DA+

Urteil : Rechtsanwalt ist als externer Datenschutzbeauftragter gewerblicher Unternehmer : aus der RDV 3/2020, Seite 144 bis 147

(Bundesfinanzhof, Urteil vom 14. Januar 2020 – VIII R 27/17 –)

Archiv RDV
Lesezeit 14 Min.
  1. Ein externer Datenschutzbeauftragter ist gewerblicher Unternehmer, auch wenn er zugleich als Rechtsanwalt tätig ist.
  2. Ein Datenschutzbeauftragter übt keine dem Beruf des Rechtsanwaltes vorbehaltene Tätigkeit aus. Vielmehr wird er in einem eigenständigen, von einer parallel ausgeübten Anwaltstätigkeit abzugrenzenden, interdisziplinäre und insoweit auch datenschutzrechtliche Fachkenntnisse erforderndem Beruf tätig.
  3. Da die Berufsausübung ohne eine spezifische akademische Ausbildung möglich sei, ist ein Datenschutzbeauftragter auch nicht in einem dem Rechtsanwalt ähnlichen Beruf tätig. Gleichfalls liegt keine sonstige selbständige Arbeit i.S.d. § 18 Abs. 1 Nr. 3 EStG vor.
  4. Da keine freiberufliche Tätigkeit i.S.d. § 18 Abs. 1 EStG vorliegt, ist der externe Datenschutzbeauftragte gewerbesteuer- und – bei Überschreiten bestimmter Gewinngrenzen – auch buchführungspflichtig.

Sachverhalt:

Der Kläger und Revisionskläger (Kläger) ist als selbständiger Rechtsanwalt im Bereich des IT-Rechts tätig. Neben seiner anwaltlichen Tätigkeit arbeitet er als externer Datenschutzbeauftragter u.a. für verschiedene größere Unternehmen aus unterschiedlichen Wirtschaftszweigen. Nach den Feststellungen des Finanzgerichts (FG) ist er vertraglich verpflichtet, zum Aufbau bzw. zur Vervollständigung der Datenschutzorganisation des jeweiligen Auftraggebers unter Berücksichtigung der §§ 4f und 4g des Bundesdatenschutzgesetzes – BDSG – (in Fassungen nach Novellierung des BDSG 1990 im Jahr 2003) beizutragen. Zu seinen Aufgaben gehören die datenschutzrechtliche Prüfung der formalrechtlichen Anforderungen an die bestehende Datenschutzorganisation, die (datenschutzrechtliche) Prüfung von Datenverarbeitungsprogrammen, mit deren Hilfe personenbezogene Daten verarbeitet werden, die (datenschutzrechtliche) Vorabkontrolle von geplanten Vorhaben zur Verarbeitung von personenbezogenen Daten, die (datenschutzrechtliche) Beratung zur datenschutzrechtskonformen Gestaltung von Prozessabläufen und Anwendungsverfahren sowie die datenschutzrechtliche Stellungnahme zu Einzelfragen. Weiter ist in den jeweiligen Verträgen geregelt, dass in technischer Hinsicht der Auftraggeber zuständig bleibt und der Kläger sich bezüglich der technischen Sicherheit an den Auftraggeber wenden kann. Zusätzlich ist der Kläger verpflichtet, den Auftraggeber über Entwicklungen im Datenschutzrecht zu informieren. Er ist teilweise auch berechtigt, zu Beginn seiner Tätigkeit eine datenschutzrechtliche Status-quo-Analyse durchzuführen, soweit eine solche nicht vorhanden ist. Der Kläger ist jeweils gemäß § 4f BDSG als Datenschutzbeauftragter für die Unternehmen bestellt.

