Beancount.io LogoBeancount.io

WISP-Compliance: Warum jeder Steuerprofi 2026 einen schriftlichen Informationssicherheitsplan benötigt

13 Minuten LesezeitMike ThriftMike Thrift
WISP-Compliance: Warum jeder Steuerprofi 2026 einen schriftlichen Informationssicherheitsplan benötigt

Hier ist eine unangenehme Tatsache: Wenn Sie in der letzten Saison auch nur eine einzige Steuererklärung für einen zahlenden Kunden erstellt haben und keinen schriftlichen Informationssicherheitsplan (Written Information Security Plan, WISP) vorweisen können, agieren Sie technisch gesehen außerhalb des Bundesrechts. Die Federal Trade Commission (FTC) kann Bußgelder von bis zu 46.517 $ pro Verstoß und Tag verhängen. Der IRS kann Ihre PTIN entziehen. Und Ihre Berufshaftpflichtversicherung kann einen Anspruch nach einer Datenpanne mit Verweis auf das fehlende Dokument ablehnen.

Die meisten Steuerberater und Buchhalter haben das Akronym „WISP“ schon einmal gehört, betrachten es aber als das Problem anderer – die Art von Sache, um die sich große Kanzleien mit Compliance-Beauftragten kümmern müssen. Diese Annahme ist etwa fünf Jahre veraltet. Die geänderte FTC Safeguards Rule, die seit Juni 2023 voll in Kraft ist, hat Einzelberater, kleine CPA-Kanzleien und Buchhaltungsbüros direkt in dasselbe Regulierungssystem einbezogen, das auch für lokale Banken gilt. Jeder bezahlte Steuerberater, der eine PTIN beantragt oder erneuert, muss nun auf dem Formular W-12, Zeile 11, bestätigen, dass er seine Verpflichtungen zur Datensicherheit versteht.

Dieser Leitfaden erläutert, was ein WISP eigentlich ist, welche neun Elemente die FTC und der IRS erwarten, welche technischen Kontrollen sich von „Best Practice“ zu „vorgeschrieben“ entwickelt haben und wie man einen Plan erstellt, der einer echten Prüfung standhält, anstatt nur in einem Ordner gut auszusehen.

Die zwei Gesetze, die Sie hierher geführt haben

Zwei sich überschneidende regulatorische Pfade führen zum gleichen Ergebnis: Sie benötigen einen schriftlichen Plan.

Gramm-Leach-Bliley Act (GLBA) und die FTC Safeguards Rule. Der Kongress verabschiedete den GLBA im Jahr 1999, um den Umgang von Finanzinstituten mit Kundeninformationen zu regeln. Die Durchführungsverordnung der FTC – die Safeguards Rule (16 CFR Part 314) – definiert „Finanzinstitut“ so weit, dass jedes Unternehmen erfasst wird, das „erheblich“ an Finanztätigkeiten beteiligt ist. Die FTC vertritt seit langem die Auffassung, dass Steuerberatung, Buchhaltung und ähnliche Dienstleistungen darunter fallen. Die Regelung wurde im Dezember 2021 grundlegend geändert, und die neuen technischen Anforderungen (MFA, Verschlüsselung, qualifizierte Person, schriftliches Programm) traten am 9. Juni 2023 voll in Kraft.

IRS-Publikation 4557 und die PTIN-Bestätigung. Die Abschnitte 7216 und 6713 des Internal Revenue Code sahen bereits Strafen für die unbefugte Offenlegung von Steuererklärungsinformationen vor. Der IRS ergänzte dies durch die Publikation 4557 („Safeguarding Taxpayer Data“) und die Publikation 5708 („Creating a Written Information Security Plan for Your Tax & Accounting Practice“) als praktischen Leitfaden. Der PTIN-Erneuerungszyklus 2024 fügte ein verbindliches Kontrollkästchen hinzu: Steuerberater müssen ihre WISP-Compliance auf dem Formular W-12, Zeile 11, bestätigen. Falschangaben in dieser Zeile sind ein Problem für sich.

