DSGVO: Sind Steuerberater Auftragsverarbeiter? Ein Papier der Datenschutzkonferenz schafft Orientierung

DSGVO: Sind Steuerberater Auftragsverarbeiter? Ein Papier der Datenschutzkonferenz schafft Orientierung

Beitrag als PDF herunterladen

In meinem Beitrag vom 2. Januar 2018 habe ich Ihnen das Thema Auftragsverarbeitung nähergebracht.

Ich bin dort bewusst nicht auf die Frage eingegangen, ob die Leistungen eines Steuerberaters gegenüber seinen Mandanten als Auftragsverarbeitung im Sinne der EU-Datenschutz-Grundverordnung (DSGVO) anzusehen sind.

Die Kernfrage – und unterschiedliche Ansichten

Kann denn nun ein Steuerberater Auftragsdatenverarbeiter eines Mandanten sein? Hierzu gab es in der Vergangenheit durchaus unterschiedliche Auffassungen. Die Bundessteuerberaterkammer und das Bayerische Landesamt für Datenschutzaufsicht (Aufsichtsbehörde für Steuerkanzleien in Bayern) verneinten dies, da die freiberufliche und eigenverantwortliche Tätigkeit die enge Weisungsgebundenheit im Sinne des § 11 BDSG (in der alten Fassung, gültig bis 24.05.2018) nicht zulasse.

Einige andere Aufsichtsbehörden vertraten teilweise eine andere Rechtsauffassung und bejahten diese Frage, sofern nur und ausschließlich die Lohnbuchhaltung des Mandanten von der Steuerkanzlei geführt wird, denn eine Auslagerung der Lohnbuchhaltung an z. B. ein Lohnbüro wird allgemein als typische Auftragsverarbeitung gesehen.

Bislang gab es keine Aussagen von den Datenschutz-Aufsichtsbehörden zu der Frage, wie dies nach In-Kraft-Treten der DSGVO interpretiert werden wird. In den letzten Monaten traten vermehrt Mandanten an Steuerkanzleien heran und wollten mit der Kanzlei einen Vertrag zur Auftragsverarbeitung schließen. Ich habe mich jedoch immer auf die noch gültige Position der Bundessteuerberaterkammer berufen und klar zum Ausdruck gebracht, dass sich nach meiner Auffassung auch nach dem 25.05.2018 daran nichts ändern wird. Leider hat es hierfür mancherorts sehr viel Überzeugungsarbeit gebraucht.

Das Kurzpapier der Datenschutzkonferenz

Am 16.01.2018 erschien schließlich das Kurzpapier Nummer 13 der unabhängigen Datenschutzbehörden des Bundes und der Länder (Datenschutzkonferenz – DSK) mit dem Titel „Auftragsverarbeitung“. Dieses Kurzpapier dient als erste Orientierung insbesondere für den nicht-öffentlichen Bereich, wie nach Auffassung der DSK die Datenschutz-Grundverordnung (DSGVO) im praktischen Vollzug angewendet werden sollte, steht allerdings unter dem Vorbehalt einer zukünftigen – möglicherweise abweichenden – Auslegung des Europäischen Datenschutzausschusses. Der Anhang B dieses Kurzpapiers befasst sich unter anderem mit Berufsgeheimnisträgern. Ein Auszug:

“Anhang B
Keine Auftragsverarbeitung, sondern die Inanspruchnahme fremder Fachleistungen bei einem eigenständig Verantwortlichen, für die bei der Verarbeitung (einschließlich Übermittlung) personenbezogener Daten eine Rechtsgrundlage gemäß Art. 6 DSGVO gegeben sein muss, sind beispielsweise in er Regel die Einbeziehung eines

  • Berufsgeheimnisträgers (Steuerberater, Rechtsanwälte, externe Betriebsärzte, Wirtschaftsprüfer),
  • Inkassobüros mit Forderungsübertragung,
  • Bankinstituts für den Geldtransfer,
  • Postdienstes für den Brieftransport,

und vieles mehr.”

Fazit und Ausblick

Nachdem die oben erwähnte Rechtsgrundlage gemäß Art. 6 DSGVO in einer Steuerkanzlei durch den Steuerberatungsvertrag zwischen Kanzlei und Mandant eindeutig geben ist, steht es mittlerweile außer Frage, dass die Leistungen eines Steuerberaters nicht als Auftragsverarbeitung im Sinne der DSGVO zu sehen sind.

Dies schließt natürlich nicht aus, dass sich ein Mandant nach dem Datenschutzniveau seiner Kanzlei erkundigen darf. Um so mehr als er ab dem 25.05.2018 ein Anrecht darauf hat, eine Information in Form einer Datenschutzerklärung im Sinne des Art. 13 DSGVO zu erhalten, in der insbesondere auch die Kontaktdaten des Datenschutzbeauftragten der Kanzlei enthalten sein müssen.

Weitere Informationen

Kurzpapier Nr. 13 – Auftragsverarbeitung (der unabhängigen Datenschutzbehörden des Bundes und der Länder (Datenschutzkonferenz – DSK): https://www.lda.bayern.de/media/dsk_kpnr_13_auftragsverarbeitung.pdf

 


Dies könnte Sie auch interessieren:

Beitrag als PDF herunterladen

5 Responses

  1. Danke für die Auskunft.
    So nervig diese Verträge für den Steuerberater auch sein mögen – der Datenschutzbeauftragte ist ebenfalls froh über jeden Vertrag, den er nicht abschließen muss!
    Leider ist jedoch das Unternehmen, welches die Daten weitergibt immer im Zugzwang; und daher umso dankbarer für rechtssichere Hinweise darüber, warum die Notwendigkeit nicht gegeben ist.

  2. Wenn das gelten soll, dann ist doch auch jeder Hoster mit Daten von meinen Kunden ein Verantwortlicher und kein Auftragsverarbeiter. Oder sehe ich das falsch?

  3. Das Thema Hosting würde ich klar dem Anhang B des o. g. DSK-Papiers zuordnen, sprich ein klarer Fall von Auftragsverarbeitung.

    1. Vielen Dank für die Richtigstellung!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.