Steuerberater und Auftragsverarbeitung

Eine ernstgemeinte Polemik

Die Frage, wie die Übertragung der laufenden Lohn- und Gehaltsabrechnung an einen Steuerberater datenschutzrechtlich zu beurteilen ist, ist umstritten. Während Steuerberater und ihre berufsständischen Vertretungen hier bisher klar die Position vertreten, dass die Leistung des Steuerberaters immer eine eigenverantwortlich erbrachte fachliche Beratung sei und der Steuerberater, gleich, welchen Auftrag er übernimmt, grundsätzlich keine weisungsabhängige Tätigkeit ausübe, wird dies jedenfalls von einzelnen Datenschutzaufsichtsbehörden genau anders bewertet.

Die Aufsichtsbehörde in BaWü gehört dazu!

Nach Auffassung der Stuttgarter Behörde kommt für die Beauftragung des Steuerberaters mit der laufenden Lohn- und Gehaltsabrechnung datenschutzrechtlich nur eine Auftragsverarbeitung im Sinne des Artikels 28 DSGVO in Betracht. Begründet wird dies von der Behörde damit, dass es sich bei der laufenden Lohnbuchhaltung um reine Routinearbeiten handelt, die „sich als eine nicht durch besondere rechtliche Erwägungen geprägte schematisierte Subsumtion von Lohnzahlungsvorgängen unter die amtlichen Lohnsteuertabellen und das betriebliche Lohnkonto darstellt“. Das klingt ein wenig nach Steuerberater-Bashing.

Verantwortlicher oder Auftragsverarbeiter – was denn nun?

Für die Frage, ob der Steuerberater solche Routinearbeiten als Verantwortlicher oder als Auftragsverarbeiter erledigt, kommt dem Umstand, dass es sich bei der laufenden Lohnbuchhaltung um rein mechanische Verarbeitungsvorgänge handelt, die keine besondere Qualifikation der steuerberatenden Berufe erfordert, entscheidende Bedeutung zu.

Mechanische Verarbeitungsvorgänge, keine besondere Qualifikation?

Das hört natürlich kein Steuerberater gern – noch weniger die Steuerberater-kammern. Da geht es irgendwie auch um die Berufsehre. Ums Prinzip. Der ohnehin völlig überstrapazierte gesunde Menschenverstand  ist spätestens dann komplett außen vor. HALLO! Es geht in der Praxis nur um ein vorgefertigtes Stück Papier das unterschreiben werden muss, den Auftragsverarbeitungsvertrag (AVV).  Da steht nichts Schlimmes drin. Der Inhalt ist ohnehin durch Art. 28 DSGVO vorgegeben. Okay, die TOMs müssen sauber dokumentiert und in der Anlage beigefügt werden. Aber den Dokumentationsaufwand hat de Steuerberater ja ohnehin.

Weisungsrecht des Mandanten –  mein Steuerberater wäre „not amused“

Die Auslegung der Behörde hätte jedenfalls zur Folge, dass der für die Mitarbeiterdaten Verantwortliche, sprich der Mandant, die Befugnis behält, Zwecke und Mittel der Verarbeitung zu bestimmen. Theoretisch. In der Praxis quatscht natürlich kein Mandant seinem Steuerberater bei der Frage rein, ob er ein DATEV-Produkt verwendet oder ein anderes mechanisches Verarbeitungsprogramm.  Da hat die Behörde aber schon irgendwie recht. Vielmehr als mechanische Verarbeitung bleibt bei der Erstellung der Gehaltsabrechnung wohl nicht mehr übrig.

Alle Steuerberater sind im datenschutzrechtlichen Sinne schizophren…

Die Aufsichtsbehörde spaltet den gemeinen Steuerberater an der Stelle schlicht in zwei Hälften. Den sklavischen Weisungsempfänger und den fachlich gut informierten Freigeist. In der nicht gerade umfangreichen einschlägigen Literatur ist allerdings anerkannt, dass je nach konkreter Tätigkeit und Zusammenhang dieselbe Organisation hinsichtlich bestimmter Verarbeitungen als Verantwortlicher und hinsichtlich anderer Verarbeitungen als Auftragsverarbeiter handeln kann. Sagt der Chef der Aufsichtsbehörde in BaWü, Stefan Brink und geschätzte Kölner Anwaltskollege Jürgen Hartung. Beides anerkannte Fachkräfte auf dem Feld der Persönlichkeitsspaltung und der DSGVO (Hartung, in: Kühling/ Buchner, Datenschutz-Grundverordnung/ BDSG, 2. Auflage 2018; Brink, in: LfDI BW – 34. Tätigkeitsbericht 2018).

