Jetzt kostenlos registrieren für Ihren DSGVO Check!

Kostenlos. Abmeldung jederzeit möglich. Mehr Info

DSGVO: Sind Steuerberater Auftragsverarbeiter?

Bei der Erstellung ihrer Buchhaltung und des Jahresabschlusses lassen sich viele Online-Händler von einem Steuerberater helfen. Das ist sinnvoll, die Abrechnungen entsprechen damit höchstwahrscheinlich den Anforderungen des Finanzamtes, wozu eine gewisse Expertise gehört. Es stellt sich jedoch die Frage, ob nicht die Auslagerung von sensiblen Steuerdaten an den externen Steuerberater eine sogenannte Auftragsverarbeitung darstellt. Wenn das der Fall ist, gehört dazu ein spezieller Vertrag. Bei diesem sind bestimmte Inhalte Pflicht.

Was bedeutet Auftragsverarbeitung?

Bei diesem Vorgang beauftragt eine Firma externe Dienstleister mit der Verarbeitung personenbezogener Daten. Der Dienstleister ist dabei an Weisungen des Auftraggebers gebunden. Er wird nur unterstützend tätig, ist aber durch die seit Mai 2018 geltende DSGVO an den durch den Auftraggeber gesteckten Rahmen gebunden. Das beauftragende Unternehmen muss einen tatsächlichen oder rechtlichen Einfluss ausüben können. Personenbezogene Daten sind nach DSGVO-Definition (Artikel 4) alle Informationen, durch die sich Personen identifizieren lassen. Es gehören dazu:

  • Name und Anschrift
  • Telefonnummer
  • E-Mail-Adresse
  • Kontodaten

IP-Adressen können zu den personenbezogenen Daten gehören. Sie werden unter anderem bei Google Analytics Programmen erhoben. Sollte der Anbieter des entsprechenden Online-Dienstes über die Rechtsmittel für die Zuordnung einer IP-Adresse zu einer Person verfügen, gehört die IP-Adresse den personenbezogenen Daten (EuGH, Az. C-582/14, Urteil vom 19.10.2016). Eine Auftragsdatenverarbeitung liegt demnach in folgenden Fällen vor:

  • Beauftragung externer Dienstleister (Steuerberater, Rechenzentrum) mit der Gehaltsabrechnung
  • Nutzung von Google-Analytics
  • Beauftragung einer Marketing-Agentur mit dem Versenden eines Newsletters an die eigenen Kunden

Keine Auftragsdatenverarbeitung wäre es, wenn die externe Marketing-Agentur den Newsletter nur erstellt, aber der Online-Händler den Versand selbst übernimmt. Damit würde die Marketing-Agentur nicht an die Kundendaten gelangen.

Was verlangt die DSGVO bei einer Auftragsdatenverarbeitung?

Zwingend notwendig ist in so einem Fall ein entsprechender Vertrag mit dem externen Dienstleister. Das beauftragende Unternehmen verpflichtet den Dienstleister zur Einhaltung der DSGVO-Vorschriften und übernimmt die Hauptverantwortung für den Datenschutz. Die Inhalte solcher Verträge waren auch zuvor schon im deutschen BDSG (Bundesdatenschutzgesetz) § 11 Absatz 2 Satz 2 geregelt. Nunmehr finden sie sich im Artikel 28 Absatz 3 DSGVO. Vertraglich zu regeln sind:

  • Dauer, Zweck, Art und Gegenstand der Verarbeitung
  • Art der auf Personen bezogenen Daten
  • Kategorien von betroffenen Personen
  • Rechte und Pflichten des Verantwortlichen

Der entsprechende Vertrag muss zwingend die nötigen Pflichtinhalte aufweisen. Ist das nicht der Fall und kommt es zu einem Verstoß gegen den Datenschutz, ist diese Ordnungswidrigkeit mit einem Bußgeld bis zu vier Prozent des Jahresumsatzes (weltweit), maximal bis 20 Millionen Euro belegt.

Ist die Datenverarbeitung durch den Steuerberater eine Auftragsverarbeitung?

