BFH Urteil v. - IV R 34/01 BStBl 2003 II S. 761

Datenschutzbeauftragter kein Freiberufler

Leitsatz

Ein selbständiger, extern bestellter Datenschutzbeauftragter übt weder den Beruf eines beratenden Betriebswirtes oder eines Ingenieurs noch einen diesen beiden Katalogberufen ähnlichen Beruf i.S. des § 18 Abs. 1 Nr. 1 Satz 2 EStG aus.

Gesetze: EStG § 18 Abs. 1 Nr. 1 Satz 2GewStG § 2 Abs. 1

Instanzenzug: (Verfahrensverlauf), ,

Gründe

I.

Die Klägerin und Revisionsklägerin (Klägerin) studierte nach dem Abitur, mit gleichzeitigem Abschluss als Fernmeldemechanikerin, Informationstechnik an einer Hochschule für Verkehrswesen. Anschließend arbeitete sie bis zum Jahr 1985 als Ingenieurin für Nebenstellenanlagen und später als Leiterin der Fernsprechanmeldestelle in einem Fernmeldeamt. Von 1985 bis 1989 war sie als wissenschaftliche Mitarbeiterin an der Hochschule für Verkehrswesen tätig und promovierte dort über die Datensicherheit in Nachrichtennetzen. Seit dem berät die Klägerin als externe Beauftragte des Datenschutzes Unternehmen und Institutionen in Fragen des Datenschutzes und der Datensicherheit. Zu ihren Aufgaben gehören insbesondere die Überprüfung von Programmen, mit denen personenbezogene Daten verarbeitet werden, die Schulung und Information von Mitarbeitern und Führungskräften in diesem Bereich, die Beratung bei der Einstellung von neuen Mitarbeitern, zu deren Tätigkeitsfeld die Verarbeitung personenbezogener Daten zählt, die Entwicklung von Anleitungen für die Erstellung und Pflege eines Datenregisters, die Prüfung von Zulässigkeitsvoraussetzungen bei der Erhebung, Verarbeitung oder Nutzung personenbezogener Daten, die Sicherstellung der Rechte der Betroffenen, die Beratung bei der Erstellung von Verträgen im Hinblick auf die Datenschutzkonformität sowie bei organisatorischen Sicherheitsmaßnahmen und die Begleitung der Prüfungen durch die Aufsichtsbehörden.

Im Oktober 1990 nahm die Klägerin an einem viertägigen Lehrgang ”Teil 2 Datensicherungspraxis” sowie im Mai 1991 an einem eintägigen Lehrgang ”Die Novellierung des Bundesdatenschutzgesetzes” teil.

Der Beklagte und Revisionsbeklagte (das Finanzamt —FA—) beurteilte die Tätigkeit der Klägerin als Datenschutzbeauftragte als gewerblich und erließ für die Streitjahre (1993 bis 1995) Gewerbesteuermessbescheide.