Der Nettoeffekt: Ein Ein-Personen-Steuerbüro in einer Ladenzeile wird an denselben Maßstäben gemessen wie eine regionale CPA-Kanzlei. Die Regelung passt die Kontrollen an Ihre Größe und Komplexität an, aber die Verpflichtung zu einem schriftlichen Plan ist binär – entweder Sie haben einen oder nicht.

Wer tatsächlich einen haben muss

Sie benötigen einen WISP, wenn Sie:

  • Eine Bundessteuererklärung gegen Entgelt erstellen (einschließlich gelegentlicher Nebentätigkeiten für zahlende Kunden)
  • Eine PTIN oder EFIN besitzen oder ein autorisierter IRS e-File Provider sind
  • Dienstleistungen in den Bereichen Buchhaltung, Lohnabrechnung oder Rechnungswesen erbringen, die Finanzinformationen von Kunden beinhalten
  • Als virtueller CFO, Fractional Controller oder externer Buchhalter tätig sind
  • Einen registrierten Anlageberater (RIA), Hypothekenmakler, Scheckeinlöser oder ein anderes unter den GLBA fallendes Unternehmen betreiben

Das Volumen spielt keine Rolle. Die Regelung befreit Sie nicht, wenn Sie weniger als X Erklärungen erstellen oder weniger als Y an Gebühren einnehmen. Ein einzelner Enrolled Agent, der zwanzig Erklärungen pro Jahr erstellt, wird identisch behandelt wie eine Kanzlei mit 200 Mitarbeitern – beide müssen einen schriftlichen, aktuellen und unterzeichneten Plan haben.

In der Safeguards Rule gibt es eine eng gefasste Ausnahme für Institutionen, die Kundeninformationen von weniger als 5.000 Verbrauchern verwalten. Diese lockert einige Dokumentationsanforderungen (schriftliche Risikobewertung, Incident-Response-Plan, Jahresbericht an den Vorstand). Die Kernverpflichtung jedoch – die Benennung einer qualifizierten Person, die Implementierung von Schutzmaßnahmen und ein schriftliches Programm – gilt unabhängig von der Größe.

Die neun Elemente, die Ihr WISP enthalten muss

Die geänderte Safeguards Rule legt neun erforderliche Komponenten fest. Ihr WISP muss nicht exakt diese Überschriften verwenden, aber jede einzelne muss irgendwo im Dokument behandelt werden. Die Vorlage der IRS-Publikation 5708 folgt derselben Struktur.

1. Benennung einer qualifizierten Person

Sie müssen formell eine Person benennen, die für die Überwachung des Informationssicherheitsprogramms verantwortlich ist. Bei einem Einzelberater sind das Sie selbst. In einer Kanzlei ist dies in der Regel der geschäftsführende Partner, ein IT-Leiter oder – zunehmend – ein externer vCISO. Die qualifizierte Person muss kein Sicherheitsexperte sein, benötigt aber die Befugnis, Entscheidungen zu treffen und gegenüber der Geschäftsführung oder dem Vorstand Bericht zu erstatten.

Dokumentieren Sie die Ernennung schriftlich. Geben Sie das Startdatum, den Umfang der Befugnisse und den Berichtsweg an.

2. Eine schriftliche Risikobewertung durchführen

Identifizieren Sie, welche Kundeninformationen Sie erfassen, wo diese gespeichert werden, wer darauf zugreifen kann und was schiefgehen könnte. Die Bewertung muss schriftlich erfolgen und regelmäßig aktualisiert werden — mindestens jährlich sowie jedes Mal, wenn sich Ihre Umgebung wesentlich ändert (neue Software, neues Personal, neues Büro, Sicherheitsvorfall).