Der Beklagte und Revisionsbeklagte (das Finanzamt – FA –) ordnete die Tätigkeit des Klägers als externer Datenschutzbeauftragter als gewerblich ein und setzte für die Jahre 2010 bis 2014 jeweils Gewerbesteuermessbeträge fest. Da der nach § 4 Abs. 3 des Einkommensteuergesetzes (EStG) ermittelte Gewinn aus der Tätigkeit als Datenschutzbeauftragter im Jahr 2010 mehr als 150.000 EUR betragen hatte, teilte das FA dem Kläger mit Bescheid vom 08.08.2012 mit, dass er nach § 141 der Abgabenordnung in der im Jahr der Mitteilung geltenden Fassung (AO) verpflichtet sei, ab dem 01.01.2013 für den Gewerbebetrieb Datenschutzbeauftragter Bücher zu führen und auf Grund jährlicher Bestandsaufnahmen Abschlüsse zu machen. Der hiergegen eingelegte Einspruch des Klägers blieb ohne Erfolg, ebenso die nachfolgende Klage. Das FG war in seinem in Entscheidungen der Finanzgerichte (EFG) 2018, 345 veröffentlichten Urteil der Auffassung, das FA habe den Kläger in Bezug auf seine Tätigkeit als externer Datenschutzbeauftragter zutreffend als gewerblichen Unternehmer i.S. des § 141 Abs. 1 Satz 1 AO eingeordnet. Der Kläger übe als externer Datenschutzbeauftragter weder den Beruf eines Rechtsanwalts aus, noch sei seine Tätigkeit diesem Beruf ähnlich. Die Tätigkeit des Datenschutzbeauftragten stelle nach der Rechtsprechung des Bundesfinanzhofs – BFH – (Urteile vom 05.06.2003 – IV R 34/01, BFHE 202, 336, BStBl II 2003, 761, und vom 26.06.2003 – IV R 41/01, BFH/NV 2003, 1557, noch zum BDSG 1990) einen völlig eigenständigen und neuen Beruf dar.

Seine hiergegen gerichtete Revision begründet der Kläger mit der Verletzung von Bundesrecht.

Aus den Gründen:

Die Revision des Klägers ist unbegründet. Sie war daher zurückzuweisen (§ 126 Abs. 2 der Finanzgerichtsordnung – FGO –).

Das FG hat zu Recht entschieden, dass die Mitteilung des FA vom 08.08.2012 in Gestalt der Einspruchsentscheidung vom 25.04.2016 über den Beginn der Buchführungspflicht nach § 141 Abs. 2 Satz 1 AO rechtmäßig ist. Der Kläger ist in Bezug auf seine Tätigkeit als externer Datenschutzbeauftragter gewerblicher Unternehmer i.S. des § 141 Abs. 1 AO, denn er übt keine freiberufliche Tätigkeit i.S. des § 18 Abs. 1 Nr. 1 EStG aus. Der Kläger übt als Datenschutzbeauftragter weder eine dem Beruf des Rechtsanwalts vorbehaltene noch eine diesem Beruf ähnliche Tätigkeit aus. Seine Tätigkeit als Datenschutzbeauftragter ist auch nicht § 18 Abs. 1 Nr. 3 EStG zuzuordnen.

1. Nach § 141 Abs. 1 Satz 1 AO sind gewerbliche Unternehmer, für die sich die Buchführungspflicht nicht aus § 140 AO ergibt, u.a. dann verpflichtet, für diesen Betrieb Bücher zu führen und auf Grund jährlicher Bestandsaufnahmen Abschlüsse zu machen, wenn sie nach den Feststellungen der Finanzbehörde für den einzelnen Betrieb einen Gewinn aus Gewerbebetrieb von mehr als 50.000 EUR (ab 2016: 60.000 EUR) im Wirtschaftsjahr gehabt haben. Die Verpflichtung nach § 141 Abs. 1 AO ist gemäß § 141 Abs. 2 Satz 1 AO vom Beginn des Wirtschaftsjahres an zu erfüllen, das auf die Bekanntgabe der Mitteilung folgt, durch die die Finanzbehörde auf den Beginn dieser Verpflichtung hingewiesen hat.

