Beancount.io LogoBeancount.io

Das WISP-Handbuch 2026 für Steuerberater und Buchhalter: Aufbau eines FTC Safeguards Rule-konformen Datensicherheitsprogramms ohne CISO

13 Minuten LesezeitMike ThriftMike Thrift
Das WISP-Handbuch 2026 für Steuerberater und Buchhalter: Aufbau eines FTC Safeguards Rule-konformen Datensicherheitsprogramms ohne CISO

Wenn Ihre Kanzlei Steuererklärungen auf Bundesebene erstellt, die Lohnbuchhaltung führt oder Zugriff auf Bankdaten-Feeds von Mandanten hat, betrachtet die Bundesregierung Sie bereits als „Finanzinstitut“. Ab der Veranlagungszeitraum 2026 wird der IRS Ihre PTIN nur dann verlängern, wenn Sie an Eides statt versichern, dass Sie über ein schriftliches Informationssicherheitsprogramm (WISP) verfügen. Diese Versicherung ist keine reine Formsache zum Abhaken. Es ist eine beeidete Erklärung, dass Ihre Kanzlei die neun Elemente der FTC Safeguards Rule umgesetzt hat, eine qualifizierte Person mit der Leitung des Programms beauftragt hat, dieses innerhalb des letzten Jahres geprüft hat und über einen Plan verfügt, um den Aufsichtsbehörden innerhalb von dreißig Tagen eine Datenschutzverletzung zu melden.

Die meisten Einzelpraktiker und kleinen Buchhaltungsbüros erfahren erst dann von der WISP-Anforderung, wenn ein Mandant im Rahmen eines Fragebogens zur Sorgfaltspflicht von Dienstleistern danach fragt oder wenn der IRS nach einem Phishing-Vorfall ein Schreiben zur „Sicherheitsaufklärung für Steuerfachleute“ versendet. Keiner dieser Momente ist ein guter Zeitpunkt, um bei Null anzufangen. Dieser Leitfaden erläutert, was das WISP tatsächlich enthalten muss, wie die FTC Safeguards Rule auf die Realität kleiner Kanzleien übertragen wird und wie man ein glaubwürdiges Programm aufstellt, ohne einen Fractional CISO einzustellen oder ein GRC-Tool für Großunternehmen zu kaufen.

Warum ein WISP nicht mehr optional ist

Zwei Aufsichtsbehörden stehen über jedem Steuerberater und Buchhalter in den Vereinigten Staaten, und sie verstärken sich gegenseitig.

Die erste ist der IRS, der seit Jahren ein schriftliches Sicherheitskonzept gemäß Section 7216 und dem Gramm-Leach-Bliley Act verlangt, dem aber erst kürzlich echte Durchsetzungskraft verliehen hat. Seit dem PTIN-Erneuerungszyklus 2024 muss jeder Ersteller bestätigen, dass er über ein aktuelles WISP verfügt. Das Erneuerungsfenster 2026 fügt eine ausdrückliche Versicherung bezüglich der neun Elemente der FTC Safeguards Rule hinzu. Falsche oder nachlässige Versicherungen werden oft erst nachträglich im Zuge einer Untersuchung nach einer Datenschutzverletzung aufgedeckt, und eine falsche Angabe in einem PTIN-Antrag stellt ein eigenständiges Risiko dar, das über den eigentlichen Datenverlust hinausgeht.

Die zweite ist die Federal Trade Commission (FTC), welche die Safeguards Rule gemäß 16 CFR Part 314 durchsetzt. Die FTC ist befugt, zivilrechtliche Strafen von bis zu 100.000 US-Dollar pro Verstoß gegen Kanzleien zu verhängen, die kein konformes Programm unterhalten. Ein „Verstoß“ kann dabei eng definiert werden – eine einzige fehlende Kontrolle bei Hunderten von Mandantendatensätzen ist die Art von Kalkulation, die zu achtstelligen Vergleichszahlungen gegen größere Kanzleien geführt hat.

