Datenschutz-Vereinbarung mit Steuerberatern

Share on facebook
Share on twitter
Share on linkedin
Share on xing
Share on whatsapp
Share on email
Share on print

Datenschutz-Vereinbarung mit Steuerberatern

Share on facebook
Share on twitter
Share on linkedin
Share on xing
Share on whatsapp
Share on email
Share on print

Steuerberater verarbeiten umfangreiche vertrauliche Angaben von Unternehmen und erhalten in diesem Rahmen (gerade bei der Lohn- und Gehaltsabrechnung) stets auch personenbezogene Daten. In der Praxis stellt sich daher immer wieder die Frage, ob mit dem Steuerberater eine Datenschutz-Vereinbarung nach § 11 BDSG (Auftragsdatenverarbeitungsvereinbarung) abgeschlossen werden muss oder ob dies aufgrund der gesetzlichen Vorgaben speziell im Steuerberatungsgesetz entbehrlich ist.

von Rechtsanwalt Dr. Sebastian Kraska

„Klassische“ Steuerberatungstätigkeit: keine Auftragsdatenverarbeitung

Soweit der Steuerberater „klassische“ Steuerberatungstätigkeiten erbringt (Erstellung Jahresabschluss, Steuerberatung etc.) handelt er ausweislich § 32 Abs. 2 Steuerberatungsgesetz („StBerG“) i.V.m. den tätigkeitsbeschreibenden Normen im StBerG eigenverantwortlich und damit aufgrund gesetzlicher Vorgaben weisungsfrei. Aus dieser Weisungsfreiheit ergibt sich bereits, dass ein Steuerberater hinsichtlich dieser Tätigkeiten nicht den Vorgaben der Auftragsdatenverarbeitung nach § 11 BDSG und damit der Weisungsgebundenheit des Auftraggebers unterworfen werden kann.

Steuerberatung und Lohn- und Gehaltsabrechnung

Gleiches gilt nach herrschender Auffassung der Aufsichtsbehörden, mit denen im Vorfeld ein Austausch zu dieser Frage stattfand, auch für Steuerberater, die neben der „klassischen“ Steuerberatung auch Tätigkeiten der Lohn- und Gehaltsabrechnung durchführen. Hier sei die Abrechnungstätigkeit von Löhnen und Gehältern (und die damit einhergehende Verarbeitung personenbezogener Daten wie auch häufig der Kontodaten) ebenfalls als steuerberatende und damit dem Anwendungsbereich des StBerG unterfallende Tätigkeit anzusehen, die daher durch den Steuerberater weisungsfrei erbracht werde.

Reine Lohn- und Gehaltsabrechnung

Umstritten ist dagegen der Fall, wenn der Steuerberater ausschließlich Lohn- und Gehaltsabrechnungen erstellt. Auch hier tendieren die Aufsichtsbehörden (zumindest in Süddeutschland) dazu, diesen Fall nicht als Auftragsdatenverarbeitungsvereinbarung zu qualifizieren. Allerdings steht dieser Auffassung das Argument entgegen, dass Lohn- und Gehaltsabrechnungstätigkeiten häufig auch an Unternehmen ausgelagert werden, die keine steuerberatende Tätigkeit erbringen und mit denen daher unstreitig eine Auftragsdatenverarbeitungsvereinbarung nach § 11 BDSG abzuschließen ist. Inwieweit also das Argument greift, dass die gleiche Tätigkeit bei Auslagerung an einen Steuerberater sowie ein nicht steuerberatendes Unternehmen einmal weisungsfrei und im anderen Fall weisungsgebunden sein muss, sollte im Einzelfall in Absprache mit der jeweils zuständigen Datenschutz-Aufsichtsbehörde geklärt werden.

Praktische Relevanz: wen treffen die Meldepflichten im Datenverlustfall?

Praktische Relevanz erhält die Rechtsfrage, ob mit dem Steuerberater eine Auftragsdatenverarbeitungsvereinbarung nach § 11 BDSG abzuschließen ist, neben dem administrativen Aufwand vor allem in Datenverlustszenarien nach § 42a BDSG. Stellt eine verantwortliche Stelle nach dieser Vorschrift fest, dass zum Beispiel personenbezogene Daten zu Bank- oder Kreditkartenkonten unrechtmäßig übermittelt oder auf sonstige Weise Dritten unrechtmäßig zur Kenntnis gelangt sind, hat diese bei Vorliegen weiterer Voraussetzungen die Betroffenen sowie unverzüglich die Datenschutz-Aufsichtsbehörde zu informieren. Verarbeitet der Steuerberater daher die Daten des Unternehmens eigenverantwortlich und nicht im Rahmen der Auftragsdatenverarbeitung, hat er selbst als verantwortliche Stelle diese Meldung vorzunehmen. Wird er dagegen als Auftragsdatenverarbeitungsnehmer tätig bildet das Unternehmen die verantwortliche Stelle und muss die Meldung vornehmen.

