Müssen Datenschutzverträge mit Steuerberatern abgeschlossen werden?
Die kurze Antwort ist nein.
Aber ist das sinnvoll? Die Frage ist derzeit heftig umstritten. Bei umstrittenen Fragen können Sie selbst entscheiden.
Viele unserer Kunden haben ihren Sitz in Baden-Württemberg. Dort hatte der damalige Datenschutzbeauftragte Dr. Stefan Brink 2019 die Losung ausgegeben (S. 57 ff), dass mit Steuerberatern in der Regel ein Vertrag über die gemeinsame Verantwortlichkeit nach Art. 26 DSGVO (GVV) abgeschlossen werden muss und zusätzlich ein Auftragsverarbeitungsvertrag (AVV), falls weitere Dienstleistungen übernommen werden, die über die Beratung hinausgehen, wie einfaches Buchen. Sein Nachfolger hat die Pressemitteilung aus dem Netz genommen, wir kennen seine Haltung nicht. Der bayrische Datenschutzbeauftragte (auch in OH GV, S. 37 ff) vertritt mit der Bundesnotarkammer das gegenteilige Extrem. Es soll gar kein Datenschutzvertrag abgeschlossen werden. Extrem ist daran vor allem, dass die Kammer mit dem Entzug ihrer Zulassung droht, falls die Steuerberater nicht gehorchen. Nach Beginn der DSGVO-Pflichten wurde die Frage durch eine Änderung von § 11 Abs. 2 Satz 1 StBerG scheinbar klargestellt, in dem formuliert wurde, dass alle Arbeiten eines Steuerberaters „weisungsfrei“ erfolgten. Das würde bedeuten, dass jedenfalls ein AVV nicht mehr in Frage käme, denn der ist nur für Leistungen nach Weisung vorgesehen . So ist das laut Protokoll des Bundestages (Drs. 19/14909, Seite 59) auch gemeint. Daraus folgte „Dr. Datenschutz“ 2020, dass nur noch ein GVV nötig wäre und bekräftigte das 2025. Dr. Lauck in ZD-Aktuell schreibt genau das Gegenteil, er hält diese Gesetzesänderung für unionsrechtswidrig und damit für wirkungslos. Große Teile der deutschen juristischen Fachliteratur scheinen aber eher mit dem deutschen Gesetzgeber eine (alleinige) Verantwortlichkeit des Steuerberaters zu sehen (siehe BeckOK Datenschutzrecht m.w.N.).
Die Rechtsprechung des EuGH scheint eher für einen GVV zu sein, hat sich aber mit dieser spezifischen Frage noch nicht auseinander gesetzt. Für den EuGH sind die Hürden für eine GVV minimal: „Danach genügt also bereits die rein tatsächliche Veranlassung eines anderen Akteurs zur Datenverarbeitung, um einen Beitrag zur Entscheidung über die Zwecke und [oder] Mittel zu bejahen.“ (EuGH Urt. v. 5.12.2023 – C-683/21). Die Beauftragung eines Steuerberaters dürfte eine tatsächliche Veranlassung darstellen, daraus würde eine Mitverantwortung folgen, die einen GVV erforderte.
Fazit: Derzeit sieht es in Deutschland eher aus, als sei kein Datenschutzvertrag mit steuerberatenden Berufen nötig, aber auf lange Sicht könnte der EuGH das noch ändern. Die Drohung des Zulassungsentzuges für den Steuerberater hält der Verfasser eher für Theaterdonner, da das gar nicht im Verantwortungsbereich der Bundesnotarkammer liegt. Bis zu einer Klärung würde er sich nach dem jeweils zuständigen Landesdatenschutzbeauftragten am Betriebssitz richten. Wenn ein Steuerberater auf Nachfrage keinen GVV möchte, würde er das trotzdem akzeptieren und zusammen mit diesem Artikel vermerken. Bei einer so unklaren Rechtslage ist jedenfalls die Gefahr eines Bußgeldes für angeblich falsches Verhalten bei nahezu null.
Quellen
Die Quellen wurden im Text verlinkt, soweit möglich, außer:
-
Dr. Simon Lauck: „Lohnbuchführung durch Steuerberater keine Auftragsverarbeitung? Vereinbarkeit von § 11 Abs. 2 Satz 1 f. StBerG mit der DS-GVO“ in ZD-Aktuell 2020, 06965
-
Spoerr, Andreas, in: Wolff, Brink, von Ungern‑Sternberg (Hrsg.), BeckOK Datenschutzrecht, Stand 01. August 2024, Art. 26 DSGVO Rn. 76 f
-
Autor: Thomas Hofmann, Data Privacy Legal Consultant, 07.07.2025
