Die seit dem 25. Mai 2018 anzuwendende Datenschutz-Grundverordnung (DSGVO) der Europäischen Union (EU) gibt europaweit einheitliche Vorgaben an den Umgang mit personenbezogenen Daten. Um dem Berufsstand der Steuerberater eine praxisgerechte Anwendung der Vorschriften zu ermöglichen, haben die Bundessteuerberaterkammer (BStBK) und der Deutsche Steuerberaterverband e.V. (DStV) gemeinsame Praxishilfen entwickelt, die insbesondere den kleinen und mittelständischen Kanzleien bei der Organisation ihrer datenschutzrelevanten Arbeitsprozesse helfen sollen. Hierzu zählen auch die vorliegenden Hinweise für den Umgang mit personenbezogenen Daten durch Steuerberater und steuerberatende Berufsausübungsgesellschaften.
Die DSGVO ist unmittelbar und vorrangig zu allen nationalen Regelungen zum Umgang mit personenbezogenen Daten anzuwenden, soweit sie nicht Öffnungsklauseln zur Regelung von Rechtsma-terien zugunsten des nationalen Rechts enthält. Ergänzend gilt in Deutschland u. a. das Bundesdatenschutzgesetz (BDSG), das auf Basis zweier EU-Datenschutz-Anpassungs- und -Umsetzungsgesetze (DSAnpUG-EU) ergangen ist. Dieses füllt die Öffnungsklauseln der DSGVO auf nationaler Ebene aus.
Die DSGVO wird nach europarechtlichen Auslegungsgrundsätzen interpretiert. Diese können von den deutschen Auslegungsgrundsätzen (z. B. nach BGB und HGB) abweichen.
Die Hinweise erheben keinen Anspruch auf Vollständigkeit. Die Hinweise zum Internetauftritt der verantwortlichen Kanzlei beruhen auf den nationalen Vorschriften ohne Berücksichtigung des TTDSG auf Basis der E-Privacy-Richtlinie, deren Nachfolge-Verordnung (ePV) der EU, die derzeit auf der europäischen Ebene erarbeitet und abgestimmt werden. Diese Hinweise geben die gemeinsame Meinung der BStBK und des DStV wieder. Jegliche Haftung für Schäden, die aufgrund einer abweichenden Interpretation entstehen, ist daher ausgeschlossen.
„Verantwortlicher“ (Art. 4 Nr. 7 DSGVO) ist z. B. der Kanzleiinhaber, der Gesellschafter einer Sozietät oder Partnerschaftsgesellschaft bzw. die Steuerberatungs-GmbH, vertreten durch ihren Geschäftsführer.
„Beschäftigte“ sind in § 26 Abs. 8 BDSG-2018 definiert. Von den in dieser Norm genannten Beschäftigten können folgende in der Steuerberatungskanzlei vorkommen:
- Arbeitnehmer, einschließlich Leiharbeitnehmer im Verhältnis zum Entleiher,
- zu ihrer Berufsbildung Beschäftigte,
- Teilnehmer an Leistungen zur Teilhabe am Arbeitsleben sowie an Abklärungen der beruflichen Eignung oder Arbeitserprobung (Rehabilitandinnen und Rehabilitanden),
- Personen, die wegen ihrer wirtschaftlichen Unselbstständigkeit als arbeitnehmerähnliche Personen anzusehen sind; zu diesen gehören auch die in Homeoffice Beschäftigten und die ihnen Gleichgestellten.
„Weitere Auftragsverarbeiter“ bezeichnet Subauftragsverarbeiter (Unterauftragnehmer), die durch Auftragsverarbeiter für die Umsetzung eines Verantwortlichen bezüglich personenbezogener Daten in Anspruch genommen werden. Beispiel: Der Verantwortliche beauftragt den Cloud-Dienstleister zur Datenverarbeitung. Da der Cloud-Dienstleister kein eigenes Rechenzentrum vorhält, beauftragt dieser den Betreiber eines Rechenzentrums als „weiteren Auftragsverarbeiter“. Kein weiterer Auftragsverarbeiter ist hingehen der Lieferant, der für das Betreiben des Rechenzentrums die erforderliche Energie liefert.
„Remote-Zugriff“ bzw. „Fernzugriff“ bedeutet, dass auf den Datenbestand von einem beliebigen Ort über das Internet zugegriffen wird.
„Schriftlich“ oder „Schriftform“ im Sinne der europäischen Auslegung bezeichnet sowohl Erklärungen, die durch eine natürliche Person eigenhändig unterzeichnetet sind, als auch solche, die ohne eigenhändige Unterschrift auf einem dauerhaften Datenträger abgegeben werden und für den Empfänger lesbar sind (z. B. E-Mail, Textdatei usw.).
Im Übrigen gelten die Begriffsbestimmungen, die in Art. 4 DSGVO verbindlich definiert sind. Diese lassen sich zum leichteren Verständnis wie folgt erläutern:
- „Personenbezogene Daten“ (pbD) sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen. Identifizierbar ist eine natürliche Person, wenn sie anhand der Informationen direkt oder indirekt bestimmt werden kann. Dies kann insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen geschehen. Diese Merkmale können Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität der natürlichen Person sein.
- „Verarbeitung“ umfasst das Erheben, Erfassen, die Organisation, das Ordnen, die Speicherung, Anpassung oder Veränderung, das Auslesen, Abfragen, die Verwendung, Offenlegung durch Übermittlung, Verbreitung und jede andere Form der Bereitstellung, den Abgleich, die Verknüpfung, Einschränkung, das Löschen und die Vernichtung von personenbezogenen Daten. Die „Verarbeitung“ kann mit und ohne Hilfe automatisierter Verfahren ausgeführt werden.
- „Einschränkung der Verarbeitung“ ist die Markierung gespeicherter personenbezogener Daten mit dem Ziel, ihre künftige Verarbeitung einzuschränken.
- „Profiling“ ist die automatisierte Verarbeitung personenbezogener Daten, um bestimmte persönliche Aspekte einer natürlichen Person zu bewerten. Hierzu gehören insbesondere die Analyse oder Vorhersage von Arbeitsleistung, wirtschaftlicher Lage, Gesundheit, persönlicher Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechseln.
