Seit 25. Mai 2018, dem Gültig werden der Datenschutz-Grundverordnung (DS-GVO), wurde immer wieder diskutiert, ob der Steuerberater nun ein Aufragsverarbeiter (Art. 28 DS-GVO) ist und wenn ja, in welcher Funktion oder ob nicht doch ein Joint Controller Verhältnis gemäß Art. 26 DS-GVO vorliegt. Die Unsicherheit hat nun ein Ende: Der Gesetzgeber hat dies am 18.12.2019 mit Änderung des § 11 StBerG (https://www.gesetze-im-internet.de/stberg/__11.html), konkret in Abs. 2, klargestellt. Bei der Inanspruchnahme von Leistungen von Steuerberatern nach dem StBerG liegt somit keine Auftragsverarbeitung vor. Gemäß der Gesetzesbegründung gilt dies ausdrücklich auch für die Erstellung von Lohn- und Gehaltsabrechnungen, da diese ebenfalls „die eigenverantwortliche Prüfung und Anwendung der gesetzlichen Bestimmungen voraussetze“.
Was bedeutet das für die Praxis?
Der Steuerberater ist somit grundsätzlich als Verantwortlicher im Sinne des Art. 4 Nr. 7 DS-GVO zu sehen. Ein Abschluss einer Vereinbarung zur Auftragsverarbeitung (AVV) gemäß Art. 28 Abs. 3 DS-GVO ist nicht erforderlich.
Daraus ergeben sich aber auch Pflichten: Der Steuerberater führt somit z.B. die Dokumentation des Verzeichnis der Verarbeitungstätigkeiten ausschließlich auf Basis von Art. 28 Abs. 1 DS-GVO und nicht nach Abs. 2. Des Weiteren sind die Informationspflichten einzuhalten. Die Erhebung der zu verarbeitenden personenbezogenen Daten wird im Regelfall nicht direkt bei der betroffenen Person (sprich dem Arbeitnehmer des Mandanten) erfolgen, sondern bei einem Dritten (dem Arbeitgeber). Art. 14 DS-GVO ist folglich zu gewährleisten.
(Autorin: Regina Mühlich ist Expertin für Datenschutz und Datenschutzbeauftragte.)
Datenschutz ist kein Produkt. Datenschutz ist ein Prozess.
Wenn Sie Fragen haben, kontaktieren Sie uns: consulting@AdOrgaSolutions.de.