Datenschutz

Datenschutz-Vereinbarung mit Steuerberatern

08.12.2013

IITR Information[IITR – 08.12.13] Steuerberater verarbeiten umfangreiche vertrauliche Angaben von Unternehmen und erhalten in diesem Rahmen (gerade bei der Lohn- und Gehaltsabrechnung) stets auch personenbezogene Daten. In der Praxis stellt sich daher immer wieder die Frage, ob mit dem Steuerberater eine Datenschutz-Vereinbarung nach § 11 BDSG (Auftragsdatenverarbeitungsvereinbarung) abgeschlossen werden muss oder ob dies aufgrund der gesetzlichen Vorgaben speziell im Steuerberatungsgesetz entbehrlich ist.

„Klassische“ Steuerberatungstätigkeit: keine Auftragsdatenverarbeitung

Soweit der Steuerberater „klassische“ Steuerberatungstätigkeiten erbringt (Erstellung Jahresabschluss, Steuerberatung etc.) handelt er ausweislich § 32 Abs. 2 Steuerberatungsgesetz („StBerG“) i.V.m. den tätigkeitsbeschreibenden Normen im StBerG eigenverantwortlich und damit aufgrund gesetzlicher Vorgaben weisungsfrei. Aus dieser Weisungsfreiheit ergibt sich bereits, dass ein Steuerberater hinsichtlich dieser Tätigkeiten nicht den Vorgaben der Auftragsdatenverarbeitung nach § 11 BDSG und damit der Weisungsgebundenheit des Auftraggebers unterworfen werden kann.

Steuerberatung und Lohn- und Gehaltsabrechnung

Gleiches gilt nach herrschender Auffassung der Aufsichtsbehörden, mit denen im Vorfeld ein Austausch zu dieser Frage stattfand, auch für Steuerberater, die neben der „klassischen“ Steuerberatung auch Tätigkeiten der Lohn- und Gehaltsabrechnung durchführen. Hier sei die Abrechnungstätigkeit von Löhnen und Gehältern (und die damit einhergehende Verarbeitung personenbezogener Daten wie auch häufig der Kontodaten) ebenfalls als steuerberatende und damit dem Anwendungsbereich des StBerG unterfallende Tätigkeit anzusehen, die daher durch den Steuerberater weisungsfrei erbracht werde.

Reine Lohn- und Gehaltsabrechnung

Umstritten ist dagegen der Fall, wenn der Steuerberater ausschließlich Lohn- und Gehaltsabrechnungen erstellt. Auch hier tendieren die Aufsichtsbehörden (zumindest in Süddeutschland) dazu, diesen Fall nicht als Auftragsdatenverarbeitungsvereinbarung zu qualifizieren. Allerdings steht dieser Auffassung das Argument entgegen, dass Lohn- und Gehaltsabrechnungstätigkeiten häufig auch an Unternehmen ausgelagert werden, die keine steuerberatende Tätigkeit erbringen und mit denen daher unstreitig eine Auftragsdatenverarbeitungsvereinbarung nach § 11 BDSG abzuschließen ist. Inwieweit also das Argument greift, dass die gleiche Tätigkeit bei Auslagerung an einen Steuerberater sowie ein nicht steuerberatendes Unternehmen einmal weisungsfrei und im anderen Fall weisungsgebunden sein muss, sollte im Einzelfall in Absprache mit der jeweils zuständigen Datenschutz-Aufsichtsbehörde geklärt werden.

Praktische Relevanz: wen treffen die Meldepflichten im Datenverlustfall?

Praktische Relevanz erhält die Rechtsfrage, ob mit dem Steuerberater eine Auftragsdatenverarbeitungsvereinbarung nach § 11 BDSG abzuschließen ist, neben dem administrativen Aufwand vor allem in Datenverlustszenarien nach § 42a BDSG. Stellt eine verantwortliche Stelle nach dieser Vorschrift fest, dass zum Beispiel personenbezogene Daten zu Bank- oder Kreditkartenkonten unrechtmäßig übermittelt oder auf sonstige Weise Dritten unrechtmäßig zur Kenntnis gelangt sind, hat diese bei Vorliegen weiterer Voraussetzungen die Betroffenen sowie unverzüglich die Datenschutz-Aufsichtsbehörde zu informieren. Verarbeitet der Steuerberater daher die Daten des Unternehmens eigenverantwortlich und nicht im Rahmen der Auftragsdatenverarbeitung, hat er selbst als verantwortliche Stelle diese Meldung vorzunehmen. Wird er dagegen als Auftragsdatenverarbeitungsnehmer tätig bildet das Unternehmen die verantwortliche Stelle und muss die Meldung vornehmen.

Gerade bei der Lohn- und Gehaltsabrechnung werden personenbezogene Daten und in der Regel auch Kontodaten verarbeitet. Passiert hierbei ein Fehler und gehen Daten verloren muss schnell unstreitig klar sein, wer bezüglich dieser Daten die verantwortliche Stelle bildet, um nicht gegen die (im Einzelfall sogar nach § 43 Abs. 2 Nr. 7, 44 Abs. 1 BDSG strafbewehrten) Vorgaben des § 42a BDSG zu verstoßen.