- „Pseudonymisierung“ ist die Verarbeitung personenbezogener Daten in einer Weise, dass die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können. Die zusätzlichen Informationen müssen gesondert aufbewahrt werden. Technische und organisatorische Maßnahmen müssen gewährleisten, dass die personenbezogenen Daten nicht ohne die gesondert aufzubewahrenden Informationen einer identifizierten oder identifizierbaren natürlichen Person zugewiesen werden können.
- „Dateisystem“ ist jede strukturierte Sammlung personenbezogener Daten, die nach bestimmten Kriterien zugänglich sind. Dabei spielt es keine Rolle, ob diese Sammlung zentral, dezentral oder nach funktionalen oder geografischen Gesichtspunkten geordnet ist.
- „Verantwortlicher“ ist die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Bei Einzelkanzleien ist der die Kanzlei führende Steuerberater „Verantwortlicher“ im Sinne des Datenschutzrechts. Steuerberatende Berufsausübungsgesellschaften können als Personengesellschaften oder Kapitalgesellschaften organisiert sein. Bei Personengesellschaften (insbesondere GbR, oHG, KG inkl. GmbH & Co. KG) sind die Gesellschafter die „Verantwortlichen“. Zu den Personengesellschaft zählen auch die Partnerschaften mit und ohne beschränkte Berufshaftung. Hier sind die Partner die „Verantwortlichen“. Bei Kapitalgesellschaften (insbesondere GmbH, UG (haftungsbeschränkt), AG und KGaA) ist die Kapitalgesellschaft als juristische Person der „Verantwortliche“ und wird von der Geschäftsführung vertreten.
- „Auftragsverarbeiter“ ist jede natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet. Der Auftragsverarbeiter arbeitet dabei weisungsgebunden nach den Vorgaben des Verantwortlichen. Die Fachleistung des Steuerberaters ist keine Auftragsverarbeitung.
- „Empfänger“ ist jede natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, denen personenbezogene Daten offengelegt werden. Dies gilt unabhängig davon, ob es sich bei ihr um einen Dritten handelt oder nicht. Finanzämter, Gerichte und sonstige Behörden, die im Rahmen eines bestimmten Untersuchungsauftrags nach dem Recht der EU oder eines Mitgliedstaates möglicherweise personenbezogene Daten erhalten, gelten jedoch nicht als Empfänger. Die Verarbeitung dieser Daten erfolgt durch die genannten Behörden im Einklang mit den geltenden Datenschutzvorschriften gemäß den Zwecken der Verarbeitung.
- „Dritter“ ist jede natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, außer der betroffenen Person, dem Verantwortlichen, dem Auftragsverarbeiter und den Personen, die unter der unmittelbaren Verantwortung des Verantwortlichen oder des Auftragsverarbeiters befugt sind, die personenbezogenen Daten zu verarbeiten.
- „Einwilligung“ der betroffenen Person ist jede von ihr freiwillig und in informierter Weise abgegebene Willensbekundung, mit der die betroffene Person zu verstehen gibt, dass sie mit der rechtmäßigen Verarbeitung der sie betreffenden personenbezogenen Daten in einem bestimmten Fall einverstanden ist. Hierbei muss der Zweck der Verarbeitung klar bestimmt sein. Die Einwilligung erlischt, sobald der Zweck der Verarbeitung erfüllt ist oder die Einwilligung mit Wirkung für die Zukunft widerrufen wird.
- „Verletzung des Schutzes personenbezogener Daten“ bezeichnet eine Verletzung der Sicherheit, die zur Vernichtung, zum Verlust, zur Veränderung oder unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden.
- „Genetische Daten“ sind Daten zu genetischen Eigenschaften, die eindeutige Informationen über die Physiologie oder Gesundheit einer natürlichen Person liefern. Hierzu gehören insbesondere Daten, die aus der Analyse einer biologischen Probe von einer natürlichen Person gewonnen werden.
- „Biometrische Daten“ sind Daten zu physischen, physiologischen oder verhaltenstypischen Merkmalen einer natürlichen Person, die ihre eindeutige Identifizierung ermöglichen oder bestätigen. Hierzu gehören insbesondere Gesichtsbilder und daktyloskopische Daten (z. B. Fingerabdrücke).
- „Gesundheitsdaten“ sind personenbezogene Daten, die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person beziehen. Dies sind auch personenbezogene Daten, die sich auf die Erbringung von Gesundheitsdienstleistungen beziehen und aus denen Informationen über deren Gesundheitszustand hervorgehen.
- „Hauptniederlassung“ bezeichnet im Regelfall die Niederlassung am Ort der Hauptverwaltung des Verantwortlichen oder Auftragsverarbeiters in der EU. Werden die Entscheidungen über die Zwecke und Mittel der Verarbeitung personenbezogener Daten in einer anderen Niederlassung innerhalb der EU getroffen, so ist diese andere Niederlassung die Hauptniederlassung.
- „Vertreter“ ist eine in der EU niedergelassene natürliche oder juristische Person, die nach schriftlicher Bestellung gem. Art. 27 DSGVO einen Verantwortlichen oder Auftragsverarbeiter in Bezug auf die nach der DSGVO obliegenden Pflichten vertritt.
- „Unternehmen“ bezeichnet jede natürliche oder juristische Person, die eine wirtschaftliche Tätigkeit ausübt. Dies gilt unabhängig von ihrer Rechtsform. Eingeschlossen sind Personengesellschaften und Vereinigungen, die regelmäßig einer wirtschaftlichen Tätigkeit nachgehen.
- „Unternehmensgruppe“ ist eine Gruppe, die aus einem herrschenden Unternehmen und von diesem abhängigen Unternehmen besteht.
- „Verbindliche interne Datenschutzvorschriften“ sind Maßnahmen zum Schutz von personenbezogenen Daten, zu deren Einhaltung sich ein in der EU ansässiger Verantwortlicher oder Auftragsverarbeiter in Bezug auf die Datenübermittlung an außerhalb der EU ansässige Unternehmen derselben Unternehmensgruppe verpflichtet hat. Das gilt auch für Gruppen von Unternehmen, die eine gemeinsame Wirtschaftstätigkeit ausüben, auch wenn diese nicht im Sinne vorstehender Ziffer 19 als Unternehmensgruppe verbunden sind.