Gerade bei der Lohn- und Gehaltsabrechnung werden personenbezogene Daten und in der Regel auch Kontodaten verarbeitet. Passiert hierbei ein Fehler und gehen Daten verloren muss schnell unstreitig klar sein, wer bezüglich dieser Daten die verantwortliche Stelle bildet, um nicht gegen die (im Einzelfall sogar nach § 43 Abs. 2 Nr. 7, 44 Abs. 1 BDSG strafbewehrten) Vorgaben des § 42a BDSG zu verstoßen.

Empfehlung: Datenschutz-Regelungen auch bei Funktionsübertragung treffen

Die Datenschutz-Aufsichtsbehörden empfehlen, auch in Fällen der Funktionsübertragung eine Datenschutz-Vereinbarung zu treffen, welche die Regelungen des § 11 BDSG soweit passend aufgreift. So können zum Beispiel Regelungen zu den technischen und organisatorischen Maßnahmen sowie Meldepflichten im Datenverlustfall auch mit Steuerberatern einen datenschutzrechtlichen Mehrwert für beide Seiten schaffen.

Fazit

In der Regel wird der Steuerberater in der Praxis als eigene verantwortliche Stelle im Rahmen der Funktionsübertragung und nicht im Rahmen der Auftragsdatenverarbeitung tätig. Allein in den Fällen, bei denen der Steuerberater reine Lohn- und Gehaltsabrechnungsleisten erbringt, sollte aufgrund der unklaren Regelungslage vorab mit der jeweiligen Datenschutz-Aufsichtsbehörde geklärt werden, ob sie dieses Verhältnis als Funktionsübertragung oder Auftragsdatenverarbeitung qualifiziert und wer im Ergebnis die verantwortliche Stelle hinsichtlich der verarbeiteten Daten bildet. Relevant wird diese Frage insbesondere im Datenverlustfall, wenn durch die verantwortliche Stelle die Datenschutz-Aufsichtsbehörde sowie die Betroffenen zu informieren sind. Auch in Fällen der reinen Funktionsübertragung (in denen keine Auftragsdatenverarbeitungsvereinbarung nach § 11 BDSG erforderlich ist) empfehlen die Datenschutz-Aufsichtsbehörden, eine Datenschutz-Vereinbarung abzuschließen, die zumindest Themen wie die Einhaltung technischer und organisatorischer Maßnahmen zur Einhaltung der Datenschutzvorgaben abdeckt.

Share on facebook
Facebook
Share on twitter
Twitter
Share on linkedin
LinkedIn
Share on xing
XING
Share on whatsapp
WhatsApp
Share on email
E-Mail
Share on print
Drucken

Ihre Meinung zum Artikel

Andere Leser haben sich auch für die folgenden Artikel interessiert

Eine neue Umfrage von CM.com zum Einkaufsverhalten zeigt, wie groß das Marktpotential für Einkäufe via Chat ist. Außerdem zeigt sich, dass nicht mehr nur junge Personen auf Einkaufstour per Smartphone gehen. Einer der Gründe dafür: Onlineshopping über mobile Endgeräte funktioniert immer besser.

Redaktionsbrief

Tragen Sie sich zu unserem Redaktionsbrief ein, um auf dem Laufenden zu bleiben.

Wir wollen immer besser werden!

Deshalb fragen wir SIE, was Sie wollen!

Nehmen Sie an unserer Umfrage teil, und helfen Sie uns noch besser zu werden!

zur Umfrage

Aktuelle Ausgabe

Topthema: Das sind die Trends im e-commerce

Trends 2021

Mehr erfahren

Tragen Sie sich jetzt kostenlos und unverbindlich ein, um keinen Artikel mehr zu verpassen!

    * Jederzeit kündbar

    Entdecken Sie weitere Magazine

    Schön, dass Sie sich auch für weitere Fachmagazine unseres Verlages interessieren.

    Unsere Fachtitel beleuchten viele Aspekte der Digitalen Transformation entlang der Wertschöpfungskette und sprechen damit unterschiedliche Leserzielgruppen an.