Der Steuerberater selbst ist, wenn er z. B. die Lohnbuchhaltung für einen Mandanten übernimmt, kein Auftragsdatenverarbeiter, weil der Steuerberater seine Tätigkeit weisungsfrei ausübt und so im Rahmen der Funktionsübertragung handelt. Am 16.1.2018 erschien das Kurzpapier Nr. 13 der unabhängigen Datenschutzbehörden des Bundes und der Länder (Datenschutzkonferenz – DSK) mit dem Titel "Auftragsverarbeitung". Anhang B dieses Kurzpapiers befasste sich u. a. mit Berufsgeheimnisträgern bzw. sagt aus, dass diese keine Auftragsdatenverarbeiter sind.
Durch das JStG 2019 v. 12.12.2019 wurde § 11 StBerG geändert. Die Änderung ermöglicht Steuerberatern, auch besondere Kategorien personenbezogener Daten als Verantwortliche weisungsfrei i. S. d. DSGVO zu verarbeiten. Mit dieser gesetzlichen Klarstellung können Steuerberater nicht als Auftragsverarbeiter qualifiziert werden.
Beauftragt der Steuerberater eine andere Stelle mit der Verarbeitung personenbezogener Daten (z. B. DATEV), ist er als Auftraggeber für die Einhaltung der Vorschriften des Art. 28 DSGVO verantwortlich. Der Steuerberater muss den Auftragnehmer sorgfältig auswählen und in der schriftlichen Beauftragung bestimmte Inhalte vereinbaren, wie z. B. den Umfang, die Art und den Zweck der vorgesehenen Verarbeitung etc. Zudem muss sich der Steuerberater davon überzeugen, dass die beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen eingehalten werden. Auch § 62a Abs. 2 StBerG beinhaltet, dass Steuerberater verpflichtet sind, den Dienstleister sorgfältig auszuwählen und die Zusammenarbeit unverzüglich beendet werden muss, wenn die Einhaltung der dem Dienstleister gemachten Vorgaben nicht gewährleistet ist.
Struktur und Inhalt für den Auftragsverarbeitungsvertrag
Art. 28 DSGVO ist inhaltlich mit § 11 BDSG a. F. vergleichbar. Geregelt werden muss:
Es ist nach Art. 28 Abs. 9 DSGVO ausreichend, dass der Auftragsverarbeitungsvertrag durch zwei gegenseitige Willenserklärungen (§§ 145 ff. BGB) geschlossen wird. Als Formerfordernis reicht elektronische Form (§ 126a BGB) statt Schriftform.
Die Übermittlung der Daten von einem Auftraggeber an einen externen Dienstleister erfordert keine besondere Erlaubnis oder Einwilligung der Betroffenen, weil aus Sicht der Mandanten der Steuerberater allein verantwortlich ist bzw. bleibt und dem Mandanten gegenüber auch bei Verstößen des Auftragsverarbeiters haftet (Gesamtschuldner). Der Auftragsverarbeiter kann sich von seiner Haftung nur befreien, sofern er nachweist, dass er in keinerlei Hinsicht für den Umstand verantwortlich ist, durch den der Schaden eingetreten ist (Art. 82 Abs. 3 DSGVO).
Art. 82 Abs. 1 DSGVO rechtfertigt keinen Schadensersatzanspruch bei individuell empfundenen Unannehmlichkeiten oder immateriellen Bagatellverstößen.
Haftung im Hauptvertrag regeln
Es empfiehlt sich, die Haftung der Parteien im Innenverhältnis im Hauptvertrag zu regeln.