Datenschutz und Datenschutzbeauftragte in der Steuerkanzlei

Zusammenfassung

Überblick

Der Steuerberater ist gem. seiner Berufsordnung zur Verschwiegenheit verpflichtet. Er erhält von Berufs wegen zwangsläufig sehr viele personenbezogene Daten (nicht nur die seiner Mandanten) und verarbeitet sie in automatisierter Form. Grundsätzlich ist jede Steuerberatungskanzlei zur Bestellung eines Datenschutzbeauftragten verpflichtet, es sei denn, sie beschäftigt regelmäßig nicht mehr als 19 Angestellte (§ 38 BDSG). Zum Datenschutzbeauftragten können sowohl Externe als auch interne Mitarbeiter ernannt werden.

Gesetze, Vorschriften und Rechtsprechung

Die Verschwiegenheitspflicht des Steuerberaters ergibt sich aus § 57 Abs. 1 StBerG, § 5 BOStB und § 203 Abs. 1 Nr. 3 StGB.^[1]§ 1 Abs. 2 BDSG enthält den Grundsatz der Subsidiarität. Zu beachten sind unbedingt 5.2.4 Hinweise der Bundessteuerberaterkammer für den Umgang mit personenbezogenen Daten durch Steuerberater und Steuerberatungsgesellschaften vom November 2021 im berufsrechtlichen Handbuch. Diese enthalten detailliert zu allen relevanten Fragen Verhaltensmaßnahmen.^[2]

Die EU-Datenschutz-Grundverordnung (DSGVO) v. 27.4.2016 wurde am 4.5.2016 im Amtsblatt der Europäischen Union veröffentlicht und ist seit 25.5.2018 in den Mitgliedstaaten verpflichtend anzuwenden.^[3] Diese Verordnung enthält Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Verkehr solcher Daten. Seit 25.5.2018 gilt auch das Datenschutz-Anpassungs- und -Umsetzungsgesetz EU (DSAnpUG-EU).^[4]

Es führte zu zahlreichen Änderungen des BDSG.^[5]

Das "Gesetz zur Neuregelung des Schutzes von Geheimnissen bei der Mitwirkung Dritter an der Berufsausübung schweigepflichtiger Personen" wurde am 8.11.2017 im Bundesgesetzblatt (Teil I Nr. 71, S. 3681 ff.) verkündet. Damit tritt das Gesetz mit u. a. für die Anwaltschaft wichtigen Änderungen in Kraft. "Outsourcing" (Auslagerung von Tätigkeiten an externer Dienstleister; § 203 Abs. 3 StGB) ist in Kanzleien strafrechtlich erlaubt bei Einhaltung bestimmter Regeln und zudem in den Berufsregelungen normiert.^[6]  Die datenschutzrechtlichen Vorgaben nach der DSGVO gehen teilweise erheblich über die strafrechtlichen oder berufsrechtlichen Anforderungen hinaus.

Anwaltliche Werbeschreiben an Nicht-Mandanten verstoßen gegen § 43b BRAO, wenn die Daten der Beworbenen in datenrechtlich unzulässiger Weise aus einer nicht frei zugänglichen Quelle (Insolvenzakte) stammen und keine Einwilligung der Betroffenen vorliegt.^[7]

Durch das JStG 2019 v. 12.12.2019^[8] wurde § 11 StBerG geändert. Die Änderung ermöglicht Steuerberatern, auch besondere Kategorien personenbezogener Daten als Verantwortliche weisungsfrei i. S. d. DSGVO zu verarbeiten. Mit dieser gesetzlichen Klarstellung können Steuerberater nicht als Auftragsverarbeiter qualifiziert werden.^[9]

[1] OLG Zweibrücken, Beschluss v. 8.12.2016, 1 Ws 334/16, rkr.; OLG Brandenburg, Urteil v. 13.3.2018, 6 U 75/15, rkr.

[2] www.bstbk.de.

[3] ABl. Nr. L 314 S. 72.

[4] BGBl 2017 I S. 2097.

[5] Zuletzt geändert durch Zweites Datenschutz-Anpassungs- und Umsetzungsgesetz EU v. 20.11.2019, BGBl 2019 I S. 1626.

[6] 5.2.4 Hinweise der BStBK für den Umgang mit personenbezogenen Daten durch Steuerberater und Steuerberatungsgesellschaften v. November 2021, dort Ziffer 7: Einbindung von Dienstleistern.

[7] AnwG Berlin, Beschluss v. 5.3.2018, 1 AnwG 34/16, AnwBl 2018, S. 680; s. aber auch BGH, Urteil v. 2.7.2018, AnwZ (Brfg) 24/17: Rechtsanwalt hat dem Geschäftsführer einer insolventen GmbH Hilfe angeboten; Insolvenzbekanntmachungen sind für jedermann einsehbar.

[8] BGBl 2019 I S. 2451.

[9] § 11 Abs. 3 StBerG wurde geändert m. W. v. 1.8.2021 durch G. v. 25.6.2021, BGBl 2021 I S. 2154.

1 Rechtliche Grundlagen zum Datenschutz

Für nicht-öffentliche Stellen gilt das BDSG für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie die nicht automatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen (§ 1 Abs. 1 Satz 2 BDSG).

Der Steuerberater bzw. die Steuerberatungsgesellschaft (alle Rechtsformen) gehört zu den nicht-öffentlichen Stellen gem. § 2 Abs. 4 BDSG.

Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person ("betroffene Person") beziehen (Art. 4 Nr. 1 DSGVO).

In einer Steuerberaterpraxis zählen zu den personenbezogenen Daten vor allem die im Rahmen der steuerberatenden Tätigkeit verwendeten Mandantendaten (Tz. 2.1 und Tz. 2.3), aber auch die Daten über die Angestellten der Praxis (§ 26 Abs. 1 BDSG; Art. 9 Abs. 2 DSGVO). Die Arbeitszeiterfassung durch ein Zeiterfassungssystem mittels "Fingerprint" ist nicht erforderlich i. S. v. § 26 Abs. 1 BDSG und damit ohne Einwilligung der betroffenen Person nicht zulässig.^[1]

Unter bestimmten Voraussetzungen darf der Steuerberater als Arbeitgeber personenbezogene Beschäftigtendaten zum Zweck der Aufklärung von Straftaten im Beschäftigungsverhältnis verarbeiten (§ 26 Abs. 1 Satz 2 BDSG).^[2]

Auch die Datenverarbeitung auf der Grundlage einer Einwil...