Die Safeguards Rule wurde zudem in den letzten drei Jahren verschärft. Die Änderung vom Oktober 2023 verpflichtet Kanzleien, die FTC innerhalb von 30 Tagen über jedes „meldepflichtige Ereignis“ (notification event) zu informieren – also den unbefugten Erwerb unverschlüsselter Kundeninformationen, der 500 oder mehr Personen betrifft. Diese Meldepflicht trat im Mai 2024 in Kraft, und die FTC hat sie bereits genutzt, um Kanzleien zu identifizieren, die zum Zeitpunkt der Datenschutzverletzung über kein WISP verfügten. Eine Datenpanne ohne Plan ist eine weitaus schlechtere Ausgangsposition als eine Datenpanne mit Plan.

Für Steuerfachleute bedeutet diese gestaffelte Struktur, dass ein einziger Phishing-Vorfall die PTIN-Gültigkeit beim IRS gefährden, zivilrechtliche Strafen der FTC nach sich ziehen, Untersuchungen der Generalstaatsanwälte der Bundesstaaten gemäß den Gesetzen zur Meldung von Datenschutzverletzungen auslösen und eine Welle von Identitätsdiebstahl-Ansprüchen betroffener Mandanten verursachen kann. Das WISP ist das einzige Dokument, das das Ausmaß dieses Schadens maßgeblich begrenzt.

Die neun Elemente, die Sie dokumentieren müssen

Die FTC Safeguards Rule listet in 16 CFR § 314.4 neun spezifische Programmelemente auf. Die IRS-Vorlage in Publication 5708 orientiert ihre Abschnitte an denselben neun Punkten, und ein WISP, das nicht jeden dieser Punkte schriftlich behandelt, ist kein konformes WISP. Hier ist, was jedes Element in einer kleinen Kanzlei tatsächlich bedeutet.

1. Benennung einer qualifizierten Person

Sie müssen eine Person – namentlich und mit Funktion – benennen, die für das Sicherheitsprogramm verantwortlich ist. Die FTC stellt explizit klar, dass die „qualifizierte Person“ (Qualified Individual) keinen speziellen akademischen Grad oder eine Zertifizierung benötigt. Entscheidend ist, dass die Rolle dokumentiert ist, die Person entscheidungsbefugt ist und mindestens jährlich an die Geschäftsleitung berichtet. In einer Einzelkanzlei ist die qualifizierte Person in der Regel der Inhaber. In einer kleinen Kanzlei ist es oft der geschäftsführende Partner oder der Büroleiter, unterstützt durch einen externen Managed Service Provider (MSP) für die technischen Aufgaben. Die Rolle kann ausgelagert werden, die Verantwortung jedoch nicht.

2. Durchführung einer schriftlichen Risikobewertung

Die Risikobewertung identifiziert die vorhersehbaren internen und externen Risiken für Mandanteninformationen in Papierunterlagen, digitalen Dateien, Cloud-Anwendungen, E-Mails, Mobilgeräten und allen genutzten Drittanbieterdiensten. Sie muss schriftlich vorliegen, regelmäßig durchgeführt werden und so spezifisch sein, dass ein Leser erkennen kann, welche Bedrohungen Sie in Betracht gezogen haben. Eine einseitige Tabelle mit der Zuordnung „Asset → Bedrohung → Wahrscheinlichkeit → Auswirkung → Schadensbegrenzung“ ist für die meisten kleinen Kanzleien ausreichend. Eine zweizeilige Erklärung wie „wir nutzen Antivirensoftware“ reicht nicht aus.

3. Sicherheitsvorkehrungen entwerfen und implementieren

Die Safeguards Rule benennt spezifische technische Kontrollen, die Ihr Programm adressieren muss: Zugriffskontrollen, Inventarisierung von Vermögenswerten, Verschlüsselung von Kundeninformationen im Ruhezustand und bei der Übertragung, sichere Entwicklungspraktiken für hausinterne Anwendungen, Multi-Faktor-Authentifizierung (MFA) für jedes System, das auf Kundendaten zugreift, sichere Entsorgung von Kundeninformationen spätestens zwei Jahre nach der letzten Interaktion, Änderungsmanagement und Überwachung autorisierter Benutzeraktivitäten.

