Klassische Beratung oder Auftragsdatenverarbeitung

Datenschutzvereinbarung mit Steuerberatern

12.02.2014 von Renate Oettinger
Nach welchen Vorschriften muss ein Mandant mit seinem Steuerberater eine Datenschutzvereinbarung treffen? Und was ist zu tun, wenn Daten verloren gehen? Dr. Sebastian Kraska geht diesen Fragen nach.
Erbringt ein Steuerberater Lohnabrechnungsleistungen, kann das Thema Datenschutz ins Spiel kommen.
Foto: Jürgen Fälchle, Fotolia.de

Steuerberater verarbeiten umfangreiche vertrauliche Angaben von Unternehmen und erhalten in diesem Rahmen (gerade bei der Lohn- und Gehaltsabrechnung) stets auch personenbezogene Daten. In der Praxis stellt sich daher immer wieder die Frage, ob mit dem Steuerberater eine Datenschutz-Vereinbarung nach § 11 BDSG (Auftragsdatenverarbeitungsvereinbarung) abgeschlossen werden muss oder ob dies aufgrund der gesetzlichen Vorgaben speziell im Steuerberatungsgesetz entbehrlich ist.

"Klassische" Steuerberatungstätigkeit: keine Auftragsdatenverarbeitung

Soweit der Steuerberater "klassische" Steuerberatungstätigkeiten erbringt (Erstellung Jahresabschluss, Steuerberatung etc.) handelt er ausweislich § 32 Abs. 2 Steuerberatungsgesetz ("StBerG") i.V.m. den tätigkeitsbeschreibenden Normen im StBerG eigenverantwortlich und damit aufgrund gesetzlicher Vorgaben weisungsfrei. Aus dieser Weisungsfreiheit ergibt sich bereits, dass ein Steuerberater hinsichtlich dieser Tätigkeiten nicht den Vorgaben der Auftragsdatenverarbeitung nach § 11 BDSG und damit der Weisungsgebundenheit des Auftraggebers unterworfen werden kann.

Steuerberatung und Lohn- und Gehaltsabrechnung

Gleiches gilt nach herrschender Auffassung der Aufsichtsbehörden, mit denen im Vorfeld ein Austausch zu dieser Frage stattfand, auch für Steuerberater, die neben der "klassischen" Steuerberatung auch Tätigkeiten der Lohn- und Gehaltsabrechnung durchführen. Hier sei die Abrechnungstätigkeit von Löhnen und Gehältern (und die damit einhergehende Verarbeitung personenbezogener Daten wie auch häufig der Kontodaten) ebenfalls als steuerberatende und damit dem Anwendungsbereich des StBerG unterfallende Tätigkeit anzusehen, die daher durch den Steuerberater weisungsfrei erbracht werde.

Reine Lohn- und Gehaltsabrechnung

Umstritten ist dagegen der Fall, wenn der Steuerberater ausschließlich Lohn- und Gehaltsabrechnungen erstellt. Auch hier tendieren die Aufsichtsbehörden (zumindest in Süddeutschland) dazu, diesen Fall nicht als Auftragsdatenverarbeitungsvereinbarung zu qualifizieren. Allerdings steht dieser Auffassung das Argument entgegen, dass Lohn- und Gehaltsabrechnungstätigkeiten häufig auch an Unternehmen ausgelagert werden, die keine steuerberatende Tätigkeit erbringen und mit denen daher unstreitig eine Auftragsdatenverarbeitungsvereinbarung nach § 11 BDSG abzuschließen ist. Inwieweit also das Argument greift, dass die gleiche Tätigkeit bei Auslagerung an einen Steuerberater sowie ein nicht steuerberatendes Unternehmen einmal weisungsfrei und im anderen Fall weisungsgebunden sein muss, sollte im Einzelfall in Absprache mit der jeweils zuständigen Datenschutz-Aufsichtsbehörde geklärt werden.

Praktische Relevanz: Wen treffen die Meldepflichten im Datenverlustfall?

Praktische Relevanz erhält die Rechtsfrage, ob mit dem Steuerberater eine Auftragsdatenverarbeitungsvereinbarung nach § 11 BDSG abzuschließen ist, neben dem administrativen Aufwand vor allem in Datenverlustszenarien nach § 42a BDSG. Stellt eine verantwortliche Stelle nach dieser Vorschrift fest, dass zum Beispiel personenbezogene Daten zu Bank- oder Kreditkartenkonten unrechtmäßig übermittelt oder auf sonstige Weise Dritten unrechtmäßig zur Kenntnis gelangt sind, hat diese bei Vorliegen weiterer Voraussetzungen die Betroffenen sowie unverzüglich die Datenschutz-Aufsichtsbehörde zu informieren.

