Kurzbeiträge
Aus den aktuellen Berichten und Informationen der Aufsichtsbehörden (40): Offene Fragen bei der Beschäftigtendatenverarbeitung: Gehaltsabrechnung durch Steuerberater und Verarbeitungen beim Betriebsrat
Ausgewählt und kommentiert von Prof. Peter Gola*
Der am 4.2.2019 von dem LfDI Baden-Württemberg vorgelegte 34. Tätigkeitsbericht über das Jahr 2018 geht ausführlich auf zwei den Beschäftigtendatenschutz betreffende Streitfragen ein. Dabei geht es zum einen um die Übertragung der Gehaltsabrechnung an einen Steuerberater als Auftragsverarbeiter und zum anderen um die Rolle des Betriebsrats als eigenverantwortliche Stelle.
I. Ausgelagerte Gehaltsabrechnung
1. Typischer Fall einer Auftragsverarbeitung
Die Aufsichtsbehörden sind sich nach wie vor einig, dass ein Outsourcing der Gehaltsabrechnung regelmäßig den Tatbestand einer Auftragsverarbeitung (Art. 4 Nr. 8 DS-GVO) erfüllt, der unter den Voraussetzungen des Art. 28 DS-GVO gestattet ist. Dies folgt daraus, dass auch nach der DS-GVO der Auftragsverarbeiter kein „Dritter“ (Art. 4 Nr. 10 DS-GVO) ist, sondern ein „fiktiv interner“ Empfänger (Art. 4 Nr. 9 DS-GVO); dies jedenfalls dann, wenn er weisungsgebunden zu nichts anderem befugt wird als zu dem, das der Auftraggeber auch selbst an Verarbeitungen durchführen dürfte. Zwischen dem den Auftrag erteilenden Verantwortlichen und seinem Auftragsverarbeiter besteht ein „Innenverhältnis“, auf Grund dessen die Verarbeitung durch den Auftragsverarbeiter grundsätzlich dem Verantwortlichen zugerechnet wird. Dem steht nicht entgegen, dass, wenn der Auftragsverarbeiter über ein umfassenderes Know-how als sein Auftraggeber verfügt, dieser ihm einen gewissen Spielraum für selbständige Entscheidungen einräumen kann. Dies gilt insbesondere für die Delegation der Entscheidung über die technisch-organisatorischen Fragen der Verarbeitung. Dieser Sachverhalt ändert zwar nichts daran, dass es sich bei der Weitergabe der Mitarbeiterdaten an den Auftragsverarbeiter stets um eine unter dem Verbot mit Erlaubnisverhalt des Art. 6 Abs. 1 DS-GVO stehenden Verarbeitungsfall der Offenlegung von personenbezogenen Daten handelt (Art. 4 Nr. 2 DS-GVO). Andererseits bleibt es dabei, dass dieser Vorgang auch unter Anwendung der DS-GVO weiterhin „privilegiert“ ist, wenn der Datenempfänger – wie es bei der Auslagerung der Gehaltsabrechnung regelmäßig der Fall ist – keine maßgebende Eigenkompetenz bei der Verwendung der überlassenen Daten hat und der Auftraggeber allein über Zweck der Datenverarbeitung entscheidet. Aufgrund der in der DS-GVO getroffenen Verantwortlichkeiten von Auftraggeber und Auftragnehmer besteht nämlich weiterhin kein gesonderter Schutzbedarf der betroffenen Person bei Einschaltung eines Auftragsverarbeiters. Es bedarf keiner gesonderten Rechtsgrundlage, wenn die Nutzung der Daten unter Einhaltung der Regelungen der Verordnung zur Auftragsvergabe erfolgt. Insofern kann Art. 28 DS-GVO als eigenständige Befugnisnorm verstanden werden. Vertretbar mag es auch sein, die zwischen Auftraggeber und Auftragnehmer vereinbarte Datenverarbeitung als einheitlichen Verarbeitungsvorgang (Art. 4 Nr. 2 DS-GVO) einzuordnen, für den es nur eine einheitliche Prüfung geben kann. Damit steht es auch unter Geltung der DS-GVO grundsätzlich außer Frage, dass die Auslagerung der Gehaltsabrechnung keiner speziellen Rechtfertigung bedarf, wenn sie nach in Art. 28 DS-GVO für die Auftragsverarbeitung festgelegten Bedingungen vollzogen wird.
2. Beispiele selbstständiger Dienstleistungen im Personalbereich
Keine Auftragsverarbeitung liegt dagegen vor, wenn der beauftragte Dienstleister gemäß seinem Berufsbild die Daten zwecks eigenverantwortlicher Tätigkeit erhält. Als Beispiele aus dem Bereich der Gehaltszahlung zählt das DSK-Kurzpapier auf die Einbeziehung eines Bankinstituts bei dem Gehaltstransfer, eines Postdienstes für den Transport der Gehaltsnachweise an den Mitarbeiter oder auch die Datenweitergabe bei der Einschaltung eines Berufsgeheimnisträgers (Steuerberater, Rechtsanwälte, externe Betriebsärzte, Wirtschaftsprüfer) in Personalangelegenheiten.
3. Der Steuerberater als Gehaltsabrechner
Zwischen zumindest drei Aufsichtsbehörden wird jedoch die Frage, ob ein Steuerberater, wenn er die Gehaltsabrechnung übernimmt, Auftragsdatenverarbeiter seines Mandanten wird, unterschiedlich bewertet. Einerseits wurde und wird dies vom BayLDA verneint, da die freiberufliche und eigenverantwortliche Tätigkeit des Steuerberaters der Weisungsgebundenheit einer Auftragsverarbeitung auch dann entgegenstehe, wenn er nur die Lohnbuchhaltung für einen Mandanten durchführt. Da ein Steuerberater nach dem Steuerberaterrecht bei seinen Tätigkeiten weisungsungebunden und eigenverantwortlich sei, gelte das auch für den Fall der Übernahme der Gehaltsabrechnung. Er könne sich nicht, wie allgemeine Dienstleister bei der Lohnabrechnung allein auf Weisungen des Mandanten berufen. Konsequenz ist dann, dass auch für den Fall der Übertragung der Gehaltsabrechnung kein gesonderter Vertrag zur Auftragsverarbeitung mit den Mandanten geschlossen werden muss; jedoch aber eine die Übermittlung der Daten gestattende Erlaubnisnorm von Nöten ist, die der LfDI Baden-Württemberg jedoch nicht zu erkennen vermag. Andererseits wird aber auch für den bei der Gehaltsabrechnung eingeschalteten Steuerberater die Funktion als Auftragsverarbeiter nunmehr von der LDI NRW dann bejaht, sofern – ähnlich wie bei einem Lohnbüro – von der Steuerkanzlei nur und ausschließlich die Lohnbuchhaltung des Mandanten geführt wird. Bei gemischten Tätigkeiten – eigenverantwortliche Steuerberatung sowie weisungsgebundene Dienstleistungen – sei zu differenzieren: Im Hinblick auf weisungsgebundene Dienstleistungen sei eine Auftragsverarbeitung gegeben; bei der Beauftragung mit Tätigkeiten aufgrund steuerberatungsrechtlicher Vorschriften eine Datenverarbeitung in eigener Verantwortung dagegen nicht. Dem schloss sich der LfDI Baden-Württemberg in seinem 34. Tätigkeitsbericht an (Seite 57, Ziffer 1.10): „Übernimmt ein Steuerberater neben seiner eigentlichen Steuerberatertätigkeit (Hilfe in Steuersachen) zusätzlich weitere Aufgaben, handelt es sich um Auftragsverarbeitung im Sinne des Artikels 28 DS-GVO und bedarf einer entsprechenden Vereinbarung mit dem datenschutzrechtlich verantwortlichen Auftraggeber.“ Dies begründet er u.a. wie folgt: „Seit dem Beschluss des Bundesverfassungsgerichts vom 27. Januar 1982 (1 BvR 807/80 –, BStBl II 1982, 281, BVerfGE 59, 302-329) steht fest, dass das Buchführungsprivileg für steuerberatende Berufe (§ 5 Absatz 1 des Steuerberatungsgesetzes) nicht für die laufende Lohnbuchhaltung gilt. Begründet wird dies damit, dass es sich bei der laufenden Lohnbuchhaltung um reine Routinearbeiten handelt, die „sich als eine nicht durch besondere rechtliche Erwägungen geprägte schematisierte Subsumtion von Lohnzahlungsvorgängen unter die amtlichen Lohnsteuertabellen und das betriebliche Lohnkonto darstellt“. Folgerichtig wurde das Steuerberatungsgesetz angepasst; nach § 6 Nummer 4 des Steuerberatungsgesetzes gilt das Verbot der unbefugten Hilfeleistung in Steuersachen (u.a.) nicht für die laufende Lohnabrechnung. Für die Frage, ob der Steuerberater solche Arbeiten als Verantwortlicher im Sinne des Artikels 4 Nummer 7 DS-GVO oder als Auftragsverarbeiter im Sinne des Artikel 4 Nummer 8 DS-GVO erledigt, kommt diesem Umstand, dass es sich bei der laufenden Lohnbuchhaltung um rein mechanische Verarbeitungsvorgänge handelt, die keine besondere Qualifikation der steuerberatenden Berufe erfordert, entscheidende Bedeutung zu. Denn dies hat zur Folge, dass der für die Mitarbeiterdaten Verantwortliche die Befugnis behält, Zwecke und Mittel der Verarbeitung zu bestimmen. Dem steht auch nicht entgegen, dass der Steuerberater ansonsten, soweit er dem Steuerberaterprivileg unterfallende Arbeiten erledigt, zweifelsfrei als Verantwortlicher tätig wird. Denn es ist anerkannt, dass je nach konkreter Tätigkeit und Zusammenhang dieselbe Organisation hinsichtlich bestimmter Verarbeitungen als Verantwortlicher und hinsichtlich anderer Verarbeitungen als Auftragsverarbeiter handeln kann. Soll die Lohnbuchhaltung durch den Steuerberater nicht im Rahmen eines Auftragsverhältnisses nach Artikel 28 DS-GVO erfolgen, sondern tritt der Steuerberater selbst als datenschutzrechtlich Verantwortlicher auf, bedarf es einer Rechtsgrundlage, die den Auftraggeber berechtigt, die personenbezogenen Daten seiner Beschäftigten dem Steuerberater zu übermitteln, und gleichzeitig bedarf es einer Rechtsgrundlage, die den Steuerberater zur (eigenverantwortlichen) Verarbeitung der Beschäftigtendaten berechtigt. Soweit es um die Verarbeitung personenbezogener Daten durch den Steuerberater für Zwecke der laufenden Lohnabrechnung geht, kann als Rechtsgrundlage jedenfalls nicht auf § 11 des Steuerberatungsgesetzes abgestellt werden, da es sich insoweit nicht um Daten handelt, die der „Erfüllung der Aufgaben nach diesem Gesetz“ (Hilfe in Steuersachen) dienen. Hinzu kommt, dass die Lohnbuchhaltung auch die Verarbeitung besonderer Kategorien personenbezogener Daten, sog. sensitiver Daten, beinhaltet, wie etwa Gesundheitsdaten oder Daten, aus denen religiöse oder weltanschauliche Überzeugungen hervorgehen. Sensitive Daten dürfen nur unter den (zusätzlichen) Voraussetzungen des Artikels 9 Absatz 2 DS-GVO verarbeitet werden. Die Verarbeitung solcher Daten durch den Steuerberater als (Eigen-)Verantwortlichen lässt sich indes unter keinen dieser Ausnahmetatbestände des Artikels 9 Absatz 2 DS-GVO subsumieren. Auch die Ausnahmeregelung des § 26 Absatz 3 des Bundesdatenschutzgesetzes (BDSG) hilft hier nicht weiter. Denn weder verarbeitet der Steuerberater die sensitiven Daten „für Zwecke des Beschäftigungsverhältnisses“, noch ist die Verarbeitung „zur Ausübung von Rechten oder zur Erfüllung rechtlicher Pflichten aus dem Arbeitsrecht, dem Recht der sozialen Sicherheit und des Sozialschutzes erforderlich“. Fehlt es somit an der Berechtigung, solche Daten zu verarbeiten, schließt dies insgesamt eine Lohnbuchhaltung als Verantwortlicher aus. Dagegen ist die Weitergabe auch sensitiver Daten im Rahmen eines Auftragsverhältnisses nach Artikel 28 DS-GVO grundsätzlich unproblematisch. Auch das Kurzpapier Nummer 13 der Datenschutzkonferenz steht dieser Auffassung entgegen anderslautender Behauptung nicht entgegen. Wenn dort in Anhang B die Tätigkeit von Berufsgeheimnisträgern pauschal von der Auftragsverarbeitung ausgeschlossen wird, ist dies jedenfalls nicht so zu verstehen, dass dies grundsätzlich auch für solche zusätzlich übernommenen Hilfstätigkeiten gilt, die keinen unmittelbaren Bezug zur Kerntätigkeit des Geheimnisträgers haben. Übernimmt ein Steuerberater neben seiner eigentlichen Steuerberatertätigkeit (Hilfe in Steuersachen) zusätzlich weitere Aufgaben, handelt es sich um Auftragsverarbeitung im Sinne des Artikels 28 DS-GVO und bedarf einer entsprechenden Vereinbarung mit dem datenschutzrechtlich verantwortlichen Auftraggeber.
4. Konsequenzen der unterschiedlichen Bewertung
Ob die Frage, welche der Bewertungen des Sachverhalts bei der Beauftragung eines Steuerberaters mit der Gehaltsabrechnung zutreffend ist, von gravierender praktischer Relevanz ist, hängt davon ab, ob die bei fehlender Auftragsverarbeitung stattfindende Datenübermittlung auf Zulässigkeitsgrenzen stößt. So wie die zur Fertigung einer Steuererklärung erforderliche Übermittlung zulässig ist, muss dies doch auch für die weniger Entscheidungsspielräume bietende Gehaltsberechnung gelten, indem sich der Arbeitgeber auf Art. 6 Abs. 1 lit. f und ggf. Art. 9 Abs. 2 lit. g DS-GVO stützen kann. Vorrangig wäre ggf. sogar § 26 Abs. 1 Satz 1 und Abs. 3 BDSG, da die Übermittlung erforderlich ist, um sich aus dem Beschäftigungsverhältnis ergebenden Rechte und Pflichten auszuüben oder zu erfüllen. Solange sich zu dieser Frage keine einheitliche Auffassung der Aufsichtsbehörden gebildet hat, sollten sich Arbeitgeber nach der Auffassung der für sie zuständigen Aufsichtsbehörde richten und danach ihre vertraglichen Beziehungen mit der Steuerberaterpraxis gestalten, wenngleich nicht zu erwarten ist, dass eine Aufsichtsbehörde ihre Ansicht per Bußgeld durchzusetzen versucht, solange Uneinigkeit der Aufsichtsbehörden besteht.
II. Die eigenverantwortliche Rolle des Betriebsrats
1. Die Rolle des Betriebsrats nach der DS-GVO
Erneut problematisiert wird, ob der Betriebsrat als eigener Verantwortlicher im Sinne der DS-GVO in Betracht kommt oder ob er entsprechend der langjährigen Rechtsprechung des BAG weiterhin dem Arbeitgeber als Verantwortlichem zuzurechnen ist. Der LfDI Baden-Württemberg verneint Letzteres wohl als erste Aufsichtsbehörde eindeutig. Die Beantwortung der Frage nach der Eigenverantwortlichkeit von Betriebsräten ergibt sich nach Auffassung des LfDI BW aus der DS-GVO selbst: Entscheidet der Betriebsrat – wie es der Fall ist – selbst über die Zwecke und Mittel der Verarbeitung personenbezogener Daten, sei er als eigener Verantwortlicher anzusehen. Auch wenn der Arbeitgeber nach dem BetrVG letztlich über die dem Betriebsrat zur Verfügung gestellten Mittel entscheide, zeige die praktische Erfahrung, dass die Frage, welches Mittel ein Betriebsrat zur Erfüllung seiner Aufgaben nutzt, in der Regel durch diesen selbst bestimmt wird. Der Betriebsrat entscheide selbst, ob er bspw. eine Excel-Liste oder eine handschriftliche Liste von Mitarbeiterdaten anlege oder wie er Vorgänge, die ihm von den Beschäftigten des Unternehmens gemeldet werden, dokumentiert, verwaltet oder ablegt. Auch bzgl. der weiteren Voraussetzung, d.h. über die Zwecke der Verarbeitung personenbezogener Daten entscheide der BR selbst, auch wenn ihm diese abstrakt vom Betriebsverfassungsgesetz vorgegeben werde.
2. Konsequenzen aus der Eigenständigkeit
Bei der Frage, welche Konsequenzen sich aus der Einstufung des Betriebsrats als eigener Verantwortlicher ergeben, weist der LfDI darauf hin, dass selbst für die Datenverarbeitung verantwortlich zu sein auch bedeute, den von der DS-GVO auferlegten Pflichten als Verantwortlicher nachzukommen. Somit müssen auch Betriebsräte bspw. Auskunftsansprüche und Löschverpflichtungen erfüllen. Fraglich sei, ob bei Missachtung der Pflichten Bußgelder verhängt werden können. Normadressat von Bußgeldern sind in aller Regel die Verantwortlichen. Somit kommen auch Bußgelder gegen Betriebsräte in Betracht. Problematisch sei, inwieweit der Betriebsrat nach nationalem Recht rechts- und vermögensfähig ist. Die Beantwortung dieser Frage sei in der Vergangenheit von der Rechtsprechung unterschiedlich beantwortet worden. In einem Fall hat der Bundesgerichtshof dem Betriebsrat jedoch zumindest eine begrenzte Rechtsfähigkeit zugesprochen. Es bleibe daher abzuwarten, wie sich die Thematik in Zukunft entwickele. Dem LfDI BW ist die umstrittene Rechtslage durchaus bewusst. Insbesondere die Folge, dass der Betriebsrat beim Vorliegen der entsprechenden Voraussetzungen einen eigenen Datenschutzbeauftragten benennen muss, kann bei entsprechenden ggf. gerichtlich zu entscheidenden Initiativen von Mitarbeitervertretungen zur Aufhellung der Sachlage beitragen.