Zum Inhalt springen Zur Navigation springen
Steuerberater sind keine Auftragsverarbeiter – Änderung sorgt für Klarheit

Steuerberater sind keine Auftragsverarbeiter – Änderung sorgt für Klarheit

Erst kürzlich hat der deutsche Gesetzgeber mit einer Neufassung des § 11 Steuerberatungsgesetz (StBerG) für Klarheit gesorgt, ob und inwiefern Steuerberater als Auftragsverarbeiter im Sinne des Art. 4 Nr. 8 DSGVO anzusehen sind. Dies nehmen wir zum Anlass, die Hintergründe zu dieser Änderung sowie die Voraussetzungen einer Auftragsverarbeitung im Allgemeinen genauer zu beleuchten.

Verantwortlicher oder Auftragsverarbeiter?

Aus dem Berateralltag lässt sich berichten, dass immer wieder die Frage gestellt wird, ob mit dem Steuerberater eine Auftragsverarbeitungsvereinbarung (AVV) zu schließen ist. Die hohe Relevanz in der Praxis lässt sich damit begründen, dass quasi jedes Unternehmen mit einem Steuerberatungsunternehmen zu tun hat. So werden die Lohn- und Gehaltsabrechnungen regelmäßig durch einen (externen) Steuerberater erstellt. Auch werden dessen Dienste oftmals in Anspruch genommen, wenn es beispielsweise um die Erstellung von Jahresabschlüssen geht.

Während die eingangs erwähnte Frage von den betroffenen Berufsverbänden wie dem Deutschen Steuerberaterverband (DStV) und der Bundessteuerberaterkammer (BStBK) im Grunde einheitlich im Sinne der nunmehr erfolgten Gesetzesänderung beantwortet worden ist, hatten sich die Aufsichtsbehörden bislang dazu unterschiedlich positioniert. So wurde teilweise nach der Art der Tätigkeit des Steuerberaters unterschieden, je nachdem, wie stark die Weisungsgebundenheit des Steuerberaters zu bewerten war. Die Änderung des § 11 StBerG hat daher hauptsächlich eine klarstellende Funktion.

Was ist eine Auftragsverarbeitung überhaupt?

Der Begriff des Auftragsverarbeiters wird in Art. 4 Nr. 8 DSGVO ausdrücklich genannt. Danach ist ein Auftragsverarbeiter

„eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.“

Vereinfacht gesagt besteht ein Auftragsverarbeitungsverhältnis immer dann, wenn ein Unternehmen eine Datenverarbeitung an einen externen Dritten auslagert. Sofern eine Auftragsverarbeitung vorliegt, ist eine entsprechende Vereinbarung zu schließen, die sogenannte Auftragsverarbeitungsvereinbarung. Wichtig ist dabei, dass ausschließlich nach objektiven Kriterien bestimmt wird, ob tatsächlich eine Auftragsverarbeitung vorliegt. Es ist also nicht möglich, durch Abschluss einer AVV die gewünschte Rechtslage „herbeizuführen“. Der Berateralltag lässt erkennen, dass sich dies bislang nicht überall herumgesprochen hat.

Wie sieht eine AVV aus?

Die inhaltlichen (Mindest-)Anforderungen eines Auftragsverarbeitungsvertrages sind in Art. 28 DSGVO geregelt. Diese entsprechen weitgehend der Rechtslage vor Inkrafttreten der DSGVO. Bei der Ausgestaltung einer AVV sind selbstverständlich die bekannten grundsätzlichen Angaben aus Art. 13 ff. DSGVO zu machen, z.B. welche Arten und Daten verarbeitet werden und zu welchem Zweck. Auch sind vertragsspezifische Anforderungen zu beachten. Beispielhaft sind folgende Voraussetzungen zu nennen:

  • Umfang der Weisungsbefugnisse des Auftraggebers
  • Verpflichtung der zur Verarbeitung berechtigten Personen zur Vertraulichkeit
  • Sicherstellung von technischen und organisatorischen Maßnahmen (siehe Art. 32 DSGVO)
  • Rückgabe oder Löschung personenbezogener Daten nach Beendigung der Auftragsverarbeitung

Was regelt die Vorschrift?