Die Voraussetzungen des § 141 AO liegen vor. Der Kläger ist – was zwischen den Beteiligten allein streitig ist – gewerblicher Unternehmer im Sinne dieser Vorschrift.

a) Gewerbliche Unternehmer in diesem Sinne sind u.a. solche Unternehmer, die einen Gewerbebetrieb i.S. des § 15 Abs. 2, Abs. 3 EStG unterhalten (vgl. z.B. BFH-Urteil vom 21.01.1998 – I R 3/96, BFHE 185, 262, BStBl II 1998, 468; Drüen, in: Tipke/ Kruse, Abgabenordnung, Finanzgerichtsordnung, § 141 AO Rz 3). Nicht gewerblich sind Unternehmen, deren Betätigung als Ausübung eines freien Berufs oder als eine selbständige Tätigkeit (§ 18 Abs. 1 Nrn. 1 und 3 EStG) anzusehen ist.

b) Der Kläger ist in Bezug auf seine Tätigkeit als externer Datenschutzbeauftragter gewerblicher Unternehmer i.S. des § 141 Abs. 1 AO. Seine Tätigkeit ist nicht als Ausübung eines Katalogberufs – insbesondere den des Rechtsanwalts – bzw. einer diesem ähnliche Tätigkeit anzusehen (vgl. bereits BFH-Urteile in BFHE 202, 336, BStBl II 2003, 761, und in BFH/NV 2003, 1557, zum BDSG 1990; vgl. auch Levedag, Deutsches Steuerrecht 2018, 2094 f.; Schmidt/Wacker, EStG, 38. Aufl., § 18 Rz 155; Brandt, in: Hermann/Heuer/ Raupach – HHR –, § 18 EStG Rz 219, 600; Jahn, Der Betrieb 2005, 692, 694; Moritz in Bordewin/Brandt, § 18 EStG Rz 416; Lutter, EFG 2018, 347).

aa) Gemäß § 18 Abs. 1 Nr. 1 EStG gehört zu den freiberuflichen Tätigkeiten u.a. die selbständige Berufstätigkeit des Rechtsanwalts, vorausgesetzt die tatsächlich ausgeübte Tätigkeit ist für diesen Beruf berufstypisch, d.h. sie ist in besonderer Weise charakterisierend und diesem Katalogberuf vorbehalten (vgl. z.B. BFH-Urteile vom 12.12.2001 – XI R 56/00, BFHE 197, 442, BStBl II 2002, 202, m.w.N.; vom 15.06.2010 – VIII R 10/09, BFHE 230, 47, BStBl II 2010, 906). Dies ist beim externen Datenschutzbeauftragten nicht der Fall.

aaa) Der Datenschutzbeauftragte, der sowohl als interner wie externer Beauftragter bestellt werden kann, hat gemäß § 4g BDSG auf die Einhaltung des BDSG und anderer Vorschriften über den Datenschutz hinzuwirken. Er hat insbesondere die ordnungsgemäße Anwendung der Datenverarbeitungsprogramme, mit deren Hilfe personenbezogene Daten verarbeitet werden sollen, zu überwachen und die bei der Verarbeitung personenbezogener Daten tätigen Personen durch geeignete Maßnahmen mit den Vorschriften des BDSG sowie anderen Vorschriften über den Datenschutz und mit den jeweiligen besonderen Erfordernissen des Datenschutzes vertraut zu machen (vgl. § 4g Abs. 1 Sätze 1 und 3 BDSG).

bbb) In diesem Sinne war auch der von den Unternehmen jeweils gemäß § 4f BDSG zum externen Datenschutzbeauftragten bestellte Kläger tätig. Er hatte sich vertraglich verpflichtet, zum Aufbau bzw. zur Vervollständigung der Datenschutzorganisation des jeweiligen Auftraggebers unter Berücksichtigung der §§ 4f und 4g BDSG beizutragen. Zu seinen Aufgaben gehörten die (datenschutzrechtliche) Prüfung der formalrechtlichen Anforderungen an die bestehende Datenschutzorganisation, die (datenschutzrechtliche) Prüfung von Datenverarbeitungsprogrammen, mit deren Hilfe personenbezogene Daten verarbeitet werden, die (datenschutzrechtliche) Vorabkontrolle von geplanten Vorhaben zur Verarbeitung von personenbezogenen Daten, die (datenschutzrechtliche) Beratung zur datenschutzrechtskonformen Gestaltung von Prozessabläufen und Anwendungsverfahren sowie die (datenschutzrechtliche) Stellungnahme zu Einzelfragen. Zudem war der Kläger verpflichtet, den Auftraggeber über Entwicklungen im Datenschutzrecht zu informieren. Auch war er teilweise berechtigt, zu Beginn seiner Tätigkeit eine datenschutzrechtliche Status-quo-Analyse durchzuführen, soweit eine solche nicht vorhanden war.

