Mitgliederbereich – Datenschutz und Cybersecurity

Auch bei einer Zustimmung des Kunden des Treuhänders bleibt er trotzdem dafür verantwortlich, dass die Daten mit Hilfe von technischen und organisatorischen Massnahmen angemessen geschützt werden. Betroffen wären primär Personendaten, die der Kunde bearbeitet (z.B. Mitarbeiterdaten) und diese müssen entsprechend geschützt werden. Nicht alle Personendaten sind «besonders schützenswerte Personendaten». Es sind nur solche über die religiöse, weltanschauliche, politische oder gewerkschaftlichen Ansichten oder Tätigkeiten, die Gesundheit, die Intimsphäre oder die Rassen- und Ethniezugehörigkeit, genetische und biometrische Daten, Massnahmen der sozialen Hilfe sowie administrative oder strafrechtliche Verfolgungen und Sanktionen.

Bei Lohnabrechnungen handelt es sich in der Regel um keine besonders schützenswerte Personendaten. Es gibt Fälle, bei denen besonders schützenswerte Personendaten auf der Lohnabrechnung ersichtlich sein könnten, beispielsweise bei Gewerkschaftstätigkeit. Da die Daten aber sensitiv sind, empfehlen wir, dass unverschlüsselte E-Mails mit Lohnabrechnungen nur innerhalb der Organisation versandt werden sollten, oder dass die Lohnabrechnungen alternativ via Plattform (die selbstredend auch datenschutzrechtskonform sein muss) zur Verfügung gestellt werden könnten.

Ja, es besteht ein datenschutzrechtliches Risiko, wie bei der Nutzung aller Microsoft Office Produkten, da nicht mit Sicherheit ausgeschlossen werden kann, dass personenbezogene Daten in die USA übertragen werden. Microsoft bietet verschiedene technische Möglichkeiten, Outlook zu betreiben. Je nach eingesetzter Lösung ist das datenschutzrechtliche Risiko höher oder tiefer. Am besten fragen Sie dazu Ihren IT Anbieter.

Sofern die Daten des Cloud Anbieters angemessen geschützt sind und auch das Abrufen der Daten mit einem genügenden Schutzmechanismus versehen ist (Passwort, 2-Stufen Authentifizierung oder ähnliches), genügt diese Vorgehensweise aktuell den datenschutzrechtlichen Anforderungen.

Ja, die Nutzung von Microsoft Teams (und der gesamten Office 365 Suite) kann datenschutzrechtliche Risiken beinhalten, insbesondere wenn die Personendaten auf Servern in Ländern gespeichert werden, die kein angemessenes Datenschutzniveau aufweisen (z.B. USA). Daten dürfen nur ins Ausland bekanntgegeben werden, wenn dieses einen angemessenen Schutz gewährleistet oder wenn der Datenschutz anderweitig gewährleistete wird (z.B. entsprechende Vertragsklauseln und ausdrückliche Einwilligung der betroffenen Person).

Ja, die Nutzung der bekannten Cloud-Speicher kann datenschutzrechtliche Risiken beinhalten, insbesondere wenn Personendaten gespeichert werden. Bei den erwähnten Anbietern handelt es sich um US-Anbieter mit Servern in den USA. Siehe dazu auch die Antwort zur Frage betreffend Nutzung von Microsoft Teams.

Dropbox sowie andere ähnliche Produkte und Dienste sind Cloudlösungen. Ihre Nutzung muss den datenschutzrechtliche Vorschriften entsprechen und es gilt das für Cloud-Lösungen Gesagte. Daten von betroffenen Personen können im Moment nicht datenschutzkonform auf Dropbox gespeichert werden. 

Der Treuhänder ist in diesem Fall Auftragsbearbeiter und darf die Daten nur so bearbeiten, wie es der Kunde selbst tun darf und muss. Er muss insbesondere sicherstellen, dass die Daten des Kunden sicher sind und geschützt vor unberechtigtem Zugriff.

Das hängt davon ab, welche Angaben bzw. Daten sich in diesem Dokument befinden. Falls es sich um besonders schützenswerte Personendaten handelt, sollten diese nicht unverschlüsselt übermittelt werden. Im Zweifelsfalle empfehlen wir, das PDF verschlüsselt zu verschicken.

Aus datenschutzrechtlicher Sicht muss namentlich beachtet werden, dass die Datenbearbeitung (Übermittlung) an den richtigen Adressaten und sicher erfolgt. Bei der Verwendung der offiziellen Portalen der Steuerbehörden darf grundsätzlich davon ausgegangen werden, dass diese die datenschutzrechtlichen Vorgaben einhalten.

Ja. Daten für die Steuererklärung enthalten Personendaten (z. B. Name und Geburtsdatum). Es kann sich auch um besonders schützenswerte Personendaten handeln, wie beispielsweise die Konfession.

Unternehmen sind in der Regel sowohl an die Pflicht zur Löschung personenbezogener Daten auf Verlangen des Kunden, als auch an die Aufbewahrungspflicht gebunden. Verlangt ein Kunde die Löschung seiner personenbezogenen Daten, sind ihm diese auszuhändigen (z.B. Steuerunterlagen oder Lohndaten) und zu löschen. Im Sinne der Beweisbarkeit wird empfohlen, die Übergabe der Daten und die Anordnung der Löschung schriftlich bestätigen zu lassen. Der Kunde trägt nun die Verantwortung, die Daten gesetzeskonform aufzubewahren. Verträge oder Geschäftskorrespondenz mit dem Kunden müssen hingegen nicht gelöscht werden, auch wenn sie personenbezogene Daten enthalten (Aufbewahrungspflicht).