- „Aufsichtsbehörde“ ist eine gem. Art. 51 DSGVO eingerichtete unabhängige staatliche Stelle, die für die Überwachung der Anwendung der DSGVO zuständig ist, damit die Grundrechte und Grundfreiheiten natürlicher Personen bei der Verarbeitung geschützt werden und der freie Verkehr personenbezogener Daten in der EU erleichtert wird.
- „Betroffene Aufsichtsbehörde“ ist eine Aufsichtsbehörde, die von der Verarbeitung personenbezogener Daten betroffen ist, weil
- (1) der Verantwortliche oder der Auftragsverarbeiter im Hoheitsgebiet des Mitgliedstaates dieser Aufsichtsbehörde niedergelassen ist,
- (2) diese Verarbeitung erhebliche Auswirkungen auf betroffene Personen mit Wohnsitz im Mitgliedstaat dieser Aufsichtsbehörde hat oder haben kann oder
- (3) eine Beschwerde bei dieser Aufsichtsbehörde eingereicht wurde.
- „Grenzüberschreitende Verarbeitung“ bezeichnet zum einen die Verarbeitung personenbezogener Daten in mehreren Mitgliedstaaten, wenn der Verantwortliche oder Auftragsverarbeiter in mehreren Mitgliedstaaten niedergelassen ist.
Zum anderen bezeichnet „grenzüberschreitende Verarbeitung“ die Verarbeitung personenbezogener Daten eines in der EU niedergelassenen Verantwortlichen oder Auftragsverarbeiters, wenn dies erhebliche Auswirkungen auf betroffene Personen in mehreren Mitgliedstaaten hat oder haben kann. - „Maßgeblicher und begründeter Einspruch“ bezeichnet einen Einspruch gegen einen Beschlussentwurf, mit dem ein Verstoß gegen die DSGVO festgestellt wird oder ob Maßnahmen gegen Verantwortliche oder Auftragsverarbeiter mit der DSGVO in Einklang stehen. Dabei muss aus dem Einspruch die Tragweite der Risiken klar hervorgehen, die von dem Beschlussentwurf in Bezug auf die Grundrechte und Grundfreiheiten der betroffenen Personen und ggf. den freien Verkehr personenbezogener Daten in der EU ausgehen.
- „Dienst der Informationsgesellschaft“ ist gem. Art. 1 Nr. 1 Buchst. b der Richtlinie (EU) 2015/1535 jede Dienstleistung der Informationsgesellschaft, d. h. jede in der Regel gegen Entgelt elektronisch im Fernabsatz und auf individuellen Abruf eines Empfängers erbrachte Dienstleistung.
- „Internationale Organisation“ bezeichnet eine völkerrechtliche Organisation und ihre nachgeordneten Stellen. „Internationale Organisation“ ist zudem jede sonstige Einrichtung, die durch oder auf Grundlage einer Übereinkunft geschaffen wurde, die durch zwei oder mehr Länder geschlossen wurde.
Der Verantwortliche muss die Einhaltung der nachfolgenden Grundsätze nachweisen können (Rechenschaftspflicht gem. Art. 5 Abs. 2 DSGVO). Eine Veröffentlichung ist nicht erforderlich, jedoch kann eine Datenschutzaufsichtsbehörde die Vorlage eines Nachweises verlangen. Der Nachweis kann ggf. Einfluss auf die Höhe von Bußgeldern haben.
Der Verantwortliche muss die Rechtmäßigkeit der Verarbeitung personenbezogener Daten nachweisen können. Der Verantwortliche muss im Verhältnis zu den betroffenen Personen die Verarbeitung nach den Grundsätzen von Treu und Glauben durchführen.
Bei eigenen Beschäftigten kann dies beispielsweise über den Nachweis des Beschäftigungsverhältnisses (Arbeitsvertrag) erfolgen, bei Daten aus dem Mandatsverhältnis über den Mandatsvertrag. Aus ihm sollten der Beratungsumfang, d. h. die vereinbarte Leistung nach dem StBerG hervorgehen und die Zweckbindung vereinbart werden. Die berufsrechtlich flankierenden Verschwiegenheitsmaßnahmen und die strafrechtliche Sanktionierungsandrohung gem. § 203 StGB sind darüber hinaus zu beachten.
Die Verarbeitung personenbezogener Daten (pbD) hat transparent gegenüber den betroffenen Personen unter Berücksichtigung der berufsrechtlichen Verschwiegenheit zu erfolgen.
Die Verarbeitung pbD hat zweckgebunden zu erfolgen. Die konkreten Zwecke werden in der Regel durch den Mandatsauftrag vorgegeben. Werden Daten für weitere Zwecke, z. B. für Werbung, verarbeitet, müssen hierfür die gesetzlichen Rechtmäßigkeitsanforderungen beachtet und die Einhaltung der Rechte der betroffenen Person sichergestellt werden, dabei kann es notwendig sein, eine gesonderte Einwilligung einzuholen (siehe Ziff. 5.3).
Bei der Umsetzung des Mandatsvertrages dürfen nur Daten verarbeitet werden, die dafür erforderlich sind (Datenminimierung und Datensparsamkeit). Nicht für die Mandatsbearbeitung erforderliche Unterlagen und Daten müssen an den Mandanten zurückgegeben bzw. gelöscht werden.
Personenbezogene Daten müssen korrigiert werden können, wenn sie sich als unrichtig herausstellen (Richtigkeit).
Zur Umsetzung der Vorgabe der Speicherbegrenzung ist ein Löschkonzept zu erarbeiten. In diesem Konzept sind Löschfristen unter Berücksichtigung gesetzlicher Aufbewahrungsfristen zu definieren und die Verfahren zur Löschung festzulegen.
Die Sicherheit der Daten und der Schutz vor unbefugten Zugriffen und Datenverlust müssen gewährleistet sein (Integrität und Vertraulichkeit).
Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen trifft der Verantwortliche geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten (Art. 32 Abs. 1, 1. Halbsatz DSGVO).