Die zwei Kontrollen, bei denen die meisten kleinen Kanzleien Fehler machen, sind Verschlüsselung und MFA. Die Regelung verlangt die Verschlüsselung von Kundeninformationen auf Ihren Systemen und bei der Übertragung. Wenn Ihre Auftragsschreiben unverschlüsselt in einem Dropbox-Ordner liegen, der mit einem persönlichen Laptop synchronisiert ist, stellt dies eine Beanstandung dar. MFA muss mindestens zwei der drei Authentifizierungsfaktoren nutzen – Wissen, Besitz, Inhärenz – und der einzige Weg, darauf zu verzichten, ist eine schriftliche Genehmigung des „Qualified Individual“ (Qualifizierte Person) für eine gleichwertige Kontrolle. „Es ist unpraktisch“ ist keine gleichwertige Kontrolle.

4. Regelmäßige Überwachung und Prüfung der Sicherheitsvorkehrungen

Die Regelung erfordert entweder eine kontinuierliche Überwachung oder jährliche Penetrationstests sowie halbjährliche Schwachstellenbewertungen. Für eine kleine Kanzlei ist der zweite Weg der realistischste: ein authentifizierter Schwachstellenscan zweimal im Jahr und ein jährlicher Penetrationstest, wenn Sie ein nennenswertes Volumen an Steuererklärungen oder hochsensible Mandantendaten verarbeiten. Die Testergebnisse müssen dokumentiert und vom Qualified Individual überprüft werden.

5. Mitarbeiterschulung

Jeder Mitarbeiter mit Zugriff auf Mandanteninformationen benötigt eine rollenspezifische Sicherheitsschulung, die regelmäßig aufgefrischt werden muss. Der Qualified Individual benötigt mehr als nur die Basisschulung. Phishing-Simulationen, Passworthygiene, sicherer Umgang mit Dateien und Meldeverfahren für Vorfälle sind die Pflichtthemen. Schulungsprotokolle – Datum, Teilnehmer, Thema – sollten im WISP-Ordner (Written Information Security Plan) aufbewahrt werden.

6. Überwachung von Dienstleistern

Wenn Sie einen Steuersoftwareanbieter, eine Cloud-Speicherplattform, einen Dienst für digitale Signaturen, einen Lohnbuchhaltungsdienstleister oder eine Buchhaltungs-App nutzen, sind dies Dienstleister im Sinne der Regelung. Sie müssen diese basierend auf ihrer Fähigkeit zur Aufrechterhaltung angemessener Sicherheitsvorkehrungen auswählen, sie vertraglich dazu verpflichten und regelmäßig beurteilen, ob sie diesen Standard weiterhin erfüllen. SOC 2 Type II-Berichte sind der Standardnachweis; ein Anbieter, der keinen vorlegen kann, ist ein Warnsignal.

7. Das Programm aktuell halten

Ein WISP ist ein lebendes Dokument. Die Regelung verlangt von Ihnen, das Programm angesichts von Testergebnissen, wesentlichen betrieblichen Änderungen und Veränderungen in der Bedrohungslandschaft zu bewerten und anzupassen. Mindestens eine jährliche Überprüfung ist erforderlich, plus eine Aktualisierung, wann immer Sie die Steuersoftware wechseln, auf eine neue Cloud-Plattform migrieren, ein neues Büro eröffnen oder einen neuen Partner aufnehmen.

8. Erstellung eines schriftlichen Reaktionsplans für Vorfälle

Der IRP (Incident Response Plan) muss den internen Prozess zur Reaktion auf ein Sicherheitsereignis festlegen: Ziele, Rollen und Verantwortlichkeiten, interne Kommunikation, externe Kommunikation, Beweissicherung, Abhilfemaßnahmen und Nachbereitung des Vorfalls. Der Plan muss auch den Weg der regulatorischen Meldung enthalten – an die FTC innerhalb von 30 Tagen bei Ereignissen, die mehr als 500 Personen betreffen, an den IRS Stakeholder Liaison bei Datendiebstahl und an den jeweiligen Generalstaatsanwalt des Bundesstaates gemäß den relevanten Gesetzen zu Datenschutzverletzungen.

