Seit Inkrafttreten der Datenschutzgrundverordnung im Jahr 2018 hat die Diskussion, ob und in welchen Fällen WP/vBP personenbezogene Daten auf Weisung ihres Auftraggebers verarbeiten und damit Auftragsverarbeiter i. S. v. Art. 4 Nr. 8, 28 DSGVO sind, wieder an Fahrt aufgenommen. Zuletzt diskutiert wurde die Problematik nach Inkrafttreten der BDSG-Novelle 2009 im Zusammenhang mit § 11 BDSG a. F., der ebenfalls die Datenverarbeitung im Auftrag regelte.

Die für die Auslegung der datenschutzrechtlichen Regelungen zuständigen Datenschutzaufsichtsbehörden vertreten diesbezüglich unterschiedliche Auffassungen. Unter den Kammern und Verbänden der wirtschaftsprüfenden und steuerberatenden Berufe wird insbesondere diskutiert, ob die Verarbeitung personenbezogener Daten auf Weisung des Auftraggebers mit der Berufspflicht zur eigenverantwortlichen Berufsausübung (für WP/vBP: § 43 Abs. 1 Satz 1 WPO, § 12 BS WP/vBP) vereinbar ist. Von der Beantwortung dieser Frage hängt ab, ob Berufsangehörige eine Auftragsverarbeitungsvereinbarung nach Art. 28 Abs. 3 DSGVO (im Folgenden: AVV) unterzeichnen dürfen.

Der Ausschuss „Berufsrecht“ der WPK (ASBR) vertritt hierzu unverändert folgende Auffassung:

Im Grundsatz verarbeiten WP/vBP personenbezogene Daten ihrer Mandanten oder Dritter (z. B. Arbeitnehmer/Kunden) verantwortlich zu eigenen Geschäftszwecken und sind daher keine Auftragsverarbeiter, sondern selbst Verantwortliche i. S. v. Art. 4 Nr. 7 DSGVO (sog. Funktionsübertragung). Folglich ist der Abschluss einer AVV mit einem WP/vBP grundsätzlich nicht geboten.

Es kann jedoch die Situation auftreten, dass Mandanten aufgrund der für sie verbindlichen Rechtsauffassung der zuständigen Datenschutzaufsichtsbehörde von einer Auftragsverarbeitung ausgehen müssen und den WP/vBP unter Verweis darauf auffordern, eine AVV zu unterzeichnen. Wie schon zu § 11 BDSG a. F. vertritt der ASBR die Auffassung, dass der WP/vBP diesem Ansinnen in einem solchen Ausnahmefall nachkommen kann, ohne hierdurch gegen seine berufsrechtlichen Pflichten zu verstoßen.

Von entscheidender Bedeutung hierfür ist, dass die in Art. 28 Abs. 3 Satz 2 lit. a DSGVO angesprochene „Verarbeitung auf dokumentierte Weisung des Verantwortlichen“ sich lediglich auf die Art und Weise der Verarbeitung personenbezogener Daten im Rahmen des Auftragsverhältnisses bezieht (z. B. Zweck der Datenverarbeitung, Vorsehung angemessener technisch-organisatorischer Maßnahmen etc.). Dort, wo die geschuldete berufliche Leistung des WP/vBP betroffen ist, kann dieser die im Rahmen des Auftrags zu treffenden beruflichen Entscheidungen gemäß den berufsrechtlichen Anforderungen weiterhin in eigener Verantwortung treffen.

Die Unterzeichnung einer AVV durch WP/vBP wäre daher erst dann berufsrechtlich unzulässig, wenn diese über den Anwendungsbereich der datenschutzrechtlichen Regelungen hinaus darauf abzielt, den WP/vBP auch in Bezug auf seine berufliche Entscheidungsfreiheit zu binden, so dass dieser im konkreten Fall keine eigenverantwortliche berufliche Entscheidung mehr treffen könnte.

Der ASBR befasste sich nur mit der Frage, ob die Unterzeichnung einer AVV per se einen Verstoß gegen den Berufsgrundsatz der Eigenverantwortlichkeit darstellt. Unbeschadet dessen bleibt aber in jedem Fall individuell zu prüfen, ob angesichts der zu erbringenden Leistungen und des Verarbeitungsvorgangs überhaupt eine Datenverarbeitung im Auftrag i. S. v. Art. 4 Nr. 8, 28 DSGVO vorliegt. Wie bereits oben ausgeführt, wird dies bei Tätigkeiten eines WP/vBP nach §§ 2, 129 WPO typischerweise nicht der Fall sein.

Quelle: WPK, Mitteilung vom 13.06.2019