ccc) Diese Tätigkeit des Klägers ist – auch wenn sie in der von ihm ausgeübten Art und Weise im Schwerpunkt rechtsberatend ist – nicht für den Beruf des Rechtsanwalts berufstypisch, insbesondere ist sie dem Beruf des Rechtsanwalts nicht vorbehalten (vgl. schon BFH-Urteile in BFHE 202, 336, BStBl II 2003, 761, und in BFH/NV 2003, 1557, zum BDSG 1990, betreffend die Abgrenzung der Tätigkeit des Datenschutzbeauftragten zur Tätigkeit des Ingenieurs und des beratenden Betriebswirts). Vielmehr übt der Kläger insoweit einen eigenständigen – von seiner Tätigkeit als Rechtsanwalt abzugrenzenden – Beruf aus. Dies folgt daraus, dass die Tätigkeit des Datenschutzbeauftragten (weiterhin) durch eine Beratung in interdisziplinären Wissensgebieten gekennzeichnet ist, ohne dass hierfür eine spezifische akademische Ausbildung, wie diese z.B. für die Ausübung des Berufs des Rechtsanwalts notwendig ist, nachgewiesen werden muss (vgl. schon BFH-Urteile in BFHE 202, 336, BStBl II 2003, 761, und in BFH/NV 2003, 1557, zum BDSG 1990).

Gemäß § 4f Abs. 2 BDSG darf zum Datenschutzbeauftragten nur bestellt werden, wer die zur Erfüllung seiner Aufgaben erforderliche Fachkunde und Zuverlässigkeit besitzt. Dabei bestimmt sich das Maß der erforderlichen Fachkunde insbesondere nach dem Umfang der Datenverarbeitung der verantwortlichen Stelle und dem Schutzbedarf der personenbezogenen Daten, die die verantwortliche Stelle erhebt oder verwendet. Um die in § 4g BDSG geregelten Aufgaben erfüllen zu können, muss der Datenschutzbeauftragte Kenntnisse in verschiedenen Wissensbereichen besitzen. Allerdings ist das jeweils erforderliche Wissen auf Teilbereiche verschiedener Studiengänge beschränkt, ohne dass es eines entsprechenden Hochschulabschlusses bedarf (vgl. schon BFH-Urteile in BFHE 202, 336, BStBl II 2003, 761, und in BFH/NV 2003, 1557, zum BDSG 1990).

So muss der Datenschutzbeauftragte, wie bereits nach Maßgabe des BDSG 1990, zwar über umfangreiche juristische Kenntnisse im Datenschutzrecht, umfangreiche technische Kenntnisse auf dem Gebiet der sog. Computer-Hardware und der unterschiedlichen System- und Anwendersoftware, über betriebswirtschaftliche Grundkenntnisse und pädagogische Fähigkeiten und Kenntnisse verfügen (vgl. schon BFH-Urteile in BFHE 202, 336, BStBl II 2003, 761, und in BFH/NV 2003, 1557, zum BDSG 1990). Dies bestätigen auch die im Beschluss des Düsseldorfer Kreises vom 24./25.11.2010 (vgl. hierzu z.B. Moos in Wolff/ Brink, Datenschutzrecht in Bund und Ländern, § 4f BDSG Rz 43) formulierten Anforderungen an die Berufsausübung und die vom Bundesverband der Datenschutzbeauftragten Deutschlands formulierten Voraussetzungen (vgl. Das berufliche Leitbild der Datenschutzbeauftragten – Stand 4/2018, www.bvdnet.de), die verlangen, dass der Datenschutzbeauftragte neben datenschutzrechtlichem Fachwissen insbesondere auch Fachwissen in der Informations- und Kommunikationstechnik sowie betriebswirtschaftliches und organisatorisches Fachwissen besitzen muss.