Dagegen wandte sich die Klägerin mit ihrer nach erfolglosem Einspruchsverfahren erhobenen Klage, mit der sie geltend machte, dass sie entsprechend ihrer fachlichen Qualifikation als Ingenieurin einen Katalogberuf i.S. des § 18 Abs. 1 Nr. 1 Satz 2 des Einkommensteuergesetzes (EStG) ausübe. Sie sei als externe selbständige Datenschutzbeauftragte tätig. Unter Berufung auf das Gutachten der Gesellschaft für Datenschutz und Datensicherung e.V. (GDD) ”Zur Selbständigkeit der Arbeit eines externen Datenschutzbeauftragten im Sinne von § 18 Abs. 1 Nr. 1 EStG” sowie den Artikel der GDD ”Anforderungen an die Fachkunde und Zuverlässigkeit des betrieblichen Datenschutzbeauftragten gemäß § 36 Abs. 2 BDSG” führte die Klägerin des Weiteren aus, dass sie als externe Datenschutzbeauftragte auch die Merkmale einer beratenden Volks- bzw. Betriebswirtin oder zumindest eines entsprechenden ähnlichen Berufes erfülle. Die Tätigkeit, bei der die geistige und persönliche Arbeit im Vordergrund stehe, werde auf Grund eigener Fachkenntnisse leitend und eigenverantwortlich ausgeführt, was die Zuordnung des externen Datenschutzbeauftragten zum Freiberufler indiziere. Insoweit verweise sie auf das (BFHE 157, 106, BStBl II 1989, 727). Die Tätigkeit sei nicht mit der Tätigkeit eines EDV-Beraters vergleichbar. Im Gegensatz zu dessen Aufgabenbereich beschränke sich die Tätigkeit des Datenschutzbeauftragten nicht auf den technischen Bereich, da betriebliche und vertrauliche Daten auch anderweitigen Risiken ausgesetzt seien. Das Berufsbild des Datenschutzbeauftragten gehe als Querschnittsmaterie durch mehrere betriebliche Hauptbereiche, wie Personalwesen, Rechnungswesen, Marketing, Vertrieb, Telekommunikation, Informations- und Datenverarbeitung einschließlich Krypotologie/Elektronische Signatur, und beinhalte das umfangreiche Gebiet der Datensicherung gemäß § 9 des Bundesdatenschutzgesetzes (BDSG) nebst Anlage mit dem starken Gewicht auf dem Arbeits- sowie dem Handels- und Steuerrecht. Die Kombination mehrerer Katalogberufe oder wesentlicher Teile derselben beweise, dass die Tätigkeit als externe Datenschutzbeauftragte so anspruchsvoll sei, dass sie der Tiefe und Breite nach zumindest das Wissen des Kernbereichs eines Fachstudiums voraussetze.

Die Klage hatte keinen Erfolg. Das Finanzgericht (FG) begründete seine Entscheidung damit, dass die Klägerin keine der in § 18 Abs. 1 Nr. 1 EStG genannten Tätigkeiten ausgeübt habe, insbesondere nicht die Tätigkeit einer beratenden Betriebswirtin oder einer Ingenieurin. Ebenso wenig habe sie eine diesen Berufen ähnliche Tätigkeit ausgeübt.

Dagegen wendet sich die Klägerin mit ihrer, die Verletzung materiellen Rechts rügenden Revision. Zur Begründung wiederholt sie im Wesentlichen das Klagevorbringen und führt ergänzend aus, dass ihre Tätigkeit auch als die eines beratenden Ingenieurs anzusehen sei. Zwar sei weder nach dem BDSG noch nach dem Anforderungsprofil der GDD eine ingenieurmäßige Ausbildung für die Tätigkeit des Datenschutzbeauftragten erforderlich. Darauf komme es nach der Rechtsprechung des , BFHE 132, 16, BStBl II 1981, 118) aber auch nicht an. Ihr sei als auf diesem Gebiet hoch spezialisierter Ingenieurin nicht abzusprechen, dass sie den Ingenieurberuf leitend und eigenverantwortlich durchführe. Gerade wegen der stürmischen Entwicklung in der Informationstechnik in den letzten Jahren erhalte sie nur auf Grund ihrer besonderen Fachkunde die Aufträge, denen ein Datenschutzbeauftragter, der lediglich die gesetzlichen Mindestanforderungen des BDSG erfülle, nicht gerecht werden könnte. Für die freiberufliche Tätigkeit seien sowohl die Auftragsdurchführung als auch die nicht erfolgsabhängig vereinbarten Honorare charakteristisch. Das vom FG in Bezug genommene (BFHE 154, 332, BStBl II 1989, 24) sei daher auf den Streitfall nicht anwendbar.

II.

Die Revision ist als unbegründet zurückzuweisen (§ 126 Abs. 2 der FinanzgerichtsordnungFGO—). Das FG hat zu Recht entschieden, dass die Klägerin in den Streitjahren (1993 bis 1995) als extern bestellte Datenschutzbeauftragte gewerblich tätig geworden war. Sie unterlag daher der Gewerbesteuer (§ 2 Abs. 1 des GewerbesteuergesetzesGewStG—).

