DSGVO: Auftragsdatenverarbeitungsvertrag für Bilanzbuchhalter und Steuerberater

DSGVO: Auftragsdatenverarbeitungsvertrag für Bilanzbuchhalter und Steuerberater

Selbstständige Bilanzbuchhalter sollten mit ihren Mandanten einen Auftragsdatenverarbeitungsvertrag gemäß DSGVO abschließen. Das empfiehlt ein Praxis-Info des Beck Verlags. Auch Steuerberater können Auftragsdatenverarbeiter sein.

Steuerberater können wohl zunächst auf ihn verzichten, selbstständige Bilanzbuchhalter sollten ihn vorsichtshalber mit ihren Mandanten abschließen: einen Auftragsdatenverarbeitungsvertrag. Seit dem 25. Mai 2018 verlangt die Datenschutzrichtlinie DSGVO regelmäßig einen solchen Vertrag, wenn ein Dienstleister für ein anderes Unternehmen personenbezogene Daten verarbeitet, etwa Kundendaten oder Personaldaten. Darin vereinbaren weisungsgebundene Auftragsdatenverarbeiter mit ihrem Auftraggeber Art, Umfang und Sicherheitsmaßnahmen der Datenverarbeitung.

Während der Deutsche Steuerberaterverband (DStV) und die Bundessteuerberaterkammer (BStK) für Steuerberater und Wirtschaftsprüfer schon klargestellt haben, dass diese eigenverantwortlich handeln und somit keine Auftragsdatenverarbeiter sind, sollten selbstständige Bilanzbuchhalter mit ihren Mandanten einen solchen Vertrag vorsorglich abschließen, warnt der Fachverlag C.H. Beck in einer Praxis-Info. Doch auch für Steuerberater ist die Rechtslage möglicherweise nicht so eindeutig, wie die Verbände sie darstellen.

So berufen sich DStV und BStK auf eine Auskunft des Bayerischen Landesamtes für Datenschutzaufsicht (BayLDA). Demnach gelten Steuerberater und Wirtschaftsprüfer generell nicht als Auftragsdatenverarbeiter. Die Landesdatenschutzbeauftragte von Nordrhein-Westfalen sieht hingegen das eigenverantwortliche Handeln der Steuerberater und Wirtschaftsprüfer nur auf deren eigentliche Tätigkeit beschränkt. Übernimmt der Steuerberater etwa die Lohnbuchhaltung für einen Mandanten, dann handelt er ohne eigene Entscheidungskompetenz, also weisungsgebunden. Das erfülle den Tatbestand der Datenverarbeitung im Auftrag gemäß Art. 28 DSGVO, informiert die Aufsichtsbehörde von NRW.

Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen
Kavalleriestr. 2-4
40213 Düsseldorf
Telefon: 0211/38424-0
Fax: 0211/38424-10
E-Mail: poststelle@ldi.nrw.de