Externer Steuerberater oder Lohnbüro: Wann ist ein AVV vertraglich angezeigt?
Der Steuerberater wird nach DSK-Praxis regelmäßig als eigener Verantwortlicher eingeordnet, reine Lohnbüros als Auftragsverarbeiter. Konditional-Einordnung mit Quellen.
ComplyCheck-Redaktion · Stand: 2026-07-16
Externer Steuerberater oder Lohnbüro: Wann ist ein AVV vertraglich angezeigt?
Stand: 2026-05-17 · ComplyCheck-Redaktion · Keine Rechtsberatung iSd RDG § 2.
Diese Einordnung ist eine pauschale Orientierung auf Basis öffentlicher Quellen. Sie ersetzt keine Einzelfall-Prüfung durch qualifizierte Beratung. Die konkrete vertragliche Einordnung hängt vom tatsächlichen Verarbeitungs-Profil, von der berufsrechtlichen Stellung des Dienstleisters und von der vertraglichen Ausgestaltung des Mandats- oder Auftrags-Verhältnisses ab.
Welche regulatorische Grundlage gilt?
Die Abgrenzung zwischen Verantwortlichem und Auftragsverarbeiter folgt aus Art. 4 Nr. 7 und Nr. 8 DSGVO. Verantwortlicher ist, wer über Zwecke und Mittel der Verarbeitung entscheidet. Auftragsverarbeiter ist, wer personenbezogene Daten weisungsgebunden im Auftrag eines Verantwortlichen verarbeitet. Diese Unterscheidung ist tatsächlich und nicht vertraglich zu bestimmen — eine Bezeichnung als „Auftragsverarbeiter" im Mandatsvertrag ändert die rechtliche Einordnung nicht, sofern die tatsächlichen Entscheidungs-Verhältnisse abweichen.
Detail
Die EDSA-Guidelines 07/2020 zu den Begriffen „Controller" und „Processor" konkretisieren die Abgrenzung. Wesentliche Kriterien sind die Eigenständigkeit der Zweck- und Mittel-Entscheidung, die berufsrechtliche Stellung, die Haftungs-Architektur und das Weisungs-Recht.
Für den deutschen Berufs-Kontext sind ergänzend relevant:
- § 11 StBerG (Geheimhaltungs-Pflicht der Steuerberater)
- § 57 Abs. 1 StBerG (eigenständige Berufs-Pflichten)
- § 67 StBerG (Berufs-Haftpflicht)
- DSK-Beschluss 2018 zu Steuerberatern als Verantwortlichen
- Hinweise der Bundessteuerberaterkammer zur DSGVO-Umsetzung
Welche Konstellation passt zu deinem Verarbeitungs-Profil?
Die Einordnung eines Dienstleisters orientiert sich nach DSK-Praxis und EDSA-Guidelines an mehreren parallelen Kriterien. In der Praxis haben sich drei Leit-Fragen etabliert, deren kumulative Beantwortung eine Indikation gibt:
Detail
Berufsstand mit eigener Verschwiegenheits-Pflicht? Sofern der Dienstleister einem geschützten Berufsstand mit eigener Verschwiegenheits-Pflicht angehört (Steuerberater nach § 11 StBerG, Rechtsanwälte nach § 43a Abs. 2 BRAO, Wirtschaftsprüfer nach § 43 Abs. 1 WPO, Ärzte nach § 203 StGB, Notare nach § 18 BNotO), wird er regelmäßig als eigener Verantwortlicher eingeordnet.
Mandats- oder Auftrags-Verhältnis? Ein Mandat ist durch die Eigenständigkeit der fachlichen Mandats-Durchführung gekennzeichnet. Ein Auftrag im Sinne der Auftragsverarbeitung ist durch das umfassende Weisungs-Recht des Auftraggebers gekennzeichnet. Sofern der Dienstleister „auf Anweisung" und nicht „in eigener fachlicher Verantwortung" handelt, spricht dies regelmäßig für eine Auftragsverarbeitungs-Konstellation.
Eigene fachliche Entscheidungen? Sofern der Dienstleister regelmäßig eigene fachliche Entscheidungen trifft (etwa zur steuerlichen Behandlung eines Sachverhalts, zur rechtlichen Bewertung einer Konstellation), spricht dies für eine eigene Verantwortlichkeit. Sofern er ausschließlich technische Verarbeitungs-Schritte nach Vorgabe ausführt, spricht dies für eine Auftragsverarbeitung.
Drei Mal „Berufsstand / Mandat / eigene Entscheidungen" — Verantwortlicher, regelmäßig kein AVV. Drei Mal „kein Berufsstand / Auftrag / nur Ausführung" — Auftragsverarbeiter, AVV regelmäßig erforderlich.
Welcher Aufbau-Rahmen ist verbreitet?
In der Beratungs-Praxis hat sich folgender Aufbau-Rahmen für die vertragliche Strukturierung etabliert:
Schritt 1: Inventur aller externen Daten-Empfänger. Erfasst werden Steuerberater, Lohnbüros, IT-Dienstleister, Cloud-Anbieter, Marketing-Tools, Hotline-Dienste, Reinigungs-Firmen mit Zutritt und alle weiteren externen Stellen, die personenbezogene Daten erhalten oder verarbeiten können.
Detail
Schritt 2: Einzelfall-Einordnung pro Dienstleister. Anwendung der drei Leit-Fragen oben. Dokumentation der Einordnung in einem internen Vermerk, der bei Aufsichts-Prüfungen vorgelegt werden kann.
Schritt 3: Vertragliche Strukturierung.
- Bei Verantwortlichen-Konstellationen (Steuerberater im klassischen Mandat) ist regelmäßig kein AVV erforderlich. In der Datenschutzerklärung und im Verzeichnis der Verarbeitungstätigkeiten wird die Empfänger-Kategorie aufgenommen, üblicherweise mit Verweis auf die einschlägige Rechtsgrundlage (Art. 6 Abs. 1 lit. c DSGVO i.V.m. AO, HGB, StBerG).
- Bei Auftragsverarbeitungs-Konstellationen (reine Lohnbuchhaltung, IT-Dienstleister, Cloud-Anbieter) ist eine Vereinbarung mit den in Art. 28 Abs. 3 DSGVO genannten Pflicht-Inhalten regelmäßig erforderlich. Standard-Vorlagen sind über die Bundessteuerberaterkammer, den BfDI und die Landes-Aufsichten verfügbar.
Mischformen — Kanzlei mit zusätzlichem Lohn-Outsourcing-Modul. Hier wird in der Praxis regelmäßig empfohlen, im Mandatsvertrag eine klare Trennung zu vereinbaren: das steuerliche Mandat als Verantwortlichen-Konstellation, das Lohn-Outsourcing als separat geregelte Auftragsverarbeitung mit eigener AVV-Vereinbarung. Eine pauschale Behandlung „alles unter einem Dach" trägt das Risiko unklarer Haftungs-Strukturen.
Welche Konstellationen erfordern abweichendes Vorgehen?
Mehrere Konstellationen verschieben den vertraglichen Rahmen über das Standard-Schema hinaus:
- Gemeinsame Verantwortlichkeit nach Art. 26 DSGVO — sofern zwei Stellen gemeinsam über Zwecke und Mittel entscheiden (etwa Marketing-Plattformen mit eigener Datennutzung, Co-Marketing-Kooperationen), ist statt eines AVV eine Joint-Controllership-Vereinbarung mit den nach Art. 26 Abs. 1 DSGVO geforderten Inhalten zu schließen.
- Drittlands-Transfer des Dienstleisters außerhalb der EU/EWR — hier sind nach Art. 46 DSGVO geeignete Garantien (etwa Standardvertragsklauseln in der Fassung 2021) und ein Transfer Impact Assessment im Sinne der EDSA-Empfehlungen 01/2020 zu ergänzen.
- Sub-Unter-Auftragsverarbeitung — sofern der Auftragsverarbeiter weitere Sub-Dienstleister einsetzt, ist die Zustimmungs-Mechanik nach Art. 28 Abs. 2 DSGVO vertraglich zu strukturieren.
- Branchen-spezifische Sondervorschriften — bei Verarbeitung im Gesundheitswesen (§ 203 StGB, § 22 BDSG) oder Finanzsektor (KWG, ZAG, BAIT) sind zusätzliche regulatorische Anforderungen einzubeziehen.
- Behördliche Datenflüsse — Übermittlungen an Finanzämter, Sozialversicherungs-Träger oder Statistik-Behörden erfolgen typischerweise auf gesetzlicher Grundlage (Art. 6 Abs. 1 lit. c DSGVO) ohne AVV.
In allen genannten Konstellationen ist eine vertragliche Einzelfall-Bewertung empfehlenswert. Die hier dargestellte Standard-Einordnung bildet diese Komplexitäten nicht ab.
Nächster Schritt
Für alle als Auftragsverarbeitung einzuordnenden Dienstleister-Verhältnisse erzeugt unser AVV-Generator Standard-Vereinbarungen mit den nach Art. 28 Abs. 3 DSGVO geforderten Mindestinhalten — einschließlich Anlagen für TOMs, Sub-Unter-Auftragsverarbeiter-Listen und Standardvertragsklauseln bei Drittlands-Transfers.
Für die vertiefte Auseinandersetzung mit Haftung, Unterauftrags-Verarbeitung, Datenpannen-Mechanik und Audit-Rechten im Auftragsverarbeitungs-Verhältnis erläutert DSGVO-Auftragsverarbeitung Art. 28 in der Praxis die zentralen Regelungs-Tatbestände Schritt für Schritt.
Veröffentlicht durch die ComplyCheck-Redaktion. Veröffentlicht am 16. Juli 2026.
Verantwortlich i.S.d. § 18 MStV: siehe Impressum.
Fehler entdeckt oder ergänzende Erfahrung? korrektur@complycheck.de
Compliance-Updates ohne GRC-Bloat
NIS2-, DORA- und KRITIS-Hinweise für KMU: kurz, quellenbasiert und mit nächsten Schritten.
🎁 Gratis dazu: NIS2-Scope-Checkliste für KMU
Das könnte dich auch interessieren
DSGVO und Mitarbeiterdaten: Welche Verarbeitungen werden als zulässig eingeordnet?
Welche Mitarbeiterdaten werden in der Beschäftigtenkontext-Konstellation typischerweise als zulässig eingeordnet? Rechtsgrundlagen, Sonderkategorien, Fristen — mit Quellen.
DSGVO-Cookie-Banner: Standard-Konfiguration für KMU
Welche Cookie-Banner-Konfiguration ist für typische KMU-Webseiten verbreitet? § 25 TTDSG, Reject-All-Parität, Pflicht-Inhalte — konditionale Praxis-Einordnung.
DSGVO für 5-Personen-Firma: Häufig genannte Mindest-Kategorien
Welche DSGVO-Pflichten werden bei Kleinst-Unternehmen üblicherweise erwartet? Verzeichnis, Webseite, AVVs — konditionale Einordnung mit Quellen.