitungssysteme durch
Unbefugte ist zu verhindern. Dies kann z.B. durch einen Passwortschutz erreicht
werden. Durch die Einrichtung von Zugangskontrollen kann gleichzeitig verhindert
werden, dass bei Zutritt kanzleifremder Personen, z.B. Reinigungs-, Bewachungs-
oder Installationsdienste, dieser Personenkreis Einblick in die zu schützenden
Daten erhält. Das Personal der Steuerberaterpraxis ist darauf hinzuweisen, dass
bei kurzfristiger Abwesenheit eine Abmeldung vom Rechner erfolgen muss, da
anderenfalls Dritte den PC und die Zugriffsrechte des Mitarbeiters nutzen
können.
Zugriffskontrolle
Es ist sicherzustellen, dass bei der Nutzung des
Datenverarbeitungssystems ausschließlich die Berechtigten auf die ihrer
Zugriffsberechtigung unterliegenden Daten zugreifen können. Dies kann durch die
Vergabe unterschiedlicher Nutzerrechte für einzelne Anwendungen oder
Datenbestände erfolgen. Weiter ist zu gewährleisten, dass personenbezogene Daten
bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen,
kopiert, verändert oder entfernt werden können. Geeignete Maßnahmen sind der
Passwortschutz.
Eingabekontrolle
Es ist zu gewährleisten, dass nachträglich überprüft und
festgestellt werden kann, ob und von wem personenbezogene Daten in das
Datenverarbeitungssystem eingegeben, verändert oder entfernt worden sind. D.h.
die Einstellungen des Rechners sind so zu wählen, dass eine entsprechende
Protokollierung erfolgt.
getrennte Verarbeitung
Es ist zu gewährleisten, dass zu
unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden
können.
Weitergabekontrolle
Es ist sicherzustellen, dass personenbezogene Daten bei
der elektronischen Übertragung oder während ihres Transports oder der
Speicherung auf Datenträgern nicht unbefugt gelesen, kopiert, verändert oder
entfernt werden können, und dass überprüft und festgestellt werden kann, an
welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur
Datenübertragung vorgesehen ist. D.h. personenbezogene Daten dürfen nur über
gesicherte Leitungen an ein Rechenzentrum oder verschlüsselt per E-Mail an den
Mandanten versandt werden bzw. verschlüsselt auf einen Datenträger aufgebracht
werden. Die Datenübertragung ist zu protokollieren.
Schutz vor Datenverlust
Gegen den Verlust von Daten, z.B. durch Systemausfälle, versehentliche Löschung, Brand oder andere Katastrophen und Notfälle, sind bereits im Vorfeld entsprechende Vorkehrungen zu treffen. Hierzu zählen die periodische Sicherung von Programmen und Datenbeständen, die Archivierung in einem Rechenzentrum oder ausgelagertem Safe sowie Überlegungen für den Fall eines längerfristigen Ausfalls des Datenverarbeitungssystems.