Gesetzesänderung stellt klar: Steuerberater sind doch keine Auftragsdatenverarbeiter
Was bedeutet Auftragsverarbeitung? Bei diesem Vorgang beauftragt eine Firma externe Dienstleister mit der Verarbeitung personenbezogener Daten. Der Dienstleister ist dabei an Weisungen des Auftraggebers gebunden. Er wird nur unterstützend tätig, ist aber durch die seit Mai 2018 geltende DSGVO an den durch den Auftraggeber gesteckten Rahmen gebunden. Das beauftragende Unternehmen muss einen tatsächlichen oder rechtlichen Einfluss ausüben können. Personenbezogene Daten sind nach DSGVO-Definition (Artikel 4) alle Informationen, durch die sich Personen identifizieren lassen. Zum Beispiel: Namen, Anschrift, Kontakt- und Kontodaten. Vorteil der Auftragsverarbeitung gegenüber anderer Datenweitergaben an externe Dienstleister ist hierbei, dass es keiner Rechtsgrundlage für eine Datenübermittlung zum Dienstleistungsunternehmen bedarf.
Zwingend notwendig ist in so einem Fall aber ein entsprechender Vertrag mit dem externen Dienstleister. Das beauftragende Unternehmen verpflichtet den Dienstleister zur Einhaltung der DSGVO-Vorschriften und übernimmt die Hauptverantwortung für den Datenschutz. Die Inhalte solcher Verträge sind im Artikel 28 Absatz 3 DSGVO vorgegeben.
Einige Akteure verwiesen mit dem Blick auf das Steuerberatungsgesetz darauf, dass der Steuerberater seine Tätigkeit gemäß § 32 Abs. 2 StBerG als freien Beruf und damit weisungsfrei ausübe. Für eine Auftragsverarbeitung sei folglich gar kein Spielraum, zumal der Auftraggeber sowieso nicht über Zweck und Mittel der Datenverarbeitung entscheiden könne. Insbesondere einige Aufsichtsbehörden (Aufsichtsbehörden von Baden-Württemberg und Nordrhein-Westfalen) hielten jedoch dagegen, dass Steuerberater, die für Kunden Lohn- und Gehaltsabrechnungen erstellen, nicht als Steuerberater agieren und somit auch nicht weisensfrei sein müssen.
Der Gesetzgeber hat mit einer Klarstellung den Streit entschieden und Unklarheiten beseitigt. Ergebnis: Steuerberater sind keine Auftragsdatenverarbeiter. Sie arbeiten weisungsfrei und sind bei jeder Verarbeitung von personenbezogenen Daten selbst Verantwortliche i.S.d. Art. 4 Nr. 7 DSGVO. Die Berufsfreiheit der Steuerberater wird gestärkt. „Damit ist die Rechtsfrage geklärt. Bei Steuerberatern liegt bei der Durchführung und Abwicklung ihrer Aufträge keine Auftragsdatenverarbeitung vor“, betont UIMC-Geschäftsführer Dr. Jörn Voßbein. Diese hat aber zur Konsequenz, dass die Rechtsgrundlage für die Datenübermittlung geprüft, dies dokumentiert und den Betroffenen vor der ersten Übermittlung mitgeteilt werden müsse. Auch ist eine Datenschutz-Vereinbarung empfehlenswert, die die Rechte und Pflichten beider Seiten definiert.
Die UIMC ist eine gesellschaftergeführte mittelständische Unternehmensberatung mit den Kerngebieten Datenschutz und Informationssicherheit; im Datenschutz gehören wir zu den marktführenden Beraterhäusern. Wir bieten als Vollsortimenter sämtliche Unterstützungsmöglichkeiten der Analyse, Beratung, Umsetzung und Schulung/Sensibilisierung bis hin zum Komplett-Outsourcing des Beauftragten an.
Das Schwesterunternehmen UIMCert ist als sachverständige Prüfstelle für die Norm ISO/IEC 27001 von der DAkkS akkreditiert.
UIMC Dr. Vossbein GmbH & Co. KG
Otto-Hausmann-Ring 113
42115 Wuppertal
Telefon: +49 (202) 946 7726 200
Telefax: +49 (202) 946 7726 9200
http://www.uimc.de
Geschäftsführer
Telefon: +49 (202) 9467726-200
Fax: +49 (202) 9467726-9200
E-Mail: consultants@uimc.de