Unter Ziff. 10.3.5. ist ein Muster für ein Verzeichnis der Verarbeitungstätigkeiten dargestellt.
Rechtsgrundlage zur Verarbeitung der anfallenden personenbezogenen Daten für den Steuerberater ist der Mandatsvertrag (Art. 6 Abs. 1 Buchst. b) DSGVO).
Die personenbezogenen Daten, die durch den Steuerberater verarbeitet werden, umfassen die als Stammdaten des Mandanten und diejenigen Daten, die im Rahmen der Erbringung der Steuerberaterleistungen verarbeitet werden (z. B. Daten von Debitoren, Kreditoren, Kindern oder Beschäftigte des Mandanten). Rechtsgrundlage der Weitergabe von Gesundheitsdaten oder Daten zur Religionszugehörigkeit etc. (Daten nach Art. 9 Abs. 1 DSGVO) von Arbeitnehmern durch den Mandanten an den Steuerberater ist § 26 Abs. 3 BDSG.
Der Steuerberater führt die im Steuerberatungsgesetz festgelegten Beratungsleistungen weisungsfrei und eigenverantwortlich aus.
Der Mandatsvertrag sollte insbesondere den Beratungsgegenstand mit Bezeichnung von Art und Umfang der erbrachten Dienstleistung und durchzuführenden Tätigkeiten (Leistungszweck), die Zweckbindung und den Verweis auf die berufsrechtlichen Verschwiegenheitsverpflichtungen regeln. Klarstellend sollte auch die eigenverantwortliche, weisungsfreie Leistungserbringung aus der Mandatierung hervorgehen.
Aus dem Berufsrecht oder Datenschutzrecht ergeben sich keine Formanforderungen an den Mandatsvertrag. Aus Gründen der Nachweisbarkeit empfiehlt sich eine Vereinbarung zumindest in Textform. Aus Gründen der Nachweisbarkeit empfiehlt sich, zur Erfüllung der Rechenschaftspflicht nach Art. 5 Abs.2 DSGVO eine Vereinbarung in Textform abzuschließen.
Die Leistung des Steuerberaters ist immer eine eigenverantwortlich erbrachte fachliche Beratung und ist somit keine Auftragsverarbeitung. Das ist auch in § 11 StBerG ausdrücklich geregelt. Dies gilt insbesondere auch für die Lohn- und Gehaltsabrechnung im Rahmen der Lohnbuchhaltung sowie für vereinbare Tätigkeiten gemäß § 57 Abs. 3 StBerG, die der Steuerberater nach dem Steuerberatungsgesetz (StBerG) immer eigenverantwortlich ausführen muss. Damit muss der Steuerberater keine Verträge zur Auftragsverarbeitung mit seinen Mandanten abschließen. Im Fall des Abschlusses eines Vertrages zur Auftragsverarbeitung mit den Mandanten sind aufgrund der damit verbundenen weisungsabhängigen Verarbeitung berufsrechtliche Konsequenzen durch die zuständige Kammer bis hin zum Entzug der Zulassung denkbar. Auch die Überlassung von Software (ohne Gewinnerzielungsabsicht) stellt keine Auftragsverarbeitung im Rahmen der steuerlichen Beratung dar.
Durch den Mandatsvertrag ist der Steuerberater verpflichtet, den Mandanten auf rechtlich relevante Änderungen hinzuweisen. Entsprechende Mandanteninformationen bedürfen daher keiner weiteren datenschutzrechtlichen Grundlage. Aus der berufsrechtlichen Verpflichtung zur Beratung im Rahmen des Mandatsverhältnisses ergibt sich datenschutzrechtlich die Berechtigung, Mandanten über relevante steuerrechtliche Änderungen zu informieren.
Darüber hinaus gehende werbende Inhalte darf der Verantwortliche mittels elektronischer Post (z. B. E-Mail) nur mit vorheriger Einwilligung der jeweiligen Empfänger versenden. Der Verantwortliche muss die Einwilligung nachweisen (ggf. Double-Opt-in bei digitaler Einwilligung) und die Empfänger bei der Abgabe der Einwilligung auf ihr Recht zum jederzeitigen Widerspruch hingewiesen haben. Wird ein regelmäßiger Newsletter mit werblichen Inhalten auf Basis einer Einwilligung versendet, so ist in jedem Newsletter ein Abmeldelink aufzunehmen.
Bei Abschluss des Mandatsvertrages werden mit dem Mandanten die Wege und Regeln der elektronischen Kommunikation vereinbart.
Eine verschlüsselte E-Mail-Kommunikation mit Mandanten ist im Hinblick auf die berufsrechtlichen Verschwiegenheitspflichten dringend zu empfehlen. Der Einsatz einer Ende-zu-Ende-Verschlüsselung ist aus Datenschutzsicht abhängig vom Risiko für die Rechte und Freiheiten der betroffenen Personen zu entscheiden. Ausreichend kann auch die sog. „Transportverschlüsselung“ sein. Hierzu muss der Steuerberater sicherstellen, dass die E-Mail auf dem Transportweg verschlüsselt ist und sich die Server der E-Mail-Provider des Steuerberaters und des Empfängers in Deutschland befinden. Will der Mandant eine Ende-zu-Ende-Verschlüsselung, so ist dem zu entsprechen.
Wird der Verzicht auf eine Ende-zu-Ende-Verschlüsselung der Kommunikation durch den Mandanten gewünscht, ist der Mandant auf die damit verbundenen Gefahren, z. B. die einer unbefugten Kenntnisnahme durch Dritte hinzuweisen. Es ist ihm zu erläutern, dass diese Zustimmung durch ihn ohne Vertretungsmacht nicht für die Daten Dritter wie z. B. von Beschäftigten, Kindern, Ehepartnern etc. abgegeben werden kann. Dieser Vorgang ist gesondert zu dokumentieren.
Die Zustimmung eines Beschäftigten zum unverschlüsselten Versand sollte grundsätzlich unmittelbar von diesem stammen. Veranlasst der Arbeitgeber eine solche Zustimmung des Beschäftigten, ist dies rechtlich problematisch und sollte daher nicht ohne weiteres berücksichtigt werden.
