Sind Steuerberater Auftragsverarbeiter oder eigene Verantwortliche nach der DSGVO?
Eine Entscheidung der DSB vom 22.1.2018 bringt eine Klärung, oder doch nicht?
Keine hinreichende Definition des Auftragsverarbeiters in der DSGVO
Der Auftragsverarbeiter, der für einen Verantwortlichen tätig ist, ist in Art 4 Z 8 DSGVO definiert:
- „Auftragsverarbeiter“ eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet;
Diese Definition lässt viele Fragen offen, zB welche Tätigkeiten eine Organisation, die für eine andere Organisation tätig ist, zum Auftragsverarbeiter werden lassen. Notwendig ist mE ein „Verarbeiten“ von personenbezogenen Daten durch den Auftragsverarbeiter, sodass folgende „Leistungen“ als Auftragsverarbeitung qualifiziert werden könnten:
das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung (siehe Art 2 Z 2 DSGVO)
Entscheidung der Datenschutzbehörde vom 22.1.2018: Steuerberater sind „Auftraggeber“ nach DSG2000
Die Datenschutzbehörde hat am 22.1.2018 entschieden, dass Steuerberater (ähnlich wie Rechtsanwälte) als „Auftraggeber“ iSd DSG 2000 anzusehen sind. Daraus ist zu schließen, dass seit Geltung des DSG und der DSGVO die Steuerberater als „Verantwortliche“ iSd DSGVO bzw. des DSG anzusehen sind.
„[…] Das bedeutet, dass die Übernahme eines Auftrages – der auch die Verarbeitung personenbezogener Daten miteinschließt – einen Beauftragten bzw. Auftragnehmer dann nicht zum Dienstleister im Sinne des § 4 Z 5 DSG 2000 macht, wenn dieser eine berufliche Rechtsstellung hat, die die eigenverantwortliche Auftragserfüllung vorsieht (vgl. Kotschy in Jahrbuch Öffentliches Recht 2011, NWV, Seite 136 f). Im Zusammenhang mit der Neufassung des § 4 Z 4 DSG 2000 durch die DSG-Novelle 2010 wird in den Erläuterungen zur Regierungsvorlage, 472 der Beilagen XXIV. GP, hierzu festgehalten:
Unverändert bleibt auch die Auftraggebereigenschaft jener beauftragten Berufsgruppen, die aufgrund von Rechtsvorschriften eigenverantwortlich über die Verwendung von Daten entscheiden (vgl. die beispielhafte Aufzählung der Rechtsanwälte, Wirtschaftstreuhänder und Ziviltechniker in den Erläuterungen zur Regierungsvorlage 1613 der Beilagen XX. GP, 37, zur Stammfassung).
Wirtschaftstreuhänder sind gemäß § 71 WTBG verpflichtet, ihren Beruf gewissenhaft, sorgfältig, eigenverantwortlich und unabhängig sowie unter Beachtung der im vierten Hauptstück des WTBG und der in den Richtlinien gemäß § 72 WTBG enthaltenen Bestimmungen auszuüben. Soweit die Beschwerdegegnerin in ihrer Stellungnahme darauf verweist, dass der Begriff der „Erforderlichkeit“ gemäß § 71 WTBG dahingehend zu interpretieren sei, dass ein Klient einem Berufsberechtigten keine Weisung fachlicher Natur geben dürfe, übersieht die Beschwerdegegnerin, dass gerade darin die eigenverantwortliche Auftragserfüllung der Beschwerdegegnerin im Sinne des § 4 Z 4 letzter Halbsatz DSG 2000 liegt.
Analog hat die Datenschutzbehörde – wie auch die ehemalige Datenschutzkommission – bezüglich der Auftraggebereigenschaft von Rechtsanwälten bereits mehrfach ausgesprochen, dass bei Rechtsanwälten auf Grund ihrer beruflichen Selbständigkeit im Regelfall davon auszugehen ist, dass diese bei der Besorgung von Geschäften für ihre Mandanten gemäß § 4 Z 4 letzter Halbsatz DSG 2000 „eigenverantwortlich“ vorgehen dürfen und damit hinsichtlich der zwecks Bearbeitung einer Causa verarbeiteten personenbezogenen Daten Auftraggeber sind (vgl. Bescheide der ehemaligen Datenschutzkommission vom 13.07.2012, GZ: K121.810/0013-DSK/2012, bzw. der Datenschutzbehörde vom 27.10.2014, GZ: DSB-D122.215/0004-DSB/2014, oder vom 09.03.2015, GZ: DSB-D122.299/0003-DSB/2015).“
Fazit:
Die Datenschutzbehörde kommt daher zum Schluss, dass ein Steuerberater als „Auftraggeber“ iSd DSG2000 anzusehen ist, sodass diese auch nach der DSGVO eigenständige Verantwortliche sind. Der Fall, der von der Datenschutzbehörde entschieden wurde, behandelte explizit eine Lohnabrechnung durch einen Steuerberater für die Parlamentsdirektion, sodass auch die Zweifel beseitigt sind, ob im Rahmen der Lohnverrechnung eine Auftragsverabeitung vorliegen könnte oder nicht.
Bemerkenswert ist in diesem Zusammenhang die Ansicht der Landesbeauftragten für den Datenschutz und Informationsfreiheit in Nordrhein-Westfalen, die davon ausgeht, dass im Rahmen der Steuerberatungsleistung eine Stellung als Verantwortlicher gegeben ist, aber im Bereich der Lohnverrechnung eine Auftragsverarbeitung vorliegt. Wieder einmal kann man von einem „Graubereich“ ausgehen, und es bestehen unterschiedliche Auffassungen der Aufsichtsbehörden.
Kommentar schreiben