Datenschutz-Vereinbarung mit Steuerberatern
Steuerberater verarbeiten umfangreiche vertrauliche Angaben von Unternehmen und erhalten so stets auch personenbezogene Daten. In der Praxis stellt sich daher immer wieder die Frage, ob mit dem Steuerberater eine Datenschutz-Vereinbarung abgeschlossen werden muss oder ob dies aufgrund der gesetzlichen Vorgaben speziell im Steuerberatungsgesetz entbehrlich ist.
Soweit der Steuerberater “klassische” Steuerberatungstätigkeiten erbringt (Erstellung Jahresabschluss, Steuerberatung etc.) handelt er ausweislich § 32 Abs. 2 Steuerberatungsgesetz (“StBerG”) i.V.m. den tätigkeitsbeschreibenden Normen im StBerG eigenverantwortlich und damit aufgrund gesetzlicher Vorgaben weisungsfrei. Aus dieser Weisungsfreiheit ergibt sich bereits, dass ein Steuerberater hinsichtlich dieser Tätigkeiten nicht den Vorgaben der Auftragsdatenverarbeitung nach § 11 BDSG und damit der Weisungsgebundenheit des Auftraggebers unterworfen werden kann.
Steuerberatung sowie Lohn- und Gehaltsabrechnung
Gleiches gilt nach herrschender Auffassung der Aufsichtsbehörden, mit denen im Vorfeld ein Austausch zu dieser Frage stattfand, auch für Steuerberater, die neben der “klassischen” Steuerberatung auch Tätigkeiten der Lohn- und Gehaltsabrechnung durchführen. Hier sei die Abrechnungstätigkeit von Löhnen und Gehältern (und die damit einhergehende Verarbeitung personenbezogener Daten wie auch häufig der Kontodaten) ebenfalls als steuerberatende und damit dem Anwendungsbereich des StBerG unterfallende Tätigkeit anzusehen, die daher durch den Steuerberater weisungsfrei erbracht werde.
Reine Lohn- und Gehaltsabrechnung
Umstritten ist dagegen der Fall, wenn der Steuerberater ausschließlich Lohn- und Gehaltsabrechnungen erstellt. Auch hier tendieren die Aufsichtsbehörden (zumindest in Süddeutschland) dazu, diesen Fall nicht als Auftragsdatenverarbeitungsvereinbarung zu qualifizieren. Allerdings steht dieser Auffassung das Argument entgegen, dass Lohn- und Gehaltsabrechnungstätigkeiten häufig auch an Unternehmen ausgelagert werden, die keine steuerberatende Tätigkeit erbringen und mit denen daher unstreitig eine Auftragsdatenverarbeitungsvereinbarung nach § 11 BDSG abzuschließen ist. Inwieweit also das Argument greift, dass die gleiche Tätigkeit bei Auslagerung an einen Steuerberater sowie ein nicht steuerberatendes Unternehmen einmal weisungsfrei und im anderen Fall weisungsgebunden sein muss, sollte im Einzelfall in Absprache mit der jeweils zuständigen Datenschutz-Aufsichtsbehörde geklärt werden.
Praktische Relevanz: wen treffen die Meldepflichten im Datenverlustfall?
Praktische Relevanz erhält die Rechtsfrage, ob mit dem Steuerberater eine Auftragsdatenverarbeitungsvereinbarung nach § 11 BDSG abzuschließen ist, neben dem administrativen Aufwand vor allem in Datenverlustszenarien nach § 42a BDSG. Stellt eine verantwortliche Stelle nach dieser Vorschrift fest, dass zum Beispiel personenbezogene Daten zu Bank- oder Kreditkartenkonten unrechtmäßig übermittelt oder auf sonstige Weise Dritten unrechtmäßig zur Kenntnis gelangt sind, hat diese bei Vorliegen weiterer Voraussetzungen die Betroffenen sowie unverzüglich die Datenschutz-Aufsichtsbehörde zu informieren. Verarbeitet der Steuerberater daher die Daten des Unternehmens eigenverantwortlich und nicht im Rahmen der Auftragsdatenverarbeitung, hat er selbst als verantwortliche Stelle diese Meldung vorzunehmen. Wird er dagegen als Auftragsdatenverarbeitungsnehmer tätig bildet das Unternehmen die verantwortliche Stelle und muss die Meldung vornehmen.
Gerade bei der Lohn- und Gehaltsabrechnung werden personenbezogene Daten und in der Regel auch Kontodaten verarbeitet. Passiert hierbei ein Fehler und gehen Daten verloren muss schnell unstreitig klar sein, wer bezüglich dieser Daten die verantwortliche Stelle bildet, um nicht gegen die (im Einzelfall sogar nach § 43 Abs. 2 Nr. 7, 44 Abs. 1 BDSG strafbewehrten) Vorgaben des § 42a BDSG zu verstoßen.
Empfehlung: Datenschutz-Regelungen auch bei Funktionsübertragung treffen
Die Datenschutz-Aufsichtsbehörden empfehlen, auch in Fällen der Funktionsübertragung eine Datenschutz-Vereinbarung zu treffen, welche die Regelungen des § 11 BDSG soweit passend aufgreift. So können zum Beispiel Regelungen zu den technischen und organisatorischen Maßnahmen sowie Meldepflichten im Datenverlustfall auch mit Steuerberatern einen datenschutzrechtlichen Mehrwert für beide Seiten schaffen.
Fazit
In der Regel wird der Steuerberater in der Praxis als eigene verantwortliche Stelle im Rahmen der Funktionsübertragung und nicht im Rahmen der Auftragsdatenverarbeitung tätig. Allein in den Fällen, bei denen der Steuerberater reine Lohn- und Gehaltsabrechnungsleisten erbringt, sollte aufgrund der unklaren Regelungslage vorab mit der jeweiligen Datenschutz-Aufsichtsbehörde geklärt werden, ob sie dieses Verhältnis als Funktionsübertragung oder Auftragsdatenverarbeitung qualifiziert und wer im Ergebnis die verantwortliche Stelle hinsichtlich der verarbeiteten Daten bildet. Relevant wird diese Frage insbesondere im Datenverlustfall, wenn durch die verantwortliche Stelle die Datenschutz-Aufsichtsbehörde sowie die Betroffenen zu informieren sind. Auch in Fällen der reinen Funktionsübertragung (in denen keine Auftragsdatenverarbeitungsvereinbarung nach § 11 BDSG erforderlich ist) empfehlen die Datenschutz-Aufsichtsbehörden, eine Datenschutz-Vereinbarung abzuschließen, die zumindest Themen wie die Einhaltung technischer und organisatorischer Maßnahmen zur Einhaltung der Datenschutzvorgaben abdeckt.