Ist Microsoft 365 wirklich datenschutzkonform für Steuerberater?

Die Nutzung von Microsoft 365 bietet Steuerberatern und Wirtschaftsprüfern in Deutschland zahlreiche Vorteile, vor allem in Bezug auf Produktivität und effiziente Zusammenarbeit. Doch trotz der vielfältigen Funktionen stellt sich eine entscheidende Frage: Kann Microsoft 365 wirklich unter Berücksichtigung der Datenschutz-Grundverordnung (DSGVO) und der Berufsgeheimnispflicht gemäß § 203 StGB sicher und rechtskonform genutzt werden? Bei der Verarbeitung sensibler Mandantendaten sind diese Fragen von zentraler Bedeutung – und die Antwort darauf ist komplexer, als es auf den ersten Blick scheint.

Was sind die Datenschutzanforderungen für Steuerberater?

Steuerberater und Wirtschaftsprüfer in Deutschland sind gesetzlich verpflichtet, höchste Anforderungen an den Datenschutz zu erfüllen, insbesondere wenn sie mit personenbezogenen Daten arbeiten. Die Datenschutz-Grundverordnung (DSGVO) und das Berufsgeheimnisgesetz stellen dabei hohe Anforderungen. Es wird erwartet, dass alle Daten, die verarbeitet und gespeichert werden, sicher sind und nur für den vorgesehenen Zweck genutzt werden. Microsoft 365, das eine Vielzahl von Anwendungen wie Outlook, Word, Excel und Teams umfasst, kann ein wertvolles Werkzeug in der täglichen Arbeit sein – doch wie gut lässt sich diese Cloud-Lösung mit den strengen Anforderungen der DSGVO und der Berufsgeheimnispflicht vereinbaren?

Die Stellungnahme von DATEV zur allgemeinen Nutzung von Microsoft 365

In Deutschland hat sich DATEV als führender Anbieter von Softwarelösungen für Steuerberater mit der datenschutzrechtlichen Bewertung von Microsoft 365 befasst. In seiner Stellungnahme zur Nutzung von Microsoft 365 (04/2024) hat DATEV klargestellt, dass der Einsatz von Microsoft 365 für Steuerberater grundsätzlich möglich ist, jedoch unter bestimmten Voraussetzungen. DATEV betont, dass die Anwender von Microsoft 365 selbst die Verantwortung tragen, die Einhaltung der Datenschutz-Grundverordnung sicherzustellen.

Ein zentrales Thema in der Stellungnahme von DATEV ist die "Datenschutznachtrags-Vereinbarung" (DPA) von Microsoft. Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder (DSK) hat im November 2022 darauf hingewiesen, dass der Datenschutznachtrag vom 15. September 2022 von Microsoft allein nicht ausreicht, um die Einhaltung der DSGVO vollständig zu belegen. Die DSK hat nicht den Einsatz von Microsoft 365 verboten, sondern betont, dass zusätzliche Maßnahmen erforderlich sind, um die Datenschutzanforderungen nachweislich zu erfüllen.

Was sind die konkreten Herausforderungen bei der Nutzung von Microsoft 365?

Die größte Herausforderung für Steuerberater liegt in der Nachweisführung der DSGVO-Konformität. Der Datenschutznachtrag von Microsoft regelt viele Aspekte der Datensicherheit, aber es bleibt den Steuerberatern selbst überlassen, eine vollständige Dokumentation der verarbeiteten Daten und deren rechtmäßiger Nutzung zu erstellen. Der AVV (Auftragsverarbeitungsvertrag), der zwischen Microsoft und den Steuerberatern geschlossen werden muss, ist ein wesentlicher Bestandteil, aber nicht die einzige Voraussetzung für die vollständige Einhaltung der Datenschutzvorgaben.

Technische und organisatorische Maßnahmen (TOM), die gemäß der DSGVO erforderlich sind, müssen ebenfalls von den Steuerberatern sichergestellt werden. Microsoft bietet zwar eine Reihe von Sicherheitsfeatures, wie Verschlüsselung und Zugangskontrollen, aber die Steuerberater müssen zusätzlich sicherstellen, dass sie alle Datensicherheitsmaßnahmen korrekt implementieren und regelmäßig überwachen. Diese technischen Maßnahmen sind besonders wichtig, um sicherzustellen, dass keine unbefugten Dritten Zugriff auf vertrauliche Mandantendaten erhalten, was insbesondere im Rahmen der Berufsgeheimnispflicht von zentraler Bedeutung ist.

Was mit Microsoft 365 Bordmitteln möglich ist und welche Lizenzen benötigt werden, haben wir in unserem Artikel Datenschutz und Informationssicherheit in der Cloud mit Microsoft 365 ausführlich erläutert.

Berufsgeheimnispflicht: Wie lässt sich die Nutzung von Microsoft 365 damit vereinbaren?

Die Berufsgeheimnispflicht nach § 203 StGB stellt für Steuerberater und Wirtschaftsprüfer bei der Nutzung von Cloud-Diensten wie Microsoft 365 eine zusätzliche Herausforderung dar. Microsoft bietet eine Zusatzvereinbarung zur Geheimhaltung, die sicherstellt, dass Microsoft sich nur dann Kenntnis von vertraulichen Informationen verschafft, wenn dies für die Erfüllung des Vertrages erforderlich ist. Diese Vereinbarung schließt jedoch nicht aus, dass Microsoft die Daten unter bestimmten Umständen auch für eigene Zwecke nutzt.