9. Jährliche Berichterstattung an den Vorstand (oder Eigentümer)

Der Qualified Individual muss mindestens einmal jährlich dem Leitungsorgan der Kanzlei – dem Vorstand, dem geschäftsführenden Partner oder dem Einzelinhaber – schriftlich Bericht erstatten. Der Bericht umfasst den Gesamtstatus des Programms, wesentliche Risiken, Testergebnisse, Probleme mit Dienstleistern und etwaige Sicherheitsereignisse. Für eine Ein-Personen-Kanzlei bedeutet dies, dass der Inhaber ein Memo an sich selbst schreibt, es datiert und ablegt. Das klingt albern, bis man einem Ermittler der FTC gegenübersteht.

Die Vorlage der IRS Publication 5708 ist der einfachste Ausgangspunkt

Der Security Summit – eine Partnerschaft zwischen dem IRS, staatlichen Steuerbehörden und den großen Anbietern von Steuersoftware – veröffentlicht eine ausfüllbare WISP-Vorlage als IRS Publication 5708. Es handelt sich um ein 28-seitiges Dokument, das um die neun FTC-Elemente herum strukturiert ist und eine kleine Kanzlei durch jeden erforderlichen Abschnitt führt. Jüngste Überarbeitungen haben Formulierungen zu MFA-Genehmigungsworkflows, Verschlüsselungsalternativen und dem 30-tägigen Meldeverfahren bei Datenschutzverletzungen hinzugefügt.

Zwei praktische Hinweise zu Publication 5708:

  • Betrachten Sie sie als Gerüst, nicht als fertigen Plan. Die Vorlage verlangt von Ihnen, die spezifischen Sicherheitsvorkehrungen, Dienstleister, Schulungsthemen und Ansprechpartner für die Reaktion auf Vorfälle Ihrer Kanzlei einzutragen. Ein WISP, der noch Platzhaltertexte enthält, ist schlimmer als gar kein WISP – er ist der dokumentarische Beweis dafür, dass Sie keine Risikobewertung durchgeführt haben.
  • Überspringen Sie nicht die Anhänge. Der Anhang zur Datenklassifizierung, das Inventar der Vermögenswerte und die Liste der Dienstleister in der Vorlage sind die Teile, die den WISP vertretbar machen. Eine Reaktion auf eine Datenschutzverletzung, die mit „wir wissen nicht genau, welche Mandanten betroffen waren“ beginnt, weil kein Inventar der Vermögenswerte vorhanden war, ist der denkbar schlechteste Ausgangspunkt.

Die begleitende Veröffentlichung, IRS Publication 4557 – Safeguarding Taxpayer Data, ist ein ausführlicherer Bildungsleitfaden, der das breitere Spektrum abdeckt: Bundes- und Landesgesetze zur Benachrichtigung bei Datenschutzverletzungen, gängige Angriffsmuster gegen Steuerfachleute, der IRS-Melde-Workflow, wenn die EFIN eines Erstellers kompromittiert wurde, sowie eine Liste kostenloser oder kostengünstiger technischer Ressourcen. Lesen Sie sie einmal, setzen Sie ein Lesezeichen und greifen Sie darauf zurück, wenn Sie neue Mitarbeiter einstellen.

Die Umsetzung in der Praxis: Ein 90-Tage-Fahrplan für kleine Kanzleien

Die Erstellung eines WISP (Written Information Security Plan – schriftlicher Informationssicherheitsplan) von Grund auf ist vor allem deshalb einschüchternd, weil die Vorschriften ein Sicherheitsprogramm für Unternehmen in einer Sprache beschreiben, die sich nicht ohne Weiteres auf eine sechsköpfige CPA-Kanzlei übertragen lässt. Hier ist eine Abfolge, die tatsächlich für eine kleine Kanzlei passt.