1) Die Klägerin übte als extern bestellte Datenschutzbeauftragte weder den Beruf eines beratenden Betriebswirts aus, noch war ihre Tätigkeit diesem Beruf ähnlich.

Den Beruf des beratenden Betriebswirts i.S. des § 18 Abs. 1 Nr. 1 EStG übt nach der Rechtsprechung des BFH derjenige aus, der nach einem entsprechenden Studium oder einem vergleichbaren Selbststudium, verbunden mit praktischer Erfahrung, mit den hauptsächlichen Bereichen der Betriebswirtschaft (Unternehmensführung, Leistungserstellung —Fertigung von Gütern/Bereitstellung von Dienstleistungen—, Materialwirtschaft, Finanzierung, Vertrieb, Verwaltungs- und Rechnungswesen sowie Personalwesen —vgl. Senatsurteil vom IV R 51/99, BFHE 192, 439, BStBl II 2000, 616—) und nicht nur mit einzelnen Spezialgebieten vertraut ist und diese fachliche Breite seines Wissens auch bei seinen praktischen Tätigkeiten einsetzen kann und tatsächlich einsetzt. Diesem Berufsbild eines beratenden Betriebswirts entsprechend liegt ein ”ähnlicher Beruf” nur dann vor, wenn er auf einer vergleichbar breiten fachlichen Vorbildung beruht und sich die Beratungstätigkeit auf einen vergleichbar breiten betrieblichen Bereich erstreckt. Die notwendige Breite der Betätigung ist allerdings schon dann vorhanden, wenn sich die Beratung wenigstens auf einen betrieblichen Hauptbereich der Betriebswirtschaft bezieht (ständige Rechtsprechung, s. schon , BFHE 153, 222, BStBl II 1988, 666; in BFHE 154, 332, BStBl II 1989, 24; vom IV R 135/90, BFHE 164, 408, BStBl II 1991, 769).

Ausgehend von diesen Grundsätzen übt die Klägerin weder den Beruf eines beratenden Betriebswirts noch einen diesem Beruf ähnlichen Beruf aus.

Die Klägerin ist nach den Feststellungen des FG in den Streitjahren für mehrere Unternehmen und Institutionen als externe Datenschutzbeauftragte gemäß § 36 Abs. 1 BDSG vom BDSG 1990, jetzt § 4f BDSG— (BGBl I 1990, 2954) bestellt worden. Die Beratungstätigkeit eines externen Datenschutzbeauftragten erstreckt sich aber weder auf alle noch auf einen der Hauptbereiche der Betriebswirtschaft.

Der Beruf des Datenschutzbeauftragten geht auf die Einführung des Gesetzes zum Schutz vor Missbrauch personenbezogener Daten bei der Datenverarbeitung vom BDSG 1977— (BGBl I 1977, 201) zurück. In § 28 BDSG 1977 bestimmte der Gesetzgeber erstmals, dass von Privatunternehmen ab einer bestimmten Größenordnung (im Einzelnen s. § 22 BDSG 1977) für die personenbezogene, automatisierte und auch nicht automatisierte Datenverarbeitung ein Datenschutzbeauftragter zu bestellen ist. Der Aufgabenbereich des Datenschutzbeauftragten, der sowohl als interner wie auch als externer Beauftragter bestellt werden kann, ist nach der in den Streitjahren anwendbaren Neuregelung des BDSG 1990 in § 37 Abs. 1 BDSG 1990 (jetzt § 4g BDSG) wie folgt gesetzlich geregelt:

Der Beauftragte für den Datenschutz hat die Ausführung dieses Gesetzes sowie anderer Vorschriften über den Datenschutz sicherzustellen. Er hat insbesondere

a) die ordnungsgemäße Anwendung der Datenverarbeitungsprogramme, mit deren Hilfe personenbezogene Daten verarbeitet werden sollen, zu überwachen,

b) die bei der Verarbeitung personenbezogener Daten tätigen Personen durch geeignete Maßnahmen mit den Vorschriften dieses Gesetzes sowie anderen Vorschriften über den Datenschutz, bezogen auf die besonderen Verhältnisse in diesem Geschäftsbereich und die sich daraus ergebenden besonderen Erfordernisse für den Datenschutz, vertraut zu machen,

c) bei der Auswahl der bei der Verarbeitung personenbezogener Daten tätigen Personen beratend mitzuwirken.