Empfehlung: Datenschutz-Regelungen auch bei Funktionsübertragung treffen

Die Datenschutz-Aufsichtsbehörden empfehlen, auch in Fällen der Funktionsübertragung eine Datenschutz-Vereinbarung zu treffen, welche die Regelungen des § 11 BDSG soweit passend aufgreift. So können zum Beispiel Regelungen zu den technischen und organisatorischen Maßnahmen sowie Meldepflichten im Datenverlustfall auch mit Steuerberatern einen datenschutzrechtlichen Mehrwert für beide Seiten schaffen.

Fazit

In der Regel wird der Steuerberater in der Praxis als eigene verantwortliche Stelle im Rahmen der Funktionsübertragung und nicht im Rahmen der Auftragsdatenverarbeitung tätig. Allein in den Fällen, bei denen der Steuerberater reine Lohn- und Gehaltsabrechnungsleisten erbringt, sollte aufgrund der unklaren Regelungslage vorab mit der jeweiligen Datenschutz-Aufsichtsbehörde geklärt werden, ob sie dieses Verhältnis als Funktionsübertragung oder Auftragsdatenverarbeitung qualifiziert und wer im Ergebnis die verantwortliche Stelle hinsichtlich der verarbeiteten Daten bildet. Relevant wird diese Frage insbesondere im Datenverlustfall, wenn durch die verantwortliche Stelle die Datenschutz-Aufsichtsbehörde sowie die Betroffenen zu informieren sind. Auch in Fällen der reinen Funktionsübertragung (in denen keine Auftragsdatenverarbeitungsvereinbarung nach § 11 BDSG erforderlich ist) empfehlen die Datenschutz-Aufsichtsbehörden, eine Datenschutz-Vereinbarung abzuschließen, die zumindest Themen wie die Einhaltung technischer und organisatorischer Maßnahmen zur Einhaltung der Datenschutzvorgaben abdeckt.

Kontakt:
Rechtsanwalt Dr. Sebastian Kraska, externer Datenschutzbeauftragter

Telefon: 089-1891 7360
E-Mail-Kontaktformular
E-Mail: email@iitr.de

Information bei neuen Entwicklungen im Datenschutz

Tragen Sie sich einfach in unseren Newsletter ein und wir informieren Sie über aktuelle Entwicklungen im Datenschutzrecht.

Rechtsanwalt Dr. Sebastian Kraska

Über den Autor - Rechtsanwalt Dr. Sebastian Kraska

Herr Dr. Sebastian Kraska gründete die IITR Datenschutz GmbH, die auf den Bereich des betrieblichen Datenschutzes spezialisiert ist und als Anbieter von Datenschutz-Management-Systemen Unternehmen bei der Bewältigung datenschutzrechtlicher Anforderungen unterstützt.

Herr Dr. Kraska selbst ist als Rechtsanwalt ausschließlich im Datenschutzrecht sowie gemeinsam mit Regionalpartnern als externer Datenschutzbeauftragter tätig und betreut dabei Unternehmen und Behörden. Er ist zudem Beirat der Zeitschrift ZD des Beck-Verlages.

Beitrag teilen:

Kontakt

Rechtsanwalt Dr. Sebastian Kraska,
externer Datenschutzbeauftragter

Telefon: 089-1891 7360
E-Mail: email@iitr.de
www.iitr.de

1 Kommentar zu diesem Beitrag:

Karon von Jetsam

Sehr geehrter Herr Dr. Kraska.

Ein sehr interessanter Artikel, vielen Dank dafür.

Dazu 1 kurze Frage:

- Folgt man Ihren Ausführungen, so lässt sich die Übermittlung von Arbeitnehmerdaten an Steuerberater zur Lohn- und Gehaltsabrechnung und Steuerberatung nicht mittels § 11 BDSG abbilden, was ich auch so sehe. Die Leistungserbringung durch den Steuerberater stellen Sie auf § 32 Abs. 2 StBerG ab; auch hier teile ich Ihre Meinung. Auch Ihr Fazit "In der Regel wird der Steuerberater in der Praxis als eigene verantwortliche Stelle im Rahmen der Funktionsübertragung und nicht im Rahmen der Auftragsdatenverarbeitung tätig." teile ich.

Einzig was mir nicht ganz klar ist und ich in Ihrem Artikel nicht finden kann: Da keine ADV nach § 11 BDSG vorliegt, worauf stütze ich als verantwortliche Stelle (rechtlich) die Datenübermittlung "meiner" Arbeitnehmerdaten an den Steuerberater als "Dritten"?

Mit freundlichem Gruß
Karon von Jetsam

Kommentar schreiben:

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

IITR Chatbot IITR Chatbot