Bereits im Juli 2018 hatten wir uns mit diesem Thema in einem Blogbeitrag befasst und auf mehr Klarheit in der Zukunft gehofft. Die Zukunft ist mittlerweile eingetreten und mit ihr kam in der Tat auch mehr Klarheit. Hierzu also folgendes Update:

Lange kam es darauf an

Die datenschutzrechtliche Einordnung von Rechnungsprüfer*innen und Steuerberater*innen wurde in der Vergangenheit äußert uneinheitlich behandelt. Grundsätzlich waren diese, wie Rechtsanwält*innen, aufgrund ihrer traditionellen Rolle, Fachkompetenz und Weisungsunabhängigkeit als datenschutzrechtlich eigene Verantwortliche i.S.d. Art. 4 Nr. 7 DSGVO einzustufen.

So auch die Darstellung in der Auslegungshilfe des Bayerischen Landesamtes für Datenschutzaufsicht (BayLDA) vom 15.05.2019, wonach die Tätigkeit des*der Steuerberater*in als fremde Fachleistung eines eigenen Verantwortlichen eingestuft wurde.

Nur im Ausnahmefall sollten diese Berufsgruppen als Auftragsverarbeiter i.S.d. Art. 4 Nr. 8 DSGVO auftreten können, nämlich bei klar umrissener und ausführlicher Weisung unterliegenden Tätigkeiten. Beispielhaft kann hier die reine Buchprüfung/Lohn- und Gehaltsabrechnung genannt werden, die ein Unternehmen an Steuerberater*innen überträgt bzw. auslagert.

Diese Ansicht teilte auch der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg (LfDI BW) und stützte sich dabei in seinem Tätigkeitsbericht aus 2018 (dort S. 57) darauf, dass es sich bei einer laufenden Lohnbuchhaltung um rein mechanische Verarbeitungsvorgänge handele, die gerade keiner besonderen Qualifikation des*der Steuerberater*in bedürften. Wenn also die Lohnbuchhaltung isoliert abgrenzbar von den anderen Tätigkeiten der Steuerberater*innen war (hinsichtlich anderer Verarbeitungstätigkeiten können Steuerberater*innen sehr wohl aufgrund ihrer Fachkenntnis als eigene Verantwortliche handeln), so konnten Steuerberater*innen durchaus im Rahmen der Lohnbuchhaltung und damit partiell als Auftragsverarbeiter eingesetzt werden.

Diese Auffassung berücksichtigte jedoch nicht, dass Steuerberater*innen (wie Rechtsanwält*innen) berufsrechtlich zur eigenverantwortlichen und fachlich weisungsunabhängigen Berufsausübung verpflichtet sind. Schließlich begründet sich das Tätigkeitsfeld dieser Berufsgruppen in der Erbringung eigenverantwortlicher Fachleistungen. Entgegen eines Rechenzentrums erbringen Steuerberater*innen im Rahmen ihrer Berufsausübung fortlaufend steuerrechtliche und sozialversicherungsrechtliche Würdigungen, auch im Rahmen einer Tätigkeit der Lohn- und Gehaltsabrechnung. Dies gebieten alleine schon die Berufspflichten.

Unter Berücksichtigung dieser Umstände ist eine fachliche und eigenverantwortliche Prüfungs- und Beratungsleistung also unabdingbar.

Nun ist es geklärt

Mittlerweile hat der deutsche Gesetzgeber auch diesem Gesichtspunkt hinreichend Rechnung getragen und aufgrund des Art. 23 des Gesetzes zur weiteren steuerlichen Förderung der Elektromobilität und zur Änderung weiterer steuerlicher Vorschriften vom 12.12.2019 (BGBl. L S. 2451) § 11 und § 32 Abs. 2 des Steuerberatungsgesetzes (StBerG) geändert.

In § 11 Abs. 2 StBerG wurde ausdrücklich und ohne jegliche Unterscheidung die Verarbeitung sämtlicher personenbezogener Daten von Mandant*innen durch Steuerberater*innen als Tätigkeit eines*einer Verantwortlichen qualifiziert. Damit wird klargestellt, dass Steuerberater*innen stets weisungsfrei handeln und diese bisher vorgenommene differenzierende Behandlung von steuerberatenden Berufsgruppen wegfällt. Eine rechtliche Bewertung als Auftragsverarbeitung scheidet damit unentwegt aus.

In § 32 Abs. 2 StBerG wurde darüber hinaus die Unabhängigkeit von Steuerberater*innen ausdrücklich kodifiziert.

Mit einer (weiteren) Auslegungshilfe des BayLDA schloss sich die bayerische Aufsichtsbehörde sodann ausdrücklich der neuen und vereinheitlichten Rechtslage an.

Folgen

Damit entfällt denklogisch die – im Rahmen einer Auftragsverarbeitung bestehende – Pflicht zum Abschluss eines Vertrages zur Auftragsverarbeitung nach Art. 28 DSGVO mit Steuerberater*innen.

Dies gilt ebenfalls für die eingangs aufgeworfene Frage der datenschutzrechtlichen Einordnung der Lohn- und Gehaltsabrechnungstätigkeit durch Steuerberater*innen.

Steuerberater*innen sind im Rahmen des Mandantenvertrages immerfort als eigene Verantwortliche tätig und dürfen auf Grundlage von Art. 6 Abs. 1 S. 1 lit. f) DSGVO personenbezogene Kunden- oder Beschäftigtendaten – im Rahmen der Erforderlichkeit – erhalten und verarbeiten.

Fazit

Damit sind sowohl die datenschutzrechtliche Bewertung von Steuerberater*innen als Auftragsverarbeiter i.S.d. Art. 4 Nr. 8 DSGVO als auch die bestehenden Rechtsunsicherheiten aus datenschutzrechtlicher Sicht passé.