Steuerberater sind keine Auftragsverarbeiter – Änderung sorgt für Klarheit

Fachbeitrag

Erst kürzlich hat der deutsche Gesetzgeber mit einer Neufassung des § 11 Steuerberatungsgesetz (StBerG) für Klarheit gesorgt, ob und inwiefern Steuerberater als Auftragsverarbeiter im Sinne des Art. 4 Nr. 8 DSGVO anzusehen sind. Dies nehmen wir zum Anlass, die Hintergründe zu dieser Änderung sowie die Voraussetzungen einer Auftragsverarbeitung im Allgemeinen genauer zu beleuchten.

Verantwortlicher oder Auftragsverarbeiter?

Aus dem Berateralltag lässt sich berichten, dass immer wieder die Frage gestellt wird, ob mit dem Steuerberater eine Auftragsverarbeitungsvereinbarung (AVV) zu schließen ist. Die hohe Relevanz in der Praxis lässt sich damit begründen, dass quasi jedes Unternehmen mit einem Steuerberatungsunternehmen zu tun hat. So werden die Lohn- und Gehaltsabrechnungen regelmäßig durch einen (externen) Steuerberater erstellt. Auch werden dessen Dienste oftmals in Anspruch genommen, wenn es beispielsweise um die Erstellung von Jahresabschlüssen geht.

Während die eingangs erwähnte Frage von den betroffenen Berufsverbänden wie dem Deutschen Steuerberaterverband (DStV) und der Bundessteuerberaterkammer (BStBK) im Grunde einheitlich im Sinne der nunmehr erfolgten Gesetzesänderung beantwortet worden ist, hatten sich die Aufsichtsbehörden bislang dazu unterschiedlich positioniert. So wurde teilweise nach der Art der Tätigkeit des Steuerberaters unterschieden, je nachdem, wie stark die Weisungsgebundenheit des Steuerberaters zu bewerten war. Die Änderung des § 11 StBerG hat daher hauptsächlich eine klarstellende Funktion.

Was ist eine Auftragsverarbeitung überhaupt?

Der Begriff des Auftragsverarbeiters wird in Art. 4 Nr. 8 DSGVO ausdrücklich genannt. Danach ist ein Auftragsverarbeiter

„eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.“

Vereinfacht gesagt besteht ein Auftragsverarbeitungsverhältnis immer dann, wenn ein Unternehmen eine Datenverarbeitung an einen externen Dritten auslagert. Sofern eine Auftragsverarbeitung vorliegt, ist eine entsprechende Vereinbarung zu schließen, die sogenannte Auftragsverarbeitungsvereinbarung. Wichtig ist dabei, dass ausschließlich nach objektiven Kriterien bestimmt wird, ob tatsächlich eine Auftragsverarbeitung vorliegt. Es ist also nicht möglich, durch Abschluss einer AVV die gewünschte Rechtslage „herbeizuführen“. Der Berateralltag lässt erkennen, dass sich dies bislang nicht überall herumgesprochen hat.

Wie sieht eine AVV aus?

Die inhaltlichen (Mindest-)Anforderungen eines Auftragsverarbeitungsvertrages sind in Art. 28 DSGVO geregelt. Diese entsprechen weitgehend der Rechtslage vor Inkrafttreten der DSGVO. Bei der Ausgestaltung einer AVV sind selbstverständlich die bekannten grundsätzlichen Angaben aus Art. 13 ff. DSGVO zu machen, z.B. welche Arten und Daten verarbeitet werden und zu welchem Zweck. Auch sind vertragsspezifische Anforderungen zu beachten. Beispielhaft sind folgende Voraussetzungen zu nennen:

  • Umfang der Weisungsbefugnisse des Auftraggebers
  • Verpflichtung der zur Verarbeitung berechtigten Personen zur Vertraulichkeit
  • Sicherstellung von technischen und organisatorischen Maßnahmen (siehe Art. 32 DSGVO)
  • Rückgabe oder Löschung personenbezogener Daten nach Beendigung der Auftragsverarbeitung

Was regelt die Vorschrift?

Der neue § 11 StBerG trat zum 18.12.2019 in Kraft. Bereits vor der Änderung stellte Absatz 1 der Vorschrift die Rechtsgrundlage für die Verarbeitung personenbezogener Daten dar, um die Aufgaben nach dem StBerG zu erfüllen. Nunmehr wurde in Absatz 2 eingefügt bzw. klargestellt, dass

„die Verarbeitung personenbezogener Daten durch Personen und Gesellschaften nach § 3 unter Beachtung der für sie geltenden Berufspflichten weisungsfrei [erfolgt].“

Durch diese Vorschrift wird deutlich, dass ein Steuerberater im Rahmen seiner berufsrechtlich geschützten Tätigkeit nicht weisungsgebunden handelt. Er ist daher grundsätzlich als Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO anzusehen. Es ist also von einer eigenen Verantwortlichkeit des Steuerberaters auszugehen, da der Gesetzgeber nunmehr davon ausgeht, dass der Steuerberater eine durch das Berufsgeheimnis geschützte und weisungsunabhängige Tätigkeit ausübt.

Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO

Und was heißt das jetzt für die Praxis? Wie der Gesetzesbegründung zu entnehmen ist, muss die Neuregelung für sämtliche Tätigkeiten des Steuerberaters angewendet werden. Es kommt also nicht mehr auf die Art der Tätigkeit an. Insbesondere nennt die Gesetzesbegründung ausdrücklich die Erstellung von Lohn- und Gehaltsabrechnungen, da auch diese Tätigkeit

„die eigenverantwortliche Prüfung und Anwendung der gesetzlichen Bestimmungen voraussetze“.

Dies stellt eine deutliche Abkehr der bisherigen Praxis dar. Nach der neuen Rechtslage ist der Steuerberater stets als Verantwortlicher im Sinne der DSGVO zu behandeln. Dies bedeutet, dass eine Auftragsverarbeitungsvereinbarung auch im bisher häufigsten Anwendungsfall, der Erstellung von Lohn- und Gehaltsabrechnungen, nicht mehr abzuschließen ist. Gegebenenfalls kommt je nach Gestaltung des konkreten Auftragsverhältnisses eine gemeinsame Verantwortlichkeit gemäß Art. 26 DSGVO in Betracht. Die Neuregelung sorgt damit für Rechtssicherheit, was grundsätzlich zu begrüßen ist. Zudem ist positiv, dass der Steuerberater nun seinen Pflichten als Verantwortlicher umfassend nachkommen muss. Dies dürfte das allgemeine Schutzniveau für die verarbeiteten personenbezogenen Daten grundsätzlich erhöhen.

Unternehmen, mit welchen der Steuerberater im Rahmen seiner Tätigkeit zusammenarbeitet, werden im Regelfall allerdings weiterhin als Auftragsverarbeiter zu qualifizieren sein. Für diese findet die Vorschrift des § 11 Abs. 2 StBerG keine Anwendung.

intersoft consulting services AG

Als Experten für Datenschutz, IT-Sicherheit und IT-Forensik beraten wir deutschlandweit Unternehmen. Informieren Sie sich hier über unser Leistungsspektrum:

Externer Datenschutzbeauftragter

6 Kommentare zu diesem Beitrag

  1. Danke, ein sehr hilfreicher Beitrag! Wie ist denn die Lage, wenn ein Unternehmen eine Steuerabteilung hat und die dortigen MA für Dritte Dienstleistungen im Bereich der Steuerberatung erbringen? Könnte man hier auch vom Fehlen der Auftragsverarbeiter-Eigenschaft ausgehen? Wäre ggf. eine Joint-Control-Vereinbarung nach Art. 26 DSGVO abzuschließen? Ich wäre sehr dankbar für eine Antwort oder eine kurze Diskussion.

    MfG
    Dr. Feelgood (DSB)

    • Auch in dem von Ihnen geschilderten Fall dürfte sich nichts an der Beurteilung ändern. Die Steuerabteilung ist ein unselbstständiger Teil eines Unternehmens und hat keine eigenen Verantwortlichkeiten im datenschutzrechtlichen Sinne. Verantwortlich bleibt das Unternehmen, also die natürliche oder juristische Person als solche.

  2. Ein sehr interessanter Beitrag. Gut zu wissen. Allerdings verstehe ich den letzten Absatz nicht: Unternehmen, mit welchen der Steuerberater im Rahmen seiner Tätigkeit zusammenarbeitet, werden im Regelfall allerdings weiterhin als Auftragsverarbeiter zu qualifizieren sein. Für diese findet die Vorschrift des § 11 Abs. 2 StBerG keine Anwendung.
    Was denn nun?

    • Hier sind Unternehmen gemeint, welche wiederum vom Steuerberater-Unternehmen beauftragt werden. Steuerberater arbeiten erfahrungsgemäß häufig mit größeren Datenverarbeitungsunternehmen wie z. B. DATEV zusammen. Diese wären weiterhin als Auftragsverarbeiter (für den Steuerberater) zu qualifizieren, da sie begrifflich vom
      § 11 StBerG gar nicht erfasst werden.

  3. Wie steht es nun eigentlich um die Informationspflicht nach Art 13 DSGVO?
    Muss der Steuerberater, die Betroffenen (Mitarbeiter, Kunden, Lieferanten, Dritte), deren Daten er übermittelt bekommt, die er als Verantwortlicher verarbeitet, nun auch benachrichtigen? Muss er auch deren Ansprüche aus Betroffenenrechten nach DSGVO befriedigen?
    Vielen Dank.

    • Hier handelt es sich eigentlich um einen klassischen Fall des Art. 14 Abs. 1 – 4 DSGVO, da die personenbezogenen Daten nicht bei der betroffenen Person erhoben werden. Allerdings dürften hier Ausnahmen nach Art. 14 Abs. 5 a) oder d) gegeben sein, da ein Arbeitnehmer im Regelfall schon von seinem Arbeitgeber in Kenntnis gesetzt wird, wenn Lohn- und Gehaltsabrechnungen von einem externen Steuerberater erstellt werden. Zudem unterliegt der Steuerberater auch berufsrechtlichen Einschränkung im Bereich der Datenverarbeitung. Grundsätzlich muss zwar auch ein Steuerberater die Pflichten nach Art. 15 ff. DSGVO erfüllen. Dies gilt allerdings nur, soweit nicht die berufsrechtlich geschützte Tätigkeit als solche, also alles, was z. B. das Mandatsverhältnis angeht, betroffen ist.

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.