Da es sich bei Daten, die im Zusammenhang mit der Lohnbuchhaltung ausgetauscht werden, in der Regel um besonders schutzwürdige Daten handelt, sind hier besonders strenge Maßstäbe anzuwenden. Beim Einsatz einer Transportverschlüsselung ist z. B. darauf zu achten, dass diese Daten beim Empfänger nur von der berechtigten Person abgerufen und damit zur Kenntnis genommen werden können, so sollte z. B. keine Versendung an ein allgemein zugängliches Firmenpostfach (info@...) erfolgen.
Die obigen Ausführungen zur E-Mail-Kommunikation gelten sinngemäß auch für andere Formen der elektronischen Kommunikation (z. B. Nutzung von Datenräumen, Videokonferenzen). Eine Nutzung von Diensten, bei denen Daten unverschlüsselt außerhalb des Geltungsbereichs der DSGVO (zwischen-)gespeichert werden, ist datenschutzrechtlich bedenklich. Soweit sich unverschlüsselte Daten (zeitweise) außerhalb der Bundesrepublik Deutschland befinden, sind die weitergehenden Regelungen des Berufsrechts zusätzlich zu beachten.
Die Anforderungen an eine rechtskonforme Übermittlung werden auch durch den Einsatz von Portallösungen erfüllt, bei denen der Empfänger lediglich eine Information erhält, dass neue Inhalte hinterlegt wurden. Der Zugang erfolgt dann über eine Authentifizierung. Hier ist der Einsatz einer Zwei-Faktor-Authentifizierung zu empfehlen.
Auch beim Telefax handelt es sich um eine Form der elektronischen Kommunikation. Seine Verwendung erfüllt jedoch nicht die Anforderungen an eine Ende-zu-Ende-Verschlüsselung.
Im Rahmen des Kanzleimarketings ist es angemessen, für die Pflege des Mandantenverhältnisses den Mandanten zu besonderen Anlässen per Briefpost zu kontaktieren, ohne dass dafür eine gesonderte Einwilligung des Mandanten erforderlich ist. Die Verwendung der im Rahmen des Mandatsverhältnisses erhobenen Daten des Mandanten können z. B. für Gratulationen (zu Geburtstagen, Jubiläen etc.) oder Einladungen z. B. zu Sommerfesten verwendet werden.Der Steuerberater weist die betroffene Person darauf hin, dass sie die Möglichkeit zum Widerspruch haben, eine Begründung ist bei Widersprüchen gegen Direktwerbung nicht erforderlich.In den Datenschutzhinweisen der Kanzlei für den Mandanten ist auf diese Form des Kanzleimarketings verpflichtend hinzuweisen.
Unabhängig von den Regelungen zum Datenschutz sind Steuerberater aufgrund ihrer berufsrechtlichen Regelungen zur Verschwiegenheit und damit zum Datenschutz verpflichtet. § 62 StBerG bestimmt, dass die Beschäftigten in der Kanzlei und gemäß § 62a StBerG auch weitere Personen, die in einer sonstigen Hilfstätigkeit an der beruflichen Tätigkeit mitwirken, entsprechend zu belehren sind und dass der Steuerberater auf die Einhaltung dieser Verschwiegenheit hinzuwirken hat. Des Weiteren sind die Beschäftigten auf die Einhaltung der Vertraulichkeit nach der DSGVO zu verpflichten. Diese Verpflichtungen gelten auch innerhalb der Kanzlei.
Der Zutritt zu den Räumlichkeiten, in denen sich vertrauliche Unterlagen, Daten oder IT-Systeme befinden, wird mittels technischer und organisatorischer Mittel abgesichert. Dabei wird sichergestellt, dass Unbefugte keinen Zutritt zu Unterlagen und IT-Systemen haben. Auch sollte der Serverraum nicht als Abstellkammer (z. B. für Reinigungsutensilien o.a.) verwendet werden. Durch die Maßnahmen soll verhindert werden können, so dass niemand unbemerkt die Kanzleiräume betreten kann. Besprechungsräume sollten so gelegt werden, dass für externe Besuchende durch das Aufsuchen der Besprechungsräume keine Kenntnis von anderen Mandaten ermöglicht wird.
Zugang zu den IT-Systemen wird durch eine personenbezogene Benutzerverwaltung (Einzelaccount) gewährleistet. Der Benutzer ist verpflichtet, sich persönlich mit einem individuellen Benutzernamen und einem individuellen Passwort im System anzumelden.Sofern technisch möglich, ist eine Zwei-Faktor-Authentifizierung einzusetzen (vgl. Ziffer 6.4.2). Bei Beschäftigten, die aus der Kanzlei ausscheiden, ist sicherzustellen, dass diesen auch die Zugangsberechtigungen bei eingesetzten Dienstleistern unverzüglich entzogen werden.
Der Verantwortliche gewährleistet durch die Zugriffsorganisation, dass der Zugriff auf schutzwürdige Daten nur erfolgt, wenn dieser zur Erledigung der Aufgaben notwendig ist.
-
6.3.1 Rollenkonzept
Bei der Einrichtung und Pflege der Zugriffsberechtigungen kommt ein Rollenkonzept zum Einsatz. Dabei werden durch den Verantwortlichen die Benutzer in Berechtigungsgruppen eingeteilt. Diese leiten sich aus den unterschiedlichen Funktionen und Einsatzbereichen der Benutzer in der Kanzlei (Rollen) ab. Kriterien sind dabei unter anderem:
- Position innerhalb der Aufbauorganisation (z. B. Inhaber bzw. Geschäftsführer, Gruppenleiter, fachlicher Mitarbeiter etc. aber auch die Zugehörigkeit zu bestimmten Abteilungen),
- berufliches Qualifikationsniveau (z. B. Berufsträger, Steuerfachwirt etc.),
- Position innerhalb der Ablauforganisation (z. B. Sachbearbeiter Buchführung etc.).
- Für jede Benutzergruppe (Rolle) werden dann die notwendigen Rechte definiert und zugeteilt. Im Anschluss an diese Rechtevergabe werden diese benutzerbezogen durch den Verantwortlichen überprüft und auf der Ebene des einzelnen Benutzers eingeschränkt bzw. erweitert. Die Überprüfung sollte entsprechend den Hinweisen unter Ziff. 6.6 dokumentiert werden.
