| Erst kürzlich hat der deutsche Gesetzgeber mit einer Neufassung des § 11 Steuerberatungsgesetz (StBerG) für Klarheit gesorgt, ob und inwiefern Steuerberater als Auftragsverarbeiter im Sinne des Art. 4 Nr. 8 DSGVO anzusehen sind. Dies nehmen wir zum Anlass, die Hintergründe zu dieser Änderung sowie die Voraussetzungen einer Auftragsverarbeitung im Allgemeinen genauer zu beleuchten. Verantwortlicher oder Auftragsverarbeiter? Aus dem Berateralltag lässt sich berichten, dass immer wieder die Frage gestellt wird, ob mit dem Steuerberater eine Auftragsverarbeitungsvereinbarung (AVV) zu schließen ist. Die hohe Relevanz in der Praxis lässt sich damit begründen, dass quasi jedes Unternehmen mit einem Steuerberatungsunternehmen zu tun hat. So werden die Lohn- und Gehaltsabrechnungen regelmäßig durch einen (externen) Steuerberater erstellt. Auch werden dessen Dienste oftmals in Anspruch genommen, wenn es beispielsweise um die Erstellung von Jahresabschlüssen geht. Während die eingangs erwähnte Frage von den betroffenen Berufsverbänden wie dem Deutschen Steuerberaterverband (DStV) und der Bundessteuerberaterkammer (BStBK) im Grunde einheitlich im Sinne der nunmehr erfolgten Gesetzesänderung beantwortet worden ist, hatten sich die Aufsichtsbehörden bislang dazu unterschiedlich positioniert. So wurde teilweise nach der Art der Tätigkeit des Steuerberaters unterschieden, je nachdem, wie stark die Weisungsgebundenheit des Steuerberaters zu bewerten war. Die Änderung des § 11 StBerG hat daher hauptsächlich eine klarstellende Funktion. Was ist eine Auftragsverarbeitung überhaupt? Der Begriff des Auftragsverarbeiters wird in Art. 4 Nr. 8 DSGVO ausdrücklich genannt. Danach ist ein Auftragsverarbeiter „eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.“ Vereinfacht gesagt besteht ein Auftragsverarbeitungsverhältnis immer dann, wenn ein Unternehmen eine Datenverarbeitung an einen externen Dritten auslagert. Sofern eine Auftragsverarbeitung vorliegt, ist eine entsprechende Vereinbarung zu schließen, die sogenannte Auftragsverarbeitungsvereinbarung. Wichtig ist dabei, dass ausschließlich nach objektiven Kriterien bestimmt wird, ob tatsächlich eine Auftragsverarbeitung vorliegt. Es ist also nicht möglich, durch Abschluss einer AVV die gewünschte Rechtslage „herbeizuführen“. Der Berateralltag lässt erkennen, dass sich dies bislang nicht überall herumgesprochen hat. Wie sieht eine AVV aus? Die inhaltlichen (Mindest-)Anforderungen eines Auftragsverarbeitungsvertrages sind in Art. 28 DSGVO geregelt. Diese entsprechen weitgehend der Rechtslage vor Inkrafttreten der DSGVO. Bei der Ausgestaltung einer AVV sind selbstverständlich die bekannten grundsätzlichen Angaben aus Art. 13 ff. DSGVO zu machen, z.B. welche Arten und Daten verarbeitet werden und zu welchem Zweck. Auch sind vertragsspezifische Anforderungen zu beachten. Beispielhaft sind folgende Voraussetzungen zu nennen: • Umfang der Weisungsbefugnisse des Auftraggebers • Verpflichtung der zur Verarbeitung berechtigten Personen zur Vertraulichkeit • Sicherstellung von technischen und organisatorischen Maßnahmen (siehe Art. 32 DSGVO) • Rückgabe oder Löschung personenbezogener Daten nach Beendigung der Auftragsverarbeitung Was regelt die Vorschrift? Der neue § 11 StBerG trat zum 18.12.2019 in Kraft. Bereits vor der Änderung stellte Absatz 1 der Vorschrift die Rechtsgrundlage für die Verarbeitung personenbezogener Daten dar, um die Aufgaben nach dem StBerG zu erfüllen. Nunmehr wurde in Absatz 2 eingefügt bzw. klargestellt, dass „die Verarbeitung personenbezogener Daten durch Personen und Gesellschaften nach § 3 unter Beachtung der für sie geltenden Berufspflichten weisungsfrei .“ Durch diese Vorschrift wird deutlich, dass ein Steuerberater im Rahmen seiner berufsrechtlich geschützten Tätigkeit nicht weisungsgebunden handelt. Er ist daher grundsätzlich als Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO anzusehen. Es ist also von einer eigenen Verantwortlichkeit des Steuerberaters auszugehen, da der Gesetzgeber nunmehr davon ausgeht, dass der Steuerberater eine durch das Berufsgeheimnis geschützte und weisungsunabhängige Tätigkeit ausübt. Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO Und was heißt das jetzt für die Praxis? Wie der Gesetzesbegründung zu entnehmen ist, muss die Neuregelung für sämtliche Tätigkeiten des Steuerberaters angewendet werden. Es kommt also nicht mehr auf die Art der Tätigkeit an. Insbesondere nennt die Gesetzesbegründung ausdrücklich die Erstellung von Lohn- und Gehaltsabrechnungen, da auch diese Tätigkeit „die eigenverantwortliche Prüfung und Anwendung der gesetzlichen Bestimmungen voraussetze“. Dies stellt eine deutliche Abkehr der bisherigen Praxis dar. Nach der neuen Rechtslage ist der Steuerberater stets als Verantwortlicher im Sinne der DSGVO zu behandeln. Dies bedeutet, dass eine Auftragsverarbeitungsvereinbarung auch im bisher häufigsten Anwendungsfall, der Erstellung von Lohn- und Gehaltsabrechnungen, nicht mehr abzuschließen ist. Gegebenenfalls kommt je nach Gestaltung des konkreten Auftragsverhältnisses eine gemeinsame Verantwortlichkeit gemäß Art. 26 DSGVO in Betracht. Die Neuregelung sorgt damit für Rechtssicherheit, was grundsätzlich zu begrüßen ist. Zudem ist positiv, dass der Steuerberater nun seinen Pflichten als Verantwortlicher umfassend nachkommen muss. Dies dürfte das allgemeine Schutzniveau für die verarbeiteten personenbezogenen Daten grundsätzlich erhöhen. Unternehmen, mit welchen der Steuerberater im Rahmen seiner Tätigkeit zusammenarbeitet, werden im Regelfall allerdings weiterhin als Auftragsverarbeiter zu qualifizieren sein. Für diese findet die Vorschrift des § 11 Abs. 2 StBerG keine Anwendung. Beitrag hier kommentieren | 