Datenschutz ist für Lohnsteuerhilfevereine besonders sensibel: Sie verarbeiten hochpersönliche Finanzdaten Ihrer Mandanten. 2026 verschärfen die Datenschutzbehörden ihre Kontrollen. Hier erfahren Sie, was Sie beachten müssen.
Warum gerade Lohnsteuerhilfevereine im Fokus stehen
Lohnsteuerhilfevereine verarbeiten besonders schützenswerte Daten: Einkommensverhältnisse, Familienstand, Gesundheitskosten, Kirchenzugehörigkeit. Die Datenschutzbehörden haben angekündigt, 2026 verstärkt Stichprobenkontrollen bei Vereinen durchzuführen.
Die wichtigsten Pflichten im Überblick
- Aktuelle Datenschutzerklärung auf der Website und im Buchungsportal
- Verarbeitungsverzeichnis gemäß Art. 30 DSGVO
- Auftragsverarbeitungsverträge (AVV) mit allen Dienstleistern
- Dokumentiertes Löschkonzept für Mandantendaten
- Technische und organisatorische Maßnahmen (TOM) dokumentiert
- Datenschutzbeauftragter benannt (ab 20 Mitarbeitern Pflicht)
- Einwilligungserklärungen bei der Terminbuchung
Häufige Fehler, die teuer werden können
Achtung: Diese Fehler sehen wir häufig
1. Veraltete Datenschutzerklärung – Viele Beratungsstellen nutzen noch Vorlagen von 2018. Die müssen regelmäßig aktualisiert werden.
2. Kein AVV mit dem Hosting-Anbieter – Wenn Ihre Website oder Ihr Buchungssystem extern gehostet wird, brauchen Sie einen Auftragsverarbeitungsvertrag.
3. E-Mails ohne Verschlüsselung – Mandantendaten per unverschlüsselter E-Mail zu versenden, ist ein DSGVO-Verstoß.
4. Kein Löschkonzept – Mandantendaten müssen nach Ablauf der Aufbewahrungsfrist gelöscht werden.
Was ein gutes Buchungssystem leisten muss
Ein DSGVO-konformes Buchungssystem sollte folgende Anforderungen erfüllen:
- Hosting in Deutschland/EU – Keine Datenübertragung in Drittländer
- SSL-Verschlüsselung – Alle Daten werden verschlüsselt übertragen
- Automatische Löschung – Mandantendaten werden nach Stornierung gelöscht
- Einwilligungsmanagement – Mandanten stimmen der Datenverarbeitung aktiv zu
- AVV-Bereitschaft – Der Anbieter stellt einen AVV zur Verfügung
ZeitArena® und Datenschutz
ZeitArena® wird auf deutschen Servern (Hetzner) gehostet, bietet durchgängige SSL-Verschlüsselung, automatische Datenlöschung bei Stornierung (DSGVO-Delete) und einen vorbereiteten AVV. Der Datenschutz-Aushang für Ihre Beratungsstelle wird automatisch generiert.
Fazit
Datenschutz ist kein einmaliges Projekt, sondern ein fortlaufender Prozess. Investieren Sie jetzt in die richtigen Strukturen und Werkzeuge, um 2026 und darüber hinaus auf der sicheren Seite zu sein.
DSGVO-konform von Anfang an
ZeitArena® – gehostet in Deutschland, mit automatischer Datenlöschung und AVV.
Jetzt kostenlos testen →