Datenschutz: Sind Steuerberater „Auftragsverarbeiter“ oder „Verantwortliche“?
Die Beauftragungen von Steuerberatern lassen sich nach dem Steuerberatungsgesetz in zwei Kategorien unterscheiden.
In die erste Kategorie fallen die nach dem StBerG „privilegierten“ Tätigkeiten, z. B. die Erstellung einer Bilanz eines Jahresabschlusses oder die Beratung in Steuerangelegenheiten. Diese Tätigkeiten übt der Steuerberater weisungsfrei als eigenständiger Verantwortlicher in Anwendung der jeweiligen Fachgesetze aus. Diese Tätigkeiten sind Fachleistungen und fallen nicht unter die Vorschriften über die Auftragsverarbeitung (siehe dazu auch Kurzpapier Nr. 13 der Datenschutzkonferenz und FAQ zur DSGVO des Bayerischen Landesamtes für Datenschutzaufsicht).
Der zweiten Kategorie von Tätigkeiten eines Steuerberaters sind sonstige Beauftragungen zuzurechnen, wie z. B. Buchungsarbeiten im Zusammenhang mit der Lohn- und Gehaltsabrechnung, die nicht unter das Steuerberatungsgesetz fallen. Bislang unterschiedlich beurteilt wurde die Frage, ob diese sonstigen Beauftragungen unter die Vorschriften zur Auftragsverarbeitung fallen, was zur Folge hätte, dass über diese Tätigkeiten ein Vertrag über eine Auftragsverarbeitung gem. Art. 28 DSGVO abgeschlossen werden muss, oder ob auch diese Tätigkeiten ebenfalls vom Mandat des Steuerberaters abgedeckt sind.
So hat das Bayerische Landesamt für Datenschutzaufsicht die Auffassung vertreten, dass auch diese Beauftragungen unter die eigene Verantwortlichkeit des Steuerberaters fallen und keine Auftragsverarbeitung darstellen, während die Landesbeauftragte für den Datenschutz Nordrhein-Westfalen die Auffassung vertrat, dass diese Tätigkeiten unter den Anwendungsbereich des Art. 28 DSGVO fallen und ein Vertrag über eine Auftragsverarbeitung abgeschlossen werden muss.
Mit einer Ergänzung des Steuerberatungsgesetzes hat der Gesetzgeber nun in § 11 Abs. 3 klargestellt, dass Steuerberater bei der Verarbeitung sämtlicher personenbezogener Daten ihrer Mandanten Verantwortliche gemäß Artikel 4 Nummer7 DSGVO sind und auch besondere Kategorien personenbezogener Daten gemäß Artikel 9 Absatz 1 DSGVO in diesem Rahmen verarbeiten dürfen. Nach der Gesetzesbegründung (Bundestagsdrucksache 19/14909 Seite 59) „... gilt dies auch für das ‚Buchen laufender Geschäftsvorfälle‘, ‚laufende Lohnabrechnung‘ und ‚Fertigen der Lohnsteuer-Anmeldungen‘, denn die Leistung des mit der Lohnbuchführung beauftragten Steuerberaters umfasst die eigenverantwortliche Prüfung und Anwendung der gesetzlichen Bestimmungen ...“.
Dies bedeutet, dass Unternehmen künftig bei der Beauftragung von Steuerberatern, unabhängig vom Inhalt der Beauftragung, auch bei einer Erstellung von Lohn- und Gehaltsabrechnungen keinen Vertrag mehr über eine Auftragsverarbeitung abschließen müssen. Beauftragt jedoch der Steuerberater seinerseits Unternehmen mit der Ausführung solcher Tätigkeiten, sind diese Auftragnehmer weiter Auftragsverarbeiter mit der Folge, dass der Steuerberater mit diesen Auftragnehmern einen Vertrag gem. Art. 28 DSGVO abschließen muss.
Abonnieren Sie unseren kostenlosen Datenschutz-Fachinformationsdienst und bleiben Sie stets aktuell informiert:
- Datenschutz-Fokusthemen
- Veröffentlichungen der Behörden
- Relevante Gerichtsentscheidungen
Als Dankeschön für Ihre Anmeldung erhalten Sie eine Gratis-Mustervorlage für die Umsetzung eines Löschkonzepts.