Ist ein Steuerberater Auftragsverarbeiter oder nicht?

Am 18.12.2019 hat der deutsche Gesetzgeber mit der Neufassung von § 11 Steuerberatungsgesetz (StBerG) einige datenschutzrechtlich relevante Änderungen und Klarstellungen vorgenommen.

Erste Änderung: Rechtsgrund­lage für Datenverarbeitung durch Steuerberater

Zuallererst hat der Gesetzgeber § 11 Abs. 1 StBerG an die Begrifflichkeiten der Datenschutz-Grundverordnung (DSGVO) angepasst, mithin den datenschutzrechtlichen Begriff der Verarbeitung (Art. 4 Nr. 2 DSGVO) integriert.

Des Weiteren stellt er – wenig überraschend – klar, dass Steuerberater personenbezogene Daten verarbeiten dürfen, um ihre Aufgaben nach dem Steuerberatungsgesetz zu erfüllen, soweit diese Verarbeitung erforderlich ist.

Das gilt auch für Zwecke künftiger Verfahren nach diesem Gesetz (StBerG). Das umfasst also alle Tätigkeiten, die in Zukunft auf den Steuerberater zukommen (Erweiterung des Aufgabengebiets).

Verarbeitung besonderer Kategorien personenbezogener Daten

Überdies legt Art. 11 Abs. 1 Satz 2 StBerG fest, dass hierunter auch besondere Kategorien personenbezogener Daten fallen.

Diese Daten darf ein Steuerberater ebenfalls gemäß Art. 9 Abs. 2 Buchst. g DSGVO zur Erfüllung seiner Aufgaben verarbeiten.

Hintergrund ist, dass die Verarbeitung besonderer personenbezogener Daten durch den Steuerberater ebenfalls einer Rechtsgrundlage bedarf.

Bisher fehlte eine klare nationale Regelung im StBerG. Das sorgte für Rechtsunsicherheit bei den Steuerberatern.

Zahlreiche Berater holten daher bisher – neben dem Mandatsvertrag – zusätzlich eine Einwilligung der Mandanten ein, um ihre Daten, besonders solche gemäß Art. 9 Abs. 1 DSGVO, verarbeiten zu dürfen.

Diese Vorgehensweise stieß jedoch spätestens dort an Grenzen, wo der jeweilige Mandant, z.B. das Unternehmen, die Einwilligung mangels Befugnis nicht selbst erteilen konnte. Das betraf Fälle, in denen es beispielsweise um die Daten der Mitarbeiter ging, etwa für die Lohnabrechnung.

Zweite Änderung: Rechtsverhältnis zum Steuerberater – Auftragsverarbeiter?

Der zweite Absatz von § 11 StBerG klärt nun, dass die Datenverarbeitung durch den Steuerberater stets unter Beachtung der für ihn geltenden Berufspflichten weisungsfrei erfolgt.

Zu den Berufspflichten des Steuerberaters zählen z.B. die Unabhängigkeit, die Eigenverantwortlichkeit, die Gewissenhaftigkeit und die Verschwiegenheit. Diese Pflichten ergeben sich etwa aus der Berufsordnung der Bundessteuerberaterkammer (BOStB).

Was heißt das konkret? Was war strittig?

Nahezu jede Datenschutzbeauftragte und jeder Datenschutzbeauftragte (DSB) dürfte schon mit der Frage in Berührung gekommen sein, wie eigentlich das Verhältnis zwischen dem Unternehmen und einem (externen) Steuerberater datenschutzrechtlich einzuordnen ist.

Konkret: Muss ein Verantwortlicher mit einem Steuerberater einen Vertrag zur Auftragsverarbeitung (AV) gemäß Art. 28 DSGVO abschließen, da er gemäß Art. 4 Nr. 8 DSGVO als Auftragsverarbeiter zu qualifizieren ist?

Unterscheidung nach Art der Tätigkeit

Unstreitig war schon vor der Gesetzesänderung, dass bei Berufsgeheimnisträgern, also z.B. Steuerberatern, Rechtsanwälten und externen Betriebsärzten, keine Auftragsverarbeitung vorlag, wenn sie als eigenständige Verantwortliche eine Fachleistung erbringen (siehe Kurzpapier Nr. 13 der Datenschutzkonferenz zur AV, abrufbar unter https://ogy.de/dsk-kpnr-13).

Voraussetzung dafür: Die Berufsgeheimnisträger üben ihre originären, weisungsfreien und privilegierten Tätigkeiten nach den jeweiligen Fachgesetzen (z.B. StBerG) aus.

Beispiele sind die Beratung in Steuersachen oder die Erstellung der Bilanz und des Jahresabschlusses. Für eine Weisungsabhängigkeit, Grundvoraussetzung einer AV, ist hier kein Raum.

Umstritten war hingegen, wie es mit Tätigkeiten aussieht, die nicht in den originär eigenen Zuständigkeitsbereich des Steuerberaters fallen und bei denen eine Weisungsgebundenheit argumentativ vorliegen „könnte“.

Das betraf die Buchung laufender Geschäftsvorfälle (z.B. Lohn- und Gehaltsabrechnung) oder sonstige, rein technische Dienstleistungen des Steuerberaters.

