Steuerberater, Wirtschaftsprüfer und die DSGVO: Warum sind sie Verantwortliche und keine Auftragsverarbeiter?
Die Datenschutz-Grundverordnung (DSGVO) ist in den letzten Jahren zu einem zentralen Thema für Unternehmen geworden, insbesondere wenn es um den Umgang mit personenbezogenen Daten geht. Eine häufig gestellte Frage ist, wie Steuerberater und Wirtschaftsprüfer in Bezug auf die Verarbeitung solcher Daten, insbesondere im Rahmen der Lohnbuchhaltung, Jahresabschlüsse und Finanzprüfungen, einzustufen sind. Sind sie Auftragsverarbeiter oder Verantwortliche? Diese Unterscheidung hat erhebliche Auswirkungen darauf, ob und wann ein Auftragsverarbeitungsvertrag (AVV) abgeschlossen werden muss und wer letztlich für die Datenverarbeitung verantwortlich ist.
In diesem Blogbeitrag beleuchten wir, warum Steuerberater in der Regel als Verantwortliche im Sinne der DSGVO gelten, während Lohnbüros oft als Auftragsverarbeiter agieren. Außerdem gehen wir auf die Rechtsgrundlagen ein, auf die sich die Verarbeitung stützen kann, und klären die Frage, ob eine Einwilligung der betroffenen Personen notwendig ist.
Steuerberater und Wirtschaftsprüfer als Verantwortliche: Ein Überblick
Nach der DSGVO gibt es klare Kriterien, die festlegen, wer für die Verarbeitung personenbezogener Daten verantwortlich ist. Ein Verantwortlicher ist gemäß Art. 4 Nr. 7 DSGVO die Person oder Stelle, die über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Ein Auftragsverarbeiter hingegen ist eine Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet und dabei keine eigenständigen Entscheidungen trifft.
Steuerberater und Wirtschaftsprüfer handeln jedoch in der Regel nicht als bloße Auftragsverarbeiter. Ihre Tätigkeit ist vielmehr dadurch geprägt, dass sie eigenverantwortlich über die Art und Weise der Datenverarbeitung entscheiden, insbesondere wenn es um die Korrektheit der Abrechnungen und die Einhaltung gesetzlicher Vorschriften geht. Sie sind also Verantwortliche, weil sie eine eigenständige Entscheidung über die Verarbeitung treffen und diese nicht rein auf Weisung eines Unternehmens erfolgt.
Lohnbüros vs. Steuerberater: Wer ist wofür verantwortlich?
Um den Unterschied zwischen einem Lohnbüro und einem Steuerberater besser zu verstehen, lohnt es sich, die jeweiligen Rollen näher zu betrachten.
- Lohnbüros: Lohnbüros führen rein technische und administrative Aufgaben aus. Sie erstellen Gehaltsabrechnungen und verarbeiten dabei personenbezogene Daten der Mitarbeiter, jedoch ausschließlich auf Grundlage der Vorgaben des Auftraggebers. Ein Lohnbüro entscheidet nicht selbst darüber, wie die Daten verarbeitet werden – es setzt lediglich die Anweisungen des Unternehmens um. Deshalb agiert das Lohnbüro als Auftragsverarbeiter nach Art. 28 DSGVO.
- Steuerberater: Steuerberater hingegen treffen im Rahmen der Lohnbuchhaltung und der Erstellung von Jahresabschlüssen eigene Entscheidungen über die Verarbeitung der Daten. Sie überprüfen etwa, ob die Gehälter korrekt berechnet wurden oder ob steuerliche Vorschriften eingehalten werden. Diese Tätigkeit geht über eine bloße technische Abwicklung hinaus und erfordert eigenständige Fachkenntnisse. Aufgrund dieser Eigenverantwortlichkeit und der gesetzlichen Verpflichtungen, denen Steuerberater unterliegen, werden sie als Verantwortliche im Sinne der DSGVO eingestuft.
Diese Einordnung ist auch durch das Steuerberatungsgesetz (StBerG) und die Wirtschaftsprüferordnung (WPO) festgelegt. Diese Gesetze verlangen, dass Steuerberater und Wirtschaftsprüfer nicht nur beratend tätig sind, sondern auch eine fachlich unabhängige Prüfung vornehmen, was sie zu eigenständigen Verantwortlichen macht.
Rechtsgrundlagen für die Verarbeitung personenbezogener Daten durch Steuerberater
Die DSGVO verlangt, dass jede Verarbeitung personenbezogener Daten auf einer rechtmäßigen Grundlage beruht. Für Steuerberater, die Lohnbuchhaltungen, Jahresabschlüsse oder Finanzprüfungen durchführen, gibt es mehrere zentrale Rechtsgrundlagen, die eine Einwilligung der betroffenen Personen in den meisten Fällen unnötig machen.
- Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO)
Eine der wichtigsten Rechtsgrundlagen für die Datenverarbeitung im Rahmen der Lohnbuchhaltung ist die Erfüllung eines Vertrags. Steuerberater, die im Auftrag eines Unternehmens die Lohnbuchhaltung übernehmen, verarbeiten personenbezogene Daten der Mitarbeiter, um die Verpflichtungen aus dem Arbeitsvertrag zu erfüllen. Dies schließt etwa die korrekte Berechnung und Auszahlung von Gehältern sowie die Abführung von Sozialversicherungsbeiträgen ein. In solchen Fällen ist eine Einwilligung der betroffenen Mitarbeiter nicht notwendig, da die Verarbeitung zur Vertragserfüllung erforderlich ist.
- Erfüllung einer rechtlichen Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO)
Eine weitere häufige Rechtsgrundlage ist die Erfüllung gesetzlicher Pflichten. Steuerberater und Wirtschaftsprüfer sind gesetzlich dazu verpflichtet, bestimmte Daten zu verarbeiten, etwa um die Lohnsteuer zu berechnen oder steuerliche Erklärungen fristgerecht abzugeben. Diese Verarbeitung erfolgt nicht nur im Interesse des Unternehmens, sondern auch zur Erfüllung gesetzlicher Pflichten, etwa nach dem Steuerrecht oder dem Handelsgesetzbuch (HGB). Auch hier ist keine Einwilligung erforderlich, da die Verarbeitung gesetzlich vorgeschrieben ist.
- Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO)
Falls keine der oben genannten Rechtsgrundlagen greift, könnte die Verarbeitung auch auf einem berechtigten Interesse des Unternehmens oder des Steuerberaters basieren. Ein solches Interesse könnte etwa darin bestehen, die ordnungsgemäße Führung der Buchhaltung sicherzustellen oder Steuerprüfungen vorzubereiten. Bei der Anwendung dieser Rechtsgrundlage muss jedoch immer eine Abwägung erfolgen: Die Interessen des Unternehmens oder Steuerberaters müssen gegenüber den Rechten und Freiheiten der betroffenen Personen überwiegen.
Muss eine Einwilligung eingeholt werden?
Eine Einwilligung ist gemäß der DSGVO nur dann erforderlich, wenn keine der anderen Rechtsgrundlagen zur Anwendung kommt. Da jedoch die meisten Tätigkeiten eines Steuerberaters oder Wirtschaftsprüfers entweder der Vertragserfüllung oder der Erfüllung gesetzlicher Pflichten dienen, ist in der Praxis selten eine Einwilligung erforderlich. Ein Nachteil der Einwilligung als Rechtsgrundlage besteht darin, dass sie jederzeit widerrufen werden kann, was zu rechtlichen Unsicherheiten führen könnte. Daher ist es in der Praxis meist vorzuziehen, auf die oben genannten Rechtsgrundlagen zurückzugreifen.
Es gibt jedoch einige wenige Fälle, in denen eine Einwilligung erforderlich sein könnte, beispielsweise wenn der Steuerberater Daten für Zwecke verarbeiten möchte, die über das ursprünglich vereinbarte hinausgehen. In solchen Fällen muss die Einwilligung klar und verständlich formuliert und freiwillig erteilt werden.
Fazit
Steuerberater und Wirtschaftsprüfer sind bei der Verarbeitung personenbezogener Daten im Rahmen der Lohnbuchhaltung, der Erstellung von Jahresabschlüssen und der Finanzprüfung in der Regel als Verantwortliche nach der DSGVO zu betrachten. Sie treffen eigenständige Entscheidungen über die Datenverarbeitung und handeln nicht nur auf Anweisung eines Unternehmens. Daher ist ein Auftragsverarbeitungsvertrag (AVV) in den meisten Fällen nicht erforderlich.
Die Verarbeitung der personenbezogenen Daten kann auf verschiedenen Rechtsgrundlagen basieren, insbesondere auf der Erfüllung des Arbeitsvertrags oder der Erfüllung gesetzlicher Pflichten. Eine Einwilligung der betroffenen Personen ist in diesen Fällen nicht notwendig und sollte nur dann eingeholt werden, wenn keine der anderen Rechtsgrundlagen greift.
Es ist daher wichtig, als Unternehmen zu wissen, wann ext. Dienstleister und Partner als Verantwortliche oder Auftragsverarbeiter handeln, um sicherzustellen, dass alle datenschutzrechtlichen Vorgaben korrekt umgesetzt werden.