Jedoch kann der Datenschutzbeauftragte ungeachtet der danach in den verschiedenen Bereichen erforderlichen Fachkunde, über die er insbesondere auch im Bereich des Datenschutzrechts verfügen muss, ohne eine der Ausbildung des Rechtsanwalts vergleichbare akademische Ausbildung tätig sein (vgl. schon BFH-Urteile in BFHE 202, 336, BStBl II 2003, 761, und in BFH/NV 2003, 1557, zum BDSG 1990).

bb) Erfordert die Tätigkeit des Datenschutzbeauftragten – wie dargelegt – keine der Ausbildung des Rechtsanwalts vergleichbare akademische Ausbildung, übt der externe Datenschutzbeauftragte auch keinen dem Beruf des Rechtsanwalts ähnlichen Beruf gemäß § 18 Abs. 1 Nr. 1 Satz 2 EStG aus (vgl. zu den Anforderungen an einen dem Katalogberuf ähnlichen Beruf z.B. BFH-Urteile vom 07.05.2019 – VIII R 2/16, BFHE 264, 325, BStBl II 2019, 528, und VIII R 26/16, BFHE 264, 334, BStBl II 2019, 532, zum Rentenberater; vgl. auch BFH-Urteile in BFHE 202, 336, BStBl II 2003, 761, und in BFH/NV 2003, 1557, zum BDSG 1990).

c) Entgegen der Auffassung des Klägers hat sich an dieser Beurteilung durch die Novellierung des BDSG 1990, insbesondere die Neufassung der Aufgabenbeschreibung in § 4g BDSG (vorher: § 37 BDSG 1990), nichts geändert, auch wenn der Datenschutzbeauftragte nicht mehr die Ausführung des BDSG sowie anderer Vorschriften über den Datenschutz sicherzustellen (so § 37 Abs. 1 Satz 1 BDSG 1990), sondern auf deren Einhaltung hinzuwirken hat. Für die Auffassung des Klägers gibt auch die Gesetzesbegründung (BRDrucks 461/00, S. 89 f.) nichts her. Vielmehr übt der Datenschutzbeauftragte seine Tätigkeit, die letztlich der Selbstkontrolle der Daten verarbeitenden Stelle dient, weiterhin weisungsfrei und unabhängig aus (vgl. § 4f Abs. 3 Satz 2 BDSG).

d) Dieser Einordnung der Tätigkeit des Datenschutzbeauftragten steht die aktuelle Rechtsprechung des Bundesgerichtshofs (BGH) zur Zulassung von Datenschutzbeauftragten als Syndikusrechtsanwalt nicht entgegen. Nach dieser kann eine Tätigkeit als interner Datenschutzbeauftragter grundsätzlich die für eine Zulassung als Syndikusrechtsanwalt erforderlichen Tätigkeitsmerkmale des § 46 Abs. 3 Nrn. 1 bis 4 der Bundesrechtsanwaltsordnung erfüllen und das Arbeitsverhältnis von diesen Merkmalen auch geprägt sein (vgl. insbesondere BGH-Urteile vom 15.10.2018 – AnwZ (Brfg) 20/18, Neue Juristische Wochenschrift – NJW – 2018, 3701; vom 02.07.2018 – AnwZ (Brfg) 49/17, NJW 2018, 3100). Dabei betont der BGH, der Kern und Schwerpunkt der Tätigkeit eines Datenschutzbeauftragten liege auf der rechtlichen Ebene, auch wenn Sachkunde in weiteren Bereichen erforderlich sei (vgl. BGH-Urteil in NJW 2018, 3701, Rz 71 bis 73). Dass die Tätigkeit des (internen) Datenschutzbeauftragten mit den für Rechtsanwälte geltenden berufsrechtlichen Vorschriften in Einklang steht, ist für die steuerliche Qualifizierung der Tätigkeit als solche i.S. des § 18 EStG allerdings ebenso wenig maßgebend (vgl. z.B. BFH-Urteil in BFHE 197, 442, BStBl II 2002, 202) wie der Umstand, dass eine Zulassung als Syndikusrechtsanwalt im Einzelfall möglich ist.