Verarbeitet der Steuerberater daher die Daten des Unternehmens eigenverantwortlich und nicht im Rahmen der Auftragsdatenverarbeitung, hat er selbst als verantwortliche Stelle diese Meldung vorzunehmen. Wird er dagegen als Auftragsdatenverarbeitungsnehmer tätig bildet das Unternehmen die verantwortliche Stelle und muss die Meldung vornehmen.

Gerade bei der Lohn- und Gehaltsabrechnung werden personenbezogene Daten und in der Regel auch Kontodaten verarbeitet. Passiert hierbei ein Fehler und gehen Daten verloren muss schnell unstreitig klar sein, wer bezüglich dieser Daten die verantwortliche Stelle bildet, um nicht gegen die (im Einzelfall sogar nach § 43 Abs. 2 Nr. 7, 44 Abs. 1 BDSG strafbewehrten) Vorgaben des § 42a BDSG zu verstoßen.

Empfehlung: Datenschutz-Regelungen auch bei Funktionsübertragung treffen

Die Datenschutz-Aufsichtsbehörden empfehlen, auch in Fällen der Funktionsübertragung eine Datenschutz-Vereinbarung zu treffen, welche die Regelungen des § 11 BDSG soweit passend aufgreift. So können zum Beispiel Regelungen zu den technischen und organisatorischen Maßnahmen sowie Meldepflichten im Datenverlustfall auch mit Steuerberatern einen datenschutzrechtlichen Mehrwert für beide Seiten schaffen.

Fazit

In der Regel wird der Steuerberater in der Praxis als eigene verantwortliche Stelle im Rahmen der Funktionsübertragung und nicht im Rahmen der Auftragsdatenverarbeitung tätig. Allein in den Fällen, bei denen der Steuerberater reine Lohn- und Gehaltsabrechnungsleisten erbringt, sollte aufgrund der unklaren Regelungslage vorab mit der jeweiligen Datenschutz-Aufsichtsbehörde geklärt werden, ob sie dieses Verhältnis als Funktionsübertragung oder Auftragsdatenverarbeitung qualifiziert und wer im Ergebnis die verantwortliche Stelle hinsichtlich der verarbeiteten Daten bildet.

Relevant wird diese Frage insbesondere im Datenverlustfall, wenn durch die verantwortliche Stelle die Datenschutz-Aufsichtsbehörde sowie die Betroffenen zu informieren sind. Auch in Fällen der reinen Funktionsübertragung (in denen keine Auftragsdatenverarbeitungsvereinbarung nach § 11 BDSG erforderlich ist) empfehlen die Datenschutz-Aufsichtsbehörden, eine Datenschutz-Vereinbarung abzuschließen, die zumindest Themen wie die Einhaltung technischer und organisatorischer Maßnahmen zur Einhaltung der Datenschutzvorgaben abdeckt. (oe)

Weitere Informationen:
Dr. Sebastian Kraska ist Rechtsanwalt, externer Datenschutzbeauftragter und Inhaber des Instituts für IT-Recht - IITR GmbH.
Kontakt: Tel.: 089 18917360, E-Mail: email@iitr.de, Internet: www.iitr.de

