DSGVO in der Steuerberatungskanzlei: Was § 80 WTBG verlangt

Steuerberater als Auftragsverarbeiter

Wenn österreichische Steuerberatungskanzleien Cloud-Software einsetzen, sind sie gegenüber dem Anbieter Auftraggeber und gegenüber Mandanten Verantwortliche im Sinne von Art. 4 Nr. 7 DSGVO.

Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO

Jede Kanzlei, die Mandantendaten in eine Cloud-Lösung überträgt, benötigt einen AVV mit dem Anbieter. Fristenwächter stellt einen vorbereiteten AVV bereit, der direkt nach der Registrierung digital unterzeichnet wird.

Berufsgeheimnis nach § 80 WTBG

Über das allgemeine Datenschutzrecht hinaus unterliegen Steuerberater dem Berufsgeheimnis nach § 80 Wirtschaftstreuhandberufsgesetz. Mandantendaten dürfen nur für kanzleiinterne Zwecke verwendet werden — nicht für Marketing, Analyse oder Weitergabe.

Technische und organisatorische Maßnahmen (TOMs)

Fristenwächter erfüllt: AES-256-Verschlüsselung, mandantengetrennte Datenhaltung (Multi-Tenancy), vollständiger Audit-Trail, automatische Datenlöschung nach 7 Jahren (BAO § 132), Serverstandort ausschließlich EU (Hetzner, Nürnberg).

Löschpflichten und Datenlöschung

Nach Art. 17 DSGVO haben Mandanten ein Recht auf Löschung. BAO § 132 verlangt jedoch 7 Jahre Aufbewahrung. Fristenwächter löst diesen Konflikt durch Anonymisierung: Daten werden nach 7 Jahren automatisch unlesbar gemacht.