Tag 1 bis 14 — Inventur und Benennung. Benennen Sie die „Qualifizierte Person“ schriftlich. Erstellen Sie das Bestandsverzeichnis: jedes Gerät, das mit Kundendaten in Berührung kommt, jede Cloud-Anwendung, jeder Ort für Papierakten, jeder Dienstleister. Das Inventar ist das Dokument mit der größten Hebelwirkung im WISP – Risikobewertung, Verschlüsselungsentscheidungen, Überwachung von Dienstleistern und die Reaktion auf Vorfälle beziehen sich alle darauf.

Tag 15 bis 30 — Risikobewertung. Gehen Sie das Inventar durch und identifizieren Sie absehbare Bedrohungen. Phishing gegen Mitarbeiter. Ein verlorener Laptop mit synchronisierten Kundendateien. Ransomware, die das Dokumenten-Repository verschlüsselt. Eine Datenschutzverletzung bei einem Dienstleister, die Kunden-Uploads offenlegt. Bewerten Sie jedes Szenario, notieren Sie aktuelle Abhilfemaßnahmen und markieren Sie Lücken.

Tag 31 bis 60 — Implementierung von Kontrollen. Schließen Sie die Lücken. MFA (Multi-Faktor-Authentisierung) für jedes System, das mit Kundendaten in Berührung kommt, einschließlich Steuersoftware, E-Mail, Cloud-Speicher, Dokumentensignatur und Buchhaltungsplattformen. Festplattenvollverschlüsselung auf jeder Workstation und jedem Laptop. Verfahren zur sicheren Entsorgung von Papier, Festplatten und Ordnern ehemaliger Kunden. Aktualisierung der Dienstleisterverträge um Sicherheitsverpflichtungen. Einführung von Mitarbeiterschulungen mit einem protokollierten Abschlussnachweis.

Tag 61 bis 80 — Den Plan schreiben. Öffnen Sie die Publication 5708 und füllen Sie jeden Abschnitt basierend auf dem Inventar, der Risikobewertung und den Kontrollen aus, die Sie nun implementiert haben. Schreiben Sie den Plan zur Reaktion auf Vorfälle (Incident Response Plan) mit spezifischen Ansprechpartnern, dem FTC-Melde-Workflow und dem Kontakt zum IRS Stakeholder Liaison für Ihre Region. Dokumentieren Sie den Zeitplan für die jährliche Überprüfung.

Tag 81 bis 90 — Testen, Schulung, Berichterstattung. Führen Sie eine Trockenübung des Notfallplans durch. Beauftragen Sie einen Schwachstellen-Scan bei einem seriösen Anbieter. Führen Sie die formelle Mitarbeiterschulung durch und halten Sie die Teilnehmerliste fest. Erstellen Sie den ersten Jahresbericht der qualifizierten Person, unterschreiben Sie ihn und legen Sie ihn ab.

Am Ende der 90 Tage verfügen Sie über einen belastbaren WISP. Es ist keine einmalige Angelegenheit, sondern der Beginn eines jährlichen Zyklus, der das Programm jedes Jahr weiter vorantreibt.

Woran die meisten kleinen Kanzleien noch scheitern

Nachdem ich hunderte kleiner Kanzleien bei ihrem ersten WISP-Zyklus beobachtet habe, treten immer wieder dieselben Lücken auf.