e) Auch widerspricht das Gebot verfassungsrechtlicher Gleichbehandlung in Art. 3 Abs. 1 des Grundgesetzes einer abweichenden steuerrechtlichen Behandlung. Denn für eine unterschiedliche steuerrechtliche Beurteilung der Ausübung eines verselbständigten Berufs wie den des Datenschutzbeauftragten je nach Vorliegen oder Nichtvorliegen einer freiberuflichen Qualifikation i.S. des § 18 Abs. 1 Nr. 1 EStG findet sich keine Rechtfertigung, wenn der verselbständigte Beruf seinem Berufsbild nach keine Ausbildung oder Zulassung für einen der Katalogberufe i.S. des § 18 Abs. 1 Nr. 1 EStG voraussetzt (vgl. BFHUrteil in BFHE 230, 47, BStBl II 2010, 906, zum Rechtsanwalt als Berufsbetreuer).

f) Die Tätigkeit des Klägers als Datenschutzbeauftragter ist auch nicht § 18 Abs. 1 Nr. 3 EStG zuzuordnen.

aa) Danach gehören zu den Einkünften aus selbständiger Arbeit auch „Einkünfte aus sonstiger selbständiger Arbeit, z.B. Vergütungen für die Vollstreckung von Testamenten, für Vermögensverwaltung und für die Tätigkeit als Aufsichtsratsmitglied“.

§ 18 Abs. 1 Nr. 3 EStG enthält keinen abschließenden Katalog in Betracht kommender „Einkünfte aus sonstiger selbständiger Arbeit“, sondern lediglich die Auflistung von Regelbeispielen. Weitere Tätigkeiten fallen ebenfalls in den Anwendungsbereich der Norm, wenn sie ihrer Art nach den Regelbeispielen des § 18 Abs. 1 Nr. 3 EStG ähnlich sind (Grundsatz der sog. Gruppenähnlichkeit). Das ist z.B. der Fall, wenn die Tätigkeit die Betreuung fremder Vermögensinteressen umfasst, aber darüber hinaus auch dann, wenn es sich um eine selbständig ausgeübte fremdnützige Tätigkeit in einem fremden Geschäftskreis handelt (BFH-Urteile in BFHE 264, 325, BStBl II 2019, 528, und in BFHE 264, 334, BStBl II 2019, 532, zum Rentenberater; in BFHE 230, 47, BStBl II 2010, 906, und vom 15.06.2010 – VIII R 14/09, BFHE 230, 54, BStBl II 2010, 909, zu Berufsbetreuern und Verfahrenspflegern; vom 31.01.2017 – IX R 10/16, BFHE 256, 250, BStBl II 2018, 571; vgl. auch BFH-Beschluss vom 13.06.2013 – III B 156/12, BFH/NV 2013, 1420). Eine rein beratende Tätigkeit, die sich z.B. auf die Erteilung von Anlageempfehlungen beschränkt, ohne dass die zur Vermögensanlage erforderlichen Verfügungen selbst vorgenommen werden können oder ein Depot betreut wird, ist nicht von § 18 Abs. 1 Nr. 3 EStG erfasst (vgl. z.B. BFH-Urteile in BFHE 264, 325, BStBl II 2019, 528, und in BFHE 264, 334, BStBl II 2019, 532; vom 02.09.1988 – III R 58/85, BFHE 154, 332, BStBl II 1989, 24; vgl. auch BFHBeschluss vom 08.02.2013 – VIII B 54/12, BFH/NV 2013, 1098, zum Anlageberater/Finanzanalysten).