Nach unserem Verständnis regelt § 203 StGB ausschließlich das Offenbaren von Berufsgeheimnissen und lässt keine Nutzung für eigene Zwecke durch den Dienstleister zu – es sei denn, diese Nutzung erfolgt in rechtlich zulässigen Ausnahmefällen. Beispiele hierfür sind höchstwahrscheinlich gesetzlich erlaubte Situationen wie die Tätigkeit als Telekommunikationsdiensteanbieter oder die Offenlegung im Rahmen von steuerlichen und steuerrechtlichen Prüfungen.

Microsoft verpflichtet sich, dass seine Mitarbeiter die Verschwiegenheit wahren und nur in dem Maße Kenntnis von den Daten nehmen, wie es zur Vertragserfüllung notwendig ist. Es bleibt jedoch in der Verantwortung der Steuerberater, sicherzustellen, dass alle technischen Maßnahmen zur Datensicherheit ordnungsgemäß dokumentiert und umgesetzt werden.

Datenschutzkonformität: Was muss konkret getan werden?

Die Nutzung von Microsoft 365 ist theoretisch möglich, wenn die erforderlichen Datenschutzvorkehrungen getroffen werden. Die Steuerberater müssen sicherstellen, dass sie:

• Den aktuellen Datenschutznachtrag (DPA) von Microsoft verwenden und regelmäßig auf Aktualisierungen achten.
• Zusätzliche Sicherheitsmaßnahmen wie Verschlüsselung und Zugangskontrollen auf der Plattform implementieren.
• Die Datensicherheit regelmäßig prüfen und sicherstellen, dass alle technischen und organisatorischen Maßnahmen (TOM) dokumentiert sind.
• Eine vollständige Dokumentation der Verarbeitungsprozesse und der verwendeten Sicherheitsfunktionen führen, um der Rechenschaftspflicht gemäß der DSGVO gerecht zu werden.
• Zusatzvereinbarungen zur Geheimhaltung unterzeichnen, um der Berufsgeheimnispflicht zu entsprechen.

Die technischen Maßnahmen wie Verschlüsselung und Zugangskontrollen sind von entscheidender Bedeutung, um sicherzustellen, dass die Daten in Microsoft 365 nur von autorisierten Personen eingesehen werden können und dass unbefugte Zugriffe vermieden werden. Dazu gehört auch die Implementierung einer Zwei-Faktor-Authentifizierung (2FA) sowie eine Security Best Practice Implementierung durch Microsoft 365 Tenant Hardening, um die Cloud-Umgebung abzusichern.

Absolute Sicherheit mit dem Managed Cloud Encryption Gateway

Wenn die Organisation nach eigener Einschätzung feststellt, dass ein Risiko besteht, da mandatsbezogene Daten in Microsoft 365 gespeichert und verarbeitet werden, dann bietet das Managed Cloud Encryption Gateway eine entscheidende Lösung zur Sicherstellung der Datenschutzkonformität und Berufsgeheimnispflicht. Es verschlüsselt Daten noch vor der Übertragung an Microsoft 365, sodass selbst bei einem Sicherheitsvorfall die Informationen für Unbefugte unbrauchbar bleiben und somit optimal geschützt sind.

Dank des Managed Cloud Encryption Gateways erhält Microsoft – ebenso wie unbefugte Dritte – keinen Zugriff auf sensible Daten wie E-Mails oder Dokumente, während die interne Zusammenarbeit in Microsoft 365 durch Microsoft Teams weiterhin ermöglicht wird. Es ist jedoch wichtig zu beachten, dass die Implementierung eines Managed Cloud Encryption Gateways mit einigen Funktionseinschränkungen in Bezug auf Microsoft 365 Funktionen verbunden sein kann, da die Microsoft 365-Umgebung je nach Organisation individuell genutzt wird – dies muss im Einzelfall geprüft werden. Zudem kann die Implementierung des Gateways schwieriger sein, wenn Microsoft 365 bereits in Betrieb ist. Daher empfehlen wir, bei einer geplanten Cloud-Migration von Anfang an zu prüfen, ob das Gateway ebenfalls eingerichtet wird, um den Prozess zu optimieren.

Das Managed Cloud Encryption Gateway ist zudem vollständig kompatibel mit unseren Managed Microsoft Azure Solutions für Hosted Applications, wie etwa DATEV (Arbeitsplatz) und viele andere branchenspezifische Anwendungen. Dies ermöglicht eine nahtlose Integration von Datenschutz und Verschlüsselung über diverse genutzten Tools hinweg.

Datenschutzkonformität mit Microsoft 365 – Ist das möglich?

Die Nutzung von Microsoft 365 durch Steuerberater in Deutschland ist auch aus unserer Sicht grundsätzlich möglich, jedoch mit wichtigen Voraussetzungen und Maßnahmen, die getroffen werden müssen. Es reicht nicht aus, sich allein auf den Datenschutznachtrag von Microsoft zu verlassen. Steuerberater müssen eigene Sicherheitsvorkehrungen treffen, die Verschwiegenheit sicherstellen und die Dokumentation der Einhaltung der DSGVO gewährleisten.

Das Managed Cloud Encryption Gateway bietet eine einfache und effektive Lösung, um Datenschutz und Vertraulichkeit zu gewährleisten und gleichzeitig Microsoft 365 sicher zu nutzen. Steuerberater, die diese Technologien und Prozesse sorgfältig umsetzen, können Microsoft 365 datenschutzkonform betreiben und dabei die Berufsgeheimnispflicht jederzeit einhalten.

Kontakt

Kontaktieren Sie uns noch heute und lassen Sie sich von unseren Experten beraten! Egal, ob es um innovative Lösungen, maßgeschneiderte Dienstleistungen oder spezifische Produktanfragen geht – wir sind hier, um Ihnen zu helfen. Entdecken Sie, wie unsere maßgeschneiderten Lösungen Ihr Geschäft voranbringen können. Wir freuen uns auf Ihre Anfrage!