Viele Unternehmen lassen die Lohn- und Gehaltsabrechnung durch den eigenen Steuerberater durchführen.
Bis zum 25.05.2018 war man sich einig: Wenn der Steuerberater diese Arbeiten durchführte UND gleichzeitig auch die "normale" Steuerberatung leistete, dann unterlagen alle Arbeiten dem Steuerberater-Mandat. Insofern handelte es sich NICHT um eine Auftrags(daten)verarbeitung und es bedurfte auch keinerlei spezieller Verträge.
Für die bisherige Rechtsauslegung finden sich viele Belege, wie beispielsweise:
- Tätigkeitsbericht Brandenburg 2012/2013 Seite 58
- PinG 02/2014 Seite 77
- Zeitschrift für Datenschutz 10/2015 Seite 462
- zahlreiche Quellen genannt im Kapitel 3.3.2 des TOM-Guide®
Diese herrschende Meinung will die Datenschutz-Aufsichtsbehörde in Nordrhein-Westfalen nun kippen. Siehe
https://www.ldi.nrw.de/mainmenu_Aktuelles/Inhalt/Datenverarbeitung-in-der-Steuerberatung/Datenverarbeitung-in-der-Steuerberatung.html
Dort finden wir die folgenden Aussagen:
Bei gemischten Tätigkeiten – eigenverantwortliche Steuerberatung sowie weisungsgebundene Dienstleistungen – ist zu differenzieren: Im Hinblick auf weisungsgebundene Dienstleistungen ist eine Auftragsverarbeitung gegeben, im Hinblick auf die Beauftragung mit Tätigkeiten aufgrund steuerberatungsrechtlicher Vorschriften eine Datenverarbeitung in eigener Verantwortung.
Übermittelt zum Beispiel ein Arbeitgeber im Zusammenhang mit der Erstellung des Jahresabschlusses auch Daten zum Zwecke der Lohn- und Gehaltsabrechnung an den Steuerberater, so liegt hinsichtlich dieser untergeordneten Tätigkeit keine Datenverarbeitung in eigener Verantwortung vor.
Mit anderen Worten: Zigtausende Unternehmen müssen nun einen Vertrag zur Auftragsverarbeitung im Sinne des Artikel 28 DS-GVO mit dem Steuerberater abschließen. Ohne diesen Vertrag darf streng genommen schon die kommende Lohn- und Gehaltsabrechnung nicht mehr durchgeführt werden.
Nun ist dieser Vertragsabschluss keine reine Formalität, denn gemäß Erwägungsgrund 81 sollte ein Verantwortlicher, der einen Steuerberater mit Verarbeitungstätigkeiten betrauen will, nur Steuerberater heranziehen, die — insbesondere im Hinblick auf Fachwissen, Zuverlässigkeit und Ressourcen — hinreichende Garantien dafür bieten, dass technische und organisatorische Maßnahmen — auch für die Sicherheit der Verarbeitung — getroffen werden, die den Anforderungen dieser Verordnung genügen.
Diese neue Rechtsauffassung wird seitens der NRW-Aufsichtsbehörde nicht begründet und insofern wird es schwer fallen, die absehbaren Konfrontationen mit den Steuerberatern zu bestehen. Denn garantiert werden die Steuerberater darauf beharren, dass sich an der bestehenden Rechtslage nichts geändert hat. Was soll man dem fundiert entgegensetzen?
Die Einschätzung der NRW-Aufsichtsbehörde schlägt einmal mehr eine schwere Wunde in den betrieblichen Datenschutz.
[Neu am 30.07.2018: Die Aufsichtsbehörde in Bayern hat der obigen Ansicht widersprochen.]
[Neu am 14.09.2018: Die Fachzeitschrift Datenschutz-Berater Ausgabe 9/2018 berichtet auf Seite 182-183. Demnach sei die Zulassung des Steuerberaters in Gefahr, wenn er eine Auftragsverabeitung unterschreiben würde! Seine Leistungen wären dann als gewerbliche Tätigkeit zu werten, weil er nicht mehr weisungsfrei wäre.]
Die Steuerberater geben zu bedenken, dass auch im Rahmen der Lohn- und Gehaltsrechnung natürlich eine intensive fachliche Beratung stattfindet. Dieses Thema ist sehr viel umfassender als eine rein mechanische Eingabe (und Weiterverarbeitung) von Daten. Das leuchtet absolut ein. Insofern würde es sich NICHT um eine rein weisungsgebundene Tätigkeit handeln.
Welche Möglichkeiten hat der Verantwortliche?
- Ignorieren. Man könnte diese Mitteilung der NRW-Aufsichtsbehörde als eine abweichende Einzelmeinung ansehen und erstmal warten. Ganz sicher wird sich die Bundessteuerberaterkammer bald zu Wort melden. Man könnte abwarten, zu welchem Ergebnis der Schlagabtausch kommen mag. Allerdings muss man in der Zwischenzeit damit rechnen, dass man in den Fokus der NRW-Aufsichtsbehörde gerät und möglicherweise ein Bußgeld droht.
- Handeln. Der Steuerberater wird gebeten einen Datenschutzvertrag zu liefern und seine technisch-organisatorischen Maßnahmen nachzuweisen. Möglicherweise werden die Steuerberaterkammern entsprechende Vorlagen liefern. Allerdings ist es mit der reinen Vertragsformalität allein nicht getan. Der Verantwortliche muss nachweisen können, dass sein Steuerberater die ca. 50 datenschutzrechtlichen Pflichten wirklich einhält. Das alles muss sehr zügig vonstatten gehen.
Fazit: Einmal mehr machen es die Aufsichtsbehörden spannend. Ohne konkrete Herleitungen wird die herrschende Meinung in Frage gestellt. Das stellt die Verantwortlichen vor zusätzliche Probleme.
Interessieren Sie sich für solche Themen? Dann werfen Sie einen Blick auf unseren PrivazyPlan®; eine ausführliche Leseprobe wird Sie überzeugen. Die ca. 50 Pflichten der DS-GVO sind machbar!
© Das Urheberrecht dieser Meldung liegt bei Nicholas Vollmer. Sie dürfen diesen Text nicht unverändert übernehmen und bei umfangreichen Zitaten den Urheberrechts-Hinweis nicht entfernen.