Der Verantwortliche steht im Sinne der DSGVO immer in der Rechenschaftspflicht, die Sicherheit der ihm anvertrauen Daten durch entsprechende Maßnahmen zu gewährleisten. Insbesondere beim Datenaustausch mit Dritten ist es daher notwendig, ein angemessenes Datenschutzniveau sicherzustellen.
Ein Mittel der Wahl ist dabei der sogenannte „AV-Vertrag“ im Sinne des Art. 28 DSGVO. Dabei handelt es sich um einen sogenannten Auftragsverarbeitungsvertrag, bei dem ein Auftraggeber und ein Auftragnehmer neben Rechten und Pflichten auch ein gewisses Datenschutzniveau vereinbaren. Üblicherweise enthält ein solcher AV-Vertrag als Anlage die entsprechenden technisch organisatorischen Maßnahmen der Partei, an die die Daten übergeben werden.
Der Abschluss eines AV-Vertrags ist im Sinne der DSGVO in nahezu allen Fällen verpflichtend, in denen ein Verantwortlicher die Daten einem Dritten übergibt.
Nun gibt es aber auch – wie mit allem – wenige Ausnahmen von dieser Regel. Eine davon sind Steuerberater. Hier gab es unter Datenschützern und auch bei einigen Landesdatenschutzbehörden die Diskussion, ob nicht auch mit dem Steuerberater ein AV-Vertrag vereinbart werden müsste.
Im Jahr 2019 hat der deutsche Gesetzgeber klargestellt, dass dies nicht der Fall ist. Am 18.12.2019 gab es eine Änderung am Steuerberatungsgesetz (StBerG), mit der § 11 StBerG neu gefasst worden ist. Mit der Neufassung wurde u.a. die Rechtsgrundlage für die Verarbeitung besonderer Kategorien personenbezogener Daten durch Steuerberater abschließend geregelt.
Weiterhin gelten Steuerberater seitdem i.S.d. Art. 4 Nr. 7 DSGVO selbst als Verantwortliche für die personenbezogenen Daten und arbeiten weisungsfrei, was wiederum eine Auftragsverarbeitung ausschließt.
Hintergrund ist, dass nach dem Steuerberatungsgesetz ausgeschlossen ist, dass Steuerberater als Auftragsverarbeiter eingestuft werden. Dies ist auch dann so, wenn sie die Lohnbuchhaltung mit übernehmen und dabei zwangsläufig mit personenbezogenen Mitarbeiterdaten in Berührung kommen. Steuerberater können (und müssen sogar aus Konfliktpunkten mit ihrer Berufspflicht) also tatsächlich den Abschluss eines AV-Vertrags verweigern. [SRE]
Quellenangaben:
- Steuerberatungskammer München, Beitrag „Steuerberatende Tätigkeit des Steuerberaters ist keine Auftragsverarbeitung im Sinne der DSGVO“, abgerufen am 19.09.2024 unter: https://www.steuerberaterkammer-muenchen.de/de/aktuelles/fachnachrichten/archiv/november_2018/steuerberatende_t%C3%A4tigkeit_des_steuerberaters_ist_keine_auftragsverarbeitung_im_sinne_der_dsgvo/index_ger.html
- Datenschutz-Guru, Artikel „Deutscher Gesetzgeber stellt klar: Steuerberater sind keine Auftragsverarbeiter“, abgerufen am 19.09.2024 unter: https://www.datenschutz-guru.de/steuerberater-sind-keine-auftragsverarbeiter/
Autorin:
Sabrina Reinecke [SRE], externe betriebliche Datenschutzbeauftragte (TÜV-Zertifizierung)