- 6.3.2 Benutzerregelung, Zugriffsrechte
- Im Rahmen eines risikobasierten Schutzkonzeptes (vgl. Ziffer 6.5) ist unter Berücksichtigung des Interesses des Mandanten, ggf. jederzeit Informationen zur beauftragten Angelegenheit zu bekommen, wird mandats- und auftragsbezogen zu prüfen, ob ein Zugriff auf die Daten durch einen Benutzer notwendig und sinnvoll ist. Nur wenn dies der Fall ist, wird ein Zugriff ermöglicht.
-
- Soweit der Zugriff nicht aufgrund der o. g. Kriterien beschränkt wird, werden die Beschäftigten durch regelmäßige Unterrichtung darauf hingewiesen, dass ein Zugriff trotz der technischen Möglichkeiten nur im Rahmen der eigenen Aufgabenerfüllung zu erfolgen hat.
-
- Zusätzlich zu diesen allgemeinen Regelungen wird in jedem Einzelfall geprüft, ob das Risiko einer Interessenkollision oder ein privates Interesse des Benutzers an den Daten vorliegen könnte. Dabei reicht ein abstraktes Risiko aus, um in diesen Fällen den Zugriff nicht zu gewähren.
-
- Gleiches gilt, soweit der Mandant oder anderweitig betroffene Personen den Zugriff durch bestimmte Benutzer nicht wünschen.
-
- Sollte trotz eines bestehenden Risikos eine Bearbeitung der Angelegenheit durch diesen Benutzer (z. B. Mitarbeiter) von einer betroffenen Person (z. B. Mandanten) ausdrücklich gewünscht werden, wird vor Erteilung einer Zugriffsberechtigung eine Interessensabwägung durch den Verantwortlichen vorgenommen.
Im Fall von Remoteverbindungen sind weitere Sicherheitsmaßnahmen entsprechend dem Stand der Technik erforderlich, um den Zugang von Unbefugten zu verhindern.
- 6.4.1 Berechtigte Nutzung von Endgeräten
- Der Zugang zu internen IT-Systeme von außerhalb des Kanzlei-Netzes (LAN und WLAN) erfolgt nur durch Endgeräte, die von der Kanzlei zur Verfügung gestellt werden. Deren Einrichtung und Wartung erfolgt nur durch den Verantwortlichen bzw. einen von ihm beauftragten und überwachten IT-Dienstleister. Auch auf den für den Remotezugang zugelassenen Endgeräten ist eine personenbezogene Benutzerverwaltung einzurichten.
- 6.4.2 Zweistufiges Anmeldekonzept (2-Faktor-Authentifizierung, 2FA)
- Bei der Anmeldung am Server im Rahmen des Remote-Zugangs kommt ein Konzept von „Wissen und Besitz“ zum Einsatz. Voraussetzung für die Anmeldung ist somit eine Hardware-ID (Besitz) z. B. auf einer Smartcard, und ein Passwort (Wissen). Alternativ können auch Anmeldungsprozeduren eingesetzt werden, die die gleichzeitige Nutzung zweier verschiedener Endgeräte (z. B. Notebook und Smartphone) voraussetzen.
6.4.3 Datenschutz bei Tätigkeiten außerhalb von Kanzleien
6.4.3.1 Unterscheidung von Homeoffice und mobilem Arbeiten
Für das Arbeiten außerhalb der Betriebsstätte gibt es unterschiedliche Bezeichnungen: Homeoffice, Telearbeit, Remotearbeit, mobiles Arbeiten. Gesetzlich definiert ist derzeit nur Telearbeit in § 2 Abs. 7 ArbStättV:
„Telearbeitsplätze sind vom Arbeitgeber fest eingerichtete Bildschirmarbeitsplätze im Privatbereich der Beschäftigten, für die der Arbeitgeber eine mit den Beschäftigten vereinbarte wöchentliche Arbeitszeit und die Dauer der Einrichtung festgelegt hat. Ein Telearbeitsplatz ist vom Arbeitgeber erst dann eingerichtet, wenn Arbeitgeber und Beschäftigte die Bedingungen der Telearbeit arbeitsvertraglich oder im Rahmen einer Vereinbarung festgelegt haben und die benötigte Ausstattung des Telearbeitsplatzes mit Mobiliar, Arbeitsmitteln einschließlich der Kommunikationseinrichtungen durch den Arbeitgeber oder eine von ihm beauftragte Person im Privatbereich des Beschäftigten bereitgestellt und installiert ist.“
Wichtig ist dabei, dass dem Arbeitgeber bei Telearbeit auch die Verpflichtung zur vollständigen Ausstattung des dortigen Arbeitsplatzes, also auch z. B. Bürostuhl und Arbeitstisch obliegt. Während bei der ausschließlichen Telearbeit die gesamte Arbeitsleistung von Beschäftigten aus dem Homeoffice erbracht wird, ist hiervon die Unterform der alternierenden Telearbeit zu unterscheiden. Bei der alternierenden Telearbeit erbringen Beschäftigte einen Teil ihrer Arbeitsleistung aus dem Homeoffice und einen anderen Teil ihrer Arbeitsleistung in der Kanzlei vor Ort. Arbeiten Beschäftigte außerhalb der Kanzleiräumlichkeiten, verfügen aber nicht über einen durch den Arbeitgeber fest eingerichteten Arbeitsplatz, so wird dies als mobiles Arbeiten bezeichnet. Weiteres Beispiel für mobiles Arbeiten können auch das Arbeiten in der Bahn, im Flugzeug, im Hotel auf Dienstreisen, aber auch in den Räumlichkeiten des Mandanten sein.
Es wird in den vorliegenden Hinweisen daher von mobilem Arbeiten gesprochen, um nicht durch Begrifflichkeiten weitere und dann oft unbeabsichtigte rechtliche Verpflichtungen einzugehen. Vom Begriff des mobilen Arbeitens wird dann nicht nur die Leistungserbringung von Zuhause aus umfasst, sondern generell außerhalb der Kanzleiräumlichkeiten. Zu beachten ist, dass bei Tätigkeiten außerhalb von Deutschland auch weitere Punkte wie sozialversicherungsrechtliche, lohnsteuerrechtliche oder berufsrechtliche Aspekte zu berücksichtigen sind.
