Datenschutz-Vereinbarung mit Steuerberatern

Soweit der Steuerberater “klassische” Steuerberatungstätigkeiten erbringt (Erstellung Jahresabschluss, Steuerberatung etc.) handelt er ausweislich § 32 Abs. 2 Steuerberatungsgesetz (“StBerG”) i.V.m. den tätigkeitsbeschreibenden Normen im StBerG eigenverantwortlich und damit aufgrund gesetzlicher Vorgaben weisungsfrei. Aus dieser Weisungsfreiheit ergibt sich bereits, dass ein Steuerberater hinsichtlich dieser Tätigkeiten nicht den Vorgaben der Auftragsdatenverarbeitung nach § 11 BDSG und damit der Weisungsgebundenheit des Auftraggebers unterworfen werden kann.

Steuerberatung sowie Lohn- und Gehaltsabrechnung

Gleiches gilt nach herrschender Auffassung der Aufsichtsbehörden, mit denen im Vorfeld ein Austausch zu dieser Frage stattfand, auch für Steuerberater, die neben der “klassischen” Steuerberatung auch Tätigkeiten der Lohn- und Gehaltsabrechnung durchführen. Hier sei die Abrechnungstätigkeit von Löhnen und Gehältern (und die damit einhergehende Verarbeitung personenbezogener Daten wie auch häufig der Kontodaten) ebenfalls als steuerberatende und damit dem Anwendungsbereich des StBerG unterfallende Tätigkeit anzusehen, die daher durch den Steuerberater weisungsfrei erbracht werde.

Reine Lohn- und Gehaltsabrechnung

Umstritten ist dagegen der Fall, wenn der Steuerberater ausschließlich Lohn- und Gehaltsabrechnungen erstellt. Auch hier tendieren die Aufsichtsbehörden (zumindest in Süddeutschland) dazu, diesen Fall nicht als Auftragsdatenverarbeitungsvereinbarung zu qualifizieren. Allerdings steht dieser Auffassung das Argument entgegen, dass Lohn- und Gehaltsabrechnungstätigkeiten häufig auch an Unternehmen ausgelagert werden, die keine steuerberatende Tätigkeit erbringen und mit denen daher unstreitig eine Auftragsdatenverarbeitungsvereinbarung nach § 11 BDSG abzuschließen ist. Inwieweit also das Argument greift, dass die gleiche Tätigkeit bei Auslagerung an einen Steuerberater sowie ein nicht steuerberatendes Unternehmen einmal weisungsfrei und im anderen Fall weisungsgebunden sein muss, sollte im Einzelfall in Absprache mit der jeweils zuständigen Datenschutz-Aufsichtsbehörde geklärt werden.

Praktische Relevanz: wen treffen die Meldepflichten im Datenverlustfall?

Praktische Relevanz erhält die Rechtsfrage, ob mit dem Steuerberater eine Auftragsdatenverarbeitungsvereinbarung nach § 11 BDSG abzuschließen ist, neben dem administrativen Aufwand vor allem in Datenverlustszenarien nach § 42a BDSG. Stellt eine verantwortliche Stelle nach dieser Vorschrift fest, dass zum Beispiel personenbezogene Daten zu Bank- oder Kreditkartenkonten unrechtmäßig übermittelt oder auf sonstige Weise Dritten unrechtmäßig zur Kenntnis gelangt sind, hat diese bei Vorliegen weiterer Voraussetzungen die Betroffenen sowie unverzüglich die Datenschutz-Aufsichtsbehörde zu informieren. Verarbeitet der Steuerberater daher die Daten des Unternehmens eigenverantwortlich und nicht im Rahmen der Auftragsdatenverarbeitung, hat er selbst als verantwortliche Stelle diese Meldung vorzunehmen. Wird er dagegen als Auftragsdatenverarbeitungsnehmer tätig bildet das Unternehmen die verantwortliche Stelle und muss die Meldung vornehmen.