Aufgrund der angenommenen Weisungsabhängigkeit ließen sich derartige Tätigkeiten dem Bereich der Auftragsverarbeitung zuordnen.

In dieser Frage waren sich auch die Aufsichtsbehörden untereinander alles andere als einig.

Während das Bayerische Landesamt für Datenschutzaufsicht auch bei anderen Tätigkeiten des Steuerberaters für eine eigene Verantwortlichkeit und gegen ein AV-Verhältnis war, vertrat die Landesbeauftragte für den Datenschutz Nordrhein-Westfalen die gegenteilige Auffassung.

Kernpunkt der neuen Regelungen: Weisungsfreiheit

Der Gesetzgeber hat nun klargestellt, dass die weisungsfreie Verarbeitung für den Steuerberater unabhängig von der Art seiner Tätigkeit gilt. Diese Regelung greift somit auch dann, wenn der Steuerberater z.B. laufende Geschäftsvorfälle bucht oder Lohnsteuer-Anmeldungen vornimmt.

Der Gesetzgeber begründet dies u.a. damit, dass auch bei diesen Tätigkeiten im Fokus steht, die gesetzlichen Bestimmungen eigenverantwortlich und nicht weisungsabhängig zu prüfen und anzuwenden.

Daneben sei erwähnt, dass den Steuerberatern eine gewerbliche Tätigkeit außerhalb des Steuerberatergesetzes grundsätzlich untersagt ist (§ 57 Abs. 4 Nr. 1 StBerG). So dürfte es hier kaum zu Konflikten im Hinblick auf die Weisungsfreiheit kommen.

Einblick in die Argumentation des Gesetzgebers bietet die kurze, aber prägnante Gesetzesbegründung auf S. 58 der Bundestags-Drucksache 19/14909, https://ogy.de/btd-14909.

Die Gesetzespassage lautet nun: „Die Verarbeitung personenbezogener Daten durch Personen oder Gesellschaften nach § 3 StBerG erfolgt unter Beachtung der für sie geltenden Berufspflichten weisungsfrei. Diese sind bei der Verarbeitung sämtlicher personenbezogener Daten ihrer Mandanten Verantwortliche i.S.v. Art. 4 Nr. 7 DSGVO (§ 11 Abs. 2 Satz 2 StBerG).“

ACHTUNG: Welches Rechtsverhältnis im Einzelfall vorliegt, bestimmt sich stets nach objektiven Kriterien.

Das bedeutet: Es ist bzw. war nicht möglich, sich einfach durch den Abschluss eines AV-Vertrags gemäß Art. 28 DSGVO die entsprechende „Rechtslage“ selbst zu schaffen.

Was tatsächlich kein AV-Verhältnis ist, bleibt auch keines, gleich was die Beteiligten vereinbart haben.

Was bedeutet das in der Praxis?

1. Die Neuregelung gilt für sämtliche Tätigkeiten des Steuerberaters. Es erfolgt keine Differenzierung mehr nach der Art der Tätigkeit. Der Steuerberater ist insbesondere kein Auftragsverarbeiter.
2. Steuerberater müssen als (eigene) Verantwortliche nun alle sich aus der DSGVO ergebenden Pflichten selbstständig einhalten. Hierbei und bei der Implementierung eines Datenschutzmanagements kann ein DSB eine wesentliche Rolle spielen.
3. AV-Verträge, die ein Unternehmen mit einem Steuerberater bereits geschlossen hat, sollten aufgelöst/gekündigt werden, um ein Verhältnis zu schaffen, das an die Rechtslage angepasst ist.
4. Ein Unternehmen muss zukünftig keinen AV-Vertrag prüfen. Und auch die damit korrespondierenden Pflichten wie die Kontrollpflicht des Auftraggebers hinsichtlich der Angemessenheit der Schutzmaßnahmen entfallen.
5. Von der Neuregelung von § 11 Abs. 2 StBerG unberührt bleibt, dass sich der Steuerberater im Rahmen seiner Tätigkeit anderer Unternehmen, z.B. Hosting-Dienstleistern bedient. Diese sind – je nach Tätigkeit – nach wie vor als Auftragsverarbeiter für den Steuerberater zu qualifizieren.
6. Es ist grundsätzlich denkbar, dass je nach Ausgestaltung des konkreten Auftragsverhältnisses Unternehmen und Steuerberater gemeinsam verantwortlich sind, sofern sie die Zwecke und Mittel der Datenverarbeitung gemeinsam festlegen. Denn zur gemeinsamen Verantwortlichkeit schweigt das Steuerberatungsgesetz.

Fazit: wichtige Klarstellung

Dass der Gesetzgeber für diese wichtigen Klarstellungen gesorgt hat, ist zu begrüßen. Das schafft Rechtssicherheit und reduziert den Aufwand in der Praxis für Verantwortliche und Datenschutzbeauftragte.

Zudem erhöht die eigene Verantwortlichkeit des Steuerberaters das Datenschutzniveau als solches – zumindest wenn er die Konsequenzen der Klarstellung ernst nimmt.