Datenschutz und Datenschutzbeauftragte in der Steuerkanzlei / 2.3 Auftragsverarbeitung von Daten

Der Steuerberater selbst ist, wenn er z. B. die Lohnbuchhaltung für einen Mandanten übernimmt, kein Auftragsdatenverarbeiter, weil der Steuerberater seine Tätigkeit weisungsfrei ausübt und so im Rahmen der Funktionsübertragung handelt. Am 16.1.2018 erschien das Kurzpapier Nr. 13 der unabhängigen Datenschutzbehörden des Bundes und der Länder (Datenschutzkonferenz – DSK) mit dem Titel "Auftragsverarbeitung". Anhang B dieses Kurzpapiers befasste sich u. a. mit Berufsgeheimnisträgern bzw. sagt aus, dass diese keine Auftragsdatenverarbeiter sind.^[1]

Durch das JStG 2019 v. 12.12.2019^[2] wurde § 11 StBerG geändert. Die Änderung ermöglicht Steuerberatern, auch besondere Kategorien personenbezogener Daten als Verantwortliche weisungsfrei i. S. d. DSGVO zu verarbeiten. Mit dieser gesetzlichen Klarstellung können Steuerberater nicht als Auftragsverarbeiter qualifiziert werden.

Beauftragt der Steuerberater eine andere Stelle mit der Verarbeitung personenbezogener Daten (z. B. DATEV), ist er als Auftraggeber für die Einhaltung der Vorschriften des Art. 28 DSGVO verantwortlich. Der Steuerberater muss den Auftragnehmer sorgfältig auswählen und in der schriftlichen Beauftragung bestimmte Inhalte vereinbaren, wie z. B. den Umfang, die Art und den Zweck der vorgesehenen Verarbeitung etc. Zudem muss sich der Steuerberater davon überzeugen, dass die beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen eingehalten werden. Auch § 62a Abs. 2 StBerG beinhaltet, dass Steuerberater verpflichtet sind, den Dienstleister sorgfältig auszuwählen und die Zusammenarbeit unverzüglich beendet werden muss, wenn die Einhaltung der dem Dienstleister gemachten Vorgaben nicht gewährleistet ist.

Praxis-Tipp

Struktur und Inhalt für den Auftragsverarbeitungsvertrag

Art. 28 DSGVO ist inhaltlich mit § 11 BDSG a.  F. vergleichbar.^[3] Geregelt werden muss:

• Gegenstand und Dauer des Auftrags (Art. 28 Abs. 3 Satz 1 DSGVO)
• Art, Umfang und Zweck der Datenerhebung (Art. 28 Abs. 3 Satz 1 DSGVO)
• Art der Daten (Art. 28 Abs. 3 Satz 1 DSGVO)
• Kreis bzw. Kategorien der Betroffenen (Art. 28 Abs. 3 Satz 1 DSGVO)
• technisch-organisatorische Maßnahmen (Art. 28 Abs. 3 Satz 2 Buchst. c DSGVO)
• Berichtigung, Löschung, Sperrung von Daten (Art. 28 Abs. 3 Satz 2 Buchst. e i. V. m. Art. 12 DSGVO)
• eigene Datenschutzkontrollen des Auftragsdatenverarbeiters (Art. 28 Abs. 3 Satz 2 Buchst. c i.  V.  m. Art. 32 Buchst. d DSGVO)
• etwaige Unterauftragsverhältnisse (Art. 28 Abs. 3 Satz 2 Buchst. d DSGVO)
• Kontrollrechte des Auftraggebers (Art. 28 Abs. 3 Satz 2 Buchst. h DSGVO)
• Mitwirkungspflichten des Auftragnehmers (Art. 28 Abs. 3 Satz 2 Buchst. h i. V.  m. Art. 5 und Art. 24 DSGVO)
• Meldepflicht bei Datenschutzverstößen (Art. 28 Abs. 3 Satz 2 Buchst. f i. V.  m. Art. 32 ff. DSGVO)
• Umfang der Weisung (Art. 28 Abs. 3 Satz 2 Buchst. a DSGVO)
• Weitere Abwicklung nach Vertragsbeendigung, z.  B. Löschung der Daten (Art. 28 Abs. 3 Satz 2 Buchst. g DSGVO)
• Verpflichtung auf das Datengeheimnis (Art. 28 Abs. 3 Satz 2 Buchst. b i.  V.  m. Art. 29 DSGVO)

Es ist nach Art. 28 Abs. 9 DSGVO ausreichend, dass der Auftragsverarbeitungsvertrag durch zwei gegenseitige Willenserklärungen (§§ 145 ff. BGB) geschlossen wird. Als Formerfordernis reicht elektronische Form (§ 126a BGB) statt Schriftform.

Die Übermittlung der Daten von einem Auftraggeber an einen externen Dienstleister erfordert keine besondere Erlaubnis oder Einwilligung der Betroffenen, weil aus Sicht der Mandanten der Steuerberater allein verantwortlich ist bzw. bleibt und dem Mandanten gegenüber auch bei Verstößen des Auftragsverarbeiters haftet (Gesamtschuldner). Der Auftragsverarbeiter kann sich von seiner Haftung nur befreien, sofern er nachweist, dass er in keinerlei Hinsicht für den Umstand verantwortlich ist, durch den der Schaden eingetreten ist (Art. 82 Abs. 3 DSGVO).

Art. 82 Abs. 1 DSGVO rechtfertigt keinen Schadensersatzanspruch bei individuell empfundenen Unannehmlichkeiten oder immateriellen Bagatellverstößen.^[4]

Praxis-Tipp

Haftung im Hauptvertrag regeln

Es empfiehlt sich, die Haftung der Parteien im Innenverhältnis im Hauptvertrag zu regeln.

[1] https://www.lda.bayern.de/media/dsk_kpnr_13_auftragsverarbeitung.pdf; s. auch Ziffer 5.2 in Kapitel 5.2.4 Hinweise der BStBK für den Umgang mit personenbezogenen Daten durch Steuerberater und Steuerberatungsgesellschaften v. November 2021 im Berufsrechtlichen Handbuch.

[2] BGBl 2019 I S. 2451.

[3] LG Frankfurt/M., Urteil v. 19.1.2017, 2-03 O 65/16: Zu den Mindestanforderungen an eine Auftragsdatenverarbeitungsvereinbarung nach § 11 BDSG a.  F.

[4] OLG Dresden, Urteil v. 11.6.2019, 4 U 760/19; LG Bielefeld, Urteil v. 19.12.2022, 8 O 182/22.