DSGVO: Sind Steuerberater Auftragsverarbeiter? Ein Papier der Datenschutzkonferenz schafft Orientierung

DSGVO: Sind Steuerberater Auftragsverarbeiter? Ein Papier der Datenschutzkonferenz schafft Orientierung

Beitrag als PDF herunterladen

In meinem Beitrag vom 2. Januar 2018 habe ich Ihnen das Thema Auftragsverarbeitung nähergebracht.

Ich bin dort bewusst nicht auf die Frage eingegangen, ob die Leistungen eines Steuerberaters gegenüber seinen Mandanten als Auftragsverarbeitung im Sinne der EU-Datenschutz-Grundverordnung (DSGVO) anzusehen sind.

Die Kernfrage – und unterschiedliche Ansichten

Kann denn nun ein Steuerberater Auftragsdatenverarbeiter eines Mandanten sein? Hierzu gab es in der Vergangenheit durchaus unterschiedliche Auffassungen. Die Bundessteuerberaterkammer und das Bayerische Landesamt für Datenschutzaufsicht (Aufsichtsbehörde für Steuerkanzleien in Bayern) verneinten dies, da die freiberufliche und eigenverantwortliche Tätigkeit die enge Weisungsgebundenheit im Sinne des § 11 BDSG (in der alten Fassung, gültig bis 24.05.2018) nicht zulasse.

Einige andere Aufsichtsbehörden vertraten teilweise eine andere Rechtsauffassung und bejahten diese Frage, sofern nur und ausschließlich die Lohnbuchhaltung des Mandanten von der Steuerkanzlei geführt wird, denn eine Auslagerung der Lohnbuchhaltung an z. B. ein Lohnbüro wird allgemein als typische Auftragsverarbeitung gesehen.

Bislang gab es keine Aussagen von den Datenschutz-Aufsichtsbehörden zu der Frage, wie dies nach In-Kraft-Treten der DSGVO interpretiert werden wird. In den letzten Monaten traten vermehrt Mandanten an Steuerkanzleien heran und wollten mit der Kanzlei einen Vertrag zur Auftragsverarbeitung schließen. Ich habe mich jedoch immer auf die noch gültige Position der Bundessteuerberaterkammer berufen und klar zum Ausdruck gebracht, dass sich nach meiner Auffassung auch nach dem 25.05.2018 daran nichts ändern wird. Leider hat es hierfür mancherorts sehr viel Überzeugungsarbeit gebraucht.

Das Kurzpapier der Datenschutzkonferenz

Am 16.01.2018 erschien schließlich das Kurzpapier Nummer 13 der unabhängigen Datenschutzbehörden des Bundes und der Länder (Datenschutzkonferenz – DSK) mit dem Titel „Auftragsverarbeitung“. Dieses Kurzpapier dient als erste Orientierung insbesondere für den nicht-öffentlichen Bereich, wie nach Auffassung der DSK die Datenschutz-Grundverordnung (DSGVO) im praktischen Vollzug angewendet werden sollte, steht allerdings unter dem Vorbehalt einer zukünftigen – möglicherweise abweichenden – Auslegung des Europäischen Datenschutzausschusses. Der Anhang B dieses Kurzpapiers befasst sich unter anderem mit Berufsgeheimnisträgern. Ein Auszug:

“Anhang B
Keine Auftragsverarbeitung, sondern die Inanspruchnahme fremder Fachleistungen bei einem eigenständig Verantwortlichen, für die bei der Verarbeitung (einschließlich Übermittlung) personenbezogener Daten eine Rechtsgrundlage gemäß Art. 6 DSGVO gegeben sein muss, sind beispielsweise in er Regel die Einbeziehung eines

  • Berufsgeheimnisträgers (Steuerberater, Rechtsanwälte, externe Betriebsärzte, Wirtschaftsprüfer),
  • Inkassobüros mit Forderungsübertragung,
  • Bankinstituts für den Geldtransfer,
  • Postdienstes für den Brieftransport,

und vieles mehr.”

Fazit und Ausblick

Nachdem die oben erwähnte Rechtsgrundlage gemäß Art. 6 DSGVO in einer Steuerkanzlei durch den Steuerberatungsvertrag zwischen Kanzlei und Mandant eindeutig geben ist, steht es mittlerweile außer Frage, dass die Leistungen eines Steuerberaters nicht als Auftragsverarbeitung im Sinne der DSGVO zu sehen sind.

Dies schließt natürlich nicht aus, dass sich ein Mandant nach dem Datenschutzniveau seiner Kanzlei erkundigen darf. Um so mehr als er ab dem 25.05.2018 ein Anrecht darauf hat, eine Information in Form einer Datenschutzerklärung im Sinne des Art. 13 DSGVO zu erhalten, in der insbesondere auch die Kontaktdaten des Datenschutzbeauftragten der Kanzlei enthalten sein müssen.