  • Den WISP als Word-Dokument statt als gelebte Praxis zu behandeln. Ein Plan, der in einer Schublade abgelegt wird, ist kein Programm. Der Nachweis der Compliance liegt in Schulungsprotokollen, Dienstleisterüberprüfungen, Berichten über Schwachstellen-Scans und jährlichen Vorstandsberichten – nicht im Plandokument selbst.
  • Verwechslung von Mandantenvertraulichkeit mit Datensicherheit. Eine Vertraulichkeitsklausel in einem Auftragsschreiben ist eine vertragliche Verpflichtung. Die FTC Safeguards Rule ist eine regulatorische Verpflichtung mit technischen, administrativen und physischen Kontrollanforderungen. Sie überschneiden sich, sind aber nicht dasselbe.
  • Ignorieren von Privatgeräten. Wenn ein Partner geschäftliche E-Mails auf einem privaten Telefon abruft, fällt dieses Telefon in den Geltungsbereich des WISP. Die Risikobewertung muss dies berücksichtigen, MFA muss dort erzwungen werden und der Notfallplan muss dieses Szenario vorsehen.
  • Auslassen der Überprüfung von Dienstleistern. Wenn ein Dienstleister eine Datenschutzverletzung erleidet, die Ihre Mandanten betrifft, sind Sie dennoch für die FTC-Benachrichtigung verantwortlich, wenn Sie keine angemessene Überwachung nachweisen können. Die jährliche SOC-2-Prüfung dauert eine Stunde und kann die Kanzlei retten.
  • Den Workflow für die Meldung von Datenschutzverletzungen unter „das klären wir, wenn es passiert“ ablegen. Die 30-Tage-Frist der FTC beginnt mit der Entdeckung, nicht mit dem Datum, an dem Sie entscheiden, dass der Vorfall real ist. Die Bereitstellung des Meldeformulars, der Liste der Benachrichtigungskontakte für die einzelnen Bundesstaaten und der Nummer des Cyber-Versicherers im WISP macht den Unterschied zwischen einem kontrollierten Vorfall und einem regulatorischen Fiasko.

Was gute Buchhaltung damit zu tun hat

Der WISP ist im Grunde eine Geschichte über Aufzeichnungen – was Sie haben, wo es liegt, wer darauf zugreifen darf und was Sie tun, wenn etwas schiefgeht. Die Kanzleien, die am meisten mit der Safeguards Rule kämpfen, sind dieselben, die mit ihren eigenen Büchern kämpfen: verstreute Aufzeichnungen in nicht miteinander verbundenen Systemen, keine Versionshistorie, kein Audit-Trail darüber, wer was wann geändert hat.

Die Verbindung ist kein Zufall. Eine Buchhaltungspraxis, die auf textbasierter, versionskontrollierter Buchführung basiert, bietet Ihnen dieselben Grundlagen, die ein glaubwürdiges Sicherheitsprogramm benötigt: eine Single Source of Truth, eine manipulationssichere Historie, die Möglichkeit, genau zu rekonstruieren, wie der Zustand der Welt an einem bestimmten Datum war, und die Fähigkeit, Zugriffe zu gewähren oder zu entziehen, ohne die Spur zu verlieren. Wenn die FTC fragt, welche Kundendaten Sie zum Zeitpunkt eines Vorfalls hatten, schlägt „Lassen Sie mich das Hauptbuch zu diesem Zeitstempel abfragen“ die Antwort „Lassen Sie mich prüfen, ob das Backup noch gut ist“ jedes Mal.

Halten Sie die Finanzunterlagen Ihrer Kanzlei so belastbar wie Ihren WISP

Ein schriftlicher Informationssicherheitsplan ist nur so gut wie die Aufzeichnungen, die er schützt. Wenn Ihre eigenen Bücher in undurchsichtigen Systemen ohne Versionshistorie leben, haben Sie bereits den Audit-Trail verloren, den die FTC Safeguards Rule, Ihr Berufshaftpflichtversicherer und Ihre Mandanten von Ihnen erwarten. Beancount.io bietet eine textbasierte, Git-versionierte Buchhaltung, die Kanzleien vollständige Transparenz über ihre eigenen Finanzdaten bietet – jede Transaktion, jede Umklassifizierung, jede Abstimmung wird in einer manipulationssicheren Historie erfasst, die Sie tatsächlich kontrollieren. Starten Sie kostenlos und führen Sie Ihre Kanzlei nach demselben Beweisstandard, den Sie Ihren Mandanten schulden.