Bisher konnte man unter Verweis auf das Kurzpapier Nr. 13 der Datenschutzkonferenz noch gut vertreten, dass Tätigkeiten wie Lohnabrechnungen durch den Steuerberater – ensprechend der bisherigen Linie vor dem 25.5. 2018 – keine Auftragsverarbeitung seien.
In dem Kurzpapier heißt es nur knapp:
„Anhang B
Keine Auftragsverarbeitung, sondern die Inanspruchnahme fremder Fachleistungen bei einem eigenständig Verantwortlichen, für die bei der Verarbeitung (einschließlich Übermittlung) personenbezogener Daten eine Rechtsgrundlage gemäß Art. 6 DS-GVO gegeben sein muss, sind beispielsweise in der Regel die Einbeziehung eines Berufsgeheimnisträgers (Steuerberater, Rechtsanwälte, externe Betriebsärzte, Wirtschaftsprüfer),“
Nach Ansicht der LDI NRW hat das wohl keinen Bestand mehr, wie man einer aktuelle Info entnehmen kann:
„Eine Datenverarbeitung im Auftrag gemäß Art. 28 Datenschutz-Grundverordnung (DS-GVO) ist in den Fällen zu bejahen, in denen einem Steuerberater eine Aufgabe ohne eigene Entscheidungskompetenzen übertragen wird. Dies ist etwa bei der reinen Lohn- und Gehaltsabrechnung der Fall oder bei sonstigen, rein technischen Dienstleistungen. Erforderlich ist dann ein Vertrag zur Auftragsverarbeitung.“
„Bei gemischten Tätigkeiten – eigenverantwortliche Steuerberatung sowie weisungsgebundene Dienstleistungen – ist zu differenzieren: Im Hinblick auf weisungsgebundene Dienstleistungen ist eine Auftragsverarbeitung gegeben, im Hinblick auf die Beauftragung mit Tätigkeiten aufgrund steuerberatungsrechtlicher Vorschriften eine Datenverarbeitung in eigener Verantwortung.
Übermittelt zum Beispiel ein Arbeitgeber im Zusammenhang mit der Erstellung des Jahresabschlusses auch Daten zum Zwecke der Lohn- und Gehaltsabrechnung an den Steuerberater, so liegt hinsichtlich dieser untergeordneten Tätigkeit keine Datenverarbeitung in eigener Verantwortung vor.
Im Kurzpapier der Datenschutzkonferenz zur Auftragsverarbeitung nach Art. 28 DS-GVO finden Sie weitere Informationen.
Kurzpapier Nr. 13
Die Ausführungen, dass Steuerberatungsleistungen in der Regel keine Auftragsdatenverarbeitung darstellen (Seite 4), verhalten sich zur klassischen Steuerberatung, bei der der Steuerberater gemäß § 32 Abs. 2 StBerG eigenverantwortlich tätig wird.“
Entgegen bisheriger Annahmen geht man also nun davon aus, dass die Lohnabrechnung des Steuerberaters als Auftragsverarbeitung i.S.v. Art. 28 DSGVO zu qualifizieren ist. Wir dürfen gespannt sein, was zukünftig noch alles als Auftragsverarbeitung zu qualifizieren ist.