Der neue § 11 StBerG trat zum 18.12.2019 in Kraft. Bereits vor der Änderung stellte Absatz 1 der Vorschrift die Rechtsgrundlage für die Verarbeitung personenbezogener Daten dar, um die Aufgaben nach dem StBerG zu erfüllen. Nunmehr wurde in Absatz 2 eingefügt bzw. klargestellt, dass

„die Verarbeitung personenbezogener Daten durch Personen und Gesellschaften nach § 3 unter Beachtung der für sie geltenden Berufspflichten weisungsfrei [erfolgt].“

Durch diese Vorschrift wird deutlich, dass ein Steuerberater im Rahmen seiner berufsrechtlich geschützten Tätigkeit nicht weisungsgebunden handelt. Er ist daher grundsätzlich als Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO anzusehen. Es ist also von einer eigenen Verantwortlichkeit des Steuerberaters auszugehen, da der Gesetzgeber nunmehr davon ausgeht, dass der Steuerberater eine durch das Berufsgeheimnis geschützte und weisungsunabhängige Tätigkeit ausübt.

Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO

Und was heißt das jetzt für die Praxis? Wie der Gesetzesbegründung zu entnehmen ist, muss die Neuregelung für sämtliche Tätigkeiten des Steuerberaters angewendet werden. Es kommt also nicht mehr auf die Art der Tätigkeit an. Insbesondere nennt die Gesetzesbegründung ausdrücklich die Erstellung von Lohn- und Gehaltsabrechnungen, da auch diese Tätigkeit

„die eigenverantwortliche Prüfung und Anwendung der gesetzlichen Bestimmungen voraussetze“.

Dies stellt eine deutliche Abkehr der bisherigen Praxis dar. Nach der neuen Rechtslage ist der Steuerberater stets als Verantwortlicher im Sinne der DSGVO zu behandeln. Dies bedeutet, dass eine Auftragsverarbeitungsvereinbarung auch im bisher häufigsten Anwendungsfall, der Erstellung von Lohn- und Gehaltsabrechnungen, nicht mehr abzuschließen ist. Gegebenenfalls kommt je nach Gestaltung des konkreten Auftragsverhältnisses eine gemeinsame Verantwortlichkeit gemäß Art. 26 DSGVO in Betracht. Die Neuregelung sorgt damit für Rechtssicherheit, was grundsätzlich zu begrüßen ist. Zudem ist positiv, dass der Steuerberater nun seinen Pflichten als Verantwortlicher umfassend nachkommen muss. Dies dürfte das allgemeine Schutzniveau für die verarbeiteten personenbezogenen Daten grundsätzlich erhöhen.

Unternehmen, mit welchen der Steuerberater im Rahmen seiner Tätigkeit zusammenarbeitet, werden im Regelfall allerdings weiterhin als Auftragsverarbeiter zu qualifizieren sein. Für diese findet die Vorschrift des § 11 Abs. 2 StBerG keine Anwendung.

Informieren Sie sich über unsere praxisnahen Webinare
  • »Microsoft 365 sicher gestalten«
  • »Informationspflichten nach DSGVO«
  • »Auftragsverarbeitung in der Praxis«
  • »DSGVO-konformes Löschen«
  • »IT-Notfall Ransomware«
  • »Bewerber- und Beschäftigtendatenschutz«
Webinare entdecken
Mit dem Code „Webinar2024B“ erhalten Sie 10% Rabatt, gültig bis zum 30.06.2024.
Beitrag kommentieren
Fehler entdeckt oder Themenvorschlag? Kontaktieren Sie uns anonym hier.
  • Danke, ein sehr hilfreicher Beitrag! Wie ist denn die Lage, wenn ein Unternehmen eine Steuerabteilung hat und die dortigen MA für Dritte Dienstleistungen im Bereich der Steuerberatung erbringen? Könnte man hier auch vom Fehlen der Auftragsverarbeiter-Eigenschaft ausgehen? Wäre ggf. eine Joint-Control-Vereinbarung nach Art. 26 DSGVO abzuschließen? Ich wäre sehr dankbar für eine Antwort oder eine kurze Diskussion.

    MfG
    Dr. Feelgood (DSB)

    • Auch in dem von Ihnen geschilderten Fall dürfte sich nichts an der Beurteilung ändern. Die Steuerabteilung ist ein unselbstständiger Teil eines Unternehmens und hat keine eigenen Verantwortlichkeiten im datenschutzrechtlichen Sinne. Verantwortlich bleibt das Unternehmen, also die natürliche oder juristische Person als solche.

  • Ein sehr interessanter Beitrag. Gut zu wissen. Allerdings verstehe ich den letzten Absatz nicht: Unternehmen, mit welchen der Steuerberater im Rahmen seiner Tätigkeit zusammenarbeitet, werden im Regelfall allerdings weiterhin als Auftragsverarbeiter zu qualifizieren sein. Für diese findet die Vorschrift des § 11 Abs. 2 StBerG keine Anwendung.
    Was denn nun?

