Seit einiger Zeit ist zwischen den deutschen Datenschutzbehörden umstritten, wie die Tätigkeiten von Steuerberater datenschutzrechtlich einzuordnen sind, wenn diese „nur“ Tätigkeiten der Lohnbuchhaltung durchführen.
Ist der Steuerberater in diesem Fall Auftragsverarbeiter oder (als Berufsgeheimnisträger) eigener Verantwortlicher?
Hier einige Positionen:
LfDI Baden-Württemberg: „Danach kommt für die Beauftragung des Steuerberaters mit der laufenden Lohn- und Gehaltsabrechnung datenschutzrechtlich nur eine Auftragsverarbeitung im Sinne des Artikels 28 DS-GVO in Betracht“.
LDA Bayern (pdf): „Auch wenn Steuerberater nur die Lohnbuchhaltung für einen Mandanten durchführen, müssen sie dafür aufgrund des Steuerberaterrechts die eigene Verantwortung übernehmen und können sich nicht, wie allgemeine Dienstleister zur Lohnabrechnung, auf Weisungen von Mandanten berufen“.
LDI NRW: „Bei gemischten Tätigkeiten – eigenverantwortliche Steuerberatung sowie weisungsgebundene Dienstleistungen – ist zu differenzieren: Im Hinblick auf weisungsgebundene Dienstleistungen ist eine Auftragsverarbeitung gegeben, im Hinblick auf die Beauftragung mit Tätigkeiten aufgrund steuerberatungsrechtlicher Vorschriften eine Datenverarbeitung in eigener Verantwortung“.
Aktuell liegt im Bundesrat zur Verhandlung der Entwurf eines Dritten Gesetzes zur Entlastung insbesondere der mittelständischen Wirtschaft von Bürokratie (Drittes Bürokratieentlastungsgesetz) (BR Drs 454/19). Im Rahmen dieses Entwurfs soll auch das Steuerberatungsgesetz (StBerG) angepasst werden.
Die Ausschüsse im Bundesrat schlagen nun mit Empfehlungen (pdf) vom 27.09.2019 eine zusätzliche Anpassung des § 11 StBerG „Verarbeitung personenbezogener Daten“ vor.
§ 11 Abs. 2 StBerG soll wie folgt gefasst werden:
(2) Die Personen und Gesellschaften nach § 3 sind bei Verarbeitung sämtlicher personenbezogener Daten ihrer Mandanten Verantwortliche gemäß Artikel 4 Nummer 7 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung – ABl. L 119 vom 4.5.2016, S. 1, L 314 vom 22.11.2016, S. 72).
Die Ausschüsse begründen diesen Vorschlag unter anderem mit der unklaren Rechtsage und den verschiedenen Ansichten der Datenschutzbehörden. Die Ausschüsse im Bundesrat stellen sich gegen die Ansichten jener Aufsichtsbehörden, die von einer Auftragsverarbeitung durch Steuerberater ausgehen, wenn diese Tätigkeiten im Rahmen der Lohnbuchhaltung anbieten.
„Vereinzelt gehen die Landesbeauftragten für den Datenschutz und Informationsfreiheit davon aus, dass es sich bei den in § 6 Nummer 4 StBerG genannten Tätigkeiten „Buchen laufender Geschäftsvorfälle“, „laufende Lohnabrechnung“ und „Fertigen der Lohnsteuer-Anmeldungen“, nicht um Tätigkeiten der Hilfeleistung in Steuersachen im Sinne von § 1, § 33 StBerG handelt. Dieser Auffassung kann nicht gefolgt werden.“ (Hervorhebung durch mich)
Die Ausschüsse gehen davon aus, dass Steuerberater bzw. die in § 3 StBerG aufgeführten Personen und Gesellschaften eigenverantwortlich tätig sind. Die in § 6 Nr. 4 StBerG genannten Tätigkeiten „Buchen laufender Geschäftsvorfälle“, „laufende Lohnabrechnung“ und „Fertigen der Lohnsteuer-Anmeldungen“ seien gerade nicht vom Anwendungsbereich des Steuerberatungsgesetzes ausgenommen.
„Die Leistung des mit der Lohnbuchführung beauftragten Steuerberaters umfasst regelmäßig vielmehr die eigenverantwortliche Prüfung und Anwendung der gesetzlichen Bestimmungen“.
Die Ausschüsse empfehlen mithin eine gesetzliche Vorgabe zur Einordnung von wirtschaftlichen Tätigkeiten und damit umfassten Datenverarbeitungen innerhalb des Verantwortlichkeitsgefüges der DSGVO. Die Ausschüsse nennen dies in der Begründung eine „klarstellende Ergänzung“.
