Besitzen Sie diesen Inhalt bereits, melden Sie sich an.
oder schalten Sie Ihr Produkt zur digitalen Nutzung frei.

Dokumentvorschau
BBK Nr. 8 vom Seite 371

Datenschutzvorgaben für Steuerberater und (Bilanz-)Buchhalter

Strittige Abgrenzung zwischen Verantwortlichkeit und Auftragsverarbeitung

Dr. Diana Ettig

Fast [i]Datenschutz-Grundverordnung (DSGVO) NWB AAAAG-72070 drei Jahre nach Wirksamwerden der Datenschutzgrundverordnung (DSGVO) ist die Frage, welche datenschutzrechtlichen Pflichten Steuerberater und selbständige Buchhalter und Bilanzbuchhalter treffen, noch immer nicht abschließend beantwortet. Denn diese hängen maßgeblich davon ab, in welchem datenschutzrechtlichen Rechtsverhältnis die verschiedenen Personen zueinander stehen. [i]Ettig, Externe Lohn- und Finanzbuchhaltung als Verarbeitung im Auftrag, BBK 15/2019 S. 749 NWB JAAAH-23078 Auftraggeber und Auftragnehmer könnten dabei als zwei eigenständig Verantwortliche oder aber als für die Verarbeitung gemeinsam verantwortlich einzuordnen sein. Zudem könnte der Auftragnehmer auch im Rahmen einer sog. Auftragsverarbeitung tätig werden. Die Abgrenzung hat nicht nur Auswirkungen auf die Vertragsgestaltung, sondern ist auch entscheidend für die Festlegung der datenschutzrechtlichen Pflichten des Auftragnehmers.

Eine Kurzfassung des Beitrags finden Sie .

I. Rollenverteilung im Datenschutzrecht

Die [i]Verantwortlicher vs. AuftragsverarbeiterDSGVO kennt grundsätzlich zwei Rollen, in welchen eine natürliche oder juristische Person personenbezogene Daten eines Betroffenen verarbeiten kann: den Verantwortlichen (Art. 4 Nr. 7 DSGVO) und den Auftragsverarbeiter (Art. 4 Nr. 8 DSGVO):

Art. 4 DSGVO:

„Im Sinne dieser Verordnung bezeichnet der Ausdruck: (...)

7. „Verantwortlicher“ die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet; sind die Zwecke und Mittel dieser Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten vorgegeben, so können der Verantwortliche beziehungsweise die bestimmten Kriterien seiner Benennung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten vorgesehen werden;S. 372

8. „Auftragsverarbeiter“ eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet; (...).“

Während [i]DSGVO regelt nur Auftragsverarbeitung und gemeinsame Verantwortlichkeitder Auftragsverarbeiter die personenbezogenen Daten ausschließlich nach den Weisungen des Auftraggebers verarbeitet, entscheidet der Verantwortliche selbst über die Zwecke und Mittel der jeweiligen Verarbeitung. Werden die Zwecke und Mittel von zwei Verantwortlichen zusammen festgelegt, handelt es sich um eine „gemeinsame Verantwortlichkeit“. Sowohl die Auftragsverarbeitung als auch die gemeinsame Verantwortlichkeit sind in Art. 28 DSGVO und Art. 26 DSGVO explizit geregelt. In beiden Fällen verlangt die DSGVO den Abschluss eines Vertrags, in welchem die wesentlichen Rechte und Pflichten der beiden Vertragspartner detailliert festgelegt werden.

Nicht [i]Golland, Umsetzung der Datenschutz-Grundverordnung, BBK 1/2018 S. 35 NWB LAAAG-68288 normiert ist hingegen die Konstellation, in der zwei eigenständig Verantwortliche außerhalb einer Auftragsverarbeitung oder einer gemeinsamen Verantwortlichkeit miteinander zu tun haben. Unter dem Bundesdatenschutzgesetz (BDSG) alter Fassung wurde dafür das Institut der „Funktionsübertragung“ entwickelt, das aber nach der neuen Rechtslage der DSGVO weitestgehend abgelehnt wird.

Hinweis:

Die [i]EDSA-Entwurf zu BegriffsbestimmungenAbgrenzung zwischen den einzelnen Rollen gestaltet sich in zahlreichen Fällen äußerst schwierig. Dies haben auch die Datenschutzbehörden erkannt; der Europäische Datenschutzausschuss (EDSA) hat daher Anfang September 2020 einen Entwurf für neue Leitlinien zu den Begriffen Verantwortlicher und Auftragsverarbeiter veröffentlicht. Dieser Entwurf beinhaltet zahlreiche Beispiele, die auch für die rechtliche Bewertung des Verhältnisses von Steuerberatern und selbständigen (Bilanz-)Buchhaltern gegenüber ihrem Auftraggeber wertvolle Anhaltspunkte bieten.

II. Einordnung der Tätigkeit von Steuerberatern und (Bilanz-)Buchhaltern

1. Unterschiedliche Auffassungen auf Landesebene

Bereits [i]Potthoff, Das neue Datenschutzrecht (DSGVO) und die Finanzbuchhaltung, StuB 11/2018 S. 397 NWB XAAAG-84928 mit Wirksamwerden der DSGVO wurde die Frage, ob Steuerberater, Buchhalter und Bilanzbuchhalter bei der Erstellung der Lohn- und Finanzbuchhaltung als Auftragsverarbeiter tätig werden, kontrovers diskutiert. Selbst die deutschen Datenschutzbehörden waren sich länderübergreifend nicht einig. Das Bayerische Landesamt für Datenschutzaufsicht lehnte eine Einordnung von Steuerberatern als Auftragsverarbeiter grundsätzlich ab, da die berufsrechtliche Weisungsunabhängigkeit und Eigenverantwortlichkeit mit dem Grundgedanken der weisungsgebundenen Auftragsverarbeitung nicht vereinbar seien.

Nach [i]Differenzierung nach Berufsgruppen oder Tätigkeiten?Auffassung der Landesbeauftragten für Datenschutz und Informationsfreiheit Nordrhein-Westfalen, des Landesbeauftragten für Datenschutz und Informationsfreiheit Baden-Württemberg sowie des Hessischen Beauftragten für Datenschutz und Informationsfreiheit sei hingegen nicht nach Berufsgruppen (Steuerberater einerseits und selbständige Buchhalter andererseits) abzugrenzen, sondern zwischen einzelnen S. 373Tätigkeiten zu differenzieren: Bei Aufgaben ohne eigene Entscheidungskompetenz (z. B. Lohn- und Gehaltsabrechnung) liege eine Auftragsverarbeitung vor, bei weisungsunabhängigen Aufgaben (Erstellung Jahresabschluss, inhaltliche Beratung) erfolge die Datenverarbeitung hingegen in eigener Verantwortung.