In den letzten Monaten traten vermehrt Mandanten an ihre Steuerberater heran und wollten mit der Kanzlei einen Vertrag zur Auftragsverarbeitung (AV) schließen.
Frage: Muss ein Steuerberater einen solchen Vertrag schließen? Hierzu gibt es unterschiedliche Meinungen. Die Aufregung ist groß, denn am 25.5.18 ist die Datenschutz-Grundverordnung (DSGVO) in Kraft getreten und mit Abmahnungen ist zu rechnen. Um es kurz zu machen: Nein, eine Auftragsverarbeitung ist das nicht.
Verwandte Themen:
Obacht bei der Veröffentlichung von Arbeitnehmerdaten unter der neuen DSGVO
EU-Datenschutz-Grundverordnung (EU-DSGVO)
Auftragsverarbeitung? Ja, nein, vielleicht…
Die BStBK und das Bayerisches Landesamt für Datenschutzaufsicht verneinten das Erfordernis eines Auftragsverarbeitungsvertrags.
Grund dafür: Die freiberufliche und eigenverantwortliche Tätigkeit lasse keine enge Weisungsgebundenheit im Sinne des § 11 BDSG alte Fassung zu. Einige Rechtsanwälte sahen das anders. Sie argumentierten mit dem „Recht auf Vergessenwerden“, welches „das deutsche Recht sticht“: Zwischenzeitlich hat sich aber die Datenschutzkonferenz hierzu positioniert. Sie machte im Kurzpapier Nr. 13 „Auftragsverarbeiter“ deutlich:
„Keine Auftragsverarbeitung, sondern die Inanspruchnahme fremder Fachleistungen bei einem eigenständig Verantwortlichen, für die bei der Verarbeitung personenbezogener Daten eine Rechtsgrundlage gemäß Art. 6 DSGVO gegeben sein muss, ist beispielsweise die Einbeziehung eines Berufsgeheimnisträgers (Steuerberater, Rechtsanwälte …).“
Worauf kommt es nun an?
Nach Art. 4 Nr. 8 DSGVO liegt eine Auftragsverarbeitung vor, wenn eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.
Entscheidend für das Vorliegen einer Auftragsverarbeitung ist, ob es sich um eine weisungsabhängige Tätigkeit handelt oder nicht. Soweit der Steuerberater „klassische“ Steuerberatungstätigkeiten erbringt (Erstellung Jahresabschluss, Steuerberatung etc.), handelt er eigenverantwortlich und damit aufgrund gesetzlicher Vorgaben weisungsfrei. Aus dieser Weisungsfreiheit ergibt sich, dass ein Steuerberater hinsichtlich dieser Tätigkeiten nicht den Vorgaben der Auftragsverarbeitung und damit der Weisungsgebundenheit des Auftraggebers unterworfen werden kann.
Und was gilt, wenn der Steuerberater die Lohnbuchhaltung für den Mandanten übernimmt?
Laut Bitkom gilt: „Spielt die Datenverarbeitung nur eine untergeordnete Rolle bei der Aufgabenübertragung, kann z. B. eine vollkommen anders zu handhabende Funktionsübertragung vorliegen.
Auftragsverarbeitung ja oder nein?
Auftragsverarbeitung können z. B. folgende Dienstleistungen sein:
- die DV-technischen Arbeiten für die Lohn- und Gehaltsabrechnung oder die Finanzbuchhaltung durch Rechenzentren
- das Outsourcing personenbezogener Datenverarbeitung im Rahmen von Cloud-Computing, ohne dass ein inhaltlicher Datenzugriff des Cloud-Betreibers erforderlich ist
- die Werbeadressenverarbeitung in einem Lettershop
- das Telefonmarketing durch ein Call-Center ohne wesentliche eigene Entscheidungsspielräume
- die Auslagerung der E-Mail-Verwaltung oder von sonstigen Datendiensten zu Webseiten (z. B. Betreuung von Kontaktformularen oder Nutzeranfragen)
- die Datenerfassung, Datenkonvertierung oder Einscannen von Dokumenten
- die Auslagerung der Backup-Sicherheitsspeicherung und anderer Archivierungen, Datenträgerentsorgung durch Dienstleister
- die Prüfung oder Wartung (z. B. Fernwartung, externer Support) automatisierter Verfahren oder von Datenverarbeitungsanlagen, wenn bei diesen Tätigkeiten ein Zugriff auf personenbezogene Daten nicht ausgeschlossen werden kann.
Keine Auftragsverarbeitung, sondern die Inanspruchnahme fremder Fachleistungen bei einem eigenständig Verantwortlichen, für die bei der Verarbeitung (einschließlich Übermittlung) personenbezogener Daten eine Rechtsgrundlage gemäß Art. 6 DSGVO gegeben sein muss, liegt z. B. vor bei Einbeziehung eines
- Steuerberaters
- Rechtsanwalts
- Wirtschaftsprüfers
- Bankinstituts für den Geldtransfer
- Postdienstes für den Brieftransport
- Inkassobüros mit Forderungsübertragung
- Externen Betriebsarztes
PRAXISTIPP | Das Bayerische Landesamt für Datenschutzaufsicht hat unter www.lda.bayern.de/de/kleine-Unternehmen.html die wesentlichen Anforderungen für kleine Unternehmen exemplarisch zusammengefasst. Unter Muster 4 finden Sie auch ein Beispiel für Steuerberater.
von RA Heike Mareck