Weitere Informationen

Kurzpapier Nr. 13 – Auftragsverarbeitung (der unabhängigen Datenschutzbehörden des Bundes und der Länder (Datenschutzkonferenz – DSK): https://www.lda.bayern.de/media/dsk_kpnr_13_auftragsverarbeitung.pdf

 


Dies könnte Sie auch interessieren:

Beitrag als PDF herunterladen

11 Responses

  1. Danke für die Auskunft.
    So nervig diese Verträge für den Steuerberater auch sein mögen – der Datenschutzbeauftragte ist ebenfalls froh über jeden Vertrag, den er nicht abschließen muss!
    Leider ist jedoch das Unternehmen, welches die Daten weitergibt immer im Zugzwang; und daher umso dankbarer für rechtssichere Hinweise darüber, warum die Notwendigkeit nicht gegeben ist.

  2. Wenn das gelten soll, dann ist doch auch jeder Hoster mit Daten von meinen Kunden ein Verantwortlicher und kein Auftragsverarbeiter. Oder sehe ich das falsch?

  3. Das Thema Hosting würde ich klar dem Anhang B des o. g. DSK-Papiers zuordnen, sprich ein klarer Fall von Auftragsverarbeitung.

    1. Vielen Dank für die Richtigstellung!

  4. Ein Freund hat das auch mit seiner Rechtsanwaltskanzlei ausgetüftelt. Er wusste sich nicht mehr zu helfen. Überall greift das Gesetz ein. Man weiß als Unternehmer gar nicht mehr, was man alles beachten muss und ob man alles beachtet hat. Danke für den tollen Beitrag.

  5. Vielen Dank für diese Klarstellung.
    Wie verhält es sich jedoch, wenn eine StB-Kanzlei ihren Mandanten eine webbasierte Software zur Rechnungserstellung zur Verfügung stellt und diese Software bzw. dieses Modul dann die Buchungssätze an das Buchungsmodul der Kanzlei weitergibt. Ist das immer noch ohne ADV-Vertrag rechtssicher im Sinne der DSGVO?

    1. Grundsätzlich bin ich (wie auch die restlichen Mitglieder des gemeinsamen Arbeitskreises DStV/BStBK) der Meinung, dass die Leistung des Steuerberaters eine eigenverantwortlich erbrachte fachliche Beratung und somit keine Auftragsverarbeitung ist. Wenn im Rahmen dieser Leistungserbringung dem Mandanten eine Software zur Verfügung gestellt wird, die letztlich der Optmierung der Abläufe zwischen Kanzlei und Mandant dient, so sehe ich auch hier keinen Anwendungsfall für eine Auftragsverarbeitung gegeben. Allerdings wird dieses Thema, gerade vor dem Hinterrgund der Einordnung der Lohn- und Gehaltsabrechnung, innerhalb der deutschen Datenschutz-Aufsichtsbehörden durchaus unterschiedlich gewertet, so dass möglicherweise hier noch Veränderungen zu erwarten sind.

  6. Dann muss ich auch mit einer anderen Person, die meine FiBu macht keinen AV-Vertrag abschließen? Die macht schließlich das Gleiche, wie der/die Sachbearbeiter*in beim Steuerberater*in – oder?

    1. Wenn die “andere Person” kein Angehöriger Ihrer Kanzlei ist, sondern ein Dritter, sprich entweder ein freier Mitarbeiter oder ein Buchhaltungsbüro, so ist grundsätzlich ein Vertrag zur Auftragsverarbeitung zu schließen und der Dienstleister ist nach § 203 StGB zur Verschwiegenheit zu verpflichten.
      Handelt es sich bei diesem Dritten um eine Steuerberatungskanzlei, so ist kein Vertrag zur Auftragsverarbeitung zu schließen, allerdings ist eine Rechtsgrundlage für die Übermittlung der Daten erforderlich. Diese Rechtsgrundlage könnte z. B. durch entsprechende Vereinbarungem im Steuerberatungsvertrag eingeholt werden.

  7. Wie soll Art. 6 DS-GVO denn die Verarbeitung von besonderen pbD, die wohl unstreitig im Rahmen der Lohn- und Gehaltsbuchhaltung anfallen, legitimieren? Art. 9 Abs. 2 DS-GVO sieht hierfür keine Ausnahme vor. Selbst Rechtsanwälte haben das Problem, dass sie allenfalls in extensiver Auslegung sich auf Art. 9 Abs. 2 lit. f) DS-GVO berufen können. Die Öffnungsklausel in Art, 9 Abs. 4 DS-GVO kann auch allenfalls nur in Bezgu auf Gesundheitsddaten genutzt werden. Da hat der Gesetzgeber mal wieder nicht konsequent alle Fälle bedacht oder zu Ende gedacht…

    Ich sehe jedenfalls für den speziellen Fall der Lohnbuchhaltung die Auftragsverarbeitung als einzig in Frage kommende Lösung de lege lata, wenn die Tätigkeit nicht rechtswidrig sein soll

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.