Nicht, dass das, was die Herren da sagen in Stein gemeißelt wäre, aber eine gesunde Schizophrenie kann ja durchaus hilfreich sein, egal, ob man sich mit Datenschutz, Steuern oder mit dem VFB Stuttgart beschäftigt.

… und Mechaniker

Ein Dienstleister ist nur dann als Verantwortlicher einzustufen, wenn seine Fachkompetenz die entscheidende Rolle spielt und der Auftrag schwerpunktmäßig nicht in der Verarbeitung der Daten liegt, sondern die Daten nur Grundlage einer höherwertigen Dienstleistung sind. Wir wiederholen uns, aber  am Ende sind wir bei der Gehaltsabrechnung wohl doch eher wieder bei der Mechanik.

Verarbeitung besonderer Datenkategorien im Sinne des Art. 9 DSGVO

Hinzu kommt, und da zitieren wir nochmal aus dem 34. Tätigkeitsbericht, dass „die Lohnbuchhaltung auch die Verarbeitung besonderer Kategorien personenbezogener Daten, sog. sensitiver Daten, beinhaltet, wie etwa Gesundheitsdaten oder Daten, aus denen religiöse oder weltanschauliche Überzeugungen hervorgehen. Diese Daten dürfen nur unter den (zusätzlichen) Voraussetzungen des Artikels 9 Absatz 2 DS-GVO verarbeitet werden“. Die Verarbeitung solcher Daten durch den Steuerberater als (Eigen-)Verantwortlichen lässt sich indes unter keinen dieser Ausnahmetatbestände des Artikels 9 Absatz 2 DS-GVO packen.

Fehlt es aber somit an der Berechtigung, solche Daten zu verarbeiten, schließt dies insgesamt eine Lohnbuchhaltung als Verantwortlicher aus. Dagegen ist die Weitergabe auch sensitiver Daten im Rahmen eines Auftragsverhältnisses nach Artikel 28 DS-GVO grundsätzlich unproblematisch.

 

Also doch Auftragsverabeitung, trotz Kurzpapier ! der DSK

Auch das Kurzpapier Nummer 13 der Datenschutzkonferenz steht dieser Auffassung trotz anderslautender Behauptung nicht entgegen. Wenn dort in Anhang B die Tätigkeit von Berufsgeheimnisträgern grundsätzlich von der Auftragsverarbeitung ausgeschlossen wird, ist dies wohl nicht so zu verstehen, dass dies für alle Arten von Tätigkeiten gilt, die keinen unmittelbaren Bezug zur Kerntätigkeit des Geheimnisträgers haben. Zumal es an anderer Stelle in dem Kurzpapier heißt, das die Übertragung der Lohn-und Gehaltsabrechnung Auftragsverarbeitung sei. Und außerdem gilt: Es ist halt nur ein Kurzpapier. Wer endgültige Antworten haben will muss in die Offenbarung des Johannes reinschauen oder in den Goethes Faust.

Fazit der Aufsichtsbehörde

Übernimmt ein Steuerberater neben seiner eigentlichen Steuerberatertätigkeit (Erstellung Jahresabschluss etc.) zusätzlich weitere Aufgaben, handelt es sich um Auftragsverarbeitung im Sinne des Artikels 28 DSGVO und bedarf einer entsprechenden Vereinbarung mit dem datenschutzrechtlich Verantwortlichen.

 

Konsequenz für die Beratungspraxis des gemeinen Datenschutzbeauftragten

Sofern das Unternehmen zwischen Lörrach und Bad Mergentheim, Ulm und Karlsruhe seinen Sitz hat, müssen wir die Steuerberater so lange nerven bis sie den AVV unterschreiben. Und wenn sie sich partout weigern? Aus Haftungsgründen und aus Schutz des Mandanten vor drohenden Bußgeldern bleibt eigentlich nur der Ausweg den Steuerberater zu wechseln.