Jedoch wird man auch fragen können, ob der nationale Gesetzgeber Vorgaben dazu machen darf, wie datenschutzrechtliche Verantwortlichkeiten zu verteilen sind und vor allem wie bestimmte Tätigkeiten innerhalb der DSGVO einzuordnen sind? Als Verantwortlicher oder als Auftragsverarbeitung? Auf eine Öffnungsklausel der DSGVO wird in der Begründung nicht verwiesen und es gilt natürlich zu beachten, dass die legal definierten Begriffe „Verantwortlicher“ und „Auftragsverarbeiter“ unmittelbar bindend sind. Spinnt man diese Idee hypothetisch weiter, könnte der nationale Gesetzgeber dazu übergeben, Festlegungen zur Rollenverteilung nach der DSGVO zu treffen, was wiederum dem Harmonisierungsgedanken der DSGVO entgegenstehen könnte.
Die am Ende des Beitrags gestellte Frage kam auch schon in anderen Zusammenhängen auf, insbesondere mit Blick auf die „Öffnungsklausel“ in Art. 4 Nr. 7 Hs. 2 DSGVO („sind die Zwecke und Mittel dieser Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten vorgegeben, so kann der Verantwortliche beziehungsweise können die bestimmten Kriterien seiner Benennung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten vorgesehen werden“).
Kühling/Martini haben hierzu in ihrem Gutachten von 2016 (S. 25f.) mit Bezug auf den englischen Wortlaut vertreten, dass die Rollenverteilung (controller/processor) durch den Gesetzgeber „nur dort möglich ist, wo die [DSGVO] überhaupt Öffnungsklauseln für die Bestimmung von Zwecken und Mitteln der Verarbeitung vorhält“, womit vor allem Art. 6 Abs. 1 S. 1 lit. c und e DSGVO in Betracht kämen.
Rechtsgrundlage des Lohnbüros/StB dürfte allerdings vorrangig Art. 6 Abs. 1 S. 1 lit. b DSGVO zum Zwecke der Erfüllung des Mandatsvertrags (Dienstvertrags) sein (darauf stützen sich aus meiner Erfahrung auch die meisten StB-Kanzleien in ihren Datenschutzhinweisen). Eine Rollenzuweisung durch den Gesetzgeber dürfte insoweit allerdings ausscheiden.
Mir ist dabei nicht so recht klar, warum der o.g. neue Absatz 2, der sich an Personen und Gesellschaften nach § 3 StBerG richtet, nunmehr an die Vorschrift des § 11 StBerG „andockt“ – verfolgte dieser doch ausweislich der Gesetzesbegründung einen anderen, nämlich aufsichtsrechtlichen Zweck: „Die Neufassung des § 11 schafft die gesetzliche Grundlage für die Datenverarbeitung und -nutzung. Damit soll u. a. die Möglichkeit geschaffen werden, im Einzelfall Informationen über Fehlversuche bei der Steuerberaterprüfung auszutauschen und zu verhindern, dass sich ein Bewerber nach drei Fehlversuchen in einem Bundesland in einem weiteren Bundesland erfolgreich zur Prüfung anmeldet. Der Aufbau eines Registers zur lückenlosen Erfassung von Fehlversuchen erscheint jedoch unverhältnismäßig.“ (vgl. BT-Drucks 14/2667, S. 28)
Damit stellt sich m.E. die Frage, wie man „zur Erfüllung der Aufgaben nach diesem Gesetz“ (§ 11 StBerG) interpretiert – als Erlaubnistatbestand nur für den öffentlichen, oder etwa auch für den nicht-öffentlichen Bereich, also die StB selbst?
Das Argument mit Art 6 I b verstehe ich nicht: der bezieht sich auf einen Vertrag mit dem *Betroffenen*, der Vertrag ist aber Unternehmen StB
Ja, das war missverständlich ausgeführt. Sobald personenbezogene Daten Dritter (außerhalb des Mandatsvertrags) verarbeitet werden, findet sich die Rechtsgrundlage in Art. 6 Abs. 1 Satz 1 lit. f DSGVO.
Die Bedenken, die gegen eine gesetzgeberische „Rollenverteilung“ sprechen, bestehen jedoch gleichermaßen in dieser Variante.
Die Bundesregierung hat den vom Bundesrat eingebrachten Vorschlag bei der Verabschiedung des Dritten Bürokratieentlastungsgesetzes nicht übernommen, sondern verweist darauf, dass sie den Vorschlag prüfen werde (BT Drs. 19/14076, Nr. 9).
Insofern stehen weiterhin die verschiedenen, zum Teil gegensätzlichen, Positionen der Landesbeauftragten für den Datenschutz im Raum.
Die gesetzliche Klarstellung ist mittlerweile erfolgt. Steuerberater sind nun nach § 11 Abs. 2 StBerG eigene Verantwortliche.
Ich überlege, meine Lohnbuchhaltung von meinem Steuerberater machen zu lassen. Interessant, dass es dazu verschiedene Ansichten gibt. Die Position aus Baden-Württemberg und NRW klingt für mich am plausibelsten.