Lohnsteuer : Gehaltsabrechnung durch Steuerberater : Auftragsverarbeitung durch HR

Ausgelagerte Gehaltsabrechnung: Typischer Fall einer Auftragsverarbeitung

Ein Outsourcing der Gehaltsabrechnung ist regelmäßig ein Fall einer Auftragsverarbeitung (Art. 4 Nr. 8 DS-GVO), der unter den Voraussetzungen des Art. 28 DS-GVO gestattet ist. Dies folgt daraus, dass auch nach der DS-GVO der Auftragsverarbeiter kein „Dritter“ (Art. 4 Nr. 10 DS-GVO) ist, sondern ein „fiktiv interner“ Empfänger (Art. 4 Nr. 9 DS-GVO); dies jedenfalls dann, wenn er weisungsgebunden zu nichts anderem befugt wird als zu dem, das der Auftraggeber auch selbst an Verarbeitungen durchführen dürfte. Dem steht nicht entgegen, dass, wenn der Auftragsverarbeiter über ein umfassenderes Know-how als sein Auftraggeber verfügt, dieser ihm einen gewissen Spielraum für selbständige Entscheidungen einräumen kann. Dies gilt insbesondere für die Delegation der Entscheidung über die technisch-organisatorischen Fragen der Verarbeitung.

Dieser Sachverhalt ändert jedoch nichts daran, dass es sich bei der Weitergabe der Mitarbeiterdaten an den Auftragsverarbeiter stets um eine unter dem Verbot mit Erlaubnisvorbehalt des Art. 6 Abs. 1 DS-GVO stehenden Verarbeitungsfall der Offenlegung von personenbezogenen Daten handelt (Art. 4 Nr. 2 DS-GVO). Andererseits bleibt es dabei, dass dieser Vorgang auch unter Anwendung der DS-GVO weiterhin „privilegiert“ ist, wenn der Datenempfänger – wie es bei der Auslagerung der Gehaltsabrechnung regelmäßig der Fall ist – keine maßgebende Eigenkompetenz bei der Verwendung der überlassenen Daten hat und der Auftraggeber allein über den Zweck der Datenverarbeitung entscheidet.

Aufgrund der in der DS-GVO getroffenen Verantwortlichkeiten von Auftraggeber und Auftragnehmer besteht nämlich weiterhin kein gesonderter Schutzbedarf der betroffenen Person bei Einschaltung eines Auftragsverarbeiters. Es bedarf keiner gesonderten Rechtsgrundlage, wenn die Nutzung der Daten unter Einhaltung der Regelungen der Verordnung zur Auftragsvergabe erfolgt. Insofern kann Art. 28 DS-GVO als eigenständige Befugnisnorm verstanden werden. Vertretbar mag es auch sein, die zwischen Auftraggeber und Auftragnehmer vereinbarte Datenverarbeitung als einheitlichen Verarbeitungsvorgang (Art. 4 Nr. 2 DS-GVO) einzuordnen, für den es nur eine einheitliche Prüfung geben kann.

Damit steht es auch unter Geltung der DS-GVO grundsätzlich außer Frage, dass die Auslagerung der Gehaltsabrechnung keiner speziellen Rechtfertigung bedarf, wenn sie nach den in Art. 28 DS-GVO für die Auftragsverarbeitung festgelegten Bedingungen vollzogen wird.

Keine Auftragsverarbeitung liegt dagegen vor, wenn der beauftragte Dienstleister gemäß seinem Berufsbild die Daten zwecks eigenverantwortlicher Tätigkeit erhält. Beispiele aus dem Bereich der Gehaltszahlung sind die Einbeziehung eines Bankinstituts bei dem Gehaltstransfer, eines Postdienstes für den Transport der Gehaltsnachweise an den Mitarbeiter oder auch die Datenweitergabe bei der Einschaltung eines Berufsgeheimnisträgers (Steuerberater, Rechtsanwälte, externe Betriebsärzte, Wirtschaftsprüfer) in Personalangelegenheiten.

Sonderfall: Gehaltsabrechnung durch einen Steuerberater

Die genannten Beispiele führten nunmehr zu der von den Aufsichtsbehörden unterschiedlich bewerteten Frage, ob ein Steuerberater, wenn er die Gehaltsabrechnung übernimmt, Auftragsdatenverarbeiter seines Mandanten wird? Einerseits wurde und wird dies verneint, da die freiberufliche und eigenverantwortliche Tätigkeit des Steuerberaters der Weisungsgebundenheit einer Auftragsverarbeitung auch dann entgegenstehe, wenn er nur die Lohnbuchhaltung für einen Mandanten durchführt. Da ein Steuerberater nach dem Steuerberaterrecht bei seinen Tätigkeiten weisungsungebunden und eigenverantwortlich sei, gelte das auch für den Fall der Übernahme der Gehaltsabrechnung. Er könne sich nicht wie allgemeine Dienstleister bei der Lohnabrechnung allein auf Weisungen des Mandanten berufen. Konsequenz ist dann, dass auch für den Fall der Übertragung der Gehaltsabrechnung kein gesonderter Vertrag zur Auftragsverarbeitung mit den Mandanten geschlossen werden muss.

Andererseits wird gleichwohl auch für den bei der Gehaltsabrechnung eingeschalteten Steuerberater die Funktion als Auftragsverarbeiter nunmehr auch bejaht, sofern – ähnlich wie bei einem Lohnbüro – von der Steuerkanzlei nur und ausschließlich die Lohnbuchhaltung des Mandanten geführt wird. Bei gemischten Tätigkeiten – eigenverantwortliche Steuerberatung sowie weisungsgebundene Dienstleistungen – sei zu differenzieren: Im Hinblick auf weisungsgebundene Dienstleistungen sei eine Auftragsverarbeitung gegeben; bei der Beauftragung mit Tätigkeiten aufgrund steuerberatungsrechtlicher Vorschriften eine Datenverarbeitung in eigener Verantwortung dagegen nicht.

Fazit

Unabhängig von der Frage, welche der Bewertungen des Sachverhalts zutreffend ist, steht jedenfalls außer Frage, dass die DS-GVO der Beauftragung eines Steuerberaters mit der Gehaltsabrechnung nicht im Wege steht. Liegt keine privilegierte Auftragsverarbeitung vor, kann die zur Beratung und zur Unterstützung bei der Lohn- und Gehaltsabrechnung erfolgte Datenübermittlung sich aus Art. 6 Abs. 1 lit. f und ggf. Art. 9 Abs. 2 lit. g DS-GVO begründen. Vorrangig wäre ggf. sogar § 26 Abs. 1 Satz 1 und Abs. 3 BDSG, da die Übermittlung erforderlich ist, um sich aus dem Beschäftigungsverhältnis ergebende Rechte auszuüben oder rechtliche Pflichten auszuüben oder zu erfüllen. Es geht allein um die Frage der erforderlichen Vertragsgestaltung und der Verteilung der Verantwortlichkeiten.

Solange sich zu dieser Frage keine einheitliche Auffassung der Aufsichtsbehörden gebildet hat, sollten sich Arbeitgeber nach der Auffassung der für sie zuständigen Aufsichtsbehörde richten und danach ihre vertraglichen Beziehungen mit der Steuerberaterpraxis gestalten, wenngleich nicht zu erwarten ist, dass eine Aufsichtsbehörde ihre Ansicht per Bußgeld durchzusetzen versucht, solange Uneinigkeit der Aufsichtsbehörden besteht.