Faxe, E-Mail und der Datenschutz (AO-StB 2021, Heft 8, S ... / 1. Verarbeitung personenbezogener Daten durch einen Verantwortlichen

Bedient sich der Steuerberater zur Kommunikation mit Mandanten, Dritten oder dem FA der Möglichkeiten von Fax oder E-Mail, so unterliegen diese Handlungen zunächst der Datenschutzgrundverordnung (DS-GVO). Schreiben, die auf steuerliche Tatbestände Bezug nehmen und mittels automatisierter Verfahren erstellt bzw. übermittelt werden, stellen eine Verarbeitung personenbezogener Daten dar (Art. 4 Abs. 1 Nr. 1, 2 DS-GVO). Steuerliche Daten sind in aller Regel personenbezogen bzw. erlauben die Identifizierung einer natürlichen Person (so bereits EuGH v. 1.10.2015 – C-201/14, NVwZ 2016, 375). Im Einzelfall können sogar besondere Kategorien personenbezogener Daten i.S.v. Art. 9 Abs. 1 DS-GVO betroffen sein. Dies kommt nicht nur bei Fragen zur Kirchensteuer in Betracht, sondern gerade auch mit Blick auf steuerlich relevante Sachverhalte aus den Bereichen Gesundheit (Sonderausgabenabzug), politische Meinung (Spendenabzug) oder Gewerkschaftszugehörigkeit (Werbungskostenabzug). Die Verarbeitung dieser Daten unterliegt weiteren Beschränkungen.

Die Verarbeitung und damit zuerst das "Ob" der Datenverarbeitung im Hinblick auf einen bestimmten Zweck ist nur erlaubt, wenn ein Erlaubnissatz nach Art. 6, 9 DS-GVO vorliegt. Hier kommt für den Steuerberater eine vertragliche Grundlage im Verhältnis zu seinem Mandanten in Betracht (Art. 6 Abs. 1 S. 1 lit. a, Art. 9 Abs. 2 lit. a DS-GVO). Teil des Vertrages ist die Einwilligung in die Datenverarbeitung. Die Datenverarbeitung kann aber auch im öffentlichen Interesse (Art. 6 Abs. 1 S. 1 lit. e, Art. 9 Abs. 2 lit. g DS-GVO) liegen. Insoweit enthält § 11 StBerG seit dem 18.12.2019 eine ausdrückliche Ermächtigungsgrundlage.

Berechtigt zur Datenverarbeitung und insoweit auch Verantwortlicher für die Einhaltung datenschutzrechtlicher Bestimmungen (s. Art. 4 Nr. 7 DS-GVO) ist grundsätzlich der Steuerberater selbst. Ihm gleichgestellt sind Personen und Gesellschaften nach § 3 StBerG, also insb. aufgrund der Gleichstellung in § 4 Nr. 11 StBerG auch die Lohnsteuerhilfevereine.

Beraterhinweis Ob die Verantwortlichkeit nach der DS-GVO nur den Lohnsteuerhilfeverein selbst, nur den Beratungsstellenleiter oder beide gemeinsam trifft, ist bisher gerichtlich nicht entschieden (derzeit anhängig: VG Mainz – 4 K 1004/20.MZ). Auch wenn der Lohnsteuerhilfeverein allein Verantwortlicher sein könnte (Argument: Festlegung von Mittel und Zwecken der Verarbeitung bereits in der Satzung), sollten die Beratungsstellenleiter selbst besonders auf datenschutzkonforme Kommunikation achten.

Im Rahmen der Verantwortlichkeit muss ein Bewusstsein dafür geschaffen werden, dass ein Fehlverhalten der Mitarbeitenden des Steuerberaters diesem selbst zuzurechnen ist. Die DS-GVO rechnet dem Verantwortlichen hier konsequent das Handeln der Mitarbeitenden zu, solange diese nicht im sog. Mitarbeiter-Exzess tätig werden (Funktionsträgerprinzip, Entschließung der Datenschutzkonferenz (DSK) v. 3.4.2019).