Den gesetzlichen Aufgaben des Datenschutzbeauftragten entsprechend oblag der Klägerin nach den Feststellungen des FG die Prüfung der Zulässigkeit konventioneller und automatisierter Datenverarbeitungsdateien in allen Phasen der Datenverarbeitung (Erhebung, Speichern, Ändern, Übermitteln, Sperren, Löschen, Nutzen), die Beratung bei der Einführung neuer Verfahren, die Entwicklung von Anleitungen für die Erstellung und Pflege eines Dateiregisters, sowie die Prüfung der Einhaltung der Organisationsregeln zum Datenschutz und die Notwendigkeit ihrer Angleichung an die aktuellen betrieblichen wie gesetzlichen Gegebenheiten.

Der Klägerin ist zuzugeben, dass sie, um den gesetzlichen Aufgaben einer Datenschutzbeauftragten gerecht werden zu können, auch über Kenntnisse der allgemeinen Betriebswirtschaftslehre verfügen muss. Denn die von dem Datenschutzbeauftragten zu gewährleistende Datensicherheit ergibt sich erst durch ein Zusammenwirken aller technischen und organisatorischen Maßnahmen im Unternehmen (vgl. Haaz/Voßbein, Anforderungen an die Fachkunde und Zuverlässigkeit des betrieblichen Datenschutzbeauftragten gemäß § 36 Abs. 2 BDSG, Recht der Datenverarbeitung 1994, Heft 1, S. 1 f.). Um die entsprechenden Risiken für die Datensicherheit in einem Unternehmen erkennen und um geeignete und betriebswirtschaftlich sinnvolle Maßnahmen zur Risikenreduzierung vorschlagen bzw. anregen zu können, muss der Datenschutzbeauftragte daher neben den Kenntnissen der im jeweiligen Unternehmen vorherrschenden betrieblichen Strukturen auch allgemeine Kenntnisse der Organisationslehre, der Unternehmensführung, der Unternehmungsplanung und -kontrolle, der Produktion sowie des Personalwesens vorweisen können (Haaz/Voßbein, a.a.O., S. 11/12). Dieses für die ordnungsgemäße Aufgabenerfüllung notwendige betriebswirtschaftliche Wissen rechtfertigt jedoch nicht die Annahme, dass der Datenschutzbeauftragte insoweit vergleichbar einem beratenden Betriebswirt tätig ist. Die Tätigkeit des Datenschutzbeauftragten tangiert zwar einige Hauptbereiche der Betriebswirtschaft (Unternehmensführung, Verwaltungs- und Rechnungswesen sowie Personalwesen), da insbesondere in diesen Bereichen personenbezogene Daten anfallen, die dem Schutzzweck der Datenschutzregelungen unterliegen. Die Beratungstätigkeit des Datenschutzbeauftragten ist aber ausgehend von seiner gesetzlichen Aufgabenstellung nur auf den speziellen Bereich des Datenschutzes begrenzt, was die Annahme einer umfassenden betriebswirtschaftlichen Beratung in dem jeweiligen Hauptbereich der Betriebswirtschaft ausschließt.