6.4.3.2 Zulässigkeit der Arbeit als mobiles Arbeiten
Grundsätzlich wird im Arbeitsvertrag geregelt, wo die vertragliche geschuldete Arbeitsleistung erbracht wird. Außer in den Fällen, in denen der Gesetzgeber z. B. wie in den Fällen einer pandemischen Lage für bestimmte Tätigkeiten die Erbringung der geschuldeten Leistung in den Räumen des Arbeitgebers untersagt, ist eine Leistungserbringung außerhalb der vereinbarten Räumlichkeiten nur in beiderseitigem Einverständnis möglich, sofern nicht die arbeitgeberseitige Dispositionsbefugnis greift. Weitere arbeitsrechtliche Aspekte sind gegebenenfalls zu beachten.
Datenschutzrechtlich bleibt der Arbeitgeber auch bei Tätigkeiten außerhalb der Kanzleiräume weiterhin für die Einhaltung der datenschutzrechtlichen und berufsrechtlichen Anforderungen verantwortlich. Dies umfasst alle Grundsätze der DSGVO:
Eine systematische Prüfung der Datenschutzgrundsätze zeigt, dass mobile Arbeit lediglich eine Auswirkung auf die bereits getroffenen Informationssicherheitsmaßnahmen von Verarbeitungstätigkeiten hat. Ist eine Verarbeitungstätigkeit personenbezogener Daten in den Kanzleiräumen zulässig, so gilt dies grundsätzlich auch für Tätigkeiten außerhalb der Kanzleiräume, wenn die erforderlichen technischen und organisatorischen (Schutz-)Maßnahmen von der Kanzlei ergriffen worden sind.
6.4.3.3 Bestimmung der erforderlichen technischen und organisatorischen Maßnahmen
Die erforderlichen technischen und organisatorischen (Schutz-)Maßnahmen müssen von der Kanzlei im Rahmen einer Datenschutz-Risikobeurteilung bestimmt werden (Art. 24 Abs. 1 DSGVO und Art. 32 Abs. 1 DSGVO). Dabei fließen auch die Anforderungen an die berufsrechtliche Verschwiegenheits- und Aufbewahrungspflicht mit ein, die letztendlich auch nicht-personenbezogene Informationen umfassen. Hierbei sollten die konkreten Schwachstellen mindestens für die folgenden Bedrohungen bestimmt werden:
- Offenbarung personenbezogener Daten
- Diebstahl von Eigentum der Kanzlei und von personenbezogenen Daten
- Verlust von Eigentum der Kanzlei und von personenbezogenen Daten
- Nicht-autorisierte Nutzung der Kanzlei-IT
- Abhorchen von personenbezogenen Daten bei der Übermittlung
- Aushorchen der Mitarbeiter im Homeoffice/am mobilen Arbeitsplatz
Es gibt zu den datenschutzrechtlichen Anforderungen an die Maßnahmen auch Checklisten und weitere Informationen der Datenschutzaufsichtsbehörden, die dabei herangezogen werden können.
6.4.3.4 Beispiel zur Identifikation einer Schwachstelle
Bei der Bestimmung der Schwachstellen beim mobilen Arbeiten entstehen durch das häusliche Umfeld Szenarien, die im reinen Kanzleiumfeld nicht relevant sind. So werden in Haushalten z. B. Sprachassistenten zur Steuerung von IT oder auch Haushaltsgeräten verwendet. Es müssen von der Kanzlei also Maßnahmen (Arbeitsanweisungen) vorgegeben werden, die gewährleisten, dass personenbezogene Daten beim mobilen Arbeiten während Telefonaten oder Videokonferenzen nicht unbefugt durch Sprachassistenten im dortigen Umfeld aufgenommen und eventuell sogar in unsichere Drittstaaten übermittelt werden.
Die Einflussnahme und Kontrollmöglichkeiten des Arbeitgebers in den privaten Räumen der Be-schäftigten sind naturgemäß eingeschränkt, sodass eine Gestattung der mobilen Arbeit durch den Arbeitgeber von der Beachtung der Sicherheitsvorgaben abhängig gemacht werden sollte.
Die betroffenen Mitarbeiter müssen dazu geschult werden, damit sie in der Lage sind, die getroffenen erforderlichen technischen und organisatorischen Maßnahmen umzusetzen.
6.4.3.5 Weitergabe der privaten Kontakt- oder Kommunikationsdaten von Beschäftigten
Auch beim mobilen Arbeiten sind die Vorgaben zur Datenminimierung zu beachten. Dies betrifft insbesondere die privaten Kontakt- oder Kommunikationsdaten von Beschäftigten wie Telefonnummern oder private E-Mail-Adressen, die an Mandanten, andere Kanzleimitarbeiter oder Lieferanten weitergegeben werden sollen. Dies kann vermieden werden, indem die Beschäftigten durch die Kanzlei mit den entsprechenden Geräten (z. B. Diensthandy, Dienst-Emailadresse) ausgestattet werden. Jede andere Gestaltung unter Einbindung der privaten Kontakt- und Kommunikationsdaten bringt datenschutzrechtliche Anforderungen mit sich, die kaum noch rechtskonform darstellbar sind.
6.4.3.6 Überprüfung der Einhaltung der Datenschutzmaßnahmen bei mobilem Arbeiten
Die Kanzlei ist als Verantwortliche nach DSGVO verpflichtet, sicherzustellen, dass personenbezogene Daten datenschutzkonform verarbeitet werden und muss dies auch nachweisen können (Art. 24 Abs. 1 DSGVO). Wurde von der Kanzlei ein Datenschutzbeauftragter benannt, so umfasst dessen Aufgabenbereich die Überprüfung der Einhaltung der Datenschutzvorschriften auch beim mobilen Arbeiten (Art. 39 Abs. 1 lit. b) DSGVO).