Mindestumfang:

  • Dateninventar: Sozialversicherungsnummern, Geburtsdaten, Finanzkontonummern, Kopien von W-2s und 1099s, Bankauszüge, Steuererklärungen aus Vorjahren, EIN-Daten, K-1s
  • Speicherorte: Datenbanken der Steuersoftware, Cloud-Backups, E-Mail-Anhänge, Mandantenportale, Papierakten, mobile Geräte, USB-Sticks
  • Bedrohungsszenarien: Phishing, Ransomware, verlorene Laptops, böswillige Mitarbeiter, Sicherheitsverletzungen bei Dienstleistern, physische Einbrüche
  • Wahrscheinlichkeit und Auswirkungen: Bewerten Sie jedes Szenario, damit Ihre Schutzmaßnahmen angemessen gestaltet werden können

3. Sicherheitsvorkehrungen entwerfen und implementieren

Dies ist der Kern des WISP (Written Information Security Plan). Die Regelung verlangt spezifische technische und administrative Kontrollen, von denen einige nicht mehr optional sind:

  • Zugriffskontrollen: Beschränken Sie den Zugriff auf Kundendaten nach dem „Need-to-know“-Prinzip; entziehen Sie den Zugriff sofort, wenn ein Mitarbeiter das Unternehmen verlässt
  • Verschlüsselung im Ruhezustand und bei der Übertragung: AES-256 (oder gleichwertig) auf allen Geräten, Festplatten, Backups und Wechselmedien; TLS 1.2 oder höher für Daten in Bewegung; Festplattenvollverschlüsselung auf jedem Laptop und jeder Workstation
  • Multi-Faktor-Authentifizierung (MFA): Erforderlich für jeden, der auf Kundeninformationen über ein beliebiges System zugreift — Steuersoftware, E-File-Portale, Cloud-Speicher, E-Mail, Fernzugriffstools. Nur auf SMS basierende MFA gilt als veraltet; verwenden Sie nach Möglichkeit Authentifikator-Apps oder Hardware-Keys
  • Sichere Entwicklung und Konfiguration: Wenn Sie Software entwickeln oder anpassen, wenden Sie Standards für sichere Codierung an; patchen Sie Systeme in einem definierten Rhythmus
  • Inventarisierung und Entsorgung: Verfolgen Sie Geräte nach und entsorgen Sie Medien sicher (geschreddert oder gelöscht nach NIST 800-88 Standards)
  • Änderungsmanagement: Dokumentieren und genehmigen Sie Änderungen an Systemen, die Kundendaten verarbeiten

4. Sicherheitsvorkehrungen regelmäßig überwachen und testen

Sie müssen verifizieren, dass die Kontrollen tatsächlich funktionieren. Die Regelung bietet zwei akzeptable Wege:

  • Kontinuierliche Überwachung: Tools wie SIEM, EDR oder Managed Detection-and-Response-Dienste, die verdächtige Aktivitäten protokollieren und melden
  • Jährliche Penetrationstests plus halbjährliche Schwachstellenanalysen: Traditionelle Tests durch Drittanbieter, falls Sie keine kontinuierliche Überwachung implementiert haben

Für einen Einzelberater kann „kontinuierliche Überwachung“ ein ordnungsgemäß konfiguriertes Endpunktschutzprodukt bedeuten, das bei Anomalien alarmiert. Bei einer größeren Kanzlei ist zu erwarten, dass ein externer Testdienst beauftragt wird.

5. Schulung Ihrer Mitarbeiter

Jährliche Schulungen zum Sicherheitsbewusstsein sind für alle Mitarbeiter mit Zugriff auf Kundendaten verpflichtend — einschließlich Subunternehmern und Saisonkräften. Die Themen müssen Phishing-Erkennung, Passworthygiene, Gerätesicherheit, Social Engineering und die Meldung von Vorfällen umfassen.

Führen Sie Anwesenheitslisten. „Ich habe es ihnen in einer Teambesprechung gesagt“ zählt nicht.

6. Dienstleister beaufsichtigen

Jeder Anbieter mit Zugriff auf Kundendaten — Steuersoftware, Cloud-Speicher, Dokumentenmanagement, IT-Support, Lohnabrechnungsanbieter, E-Signatur-Tools, sogar Ihr Aktenvernichtungsunternehmen — muss:

  • Mit Sorgfalt (Due Diligence) hinsichtlich seiner Sicherheitspraktiken ausgewählt werden
  • Durch einen schriftlichen Vertrag an angemessene Sicherheitsvorkehrungen gebunden sein
  • Regelmäßig überprüft werden (in der Regel jährlich)

Fordern Sie von Anbietern einen SOC 2 Typ II Bericht oder ein Äquivalent an. Der Vertrag sollte eine Klausel zur Benachrichtigung bei Sicherheitsverletzungen mit einem definierten Zeitrahmen enthalten — die meisten Kanzleien verlangen eine Benachrichtigung innerhalb von 72 Stunden nach Entdeckung.