Eine Zertifizierung nach ISO 27001 ist ein gutes Indiz dafür, dass ein IT-Anbieter über eine systematische und umfassende Informationssicherheitsmanagement-System (ISMS) verfügt, das regelmässig überprüft und verbessert wird. Eine solche Zertifizierung zeigt, dass das Unternehmen bestimmte Prozesse und Verfahren in Bezug auf die Informationssicherheit einhält. Trotzdem ist es wichtig zu beachten, dass eine Zertifizierung nicht bedeutet, dass ein IT-Anbieter frei von Schwachstellen ist. Cyberkriminalität und die Bedrohungen für die Informationssicherheit entwickeln sich ständig weiter. Eine externe Prüfung wird auch hier empfohlen, zumal diese auch andere Bereiche, wie z.B. die Passwortregeln, prüft oder den Umgang mit Online Portalen und E-Mails.

Das aktuelle Datenschutzgesetz (DSG) sieht bei einem Hackerangriff noch keine Meldepflicht gegenüber dem EDÖB und den betroffenen Personen vor. Dies ändert aber ab dem 1. September 2023 mit dem neuen Datenschutzgesetz. Die betroffenen Kunden müssten aber erst dann informiert werden, wenn dies zu deren Schutz erforderlich ist oder es der EDÖB verlangt. Der EDÖB hat am 14.12.2022 kommuniziert, dass er eine Vorabklärung betreffend des Winbiz Vorfalls eröffnet hat. TREUHAND|SUISSE hat nun eine Anfrage an den EDÖB gerichtet, was sich aus der Vorabklärung ergeben hat. Über die Rückmeldung wird informiert werden.

Treuhänder haben bereits mit allen Dienstleistern einen Vertrag abgeschlossen, der die Dienstleistung regelt. Das neue Datenschutzgesetz macht keine Vorgaben, welche Anforderungen dieser Vertrag erfüllen muss. Es ist aber Ihre Aufgabe, zu prüfen, ob der bestehende Vertrag die Vorgaben des nDSG erfüllt. Diese Verträge sind oft standardisiert und werden Auftragsbearbeitungsvertrag (ABV) oder Auftragsverarbeitungsvertrag (AVV) genannt.

Treuhänder haben bereits mit allen Dienstleistern einen Vertrag abgeschlossen, der die Dienstleistung regelt (siehe vorangehende Frage "Müssen Treuhänder mit all ihren Dienstleistern...."

Ja, Sie müssen den Kunden informieren, wenn Sie seine Daten auf einem Server im Ausland speichern. In der Datenschutzerklärung müssen Sie angeben, in welchem Land sich der Server befindet. Wenn der Datenschutz im Zielland nicht dem Schweizer Standard entspricht, müssen zusätzliche Schutzmassnahmen ergriffen werden, um sicherzustellen, dass die Daten sicher bleiben.

Das kann man nicht allgemein sagen. Das nDSG kennt den Begriff „sensible Daten“ nicht. Treuhandunternehmen bearbeiten Personendaten und sind daher vom nDSG betroffen. Bearbeiten sie besonders schützenswerte Personendaten (z.B. Gesundheitsdaten), beispielsweise im Rahmen von Personaladministrationsarbeiten für ihren Kunden, müssen die entsprechenden Vorschriften berücksichtigt werden.

Grundsätzlich muss der Kunde bei der Beschaffung der Daten angemessen informiert werden, nicht erst bei der Verrechnung der Leistungen. Auf die Datenschutzerklärung kann überall hingewiesen werden, auch bei der Rechnungstellung. Wichtiger ist es aber, dass bereits zu Beginn des Mandats darauf hingewiesen wird, z.B. in der Auftragsbestätigung.

Da es sich bei diesen Personendaten um besonders schützenswerte Daten handelt, sollten sie nicht unverschlüsselt per E-Mail verschickt werden. Eine Alternative zu E-Mail kann auch der Down-/Upload auf einem geschützten Portal sein.

Falls es sich um die Personendaten des Kunden handelt (nicht um diejenigen seiner Mitarbeitenden) kann eine Einverständniserklärung für den unverschlüsselten E-Mailversand eingeholt werden.
 

Falls es sich um Dokumente handelt, die zur Belegung der Steuererklärung benötigen, können diese archiviert werden. Das elektronische Archiv muss aber entsprechend geschützt werden (Zugriffsrechte, Passwortschutz etc.) 

Der Vermerk der Kirchensteuerpflicht ist ein Hinweis auf die entsprechende Religionszugehörigkeit (christlich); das Fehlen der Konfession (reformiert/katholisch) tut da nichts zur Sache. Solche Quellensteuerabrechnungen sollten daher nur verschlüsselt per E-Mail verschickt oder über ein gesichertes Portal zum Download bereitgestellt werden.

Personalstammblätter können besonders schützenswerte Personendaten enthalten, wie beispielsweise die Religion und/oder Konfession. Sie sollten diese Dokumente entsprechend schützen (nur eingeschränkter Zugang des Ablageorts/-Ordners) und nicht unverschlüsselt per E-Mail verschicken. Wir empfehlen, auch Kunden darauf hinzuweisen, dass diese Daten besonders geschützt werden müssen.