Die Tätigkeit des Datenschutzbeauftragten stellt ausgehend von den ihm gesetzlich vorgegebenen Aufgaben einen völlig eigenständigen und neuen Beruf dar, der mit dem tradierten Beruf des beratenden Betriebswirtes nicht vergleichbar ist. Dies zeigt sich nicht zuletzt auch daran, dass die sachgerechte, den gesetzlichen Anforderungen des Datenschutzgesetzes entsprechende Beratungstätigkeit des Datenschutzbeauftragten neben den betriebswirtschaftlichen Grundkenntnissen in erheblichem Umfang Kenntnisse aus anderen Wissenschaftsbereichen voraussetzt. So muss der Datenschutzbeauftragte, um die in § 37 Abs. 1 BDSG 1990 (nunmehr § 4g BDSG) geregelten Aufgaben erfüllen zu können, auch über umfangreiche juristische Kenntnisse zum Datenschutzrecht verfügen, was nicht nur vertiefte Kenntnisse der Regelungen des Bundes- und des jeweiligen Landesdatenschutzgesetzes voraussetzt, sondern auch Kenntnisse bezüglich der datenschutzrelevanten Spezialregelungen im Zivil-, Straf-, Steuer-, Sozial-, Arbeits- und Verwaltungsrecht. Daneben muss er umfangreiche technische Kenntnisse auf dem Gebiet der sog. Computer-Hardware und der unterschiedlichen System- und Anwendersoftware aufweisen (vgl. im Einzelnen: Haaz/Voßbein, a.a.O., S. 5 f.). Im Hinblick auf die ihm obliegende Mitarbeiterschulung muss der Datenschutzbeauftragte zudem über pädagogische Fähigkeiten und Kenntnisse verfügen. Der Beruf des Datenschutzbeauftragten kann daher auf Grund des bezeichneten Anforderungsprofils nur dann mit der erforderlichen Fachkunde ausgeübt werden, wenn theoretisches Grundwissen erworben wird, welches den Lehrinhalten verschiedener Hoch- bzw. Fachhochschulstudiengänge (Ingenieur-, Rechtswissenschaften, Betriebswirtschaftslehre und Pädagogik) zugeordnet ist. Dabei erstreckt sich der erforderliche interdisziplinäre Wissensstand aber nur auf Teilbereiche dieser Studiengänge, so dass es weder der Absolvierung noch des Abschlusses eines dieser Hoch- bzw. Fachhochschulstudiengänge bedarf.

Bei derartigen Beratungen auf interdisziplinären Wissensgebieten ist typischerweise ein eigenständiges Berufsbild anzunehmen, das in seiner völligen Ausrichtung auf Bereiche wie Marktforschung (Senatsurteil vom IV R 27/90, BFHE 168, 59, BStBl II 1992, 826, m.w.N.), EDV (Senatsurteil vom IV R 115/87, BFHE 159, 171, BStBl II 1990, 337), Telekommunikation (, BFH/NV 1994, 460) oder wie im Streitfall Datenschutz mit dem des überkommenen Berufs des beratenden Betriebswirts nicht vergleichbar ist.

Ist die Tätigkeit der Klägerin danach nicht als die einer beratenden Betriebswirtin anzusehen, bedarf es auch keiner Entscheidung darüber, ob die Klägerin, die keine entsprechende akademische Ausbildung abgeschlossen hat, in den Streitjahren über Kenntnisse verfügte, die der Tiefe und Breite nach denen eines beratenden Betriebswirts vergleichbar waren. Zutreffend weist das FG in diesem Zusammenhang darauf hin, dass die Klägerin den Erwerb derartiger Kenntnisse weder durch das erfolgreich absolvierte Studium der Informationstechnik und die daran anschließende Promotion noch durch die Teilnahme an dem mehrtägigen Praxisseminar sowie durch die tatsächlich ausgeübte Tätigkeit als externe Datenschutzbeauftragte hinreichend nachgewiesen hat.

2) Die Tätigkeit der Klägerin entspricht ebenso wenig dem Beruf eines Ingenieurs. Aufgabe des Ingenieurs ist es, auf der Grundlage natur- und technisch-wissenschaftlicher Erkenntnisse und unter Berücksichtigung wirtschaftlicher Belange technische Werke zu planen, zu konstruieren und ihre Fertigung zu überwachen (BFH-Urteil in BFHE 159, 171, BStBl II 1990, 337). In diesem Bereich ist die Klägerin nicht tätig geworden. Die Tätigkeit der Klägerin lag vielmehr ausschließlich im nichttechnischen Bereich. Sie hat nach den Feststellungen des FG lediglich die Schwachpunkte der jeweiligen Computeranlagen unter datenschutzrechtlichen Gesichtspunkten aufgedeckt. Die Beseitigung und damit die technische Umsetzung der erforderlichen Datensicherungsmaßnahmen wurden von Mitarbeitern des Unternehmens bzw. von externen Firmen übernommen. Auch soweit die Klägerin den Firmen darüber hinaus Empfehlungen zur technischen Umsetzung der Datensicherungsmaßnahmen gegeben und die Firmen im Hinblick auf bestimmte Technologien im Zusammenhang mit dem Datenschutz beraten hat, gehört diese Beratung nicht zu den Aufgaben, die typischerweise nur von Ingenieuren ausgeführt werden können.