7. Das Programm aktuell halten

Bewerten Sie den WISP neu und passen Sie ihn an, wenn sich die Bedrohungslage verschiebt oder sich Ihre Betriebsabläufe ändern. Neues Büro? Neue Software? Eine kleine Praxis übernommen? Aktualisieren Sie den Plan.

8. Einen schriftlichen Vorfall-Reaktionsplan erstellen

Der Plan muss Folgendes abdecken:

  • Interne Eskalation: Wer erfährt in welcher Reihenfolge von dem Vorfall
  • Eindämmung und Behebung: Wer stoppt den Schaden
  • Externe Benachrichtigung: Mandanten, Generalstaatsanwälte der Bundesstaaten, die FTC und der IRS
  • Dokumentation: Protokolle, Beweise und einen Zeitplan aufbewahren
  • Gewonnene Erkenntnisse: Post-Mortem-Analyse mit dokumentierten Korrekturmaßnahmen

Der IRS erwartet von Steuerberatern, dass sie Datendiebstahl innerhalb von 24 Stunden nach Entdeckung über den IRS Stakeholder Liaison und die Federation of Tax Administrators melden. Gemäß den am 13. Mai 2024 in Kraft getretenen Änderungen der Safeguards Rule müssen Sie die FTC zudem über jedes Sicherheitsereignis informieren, das 500 oder mehr Verbraucher betrifft, und zwar spätestens 30 Tage nach Entdeckung — diese Meldung ist öffentlich.

9. Bericht an den Vorstand (oder die Eigentümer)

Die qualifizierte Person muss mindestens einmal jährlich einen schriftlichen Bericht an den Vorstand oder, bei kleineren Firmen, an den leitenden Verantwortlichen vorlegen. Der Bericht umfasst den Gesamtzustand des Programms, die Ergebnisse der Risikobewertung, signifikante Ereignisse während des Jahres und alle empfohlenen Änderungen.

Einzelberater? Sie schreiben ihn an sich selbst, unterschreiben ihn und legen ihn in die Akte. Ja, wirklich.

Buchhaltungsunterlagen: Der vergessene Compliance-Nachweis

Wenn jemals eine Aufsichtsbehörde oder ein Prüfer erscheint, ist das Erste, wonach sie fragen, die Dokumentation. Ihr WISP besagt, dass Sie im März Mitarbeiter geschult, im Juli einen externen Pentest-Anbieter bezahlt, im September eine Workstation ersetzt und im November Ihre Cyber-Versicherung erneuert haben — und Sie benötigen Quittungen, Rechnungen und Hauptbucheinträge, um jede dieser Behauptungen zu belegen. Praxen, die Sicherheitsausgaben als sonstige Posten auf einer Kreditkartenabrechnung behandeln, geraten am Ende in Erklärungsnot.

Richten Sie eine klare Kontenrahmen-Segregation für sicherheitsrelevante Ausgaben ein (Schulungen, Software, Audits, Versicherungen, Hardware), damit Sie bei Bedarf einen sauberen Vorjahresvergleich erstellen können. Dieselben Plain-Text-Datensätze, die Ihren Buchhalter zur Steuerzeit zufriedenstellen, werden zu Ihrer Beweisdatei, wenn die FTC fragt, wie Sie Ihren Plan operationalisiert haben.

Die technischen Kontrollen, an denen viele scheitern

Zwei Anforderungen sind in der Praxis für die Mehrzahl der WISP-Fehler verantwortlich.

Multi-Faktor-Authentisierung, überall. Die Vorschrift erlaubt MFA nicht nur dort, „wo es bequem ist“. Sie gilt für jeden, der von irgendeinem System aus auf Kundeninformationen zugreift. Das umfasst Ihre Steuersoftware, Ihr E-File-Portal, Ihr Mandantenportal, Ihre E-Mails (die Anhänge mit Steuerdaten enthalten), Cloud-Speicher, Buchhaltungssoftware und alle Fernzugriffstools. Die IRS bevorzugt ausdrücklich Authentisierungs-Apps oder Hardware-Token gegenüber SMS, die anfällig für SIM-Swap-Angriffe sind.

