Sind Steuerberater Auftragsverarbeiter im Sinne der DSGVO?

Quelle: iStock.com/AndreyPopov

Wann liegt eine Auftragsverarbeitung vor?

Zunächst gilt es zu verstehen, wann jemand zum Auftragsverarbeiter wird. Der Auftragsverarbeiter ist in Artikel 4 Nr. 8 DSGVO definiert als „eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet“. Gemeint sind damit Konstellationen, in denen Unternehmen (Verantwortliche) einen externen Dienstleister in ihre Prozesse mit einbeziehen und der Dienstleister im Zuge dessen personenbezogene Daten aus der Sphäre des Unternehmens (im Auftrag des Unternehmens) verarbeitet. Dies sind beispielsweise Daten von Mitarbeitern oder Kunden, die in ein externes Rechenzentrum übertragen werden, so dass der Betreiber des Rechenzentrums dann als Auftragsverarbeiter anzusehen ist. Auftragsverarbeiter sind daneben auch Dienstleister, die z.B. sensiblen Vernichtungsmüll entsorgen oder Festplatten vernichten. Auch ein IT-Dienstleister, der das interne Netzwerk eines Unternehmens pflegt und Computer wartet ist ein typischer Auftragsverarbeiter, denn auch er kommt bei seiner Tätigkeit wahrscheinlich nahezu immer mit personenbezogenen Daten seines Auftraggebers in Kontakt.

Das Merkmal der Weisungsgebundenheit

Die genannten Dienstleister haben eines gemeinsam: Sie verarbeiten die personenbezogenen Daten aus dem Unternehmen ihres Auftraggebers streng nach dessen Weisungen, haben keine eigene Entscheidungsbefugnis und dürfen die Daten des auftraggebenden Unternehmens auch nicht für eigene Zwecke einsetzen. Folglich sind diese weisungsgebundenen Dienstleister als Auftragsverarbeiter im Sinne der DSGVO anzusehen. Mit ihnen sollte folglich ein Auftragsverarbeitungsvertrag geschlossen.

Weisungsfreie Tätigkeiten

Wie sieht es aber nun hinsichtlich eines Steuerberaters auf, ist auch dieser Auftragsverarbeiter? Hierzu gibt es in § 11 Abs. 1 Satz 1 des Steuerberatungsgesetzes (StBerG) eine wissenswerte Regelung, denn heißt es: „Die Verarbeitung personenbezogener Daten durch Personen und Gesellschaften nach § 3 erfolgt unter Beachtung der für sie geltenden Berufspflichten weisungsfrei.“ In § 3 StBerG sind unter anderem Steuerberater, Steuerbevollmächtigte, Rechtsanwälte, Wirtschaftsprüfer und vereidigte Buchprüfer erwähnt. Folglich verarbeiten die genannten Berufsgruppen personenbezogene Daten weisungsfrei. Im vorstehenden Kapitel war jedoch im Zuge der Definition eines Auftragsverarbeiters erwähnt worden, dass Auftragsverarbeiter stets streng weisungsgebunden sind. Eben dieses Kriterium ist deshalb das entscheidende Abgrenzungsmerkmal hinsichtlich einer Auftragsverarbeitung. Während der oben erwähnte IT-Dienstleister personenbezogene Daten seines Auftragsgebers streng weisungsgebunden verarbeitet, ist die Tätigkeit eines Steuerberaters aufgrund der besonderen Stellung als Berufsgeheimnisträger weisungsfrei.

Was bedeutet dies für die Praxis?

Diese Weisungsfreiheit des Steuerberaters hat zur Konsequenz, dass ein Steuerberater kein Auftragsverarbeiter seiner Mandanten ist. Wenn ein Unternehmen folglich die Dienste eines Steuerberaters wahrnimmt, ihn also beispielsweise mit der Abgabe von Steuererklärungen oder der Erstellung eines Jahresabschlusses beauftragt, muss hierfür kein Auftragsverarbeitungsvertrag (AVV) geschlossen werden. Selbst wenn die Parteien trotz der fehlenden Verpflichtung oder aus Unwissenheit einen Auftragsverarbeitungsvertrag schließen, liegt keine Auftragsverarbeitung vor, denn das Vorliegen einer Auftragsverarbeitung richtet sich ausschließlich nach objektiven Kriterien. Merken Sie sich also folgendes: Wenn das Merkmal der Weisungsgebundenheit fehlt, liegt keine Auftragsverarbeitung vor.

Wie ist die Regelung bezogen auf Dienstleister, die Lohn- und Gehaltsabrechnungen erstellen?

Lohn- und Gehaltsabrechnungen werden ebenfalls häufig durch einen Steuerberater angefertigt. Hierfür erfährt der Steuerberater zahlreiche personenbezogene Daten, den Namen und die Anschrift von Beschäftigten, aber auch beispielsweise dessen Religionszugehörigkeit, Steuer-ID, Mitgliedsnummer in der Krankenkasse oder Rentenversicherung. In diesem Zusammenhang gilt jedoch nicht abweichendes: Wird eine Lohn- und Gehaltsabrechnung durch einen Steuerberater erstellt und verarbeitet dieser hierfür personenbezogene Daten, muss aufgrund der dargestellten Weisungsfreiheit in diesem Zusammenhang kein Auftragsverarbeitungsvertrag geschlossen werden, der Steuerberater bzw. dessen Kanzlei sind auch an dieser Stelle kein Auftragsverarbeiter. Etwas anders gilt nur dann, wenn Unternehmen für die Lohn- und Gehaltsabrechnung einen externen Dienstleister beauftragen, bei dem es sich nicht um einen Steuerberater bzw. nicht um ein Steuerberatungsbüro handelt, sondern die Lohn- und Gehaltsabrechnung durch einen Dienstleister stattfindet, der nicht weisungsfrei handelt. Im Falle einer solchen Konstellation, die eine einzelfallbezogene Beurteilung erfordert, kontaktieren Unternehmen am besten ihren Datenschutzbeauftragten zur weiteren Beurteilung.