Keinesfalls ist die Klägerin im Rahmen dieser Beratungstätigkeit als Systemanalytikerin (Systemingenieurin) im Bereich der Entwicklung von Systemsoftware tätig geworden, was sie mit dem Hinweis auf das (BFHE 144, 413, BStBl II 1986, 15) wohl andeuten will (vgl. zu dem hier erforderlichen Anforderungsprofil im Einzelnen die Ausführungen in der vorgenannten Entscheidung).

Ebenso wenig ist die Tätigkeit der Klägerin als Datenschutzbeauftragte etwa deshalb als die Tätigkeit eines Ingenieurs anzusehen, weil die Klägerin über eine entsprechende akademische Ausbildung verfügt. Maßgeblich ist auch insoweit, dass sich die tatsächlich ausgeübte Tätigkeit wenigstens auf einen der Hauptbereiche der Ingenieurstätigkeit (Planung, Konstruktion, Fertigung eines technischen Werkes) erstreckt (vgl. für die Tätigkeit eines akademisch ausgebildeten Betriebswirtes: Senatsurteil vom IV R 70/00, BFHE 200, 49, BStBl II 2003, 25). Dies ist indes wie ausgeführt nicht der Fall.

Eine andere Wertung folgt auch nicht aus der Honorierung der Klägerin. Die Klägerin erhält ihr Honorar ausschließlich für die Erfüllung der ihr nach dem Gesetz obliegenden Aufgaben als extern bestellte Datenschutzbeauftragte (vgl. § 37 BDSG 1990), deren Aufgabenbereich sich eben nicht auf die Erbringung einer ingenieurtypischen Leistung erstreckt. Unerheblich ist insoweit, ob die Klägerin allein auf Grund ihrer akademischen Vorbildung ein gegenüber einem nicht akademisch vorgebildeten Datenschutzbeauftragten höheres Honorar erhält. Dabei verkennt der Senat nicht, dass die Klägerin gerade wegen ihrer fundierten akademischen Ausbildung in hohem Maße den Anforderungen an die Fachkunde des Datenschutzbeauftragten (vgl. § 36 Abs. 2 BDSG 1990) gerecht wird.

3) Entgegen der Ansicht der Klägerin ist der Beruf des externen Datenschutzbeauftragten auch nicht deshalb einem der im Gesetz genannten Katalogberufe ähnlich, weil ihre Tätigkeit Teilbereiche mehrerer der dort genannten Berufe berührt, ohne dem typischen Berufsbild eines dieser Berufe vergleichbar zu sein. Das ist nach der ständigen Rechtsprechung des BFH, an der der Senat zuletzt mit Urteil vom IV R 74/00 (BFHE 200, 326, BStBl II 2003, 27) unter Hinweis auf die Rechtsprechung des Bundesverfassungsgerichts ausdrücklich festgehalten hat, ausgeschlossen.

Fundstelle(n):
BStBl 2003 II Seite 761
BB 2003 S. 2108 Nr. 40
BFH/NV 2003 S. 1382
BFH/NV 2003 S. 1382 Nr. 10
BStBl II 2003 S. 761 Nr. 14
DB 2003 S. 2316 Nr. 43
DStRE 2003 S. 1159 Nr. 19
FR 2003 S. 1081 Nr. 20
INF 2003 S. 765 Nr. 20
KÖSDI 2003 S. 13900 Nr. 10
OAAAA-71846