Diese Frage ist mit Stand Sommer 2018 noch gar nicht abschließend geklärt. Was Online-Händler in diesem Kontext wissen müssen: Es gab im BDSG eine Abgrenzung zwischen “Funktionsübertragung” und “Auftragsdatenverarbeitung”. Diese Abgrenzung erschien nötig, weil sonst für viele datenbezogene Vorgänge ein Vertrag nötig gewesen wäre. Das Abgrenzungskriterium zwischen Funktionsübertragung und Auftragsdatenverarbeitung war die Weisungsgebundenheit. Nur wenn der externe Dienstleister weisungsgebunden Daten verarbeitete, handelte es sich um eine Auftragsdatenverarbeitung. Das beauftragende Unternehmen musste damit alle maßgeblichen Entscheidungen zum Umgang mit den Personendaten treffen. Bei einer Funktionsübertragung hingegen ist der externe Dienstleister nicht weisungsgebunden, muss aber datenschutzrechtliche Vorschriften selbst einhalten. Für Verstöße haftet er selbst. Es ist daher bei der Funktionsübertragung kein spezieller Vertrag erforderlich. Bislang ist umstritten, ob das DSGVO-Recht die Funktionsübertragung überhaupt noch vorsieht. Es gibt hierzu vollkommen konträre, jeweils gut begründete Auffassungen.

Drei DSGVO-konforme Bereiche des Datenschutzes

Ein Lösungsvorschlag läuft darauf hinaus, innerhalb der Datenschutzgrundverordnung drei Bereiche voneinander abzugrenzen. Zwischen diesen drei Bereichen gibt es eine Abstufung der Verantwortlichkeiten für den Datenschutz:

  • Auftragsdatenverarbeitung nach Artikel 28 mit neuem sachlichen Anwendungsbereich, der dem externen Dienstleister gewisse Entscheidungsspielräume überlässt, wobei die letzte Entscheidung beim Auftragsunternehmen verbleibt
  • weisungsfreie Tätigkeit bei gemeinsamer Verantwortlichkeit nach DSGVO-Artikel 26, die der vorherigen Funktionsübertragung ähnelt
  • weisungsfreie Tätigkeit ohne gemeinsame Verantwortlichkeit, die wiederum in Teilen der früheren Funktionsübertragung ähnelt

 

Experten sind der Auffassung, dass die Inanspruchnahme eines Steuerberaters unter den dritten Punkt der vollkommen weisungsfreien Fachleistung einzuordnen ist. Steuerberater waren schon immer strikt an die Einhaltung datenschutzrechtlicher Vorschriften gebunden und müssen sich gegen Schäden versichern. Das liegt in der eigenverantwortlichen, grundsätzlich weisungsfreien Arbeitsweise eines Steuerberaters begründet. Er muss den Datenschutz selbst einhalten und haftet für Verstöße.

 

Fazit

Shop-Betreiber können prinzipiell ohne gesonderte vertragliche Vereinbarung sensible Steuerdaten an den beauftragten Steuerberater übermitteln. Ein gesonderter Vertrag zur Auftragsdatenverarbeitung ist nach Kenntnisstand von Sommer 2018 nicht erforderlich.

 


Über den Autor

Bernadette Mohme ist Volljuristin und berät die rechtlichen Entwicklungen in allen für den eCommerce und dem Datenschutz relevanten Bereichen. Dabei übersetzt sie gerichtliche Entscheidungen ebenso wie neue gesetzliche Vorgaben in eine verständliche Sprache und gibt Handlungsanleitungen zur rechtskonformen Umsetzung von Vorschriften.

Ihre Nachricht an Bernadette Mohme



Themen:

DSGVO

Kostenloses Whitepaper:
Die Technischen und organisatorischen Maßnahmen nach der Datenschutz-Grundverordnung

Mithilfe der TOM sollen Unternehmen insbesondere sicherstellen, die Datenschutzgrundsätze der DS-GVO einzuhalten

Dieses Whitepaper erklärt Schritt für Schritt welche Massnahmen Unternehmen ab 25.5.2018 zwingend ergreifen müssen.


Zum Whitepaper

Fragen? Ihr Ansprechpartner

Bernadette Mohme

Volljuristin

Tel.: 0800 600 40 50
info@protected-compliance.com