Berufsgeheimnisträger mit Datenverarbeitung in eigener Verantwortung
versus
Steuerberater mit Lohn- und Gehaltsabrechnung

In welchen Fällen sind Leistungen mit Übertragung von personenbezogenen Daten von Ihnen an Dritte als Auftragsdatenverarbeitung (AVV) und in welchen Fällen als Datenverarbeitung „in eigener Verantwortung“ anzusehen?

Worin besteht eigentlich der Unterschied?

Entscheidend sind die vertraglichen Aufgabenfestlegungen zwischen Ihnen und dem Auftragnehmer.

Eine „Datenverarbeitung im Auftrag“ gemäß Art. 28 Datenschutz-Grundverordnung (DS-GVO) liegt dann vor, wenn dem Auftragnehmer eine Aufgabe ohne eigene Entscheidungskompetenzen übertragen wird. Dies ist etwa bei der  Lohn- und Gehaltsabrechnung der Fall oder bei sonstigen, rein technischen Dienstleistungen. Erforderlich ist dann ein Vertrag zur Auftragsverarbeitung (AVV).

Eine „Datenverarbeitung in eigener Verantwortung“ ist hingegen bei weisungsunabhängigen Aufgaben oder Dienstleistungen gegeben – etwa die Erstellung des Jahresabschlusses oder die klassische Steuerberatung. Nach § 32 Abs. 2 Steuerberatungsgesetz (StBerG) in Verbindung mit den tätigkeitsbeschreibenden Normen im StBerG handeln Steuerberater eigenverantwortlich und damit aufgrund gesetzlicher Vorgaben weisungsfrei. Weiterhin trifft dies bei Verarbeitungen durch einen Berufsgeheimnisträger, bspw. einem ärtzlichen Partnerunternehmen, oder beim Bankgeheimnis zu.

In diesen Fällen sind sie keine Auftragnehmer im Sinne des Art. 28 DS-GVO und es muss kein Auftragsverarbeitungsvertrag geschlossen werden. Sie sollten dennoch die Verarbeitung im Verarbeitungsverzeichnis dokumentieren!

Übermitteln Sie also Ihrem Steuerberater gleichzeitig aber die Lohn- und Gehaltsdaten, zu deren Verarbeitung Sie ja auch weisungsbefugt sind, müssen Sie dafür einen AVV mit Ihm abschließen.

Die externe Verarbeitung muss im Verarbeitungsverzeichnis dokumentiert werden, Einwilligungen, bzw. rechtliche Grundlagen dokumentiert, die Übertragung der Daten zum Auftragnehmer gesichert, risikoabgeschätzt, sowie die Löschfristen ermittelt und protokolliert werden.

Unser Datenschutz Management Programm hat all diese Prozesse Schritt-für-Schritt eingebaut.