DSGVO & Auftragsverarbeitung: Ist ein Vertrag mit dem Steuerberater notwendig?

Das Auslagern von Datenverarbeitungsprozessen, etwa aus Kostengründen, ist längst nicht mehr nur Thema in größeren Online-Shops. Auch kleine und mittelständische Händler geben ihre Daten an Dritte weiter, ohne sich der datenschutzrechtlichen Folgen bewusst zu sein. Findet eine Auslagerung von persönlichen Daten an externe Dienstleister statt, muss mit ihnen ein Vertrag über die Auftragsverarbeitung geschlossen werden. Fällt auch der Steuerberater – aktuell oder mit der DSGVO – darunter?

Auftragsverarbeitung? Was war das noch gleich?

Bei der Auftragsverarbeitung erhebt, verarbeitet und/oder nutzt ein externer Dienstleister die personenbezogenen Daten für einen anderen, „Auftraggeber“, beispielsweise den Online-Händler.

Beispiele:

• Nutzung externer Serverkapazitäten
• Externe Callcenter
• Datenträgerentsorgung
• Backup-Sicherheitsspeicherung und andere Archivierungen,
• Datenerfassung, Datenkonvertierung oder Einscannen von Dokumenten
• Nutzung von Google Analytics
• Mailing-Dienstleister

Eine Übermittlung der Daten an diese Dienstleister ist ohne gesonderte gesetzliche Erlaubnis oder Einwilligung des Betroffenen möglich, da sie gesetzlich einer internen Nutzung gleichgestellt und insoweit privilegiert werden. Es ist mit dem Dienstleister jedoch ein Vertrag abzuschließen, in welchem Mindestfestlegungen zu treffen sind (z. B. Gegenstand und die Dauer des Auftrags, Umfang, Art und Zweck der vorgesehenen Datenerhebung), der sog. Vertrag über die Auftragsverarbeitung. 

Ein Aufwand, den besonders kleinere Händler scheuen, die ohnehin schon mit den Vorbereitungen auf die DSGVO alle Hände voll zu tun haben. Wir wurden deshalb kürzlich gefragt, ob auch mit dem externen Steuerberater ein solcher Vertrag über die Auftragsverarbeitung abgeschlossen werden muss.

Hinweis: Der aktuelle Datenschutz und die neue DSGVO legen selbstverständlich noch weitere Voraussetzungen fest, die bei so einer Auftragsdatenverarbeitung einzuhalten sind. Der Auftragnehmer ist beispielsweise sorgfältig auszuwählen. Weitere Informationen dazu gibt es in der Themenreihe zur DSGVO.

Steuerberater handelt weisungsfrei

Charakteristisch für die Auftragsverarbeitung ist, dass die weitergegeben Daten nur anhand der konkreten Weisungen des Auftraggebers genutzt werden dürfen. Der Auftraggeber weist und kontrolliert somit jeden Schritt der Datenverarbeitung und bleibt der „Herr der Daten“. 

Die Auslagerung von sensiblen Steuerdaten, etwa zur Erstellung einer Jahresbilanz oder zur Lohnabrechnung, an einen externe Steuerberater ist nach Auffassung der Behörden keine Auftragsverarbeitung. Der Steuerberater führt die ihm übertragenen klassischen Aufgaben, etwa die Lohnabrechnung oder Steuererklärung, eigenverantwortlich und weisungsunabhängig aus. Es ist davon auszugehen, dass auch die DSGVO die eigenverantwortlicher Tätigkeiten von externen Experten (z.B. Beauftragung eines Rechtsanwalts, Steuerberaters) privilegieren und von einem Auftragsverarbeitungsvertrag ausnehmen will. Diese sind dann selbst verantwortlich für die Einhaltung der datenschutzrechtlichen Vorschriften.

Gleiches gilt im Übrigen für folgende externe Fach- und Dienstleistungen, für die ebenfalls kein Vertrag über die Auftragsverarbeitung erforderlich ist:

• Transportdiensleister, die die Adressen zur Vertragsabwicklung (Auslieferung der Ware erhalten)
• Inkassotätigkeit mit Forderungsübertragung
• Finanzberatung
• Unternehmensberatung
• Wirtschaftsprüfung
• Mitarbeiterrekrutierung

Hinweis: Setzt der Steuerberater selbst Dienstleister ein (zum Beispiel Dienstleistungsrechenzentren wie die DATEV), liegt eine Auftragsverarbeitung zwischen dem Steuerberater und dem Dienstleister vor.