Ein unangemeldeter Besuch in den Privaträumen eines Beschäftigten durch den Arbeitgeber tangiert viele rechtliche Themen. Selbst die Aufnahme der Gestattung eines Zutrittsrechts zur Überprüfung der Einhaltung der Schutzmaßnahmen zur Datenverarbeitung innerhalb der Wohnung des Beschäftigten schließt nicht aus, dass dem die Rechte anderer Mitbewohnenden entgegenstehen können, über die die Beschäftigten selbst nicht disponieren können. Es empfiehlt sich daher in die Vereinbarung zur Gestattung von mobilem Arbeiten aufzunehmen, welche Schutzmaßnahmen die Beschäftigten - abhängig von den konkreten Umständen vor Ort - einzuhalten haben und dass sie gegebenenfalls für die Einhaltung nachweispflichtig sind, z. B. dass es absperrbare Büromöbel für die Kanzleiunterlagen und -IT nach Arbeitsbeendigung gibt, dass die Tätigkeiten in separaten Räumlichkeiten durchgeführt werden können, dass keine aktivierten Sprachassistenten bei Telefonaten und Gesprächen im Raum sind. Auch kann ein regelmäßiges Selbstaudit der Beschäftigten vereinbart werden, bei dem das Vorhandensein und die Verwendung bestimmter Schutzmaßnahmen durch die Beschäftigten bestätigt werden.
Im Rahmen einer Prüfung durch die zuständige Datenschutzaufsichtsbehörde kann es erforderlich sein, dass ein Behördenmitarbeiter Zutritt zu privaten Räumlichkeiten der Beschäftigten verlangt. In der Praxis wird dies nur bei schwerwiegenden Vorkommnissen in Betracht kommen. In diesen Fällen ist dann auch davon auszugehen, dass die Behörde im Rahmen der Amtshilfe polizeiliche Unterstützung zur Umsetzung einfordert. Für diese Extremfälle sind die Beschäftigten darauf hinzuweisen, dass unverzüglich die Kanzleileitung zu informieren ist, um gegebenenfalls eine rechtliche Prüfung der Vereinbarkeit mit den Beschränkungen des § 29 Abs. 3 Satz 1 BDSG herbeizuführen.
6.4.3.7 Einzelthemen
6.4.3.7.1 Transport und Entsorgung
Dürfen Beschäftigte Unterlagen und Datenträger zum Zwecke der mobilen Arbeit aus den Kanzleiräumen mitnehmen, sind Vorgaben zu treffen, wie diese beim Transport zu schützen sind, z. B. durch nicht einsehbare Behältnisse. Hinsichtlich der Entsorgung z. B. von Papier-Dokumenten oder Datenträgern sind die gleichen Vorgaben wie in den Kanzleiräumen zu beachten, damit z. B. Unterlagen nicht ungeschreddert über die private Papierentsorgungstonne der Beschäftigten entsorgt werden. Informationen, die der berufsrechtlichen Verschwiegenheit unterliegen und im Anschluss in einer Abfallentsorgung entsorgt werden sollen, sind mindestens mit Sicherheitsstufe P4 (Partikelgröße max. 160 mm²) zu shreddern. Bei Entsorgung über den Hausmüll empfiehlt sich die Verwendung der Sicherheitsstufe P5 (Partikelgröße max. 30 mm²).. Bei Beauftragung eines externen Aktenvernichtungsunternehmens ist zusätzlich darauf zu achten, dass die Vernichtung nach Schutzklasse 3 zu erfolgen hat. Wenn dies beim mobilen Arbeiten nicht gewährleistet werden kann, ist die Entsorgung über den Rücktransport in die Kanzleiräume sicherzustellen.
6.4.3.7.2 Keine Nutzung privater Geräte der Beschäftigten
Auch das mobile Arbeiten erfolgt nur durch Endgeräte, die von der Kanzlei zur Verfügung gestellt werden. Deren Einrichtung und Wartung erfolgt nur durch den Verantwortlichen bzw. einen von ihm beauftragten und überwachten IT-Dienstleister. Auch auf zugelassenen Endgeräten ist eine personenbezogene Benutzerverwaltung einzurichten. Von einer Erlaubnis zur privaten Nutzung dieser Endgeräte wird abgeraten.
6.4.3.7.3 Erfassung der Arbeitszeit
Auch bei mobilen Tätigkeiten außerhalb der Kanzleiräume ist der Arbeitgeber für die Einhaltung gesetzlicher Arbeitszeitvorschriften verantwortlich und muss dies auch nachweisen können. Dies berechtigt aber nicht zu Maßnahmen, die einer Dauerüberwachung der Beschäftigten führen, wie z. B. eine Anweisung, dauerhaft die Videokamera eines IT-Systems angeschaltet zu lassen. Hier können auch eigene Zeitaufschreibungen der Beschäftigten Berücksichtigung finden, die durch den Arbeitgeber auf Plausibilität geprüft werden können.
6.4.3.7.4 Videokonferenzen
Bei Videokonferenzen mit Beschäftigten außerhalb der Kanzleiräume ist ein System einzusetzen, bei dem der Hintergrund durch die Beschäftigten so einstellbar ist, dass diese selbst entscheiden, ob Details aus der Privatwohnung erkennbar sind oder nicht.
Für die Festlegung der Zugriffsberechtigungen (vgl. Ziffer 6.3.2) sind die Mandanten und die schutzbedürftigen Daten in verschiedene Risikoklassen einzuteilen.
Das mandatsbezogene Risiko ergibt sich dabei aus der Person des Mandanten (z. B. politisch exponierte Personen) oder deren Geschäftstätigkeit (z. B. Tätigkeiten im Bereich von Forschung und Entwicklung). Die Schutzbedürftigkeit der Daten ergibt sich aus ihrer Bedeutung für das Leben und die wirtschaftlichen Verhältnisse des Mandanten.
Als schutzwürdig werden darüber hinaus Daten Drittbetroffener angesehen, die im Rahmen des Mandatsverhältnisses überlassen werden. Dies betrifft insbesondere die Daten der Beschäftigten des Mandanten, die im Rahmen der Lohnbuchhaltung überlassen und verarbeitet werden.
Die Zugriffsberechtigungen werden entsprechend der Risikoklassen eingeschränkt. Dabei wird auch ein Verlust bei der Informationsbereitschaft in Kauf genommen.
Beispiel: Einteilung der Risikoklassen