Ein kurzer Selbstcheck: Melden Sie sich bei jeder Geschäftsanwendung ab, die Sie nutzen. Versuchen Sie, sich wieder anzumelden. Wenn auch nur eine davon lediglich ein Passwort verlangt, haben Sie eine prüfungsrelevante Feststellung.

Verschlüsselung ruhender Daten. Eine Festplattenvollverschlüsselung ist auf jedem Gerät erforderlich, auf dem Kundeninformationen gespeichert werden – einschließlich des privaten Laptops, den Ihre saisonale Aushilfe mit ins Homeoffice nimmt. BitLocker unter Windows Pro und FileVault unter macOS erfüllen die Anforderung, wenn sie ordnungsgemäß konfiguriert sind. Verschlüsseln Sie Backups, USB-Sticks und alle tragbaren Medien. Verschlüsseln Sie E-Mails, wenn sie Kundendaten enthalten (ein Mandantenportal ist in der Regel eine bessere Lösung als verschlüsselte E-Mails).

Die andere häufig übersehene Kontrolle ist die Anbieterüberwachung. Viele Kanzleien verfügen über einen SOC 2-Bericht ihres Steuersoftware-Anbieters, haben aber keinen Vertrag oder keine Bewertung für das spezialisierte Cloud-Speicher-Tool, das sie letztes Jahr abonniert haben, das E-Signatur-Plugin, das sie getestet haben, oder den IT-Dienstleister, der über Admin-Zugangsdaten verfügt. Erstellen Sie ein Bestandsverzeichnis Ihrer Anbieter und aktualisieren Sie dieses jährlich.

Was passiert, wenn Sie es falsch machen

Die Strafen sind nicht theoretischer Natur:

  • Zivilrechtliche Strafen der FTC von bis zu 46.517 $ pro Verstoß und Tag unter der geänderten Safeguards Rule
  • Strafen wegen unterlassener Benachrichtigung, die in veröffentlichten Verfahren 500.000 $ erreicht haben
  • Suspendierung oder Widerruf der PTIN durch die IRS, was faktisch das Ende Ihrer Berechtigung zur Erstellung von Steuererklärungen bedeutet
  • Maßnahmen der Generalstaatsanwälte der Bundesstaaten unter den einzelstaatlichen Gesetzen zur Benachrichtigung bei Datenpannen (die in allen 50 US-Bundesstaaten existieren)
  • Privatrechtliche Klagen von betroffenen Mandanten, mit gesetzlich festgelegtem Schadensersatz in einigen Bundesstaaten
  • Versagung des Versicherungsschutzes, wenn eine Berufshaftpflicht- oder Cyber-Versicherung Ansprüche ausschließt, die aus der Nichteinhaltung von Vorschriften resultieren
  • Reputationsverlust, was für eine Steuerkanzlei oft bedeutet, innerhalb von zwölf Monaten einen erheblichen Teil des Mandantenstamms zu verlieren

Die IRS hat deutlich gemacht, dass ein fehlender WISP als Beweis für ein umfassenderes Compliance-Versagen gewertet wird und nicht bloß als formeller Fehler bei den Unterlagen.

Ein realistischer Fahrplan zu einem vertretbaren WISP

Der Übergang von Null zu einem vertretbaren Plan ist für einen Einzelunternehmer ein Projekt von vier bis sechs Wochen und für eine größere Kanzlei eine mehrmonatige Anstrengung. Ein realistischer Ablauf:

Woche 1: Inventur. Listen Sie jedes System auf, das mit Kundendaten in Berührung kommt, jeden Mitarbeiter oder Auftragnehmer mit Zugriff, jeden Anbieter in der Datenkette und jedes Gerät, das Sie besitzen. Dies ist Ihr Rohmaterial.

Woche 2: Risikobewertung. Gehen Sie plausible Bedrohungen für das Inventar durch. Bewerten Sie jedes Szenario. Identifizieren Sie Ihre fünf größten Risiken.