    • Hier sind Unternehmen gemeint, welche wiederum vom Steuerberater-Unternehmen beauftragt werden. Steuerberater arbeiten erfahrungsgemäß häufig mit größeren Datenverarbeitungsunternehmen wie z. B. DATEV zusammen. Diese wären weiterhin als Auftragsverarbeiter (für den Steuerberater) zu qualifizieren, da sie begrifflich vom
      § 11 StBerG gar nicht erfasst werden.

  • Wie steht es nun eigentlich um die Informationspflicht nach Art 13 DSGVO?
    Muss der Steuerberater, die Betroffenen (Mitarbeiter, Kunden, Lieferanten, Dritte), deren Daten er übermittelt bekommt, die er als Verantwortlicher verarbeitet, nun auch benachrichtigen? Muss er auch deren Ansprüche aus Betroffenenrechten nach DSGVO befriedigen?
    Vielen Dank.

    • Hier handelt es sich eigentlich um einen klassischen Fall des Art. 14 Abs. 1 – 4 DSGVO, da die personenbezogenen Daten nicht bei der betroffenen Person erhoben werden. Allerdings dürften hier Ausnahmen nach Art. 14 Abs. 5 a) oder d) gegeben sein, da ein Arbeitnehmer im Regelfall schon von seinem Arbeitgeber in Kenntnis gesetzt wird, wenn Lohn- und Gehaltsabrechnungen von einem externen Steuerberater erstellt werden. Zudem unterliegt der Steuerberater auch berufsrechtlichen Einschränkung im Bereich der Datenverarbeitung. Grundsätzlich muss zwar auch ein Steuerberater die Pflichten nach Art. 15 ff. DSGVO erfüllen. Dies gilt allerdings nur, soweit nicht die berufsrechtlich geschützte Tätigkeit als solche, also alles, was z. B. das Mandatsverhältnis angeht, betroffen ist.

  • Ein ganz schön alter Hut…
    Steuerberater = fremde Fachleistung = keine Auftragsverarbeitung.
    Dies stellte auch bereits das BayLDA in ihrem 8. Tätigkeitsbereicht von 2017/2018 (!) klar. Wieso das Thema 2020 wieder aufwärmen.

    • Wie gleich zu Beginn des Beitrags beschrieben, trat eine Gesetzesänderung am 18.12.2019 in Kraft. Eine eindeutige Regelung hierzu hatte bis dahin nicht existiert.

      Zudem ist anzumerken, dass es sich bei dem Informationsmaterial der Aufsichtsbehörden nur um Meinungen handelt. Sie sind nicht rechtsverbindlich und gerade bei umstrittenen Fragen, ist es nicht unwahrscheinlich, dass Gerichte den Sachverhalt anders entscheiden.

  • Hallo, ich habe zwei kurze Fragen dazu.
    a) Ein Steuerberater oder andere Dienstleister, der kein Auftragsverarbeiter ist, muss eine Vertraulichkeitsvereinbarung unterzeichnen. Sehe ich das richtig?
    b) Es wird eine Vereinbarung zur Auftragsverarbeitung (VAV) abgeschlossen. Benötigt man parallel auch noch eine Vertraulichkeitsvereinbarung oder reicht die VAV?
    Vielen Dank im Voraus für Ihr Feedback

    • Steuerberater sind bereits gesetzlich zur Verschwiegenheit bzw. zur Vertraulichkeit verpflichtet (siehe § 57 StBerG).

      Eine Auftragsdatenverarbeitungsvereinbarung ist von einer Vertraulichkeitsvereinbarung zu unterscheiden. Zwar ist in Art. 28 Abs. 3 lit. b DSGVO geregelt, dass der Auftragsverarbeiter die Personen, welche zur Datenverarbeitung befugt sind, zur Vertraulichkeit verpflichten muss, dies bezieht sich jedoch auf datenschutzrechtliche Vorgaben. Eine Vertraulichkeitsvereinbarung geht im Regelfall darüber hinaus und umfasst insbesondere Geschäftsgeheimnisse, welche vertraulich behandelt werden sollen.

  • Der Beitrag zum Thema Steuerberatung für Unternehmen ist sehr hilfreich. Ich wollte besser informiert sein, denn ich weiß sehr wenig darüber. Nachdem ich diesen Artikel gelesen habe, weiß ich genug über dieses Thema.

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.