SHARED OFFICE SPACE. Über Coworking für Steuerberater, vor allem aus datenschutzrechticher Sicht. Ein Gespräch mit dem IT-Spezialisten Markus Aulenbach. Von Jürgen Sykora
Herr Aulenbach, klassisches Coworking ist für Steuerberater aus vielen Gründen noch undenkbar. Ist unser Berufsstand zu konservativ oder liegt es an gesetzlichen und administrativen Hürden?
Markus Aulenbach: Natürlich liegt es in der Natur der Sache, dass alle Tätigkeiten, die stark vom Gesetzgeber reglementiert werden – dazu zählen neben den Steuerberatern auch noch Rechtsanwälte, Notare, Ärzte etc. – eine gewissen Zurückhaltung im Aufgreifen von Trends bemerkbar ist. Aber diese Besonnenheit sehe ich nicht negativ, sondern sie bedeutet nur, dass man sich eingehender mit dem Ausloten von Möglichkeiten unter Einhaltung von Vorgaben, die in vielen Fällen schwammig formuliert sind, beschäftigen muss. Macht man das, dann wird man schnell erkennen, dass zwar das klassische Coworking mit heterogenen Unternehmen in einer Umgebung geteilter Ressourcen in meist hipper Umgebung unpassend und auch schwer umsetzbar ist, aber es durchaus Möglichkeiten gibt, aus dem eigenen Wohnzimmer oder dem Büro im Eigenheim in eine Arbeitsumgebung zu wechseln, die sowohl menschliche Interaktion ermöglicht, als auch gute Möglichkeiten zu Kooperation mit sich bringt. Nur: von der Stange gibt es das für Steuerberter meines Wissens noch nicht.
Welche Konflikte sehen Sie aus datenschutzrechtlicher Sicht?
Die Herausforderungen ergeben sich überall dort, wo die Vorteile des klassischen Coworkings beheimatet sind. Der gemeinsam benutzte Drucker bzw. Kopierer und Scanner, der meine Dokumente auf einem Netzlaufwerk ablegt oder per E-Mail an mich verschickt. Der ständig wechselnde Schreibtisch oder der Arbeitsplatz in der Cafeteria, bei dem bereits der Gang zur Toilette zu einem datenschutzrelevanten Vorgang wird, wenn ich nicht die in vielen Fällen noch üblichen Papierexemplare von Klientendokumenten mitnehmen möchte. Nicht zuletzt das Gespräch mit Klienten über das Telefon, das vielleicht nicht in der schalldichten Kabine unter Mitnahme aller Unterlagen passieren kann. Das Thema der TOMs (technisch organisatorische Maßnahmen) kommt bei reinem Coworking auch noch zum Tragen. Wer macht Backups? Wer darf sie einsehen? Wie regle ich Datenflüsse zu Infrastrukturanbietern (z.B. dem IT-Unternehmen, das den Coworkingspace serviciert)? Hier ist einiges zu bedenken.
Also ist eher abzuraten?
Nein, nicht per se. Ich denke nur, dass man sich ein paar mehr Gedanken machen muss, wenn man als Betreiber Steuerberater oder Vertreter der anderen oben genannten Berufsgruppen beherbergen möchte.
Sind spezielle Sicherheitsmaßnahmen in der IT zu ergreifen? Übersieht man als Laie die ein oder andere Gefahr?
Wenn dem nicht so wäre, würden wohl einige Berufe wegfallen. Wichtig ist sicherlich, sich Gedanken zu machen, wo meine Infrastruktur liegt. Im angesprochenen Fall wird es wohl darauf hinauslaufen, dass es einen sauberen Schnitt zwischen dem eigenen System und den Ressourcen des Office Spaces gibt. Ob man seine Ressourcen dorthin legt, was im Moment von allen als Cloud bezeichnet wird – auch, wenn nicht alles Cloud ist, was so bezeichnet wird –, also auf einen Server in einem Rechenzentrum oder auch beim Office Space selbst. Sicherheitsumgebung mit Firewall, Security Software und Backup würde ich nicht aus der Hand geben. Das kann man schon sehr effizient umsetzen, aber unter Kontrolle muss man es selbst haben.
Die DSGVO sieht vor, dass persönliche Daten vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung und unbeabsichtigter Schädigung geschützt werden. Wie kann das in einem Coworking Space überhaupt funktionieren?
Wenn man sich an die oben genannten Dinge hält und dann noch eine Möglichkeit schafft, Daten – analog wie digital – von anderen „Mietern“ und deren Kunden zu separieren, dann steht dem Wechsel in Gemeinschaftsbüros nichts im Wege.
Vielleicht etwas banal, aber wie sollte denn eigentlich der Müll (Papiermüll, alte PCs etc.) beseitigt werden?
Hier gilt dasselbe wie im normalen Unternehmensumfeld. Papier ist zu shreddern (Shredder Kategorie 3 bis 5) und Festplatten sind nach deren Ableben zu vernichten. Mobile Geräte sollten verschlüsselte Festplatten aufweisen und alle Geräte passwortgeschützt sein. Idealerweise ein starkes Passwort, das nicht auf einem Zettel am Bildschirm klebt.
Erscheinungsdatum: