DA+

Kurzbeitrag : Digitalisierung, Berufsrecht und datenschutzrechtliche Verantwortlichkeit : aus der RDV 2/2021, Seite 94 bis 98

Lesezeit 17 Min.

Steuerberater und Wirtschaftsprüfer verarbeiten regelmäßig personenbezogene Daten bei der Erbringung ihrer Leistungen. Beide Berufsgruppen nehmen wegen ihrer berufsrechtlichen Pflichten sowie der damit einhergehenden Eigenverantwortlichkeit und Unabhängigkeit ihrer Tätigkeit die datenschutzrechtliche Rolle eines Verantwortlichen ein. Mit zunehmender Digitalisierung verschwimmt jedoch die Grenze zwischen Kernleistung und weiteren Beratungsleistungen. Die Bandbreite reicht dabei von ausschließlich durch Steuerberater und Wirtschaftsprüfer genutzter Software hin zur Gestaltung von digitalen Angeboten, die eigenständig von Mandanten verwendet werden. Daneben bieten insbesondere Wirtschaftsprüfungsgesellschaften weitere digitale Beratungsleistungen an, die über die Kernleistung der betriebswirtschaftlichen Prüfung hinausgehen. Dieser Beitrag untersucht die Auswirkungen der Digitalisierung beider Berufsgruppen sowie der weiteren Angehörigen einer Wirtschaftsprüfungsgesellschaft und kommt zu dem Ergebnis, dass diese dabei weiterhin als Verantwortliche und nicht als Auftragsverarbeiter agieren.

I. Einleitung

Im Zuge der zunehmenden Digitalisierung von Unternehmen verarbeiten auch Steuerberater und Wirtschaftsprüfer vermehrt personenbezogene Daten ihrer Mandanten in einer Weise, die den Anwendungsbereich des Datenschutzrechts eröffnet. Bei den klassischen Kernleistungen wie der Beratung bei der Erstellung und Abgabe von Steuererklärungen oder der Durchführung von Jahresabschlussprüfungen kommen digitale Werkzeuge zum Einsatz, um Routineaufgaben zu automatisieren und Kontrollen schwerpunktmäßig bei Ausnahmen, Regelverstößen und Stichprobenprüfungen durchzuführen.[1] Hier nehmen Steuerberater und Wirtschaftsprüfer Aufgaben wahr, die sie wegen ihrer berufsrechtlichen Pflichten unabhängig, gewissenhaft, verschwiegen und eigenverantwortlich ausführen.[2] Aufgrund ihrer Eigenverantwortlichkeit agieren Steuerberater und Wirtschaftsprüfer datenschutzrechtlich in der Regel nicht als Auftragsverarbeiter,[3] sondern als Verantwortliche im Sinne der Datenschutzgrundverordnung (DS-GVO)[4] – mit allen damit verbundenen Rechten, aber auch Pflichten. Anders als Wirtschaftsprüfer genießen Steuerberater diesbezüglich mit § 11 Abs. 2 S. 1 und 2 Steuerberatungsgesetz (StBerG) eine ausdrückliche gesetzliche Klarstellung, nach der sie bei der Verarbeitung sämtlicher personenbezogener Daten ihrer Mandanten ihre Aufgabenerfüllung als Verantwortliche wahrnehmen.[5]

Zu den Kernleistungen beider Berufsgruppen kommen im Zuge der Digitalisierung vermehrt weitere Beratungsleistungen hinzu, bei denen ebenfalls personenbezogene Daten verarbeitet werden. Hierzu zählt unter anderem die IT- und Prozessberatung, die digitale Forensik bei der Bekämpfung von Wirtschaftskriminalität oder die Beratung zur Absicherung von informationstechnischen Systemen.[6] Infolgedessen verschwimmt die Grenze zwischen der Kernleistung der Steuerberatung und Wirtschaftsprüfung sowie weiteren Beratungsleistungen zunehmend. Dabei wird auch die datenschutzrechtliche Rolle von Steuerberatern und Wirtschaftsprüfern hinterfragt, wobei in der Praxis bei zunehmender Entfernung von der jeweiligen Kernleistung Mandanten vermehrt eine Auftragsverarbeitung annehmen, um einerseits die Kontrolle über personenbezogene Daten zu behalten und andererseits – so die irrtümliche Annahme – die Übermittlung rechtfertigen zu können.[7] Eine Übermittlung bedarf jedoch einer Rechtfertigungsgrundlage aus Art. 6 DS-GVO, welche gerade nicht durch eine Auftragsverarbeitungsvereinbarung ersetzt werden kann. Der Abschluss einer Auftragsverarbeitungsvereinbarung vermittelt dabei, fälschlicherweise, das Gefühl erhöhter Sicherheit, ohne zu berücksichtigen, dass eine Auftragsverarbeitung – schon unabhängig vom Berufsrecht – eher die Ausnahme als die Regel darstellt; denn allein die faktische Lage und nicht das Vorliegen einer Auftragsverarbeitungsvereinbarung ist hierfür entscheidend. Hinzu kommt die Annahme, dass, wer zweckgebunden agiere, stets Auftragsverarbeiter sei, obwohl selbstverständlich auch ein Verantwortlicher jederzeit das Prinzip der Zweckbindung zu berücksichtigen hat.[8] Dieser Beitrag zeigt, dass die datenschutzrechtliche Rolle von Steuerberatern und Wirtschaftsprüfern entgegen dieser Ansicht auch bei einer Erweiterung des Beratungsangebots im Zuge der Digitalisierung weiterhin grundsätzlich die des Verantwortlichen bleibt.

II. Datenschutzrechtliche Stellung bei der Erbringung von Kernleistungen

Kernaufgabe der Steuerberater ist „im Rahmen ihres Auftrags ihre Auftraggeber in Steuersachen zu beraten, sie zu vertreten und ihnen bei der Bearbeitung ihrer Steuerangelegenheiten und bei der Erfüllung ihrer steuerlichen Pflichten Hilfe zu leisten. Dazu gehören auch die Hilfeleistung in Steuerstrafsachen und in Bußgeldsachen wegen einer Steuerordnungswidrigkeit sowie die Hilfeleistung bei der Erfüllung von Buchführungspflichten, die auf Grund von Steuergesetzen bestehen, insbesondere die Aufstellung von Abschlüssen, die für die Besteuerung von Bedeutung sind, und deren steuerrechtliche Beurteilung.”[9] Steuerberater sind befugt, darüber hinaus eine wirtschaftsberatende Tätigkeit auszuüben,[10] und verpflichtet, sämtliche ihrer steuer- und wirtschaftsberatenden Leistungen unabhängig, gewissenhaft, verschwiegen und eigenverantwortlich zu erbringen.[11]

Vor der gesetzlichen Klarstellung in § 11 Abs. 2 StBerG wurden bestimmte Leistungen von Steuerberatern, wie etwa die Lohnbuchhaltung von Unternehmen, sogar von den Datenschutzaufsichtsbehörden uneinheitlich eingeordnet. So hat bspw. der LfDI Baden-Württemberg diese Leistungen als Auftragsverarbeitung klassifiziert,[12] wohingegen das BayLDA die Auffassung vertrat, Steuerberater handelten auch bei der Lohnbuchhaltung als Verantwortliche.[13]

Die Klarstellung in der Neufassung des § 11 StBerG, welche am 18.12.2019 in Kraft trat, wurde vom Gesetzgeber ergänzt, um „die notwendige Rechtssicherheit für alle Beteiligten zu schaffen und so die ordnungsgemäße steuerliche Beratung zu gewährleisten”.[14] Zudem ist Ziel der Regelung die Sicherstellung der „berufsrechtlichen Pflichten des Steuerberaters als Berufsgeheimnisträger zur unabhängigen, eigenverantwortlichen, gewissenhaften und verschwiegenen Berufsausübung”.[15]

Betrachtet man die datenschutzrechtliche Stellung von Wirtschaftsprüfern und Wirtschaftsprüfungsgesellschaften, stellt sich zunächst die Frage, ob diese von der gesetzlichen Klarstellung in § 11 StBerG ebenfalls erfasst werden. Denn § 11 Abs. 2 S. 2 StBerG bestimmt, dass „die Personen und Gesellschaften nach § 3 […] bei Verarbeitung sämtlicher personenbezogener Daten ihrer Mandanten Verantwortliche“ i.S.d. DS-GVO sind. Zu den in § 3 StBerG enumerierten Personen und Gesellschaften gehören gemäß Nr. 1 Var. 5 auch Wirtschaftsprüfer sowie gemäß Nr. 3 Var. 3 Wirtschaftsprüfungsgesellschaften. § 3 StBerG zählt die dort genannten Personen und Gesellschaften als solche auf, die „zur geschäftsmäßigen Hilfeleistung in Steuersachen” befugt sind. Bei genauerer Betrachtung kommt man also unweigerlich zu der sich anschließenden Fragestellung, ob § 11 Abs. 2 StBerG nur auf die in § 3 StBerG aufgelisteten Personen und Gesellschaften oder auch den dortigen Kontext verweist – mithin ähnlich der bekannten juristischen Problematik, ob es sich bei einem Verweis um eine Rechtsgrund- oder Rechtsfolgenverweisung handelt. Würde der Verweis den Kontext erfassen, folgte hieraus, dass Steuerberater, Wirtschaftsprüfer und sonstige Angehörige von Wirtschaftsprüfungsgesellschaften nur dann als datenschutzrechtlich Verantwortliche tätig würden, wenn sie „geschäftsmäßige Hilfeleistung in Steuersachen” leisten. Dem steht jedoch der Wortlaut des § 11 Abs. 2 S. 2 StBerG entgegen, wonach die datenschutzrechtliche Verantwortlichkeit bei „Verarbeitung sämtlicher [Herv. durch die Verf.] personenbezogener Daten” besteht. Darüber hinaus liefe eine solche Auslegung dem Zweck der Vorschrift zuwider, denn der Gesetzgeber wollte gerade Rechtssicherheit erreichen und die berufsrechtlichen Pflichten der genannten Personen und Gesellschaften sichern.

Auch wenn man der hier vertretenen Meinung nicht folgt, dass § 11 Abs. 2 StBerG Anwendung auf Wirtschaftsprüfer und Wirtschaftsprüfungsgesellschaften findet, so ergibt sich aus der Anwendbarkeit der berufsrechtlichen Regelungen dennoch, dass nahezu sämtliche Leistungen im Rahmen datenschutzrechtlicher Eigenverantwortlichkeit erbracht werden.

Die Kernaufgabe von Wirtschaftsprüfern besteht in der betriebswirtschaftlichen Prüfung, insbesondere der Jahresabschlussprüfung nach §§ 316 ff. Handelsgesetzbuch (HGB) und des damit verbundenen Bestätigungsvermerks.[16] Darüber hinaus sind Wirtschaftsprüfer auch zur Beratung in steuerlichen und wirtschaftlichen Angelegenheiten befugt.[17] Diese Aufgaben können es erforderlich machen, personenbezogene Daten zu verarbeiten. Gleichzeitig müssen diese Tätigkeiten, da sie dem Berufsrecht unterfallen, unabhängig, gewissenhaft, verschwiegen und eigenverantwortlich wahrgenommen bzw. ausgeübt werden.[18]

Wirtschaftsprüfer haben die Möglichkeit, sich in Wirtschaftsprüfungsgesellschaften zu organisieren, in denen sie sich auch mit anderen Angehörigen des Berufsrechts, wie vereidigten Buchprüfern, Steuerberatern und Rechtsanwälten, zusammenschließen können.[19] Dabei beschäftigten Wirtschaftsprüfungsgesellschaften freilich auch Personen, die selbst keine Berufsträger sind. Die Regelungen über alle Rechte und Pflichten des Berufsrechts finden jedoch auch auf Wirtschaftsprüfungsgesellschaften, und damit auch ihre weiteren Angehörigen, Anwendung;[20] explizit hervorgehoben sei hier die berufsrechtliche Verschwiegenheitspflicht, einschließlich etwaiger strafrechtlicher Konsequenzen.[21] Kommt es bei der Wahrnehmung der genannten Aufgaben zur Verarbeitung personenbezogener Daten, agieren Wirtschaftsprüfer und andere Angehörige von Wirtschaftsprüfungsgesellschaften aufgrund der berufsrechtlich geforderten Eigenverantwortlichkeit folglich datenschutzrechtlich als eigene Verantwortliche.

III. Digitalisierung und datenschutzrechtliche Verantwortlichkeit

Im Rahmen ihrer Aufgabenerfüllung greifen Steuerberater, Wirtschaftsprüfer und andere Angehörige von Wirtschaftsprüfungsgesellschaften[22] vermehrt auf softwarebasierte Lösungen zurück, die zum Teil auch in einer Cloud betrieben werden. Dies ist einerseits der stetigen Weiterentwicklung von Beratungs- und Prüfwerkzeugen geschuldet, andererseits eine Reaktion auf die Digitalisierung in Unternehmen und die entsprechende Begleitung und Beratung durch Steuerberater und Wirtschaftsprüfer.[23] Im Gegensatz zu selbst gehosteten Angeboten (on-premises), wo die datenschutzrechtliche Verantwortlichkeit in der Regel beim Betreiber verortet ist, scheint die Verantwortlichkeit bei cloud-basierten Angeboten gerade im Kontext der berufsrechtlichen Rahmenbedingungen nicht immer auf den ersten Blick klar zu sein.

Bei Cloud-Angeboten kann in der Nutzung im wesentlichen zwischen Angeboten unterschieden werden, die (1.) nur vom Steuerberater oder Wirtschaftsprüfer für die Erfüllung ihrer Kernaufgaben und weiteren Beratungsleistungen eingesetzt werden, wobei Mandanten mit dem digitalen Angebot nicht in Berührung kommen, (2.) im Rahmen der Aufgabenerfüllung von Mandanten und Steuerberatern und Wirtschaftsprüfern gemeinsam genutzt werden, oder (3.) zwar vom Steuerberater oder Wirtschaftsprüfer gestaltet, betreut und bereitgestellt werden, die Nutzung jedoch voll durch Mandanten erfolgt. Im Folgenden werden die unterschiedlichen Szenarien aus Sicht einer Wirtschaftsprüfungsgesellschaft untersucht.

1. Ausschließliche Nutzung durch Steuerberater und Wirtschaftsprüfer

Steuerberater und Wirtschaftsprüfer entwickeln und nutzen Software, um ihre Beratungs- und Prüfungsleistung zu erbringen. Software unterstützt dabei bei der Erhebung von für den Auftrag erforderlichen Daten, kategorisiert Dokumente und weist ggf. sogar auf Risiken oder fehlende Informationen hin. Mandanten haben unter Umständen keine genaue Kenntnis von der eingesetzten Software und eingesetzten Cloud-Dienstleistern.[24]

Bei der Erfüllung ihrer Aufgaben unterliegen Steuerberater und Wirtschaftsprüfer dem Berufsrecht und treten gegenüber ihren Mandanten folglich datenschutzrechtlich als eigene Verantwortliche auf. Sie verarbeiten personenbezogene Daten, um gesetzlichen Verpflichtungen von Mandanten wie der Durchführung einer Jahresabschlussprüfung oder der Erstellung und Abgabe von Steuererklärungen nachzukommen, oder berechtigte Interessen von Mandanten wie der Rechenschaftslegung der Geschäftsführung von Mandanten gegenüber Gesellschaftern zu erfüllen.[25] Dies gilt auch dann, wenn die Leistungen mittels Cloud-Lösungen erbracht werden, wobei Steuerberater und Wirtschaftsprüfer, wenn sie bei der Verarbeitung personenbezogener Daten ihrer Mandanten Dritte einsetzen, dafür Sorge zu tragen haben, dass diese die Verpflichtungen aus Art. 28 DS-GVO erfüllen.[26]

Es schließt sich die Frage an, ob Berufsgeheimnisträger bei der Wahrnehmung allein oder gemeinsam verantwortlich sind. Eine gemeinsame Verantwortlichkeit nach Art. 26 Abs. 1 DS-GVO ist jedoch alleine schon deshalb nicht anzunehmen, weil das Berufsrecht eine eigene Verantwortlichkeit vorsieht. Eine gemeinsame Festlegung der Zwecke und Mittel einer Verarbeitung ist somit ausgeschlossen, weil diese die berufsrechtliche Regelung unterlaufen würde.[27]

In dieser Konstellation scheidet eine Auftragsverarbeitung schon alleine aufgrund der Weisungsbefugnis des Verantwortlichen gegenüber dem Auftragsverarbeiter aus Art. 28 Abs. 3 S. 2 lit. a DS-GVO aus, die mit der Eigenverantwortlichkeit kollidiert.[28]

2. Gemeinsame Nutzung mit Mandanten

Bei der gemeinsamen Nutzung digitaler Angebote mit Mandanten verändert sich die datenschutzrechtliche Verantwortlichkeit von Wirtschaftsprüfungsgesellschaften nicht. Vielmehr ist anzunehmen, dass beide Parteien als eigenständige Verantwortliche auftreten, wie das folgende Beispiel aus der IT-Beratung zeigt.

Bei der Auswahl, Planung, Anpassung und Implementierung von softwarebasierten Lösungen geht es oftmals um die Ablösung oder Ergänzung bestehender IT-Systeme. Häufig ist in diesem Zuge eine Übertragung von personenbezogenen Daten aus alten in neue Systeme gewünscht. Hierfür ist für die Auswahl und Anpassung des neuen Systems sowie die Übertragung selbst eine genaue Kenntnis der bestehenden Daten erforderlich. Diese Kenntnis wird in der Regel durch eine eigene Analyse der Daten erlangt. In diesem Fall nutzen Mandant und Wirtschaftsprüfungsgesellschaft im Rahmen des Beratungsauftrags gemeinsam dieselben bestehenden Systeme und verarbeiten dieselben personenbezogenen Daten; mitunter sogar für denselben Zweck der Ablösung oder Ergänzung bestehender Software.

Bei einer solchen umfassenden Beratung, die technische wie wirtschaftliche Interessen von Mandanten wahrt, ist davon auszugehen, dass es sich um eine wirtschaftliche Beratung i.S.v. § 2 Abs. 3 Nr. 2 Wirtschaftsprüferordnung (WPO) handelt. Damit ist die Leistung vor dem Hintergrund berufsrechtlicher Regelungen zu erbringen, was auch für die damit einhergehende Verarbeitung personenbezogener Daten gilt. Jedoch wird in der Praxis vermehrt schon allein wegen des für die Beratung nötigen Zugriffs auf personenbezogene Daten reflexartig eine Auftragsverarbeitung angenommen.

Aus rein dogmatischer Sicht kann hier argumentiert werden, dass eine Auftragsverarbeitung erst dann unzulässig wäre, wenn über die Verarbeitung personenbezogener Daten hinaus auch die berufsrechtliche Entscheidungsfreiheit beschränkt würde, was zu einem Konflikt mit der berufsrechtlichen Eigenverantwortlichkeit führen würde.[29] Allerdings kann in der Praxis bereits eine einzelne datenschutzrechtliche Weisung im Rahmen des Auftrags erheblich in die jenseits des Datenschutzrechts bestehende Entscheidungsfreiheit eingreifen. Beispielsweise kann die datenschutzrechtliche Weisung zur Pseudonymisierung dazu führen, dass als Folge keine hinreichend genauen Entscheidungen mehr getroffen werden können.

Um dem zuvorzukommen, wäre im Einzelfall eine praktisch nahezu nicht umsetzbare, präzise Abgrenzung der Auftragsverarbeitung und eigenverantwortlicher Verarbeitung durch die Wirtschaftsprüfungsgesellschaft erforderlich. Vor diesem Hintergrund und angesichts der Tatsache, dass die Verarbeitung der personenbezogenen Daten im Rahmen der wirtschaftlichen Beratung erfolgt, ist typischerweise nicht von einer Auftragsverarbeitung auszugehen. Damit stehen Mandant und Wirtschaftsprüfungsgesellschaft nebeneinander als Verantwortliche. Das Ziel des größtmöglichen Schutzes der personenbezogenen Daten wird auch bei der eigenverantwortlichen Verarbeitung durch Wirtschaftsprüfungsgesellschaften vollumfänglich erreicht, da sie die Pflichten des Verantwortlichen (u.a. Art. 24 DS-GVO) ebenfalls umzusetzen haben. Der Schutz kann aufgrund der Pflicht zur berufsrechtlichen Verschwiegenheit, deren Verletzung gemäß § 203 StGB mit Strafe bedroht ist, sogar als höher eingeschätzt werden.

3. Nutzung ausschließlich durch Mandanten

Die zwei zuvor genannten Szenarien decken die typischen Fälle der Steuerberatung, Wirtschaftsprüfung und sonstige Beratung in wirtschaftlichen Fragen auch im Kontext der Digitalisierung weitestgehend ab. Es kann jedoch auch zu Konstellationen kommen, in denen Wirtschaftsprüfungsgesellschaften im Nachgang ihrer Beratungstätigkeit weiterhin als IT-Dienstleister agieren – bspw. bei der Bereitstellung von Cloud-Anwendungen. Es bleibt offen, ob eine solche IT-Dienstleistung gänzlich ohne begleitende Beratung überhaupt von einer Wirtschaftsprüfungsgesellschaft angeboten werden kann, oder ob es sich nicht vielmehr um eine gewerbliche Leistung handelt.[30]

Daher ist fraglich, ob der Anwendungsbereich der berufsrechtlich geregelten Tätigkeit der Wirtschaftsprüfung, Steuerberatung oder sonstigen wirtschaftlichen Beratung für die Verarbeitung von personenbezogenen Daten eröffnet ist oder ob zumindest im Hinblick auf die Verarbeitung personenbezogener Daten keine eigenverantwortliche Tätigkeit ausgeübt wird.

Eine solche Konstellation könnte bei der Gestaltung einer Cloud-Anwendung, die Mandanten eigenständig nutzen, auftreten. Wird im Rahmen eines wirtschaftlichen Beratungsauftrags, wie im obigen Beispiel, initial eine von einer Wirtschaftsprüfungsgesellschaft entwickelte Cloud-Software bei und mit Mandanten eingeführt, liegt zunächst eine, auch datenschutzrechtlich, eigenverantwortliche Tätigkeit vor. Wenn nun ein Mandant nach Abschluss der initialen Beratung die Cloud-Software weiter nutzt und personenbezogene Daten verarbeitet, ohne weitere Beratungsleistungen von Wirtschaftsprüfungsgesellschaften in Anspruch zu nehmen, für die die Verarbeitung personenbezogener Daten erforderlich ist, kann für diese Phase der Verarbeitung eine Auftragsverarbeitung durch die Wirtschaftsprüfungsgesellschaft in Betracht gezogen werden.

Doch selbst in Ausnahmefällen wie diesen unterliegt eine Wirtschaftsprüfungsgesellschaft ihren berufsrechtlichen Verpflichtungen, sodass stets ein Spannungsverhältnis zwischen Berufs- und Datenschutzrecht bestehen bleibt. Eine mögliche Lösung ist, die IT-Dienstleistung nicht über eine Wirtschaftsprüfungsgesellschaft anzubieten. Ist dies keine Option, sind, um hier vertraglich die berufsrechtlichen Regelungen weitestgehend adäquat abzubilden, vor dem Hintergrund der Auftragsverarbeitung bei der Ausgestaltung der Auftragsverarbeitungsvereinbarung nach Art. 28 Abs. 3 DS-GVO einige Punkte zu beachten.

Zunächst ist zu empfehlen, im Hinblick auf die Verpflichtung zur Vertraulichkeit nach Art. 28 Abs. 3 S. 2 lit. b DS-GVO vertraglich darauf hinzuweisen, dass die bei einer Wirtschaftsprüfungsgesellschaft tätigen Personen mit der berufsrechtlichen Verschwiegenheitspflicht aus §§ 43 Abs. 1, 50 WPO bereits im Sinne der zweiten Alternative „einer angemessenen gesetzlichen Verschwiegenheitspflicht unterliegen”.

Daneben soll der Auftragsverarbeiter nach Art. 28 Abs. 3 S. 2 lit. g DS-GVO die personenbezogenen Daten nach Beendigung des Auftrags entweder löschen oder zurückgeben, sofern keine weitere gesetzliche Aufbewahrungspflicht besteht. Dabei sind Berufsträger nach § 51b Abs. 1 WPO zur Führung von Handakten verpflichtet, in der sie ihre Tätigkeit dokumentieren, wobei eine Aufbewahrungspflicht von bis zu zehn Jahren bestehen kann. Eine Handakte ist grundsätzlich bei der Ausübung einer eigenverantwortlichen Tätigkeit zu führen, die in diesem Szenario gerade nicht unterstellt wird. Hier manifestiert sich das Spannungsfeld von Auftragsverarbeitung und berufsrechtlichen Pflichten besonders klar. Zwar finden verarbeitete personenbezogene Daten nicht zwangsläufig ihren Weg in eine Handakte, sie können jedoch bspw. Teil von internen Arbeitspapieren werden.[31] Auch dieser Fall sollte daher in einer Auftragsverarbeitungsvereinbarung Berücksichtigung finden.

Schließlich ist auf die Einschränkung des Inspektionsrechts nach Art. 28 Abs. 3 S. 2 lit. h DS-GVO hinzuweisen. Das Inspektionsrecht von Aufsichtsbehörden ist gemäß Art. 90 DS-GVO i.V.m. § 29 Abs. 3 Bundesdatenschutzgesetz (BDSG) dann eingeschränkt, wenn die Offenlegung der Information zu einem Verstoß gegen die gesetzlichen Verschwiegenheitspflichten führen würde. Wenn jedoch schon das Recht der Aufsichtsbehörden aufgrund der berufsrechtlichen Verschwiegenheit eingeschränkt ist, muss dies erst recht auch für das Inspektionsrecht des Verantwortlichen gegenüber dem Auftragsverarbeiter gelten (argumentum a fortiori). Das Inspektionsrecht ist daher vertraglich einzuschränken, wenn die Inspektion zu einem Verstoß gegen die Verschwiegenheitspflicht führen könnte. Dies dürfte insbesondere dann der Fall sein, wenn im Rahmen der Kontrolle einer Verarbeitungstätigkeit Informationen über andere Mandanten sichtbar würden – schon die Existenz des Mandatsverhältnisses unterliegt der berufsrechtlichen Verschwiegenheit. So können Vor-Ort-Kontrollen in der Praxis nur in einem sehr eingeschränkten Rahmen ermöglicht werden. Um dennoch eine wirksame Kontrolle im Interesse von Mandanten zu ermöglichen, können sich beide Parteien auf die Vorlage geeigneter Nachweise wie bspw. Zertifizierungen zur Informationssicherheit[32] oder, falls diese nicht in ausreichendem Maße vorliegen sollten, auf eine Kontrolle ggf. durch einen gemeinsam gewählten Prüfer, der ebenfalls dem Berufsrecht unterliegt und kein Wettbewerber des Auftragsverarbeiters ist, einigen.

IV. Fazit

Mit zunehmender Digitalisierung verschwimmt die Grenze zwischen klassischer Steuerberatung, Wirtschaftsprüfung und darüber hinausgehende IT-Beratung. In diesem Zuge wird auch die datenschutzrechtliche Rolle von Wirtschaftsprüfungsgesellschaften regelmäßig hinterfragt. Zusammenfassend lässt sich sagen, dass sämtliche Angehörige einer Wirtschaftsprüfungsgesellschaft – unabhängig davon, ob sie selber Berufsträger sind oder nicht – nur in äußerst seltenen Fällen als Auftragsverarbeiter agieren.[33] Zwar ist durchaus nachvollziehbar, dass Mandanten ihre Daten durch den Abschluss einer Auftragsverarbeitungsvereinbarung in größerer Sicherheit wiegen. Jedoch wird hierbei die Ausstrahlung der berufsrechtlichen Pflichten auch auf die Verarbeitung personenbezogener Daten ausgeblendet. Häufig wird übersehen, dass mit der berufsrechtlichen Unabhängigkeit und Eigenverantwortlichkeit und der damit einhergehenden datenschutzrechtlichen Verantwortlichkeit nicht nur gewisse Rechte und Freiheiten, sondern vor allem auch Pflichten einhergehen – personenbezogene Daten dem Grunde nach also keinesfalls unsicherer sind, nur weil die Pflichten in diesem Fall statt in einer Auftragsverarbeitungsvereinbarung in der DS-GVO und dem Berufsrecht normiert sind.

Die Trennung von Berufsrecht und Datenschutzrecht ist rein dogmatisch zwar durchaus überzeugend, mit der Praxis jedoch nicht vereinbar. Eine datenschutzrechtliche Weisung hat nahezu immer auch einen Einfluss auf die Erbringung der „inhaltlichen” Leistung. Aus diesem Grund wäre eine gesetzliche Klarstellung nach dem Vorbild des § 11 Abs. 2 StBerG auch für Wirtschaftsprüfer begrüßenswert. Eine solche Klarstellung würde die Abschlüsse nicht erforderlicher Auftragsverarbeitungsvereinbarungen minimieren, die aus fachlicher Unkenntnis oder einem Missverständnis hinsichtlich der Rechtfertigung von Datenübermittlungen resultieren. Da aus diesen Gründen der Abschluss einer Auftragsverarbeitungsvereinbarung mitunter zur Bedingung für eine Auftragsvergabe gemacht wird, mögen derzeit zudem auf Auftragnehmerseite teilweise wirtschaftliche Überlegungen den reinen berufs- und datenschutzrechtlichen Argumenten in der Praxis vorgezogen werden. Dies könnte durch eine Klarstellung ebenfalls vermieden werden. Wie schon bei Steuerberatern würde „Rechtssicherheit für alle Beteiligten” geschaffen sowie die „berufsrechtlichen Pflichten […] zur unabhängigen, eigenverantwortlichen, gewissenhaften und verschwiegenen Berufsausübung” gesichert.[34]

* Viktoria Blumenthal ist Syndikusrechtsanwältin im Bereich Datenschutz und Compliance bei der Deloitte GmbH Wirtschaftsprüfungsgesellschaft in Düsseldorf und berät dort vorwiegend im Bereich des Datenschutzes. Sven Braun arbeitet im Bereich Datenschutz und Compliance bei der Deloitte GmbH Wirtschaftsprüfungsgesellschaft in Düsseldorf.

[1] Bspw. Coenen, Rethinking Tax 6.2020, 36.

[2] § 57 Abs. 1 StBerG, § 43 Abs. 1 WPO.

[3] Wirtschaftsprüferkammer, Leitfaden der WPK zur DS-GVO 2018, Kap. C. 1.

[4] Art. 4 Nr. 7 DS-GVO.

[5] Siehe auch Kuhls, Kommentar zum Steuerberatungsgesetz, 4. Aufl. 2020, § 11 Rn. 6.

[6] Elster, in: Bär/Fischer/Gulden, Informationstechnologien als Wegbereiter für den steuerberatenden Berufsstand, 2016, Kap. 28.

[7] Seiter, DuD 2019, 127 (128f.).

[8] Art. 5 Abs. 1 lit. b DS-GVO.

[9] § 33 StBerG.

[10] § 57 Abs. 3 Nr. 3 Var. 1 StBerG.

[11] § 57 Abs. 1 StBerG

[12] LfDI Baden-Württemberg, 34. Tätigkeitsbericht, Kap. 1.10

[13] BayLDA, FAQ zur DS-GVO zur Auftragsverarbeitung bei Steuerberatern, 20.07.2018. Für eine Übersicht der verschiedenen Positionen siehe Kramer/Schmidt, ZD 2020, 194 ff.

[14] BT-Drucksache 19/14909 v. 07.11.2019 S. 59.

[15] BT-Drucksache 19/14909 v. 07.11.2019 S. 59.

[16] Wirtschaftsprüferkammer, Leitfaden der WPK zur DS-GVO 2018, Kap. C. 1.

[17] § 2 Abs. 2, 3 WPO.

[18] § 43 Abs. 1 WPO

[19] §§ 28 Abs. 1, 44b WPO.

[20] § 56 Abs. 1 WPO.

[21] § 50 WPO i.V.m. §§ 203 Abs. 1 Nr. 3, Abs. 4 S. 1, 204, 201 StGB

[22] Im Folgenden werden aus sprachlichen Gründen zum Teil nicht alle drei Gruppen genannt, wobei jedoch stets alle Angehörige einer Wirtschaftsprüfungsgesellschaft gemeint sind, da sie ebenfalls – wie bereits aufgezeigt – den berufsrechtlichen Pflichten unterliegen.

[23] Elster, in: Bär/Fischer/Gulden, Informationstechnologien als Wegbereiter für den steuerberatenden Berufsstand, 2016, Kap. 28.

[24] Eine Ausnahme besteht, wenn Cloud-Dienstleistungen eines Dritten exklusiv für ein einziges Mandat genutzt werden, denn dann müssen Mandanten der Nutzung des Dienstleisters zustimmen (§ 50a Abs. 5 WPO).

[25] Wirtschaftsprüferkammer, Leitfaden der WPK zur DS-GVO 2018, Kap. C. 1.

[26] Bspw. Löschhorn, Rethinking Tax 6.2020, 41 (42f.).

[27] Kramer/Schmidt, ZD 2020, 194 (196).

[28] Kramer/Schmidt, ZD 2020, 194 (198); Wirtschaftsprüferkammer, Leitfaden der WPK zur DS-GVO 2018, Kap. C. 1.

[29] Wirtschaftsprüferkammer, WP/vBP und Auftragsverarbeitung (Art. 4 Nr. 8, 28 DS-GVO), Nachricht vom 13.06.2019.

[30] Siehe zu diesem Thema Aicher/Riedel, IDWlife 07/2020, 600 ff.

[31] § 51b Abs. 4 WPO.

[32] Gabel/Lutz, in: Taeger/Gabel, DS-GVO BDSG, 3. Aufl. 2019, Art. 28 Rn. 57.

[33] Siehe oben III. 3

[34] BT-Drucksache 19/14909 v. 07.11.2019 S. 59.