Meldungen zum Thema "Steuern & Finanzen" -
Das ändert sich im Steuerrecht
Nach mehreren Anläufen ist das Jahressteuergesetz 2013 mit zahlreichen Änderungen im Steuerrecht als Amtshilferichtlinie-Umsetzungsgesetz in Kraft getreten. Die Steuerexperten von WW-KN Regensburg stellen die Details vor.
Fairplay der Haftpflichtversicherung?
Von wegen! Autofahrer, die in einen Verkehrsunfall verwickelt sind, sollten sich vor zu freundlichen gegnerischen Haftpflichtversicherern hüten.
Insolvenz – wann ist die Ausschlussklausel wirksam?
Sogenannte Nachzügler sind mit Forderungen, die bei rechtskräftiger Bestätigung eines Insolvenzplans unbekannt waren, grundsätzlich nicht ausgeschlossen.
Ohne Kündigungsschutzklage kein Schadensersatz
Die Kündigung wurde ausgesprochen? Nach Ablauf der Klagefrist kann ein Arbeitnehmer gegen den Arbeitgeber keine Schadensersatzansprüche wegen entgangenen Arbeitsentgelts mehr geltend machen.
Datenschutzvereinbarung mit Steuerberatern
Nach welchen Vorschriften muss ein Mandant mit seinem Steuerberater eine Datenschutzvereinbarung treffen? Und was ist zu tun, wenn Daten verloren gehen? Dr. Sebastian Kraska geht diesen Fragen nach.
Richtig versichern im Langzeiturlaub
Wohnung, Hausrat und Wertsachen sichern, die richtigen Versicherungen abschließen – die Arag-Experten sagen, woran man denken sollte.
Neuer Mustervertrag für Erstellung von Individualsoftware
Der Vertrag kann auch Basis für ein Customizing von Standardsoftware dienen, wenn diese Leistungen werkvertraglich geprägt sind. Thomas Feil nennt Details.
Grundsteuer – was Häuslebauer wissen müssen
Mancher Grundstückskäufer informiert sich nicht ausreichend, welche Kosten auf ihn zukommen. Gerne vergessen wird vor allem die Grundsteuer.
Urteil zur Rückabwicklung einer Kapitalanlage
Bei Unwirksamkeit kann ein Verbraucher auch noch nach Jahren aus einer missglückten Geldanlage aussteigen.
Kein Abzug von Strafverteidigungskosten
Wurde jemand wegen Vorsatzes verurteilt, kann er die Kosten für die Strafverteidigung nicht von der Steuer abziehen.
Was Kapitalanleger beachten müssen
Von den Änderungen durch das Amtshilferichtlinie-Umsetzungsgesetz ist der Großteil der Kapitalanleger nur am Rande betroffen. Für die Abgeltung- und Kapitalertragsteuer gibt es einige Änderungen.
Steuerrechtliche Neuerungen für Online-Händler
Die Änderungen im Umsatzsteuerrecht zum Jahresbeginn betreffen auch den E-Commerce-Bereich. ChannelPartner hat sich bei Dr. Mario Wagner von Schomerus & Partner erkundigt.
Unwetterschäden – was zahlt die Versicherung?
Sturmschäden sind grundsätzlich von den Gebäude-, Hausrat- und Kaskoversicherungen abgedeckt. Doch es gibt bestimmte Voraussetzungen.
Versicherungen für Berufseinsteiger
Wer in seinen ersten Job startet, muss sich auch Gedanken über die finanzielle Absicherung für das Berufsleben machen. Dabei gibt es wichtige Versicherungen und solche, die überflüssig sind.
Darlehen unter Kollegen – was der Fiskus sagt
Der Begriff des "Nahestehens" ist eng am Gesetzeszweck auszurichten. Deshalb schließt nicht jedes Näheverhältnis eine günstige Zinsbesteuerung aus.
Unfallschäden und Rechtsanwaltskosten
Halter von Fahrzeugflotten müssen sich berufsbedingt wohl oder übel häufig mit Verkehrsunfällen der Dienstwagen in ihren Unternehmen beschäftigen.
Wenn der Steuerberater grob fahrlässig handelt
Ein grobes Verschulden des Steuerberaters liegt vor bei Verwendung einer "komprimierten" Elster-Einkommensteuererklärung, ohne dass vorher der maßgebende Sachverhalt vollständig ermittelt wurde und der Mandant die Erklärung prüfen kann.
Neue Pflichtangaben für Rechnungen
Im Umsatzsteuerrecht gibt es zahlreiche Änderungen durch das Amtshilferichtlinie-Umsetzungsgesetz, die fast alle Unternehmen in der einen oder anderen Weise betreffen. Die Steuerexperten von WW-KN Regensburg nennen Details.
Auto beschädigt – öffentliche Hand muss zahlen
Wird ein Fahrzeug beim Befahren einer Bundesstraße von Steinen beschädigt, die bei Mäharbeiten hochgeschleudert werden, haftet das entsprechende Bundesland für den Schaden.
Nebel und nasses Laub – die Gefahren im Spätherbst
Noch hat der Winter uns nicht in seinem kalten Griff. Doch auch wenn der Herbst noch ein paar schöne Tage für uns bereithält, er hat auch seine Tücken – besonders für Autofahrer.