Gerade bei der Lohn- und Gehaltsabrechnung werden personenbezogene Daten und in der Regel auch Kontodaten verarbeitet. Passiert hierbei ein Fehler und gehen Daten verloren muss schnell unstreitig klar sein, wer bezüglich dieser Daten die verantwortliche Stelle bildet, um nicht gegen die (im Einzelfall sogar nach § 43 Abs. 2 Nr. 7, 44 Abs. 1 BDSG strafbewehrten) Vorgaben des § 42a BDSG zu verstoßen.

Empfehlung: Datenschutz-Regelungen auch bei Funktionsübertragung treffen

Die Datenschutz-Aufsichtsbehörden empfehlen, auch in Fällen der Funktionsübertragung eine Datenschutz-Vereinbarung zu treffen, welche die Regelungen des § 11 BDSG soweit passend aufgreift. So können zum Beispiel Regelungen zu den technischen und organisatorischen Maßnahmen sowie Meldepflichten im Datenverlustfall auch mit Steuerberatern einen datenschutzrechtlichen Mehrwert für beide Seiten schaffen.

Fazit

In der Regel wird der Steuerberater in der Praxis als eigene verantwortliche Stelle im Rahmen der Funktionsübertragung und nicht im Rahmen der Auftragsdatenverarbeitung tätig. Allein in den Fällen, bei denen der Steuerberater reine Lohn- und Gehaltsabrechnungsleisten erbringt, sollte aufgrund der unklaren Regelungslage vorab mit der jeweiligen Datenschutz-Aufsichtsbehörde geklärt werden, ob sie dieses Verhältnis als Funktionsübertragung oder Auftragsdatenverarbeitung qualifiziert und wer im Ergebnis die verantwortliche Stelle hinsichtlich der verarbeiteten Daten bildet. Relevant wird diese Frage insbesondere im Datenverlustfall, wenn durch die verantwortliche Stelle die Datenschutz-Aufsichtsbehörde sowie die Betroffenen zu informieren sind. Auch in Fällen der reinen Funktionsübertragung (in denen keine Auftragsdatenverarbeitungsvereinbarung nach § 11 BDSG erforderlich ist) empfehlen die Datenschutz-Aufsichtsbehörden, eine Datenschutz-Vereinbarung abzuschließen, die zumindest Themen wie die Einhaltung technischer und organisatorischer Maßnahmen zur Einhaltung der Datenschutzvorgaben abdeckt.

Andre Borbe

Andre ist Jahrgang 1983 und unterstützte von September 2013 bis September 2015 die Redaktion von silicon.de als Volontär. Erste Erfahrungen sammelte er als Werkstudent in den Redaktionen von GMX und web.de. Anschließend absolvierte er ein redaktionelles Praktikum bei Weka Media Publishing. Andre hat erfolgreich ein Studium in politischen Wissenschaften an der Hochschule für Politik in München abgeschlossen. Privat interessiert er sich für Sport, Filme und Computerspiele. Aber die größte Leidenschaft ist die Fotografie.

Recent Posts

Mehr Datenschutz in der Montage

Assistenzsysteme unterstützen Monteure bei der Arbeit. Zu oft zahlt man jedoch mit den eigenen Daten…

2 Tagen ago

Cyber Resilience Act: Countdown läuft

Hersteller werden stärker in die Pflicht genommen, den gesamten Lebenszyklus ihrer Produkte in den Blick…

2 Tagen ago

KI auf dem Prüfstand

LLMs besitzen einerseits innovative neue Fähigkeiten, stellen Unternehmen allerdings auch vor diverse Herausforderungen: ob EU…

3 Tagen ago

Rechenzentren: Deutschland verliert Anschluss

Server-Ausbau in den USA und China macht große Fortschritte, deutscher Weltmarktanteil sinkt. Lichtblicke in Frankfurt…

3 Tagen ago

KI steigert Nachfrage nach hybriden Workplace-Umgebungen

Der Markt für Workplace Services gerät in Bewegung. Das bestmögliche digitale Nutzererlebnis gilt als Schlüssel…

3 Tagen ago

Hagebau erreicht E-Mail-Sicherheit mit der NoSpamProxy Cloud

Schutz für 10.000 Postfächer über rund 200 Domains: Private-Stack-Variante kombiniert Vorteile einer Cloud-Lösung mit Sicherheit…

4 Tagen ago