§ 18 Abs. 1 Nr. 3 EStG kommt nicht die Funktion eines Auffangtatbestands zu. Ihm sind daher insbesondere nicht jene (rechts-)beratenden Tätigkeiten zuzuordnen, die – mangels vergleichbarer Ausbildung oder Tätigkeit – keinem der in § 18 Abs. 1 Nr. 1 EStG genannten Katalogberufe ähnlich sind. Auch solche fallen nur dann in den Anwendungsbereich der Norm, wenn sie ihrer Art nach den Regelbeispielen des § 18 Abs. 1 Nr. 3 EStG ähnlich sind (BFH-Urteile in BFHE 264, 325, BStBl II 2019, 528, und in BFHE 264, 334, BStBl II 2019, 532, zum Rentenberater).

bb) Nach diesen Grundsätzen übt der Kläger als Datenschutzbeauftragter keine sonstige selbständige Arbeit i.S. des § 18 Abs. 1 Nr. 3 EStG aus. Seine Tätigkeit ist nicht – wie die gesetzlichen Regelbeispiele – berufsbildtypisch durch eine selbständige fremdnützige Tätigkeit in einem fremden Geschäftskreis sowie durch Aufgaben der Vermögensverwaltung geprägt, sondern im Schwerpunkt beratender Natur. Daran ändert der Umstand, dass der Kläger den jeweiligen Auftraggeber bei der Einhaltung der datenschutzrechtlichen Vorgaben unterstützt und ihn so vor negativen Rechtsfolgen bewahrt, nichts.

cc) Seine Tätigkeit als Datenschutzbeauftragter ist – anders als der Kläger meint – auch nicht mit der eines Aufsichtsrats i.S. des § 18 Abs. 1 Nr. 3 EStG vergleichbar.

Hierunter fallen Mitglieder von Organen einer Körperschaft wie Aufsichtsrat oder Verwaltungsrat oder andere Personen, die mit der Überwachung der Geschäftsführung beauftragt sind. Wesentliches Merkmal der Überwachung ist das Recht und die Pflicht zur Kontrolle der Geschäftsführung (vgl. BFH-Urteil vom 28.08.2003 – IV R 1/03, BFHE 203, 438, BStBl II 2004, 112; Schmidt/Wacker, a.a.O., § 18 Rz 150; Korn in Korn, § 18 EStG Rz 101; HHR/Brandt, § 18 EStG Rz 266, m.w.N.). Für die Einordnung kommt es nicht auf die tatsächliche Bezeichnung dieser Personen, sondern die von ihnen ausgeübte Tätigkeit an (BFHUrteile in BFHE 203, 438, BStBl II 2004, 112; vom 11.03.1981 – I R 8/77, BFHE 133, 193, BStBl II 1981, 623). Der Begriff der überwachenden Tätigkeit ist weit auszulegen (BFH-Urteile in BFHE 203, 438, BStBl II 2004, 112, und vom 31.01.1978 – VIII R 159/73, BFHE 124, 345, BStBl II 1978, 352, m.w.N.). Eine überwachende Funktion liegt nicht vor, wenn jemand gegenüber der Geschäftsführung einer Kapitalgesellschaft lediglich beratend tätig wird, denn der Berater hat nicht das Recht und die Pflicht zur Kontrolle (vgl. BFH-Urteil in BFHE 203, 438, BStBl II 2004, 112).

Hiernach fehlt eine Vergleichbarkeit mit der Tätigkeit eines Aufsichtsrats. Die Tätigkeit des Datenschutzbeauftragten ist im Schwerpunkt beratend, nicht kontrollierend. Sie dient zudem, soweit sie kontrollierend ist, der Einhaltung datenschutzrechtlicher Bestimmungen und damit dem Schutz der Persönlichkeitsrechte derjenigen, deren personenbezogene Daten das Unternehmen verarbeitet. Sie umfasst mithin insbesondere die Prüfung der Datenschutzorganisation des Auftraggebers, der Datenverarbeitungsprogramme und die Vorabkontrolle geplanter Vorhaben zur Verarbeitung personenbezogener Daten, sie dient jedoch nicht der unternehmerischen Kontrolle der Tätigkeit der Geschäftsführung als solcher. Dementsprechend sind auch die dem Datenschutzbeauftragten zustehenden Befugnisse nicht mit denen eines Aufsichtsrats (z.B. § 111 Abs. 3, Abs. 4 des Aktiengesetzes) vergleichbar.