Woche 3: Gap-Analyse. Vergleichen Sie Ihre aktuellen Kontrollen mit den neun erforderlichen Elementen. Notieren Sie jede Lücke. Die größten Lücken bei kleinen Kanzleien sind typischerweise die MFA-Abdeckung, Anbieterverträge und Verfahren zur Reaktion auf Vorfälle (Incident Response).

Woche 4: Behebung. Aktivieren Sie MFA überall. Rollen Sie die Festplattenvollverschlüsselung auf jedem Gerät aus. Schließen Sie schriftliche Vereinbarungen mit wichtigen Anbietern ab. Planen Sie Schulungen. Dokumentieren Sie alles.

Woche 5: Erstellung des WISP. Nutzen Sie die Vorlage der IRS-Publikation 5708 als Ausgangspunkt und passen Sie diese konsequent an – ein kopierter Plan ist schlimmer als gar kein Plan, da er mangelnde Sorgfalt zeigt. Lassen Sie ihn von der qualifizierten Person unterzeichnen.

Woche 6 (und jährlich): Testen, Schulen, Berichten. Führen Sie eine Trockenübung für Ihren Plan zur Reaktion auf Vorfälle durch. Führen Sie jährliche Schulungen durch. Erstellen Sie den Jahresbericht für die Geschäftsführung. Planen Sie die nächste Überprüfung.

Setzen Sie sich Kalendererinnerungen für den jährlichen Zyklus. Das häufigste Compliance-Versagen ist nicht der ursprüngliche WISP – es ist die Kanzlei, die 2023 einen Plan erstellt und ihn danach nie wieder angefasst hat.

Einige verbreitete Missverständnisse

„Meine Steuersoftware ist SOC 2-zertifiziert, also bin ich abgesichert.“ Nein. Die Compliance des Softwareanbieters deckt dessen Umgebung ab, nicht Ihre. Sie benötigen dennoch einen WISP für alles, was Sie außerhalb dieser Plattform tun – E-Mails, lokale Dateien, Ihr Büronetzwerk.

„Ich arbeite im Homeoffice, daher gelten andere Regeln.“ Nein. Eine Kanzlei im Homeoffice hat dieselben WISP-Verpflichtungen wie eine im Büro. Wenn überhaupt, sind die Kontrollen schwieriger, da die Grenze zwischen privaten und geschäftlichen Systemen verschwimmt.

„Ich lagere die Buchhaltung an ein Team im Ausland aus, also kümmern die sich um die Sicherheit.“ Diese sind unter der Regelung Ihr Dienstleister. Sie sind dafür verantwortlich, diese zu bewerten, Verträge mit ihnen abzuschließen und deren Kontrollen zu überwachen.

„Ich habe eine Cyber-Versicherung, also bin ich geschützt.“ Die meisten Cyber-Versicherungen setzen mittlerweile einen WISP als Bedingung für den Versicherungsschutz voraus. Das Kleingedruckte erst nach einer Datenpanne zu lesen, ist ein schlechter Zeitpunkt für diese Erkenntnis.

Halten Sie Ihre Finanzen vom ersten Tag an organisiert

Ein vertretbarer WISP basiert auf Dokumentation – und das gilt auch für eine ordnungsgemäße Buchführung. Egal, ob Sie Abonnements für Sicherheitssoftware, Schulungsrechnungen und Prüfungsgebühren nachverfolgen, die belegen, dass Ihr Compliance-Programm echt ist, oder ob Sie einfach die Buchhaltungsunterlagen führen, deren Verwaltung Ihre Mandanten Ihnen anvertrauen: Plain-Text-Buchhaltung bietet Ihnen etwas, das Blackbox-Software nicht kann: vollständige Transparenz, Versionskontrolle und einen Revisionspfad, der tatsächlich Ihnen gehört. Beancount.io bietet Plain-Text-Buchhaltung, die transparent, versionsgesteuert und bereit für KI ist – keine Anbieterbindung, keine undurchsichtige Exporte. Starten Sie kostenlos und sehen Sie, warum Entwickler und Finanzexperten zur Plain-Text-Buchhaltung wechseln.