Auftragsverarbeitung – friss oder stirb

von (Kommentare: 0)

Erst im Dezember 2018 verhängte die Behörde einen Bußgeldbescheid in Höhe von 5.000,- Euro wegen eines fehlenden Vertrags zur Auftragsverarbeitung.

Dies nehmen wir zum Anlass, zwei der wichtigsten Punkte, die wir derzeit in unserem Alltag als Datenschutzunternehmen am häufigsten erleben hier mal genauer zu betrachten:

  • Verantwortlichkeit beim Vertrag zur Auftragsverarbeitung
  • Sachlage bei Steuerberatern

Was ist eine Auftragsverarbeitung?

Bereits in früheren Berichten hatten wir die Begrifflichkeit erklärt und erläutert, wann diese vorliegt. Auch haben wir uns bereits mit dem Thema Auftragsverarbeitung und Webhosting beschäftigt. Früher Auftragsdatenverarbeitung (ADV) genannt, wurde sie mit Einführung der EU-Datenschutzgrundverordnung (DSGVO) zur Auftragsverarbeitung (AV).
Bei einer AV im Sinne des Art. 28 DSGVO wird die Datenverarbeitung vom Auftragnehmer streng nach Weisung des Auftraggebers durchgeführt. Wie und welche Daten verarbeitet werden dürfen, darf der Auftragnehmer hierbei nicht selbst entscheiden. Klassische Beispiele für eine AV sind:

  • Werbeadressenverarbeitung in einem Letter Shop
  • externe Lohn- und Gehaltsabrechnung
  • Outsourcing der Buchhaltung
  • IT-Wartungsverträge oder Archivierung
  • Vernichtung von Datenmaterialien
  • Newsletter Versand

Hier ist es auch wichtig zu verstehen, was keine Auftragsverarbeitung darstellt, also kein AV-Vertrag nötig ist.

Immer wenn es eine direkte Beziehung zwischen dem Verantwortlichen und dem Betroffenen gibt (Unternehmen – Kunde), dann handelt es sich nicht um eine Auftragsverarbeitung, sondern einfach um die normale Datenverarbeitung. Auch wenn ein Kundenauftrag vorliegt.

Der Verantwortliche selbst muss sich um die Rechtsgrundlage der Verarbeitung kümmern. Diese rechtlichen Grundlagen für Verantwortliche sind im Normalfall (Art. 6 DSGVO):

  • Verarbeitung der Daten aufgrund einer Rechtsvorschrift
    (z. B. die Tatsache, dass Sie die Daten Ihrer Angestellten an das Finanzamt weitergeben müssen)

  • Verarbeitung der Daten aufgrund eines Vertrages / Anbahnung eines Vertrages
    (z. B. die Firma, bei der Sie Ihre Schrauben für Ihre Produktion bestellt haben, benötigt Ihre Kontaktdaten, um Ihnen diese zu liefern und eine Rechnung schreiben zu können)

  • Verarbeitung der Daten aufgrund einer Einwilligung der betroffenen Person
    (z. B. wenn Sie die Fotos Ihrer Mitarbeiter auf der Webseite veröffentlichen und sich zuvor eine Einwilligung holen oder wenn Sie sich mittels Double-Opt-In Verfahren zu einem Newsletter anmelden, geben Sie ebenfalls Ihre Einwilligung)

Andersrum, wenn Sie die Daten im Auftrag eines Kunden verarbeiten, brauchen Sie mit dessen Kunden keinen AV-Vertrag – sondern auch diesem immer nur in direkten Geschäftsbeziehungen. Der Unterschied zum obengenannten Beispiel ist, dass Sie hier keine Beziehung zu den Betroffenen Menschen direkt haben, sondern diese dann nur über drei Ecken läuft.

Verarbeitung von personenbezogenen Daten im Auftrag

Die Verarbeitung von personenbezogenen Daten im Auftrag ist ausschließlich aufgrund eines Vertrages oder mittels eines anderen Rechtsinstruments möglich (Art. 28 Abs. 3 DSGVO). Eine genauere Definition hinsichtlich des anderen Rechtsinstruments nach Unionsrecht oder dem Recht der Mitgliedsstaaten liefert der Art. 28 DSGVO nicht. Auch der deutsche Gesetzgeber hat hier keine Regelungen getroffen, sodass aktuell keine anderen Rechtsinstrumente bestehen und somit derzeit die Umsetzung mittels Vertrags die einzige Basis zur Auftragsverarbeitung darstellt.

Dieser Vertrag, dessen Hauptbestandteile ebenfalls in Artikel 28 DSGVO zu finden sind, muss schriftlich abgefasst werden, was auch in einem elektronischen Format erfolgen kann (Art. 28 Abs. 9 DSGVO).

Nicht nur Privatpersonen, die von der EU-Datenschutz­grundverordnung nicht betroffen sind, sondern auch Unternehmer kennen die Macht der Großkonzerne. Bei diesen müssen wir z. B. AGBs, Nutzungsbedingungen usw. entweder akzeptieren wie sie sind, oder uns bleibt nur noch die Option, nicht mit dem entsprechenden Unternehmen zusammenzuarbeiten oder auf die Dienste zu verzichten. Oft findet sich bei diesen Großfirmen die Möglichkeit, den sogenannten AV-Vertrag nur in elektronischer Form abzuschließen. Hierunter fallen z. B. Firmen wie Microsoft, Google oder in Deutschland große Versicherungen oder Banken. Man wird hier als Unternehmer auch keine Chance haben, Änderungswünsche oder Anpassungen im AV-Vertrag durchzusetzen. Denn hier wird seit jeher nach dem Prinzip des Stärkeren gearbeitet – friss oder stirb. Also bleibt einem nicht viel übrig, als den Haken zu setzen, sich den Vertrag auszudrucken, ihn geschickter Weise auch zu lesen

Unterschiede beim Vertrag

Bei kleineren bzw. mittelständischen Unternehmen wird der Vertrag zur Auftragsverarbeitung meist mit einem Individualvertrag nach einer angepassten Vorlage, die von den Behörden oder dem jeweiligen Datenschutzbeauftragten zur Verfügung gestellt werden, umgesetzt. Für Drittländer* gibt es alternative Umsetzungsmöglichkeiten, die vorab geprüft werden sollten.

Das Einzige, das Sie definitiv nicht tun dürfen ist NICHTS. Denn, wie bereits anfangs erwähnt, kann das inzwischen recht teuer werden.

Verantwortlichkeit beim AV-Vertrag

In erster Linie sind Sie als Auftraggeber, wenn Sie personenbezogene Daten zur Verarbeitung weitergeben, verantwortlich für diese Daten. Dies bedeutet, dass Sie dafür Sorge tragen müssen, dass die Verarbeitung sowohl nach den gesetzlichen Vorschriften erfolgt, als auch den Schutz der Rechte der betroffenen Person gewährleistet (Art. 28 Abs. 1 DSGVO).
Somit sind Sie als Verantwortlicher bzw. als Auftraggeber dafür verantwortlich, mit Ihrem Auftragnehmer einen AV-Vertrag abzuschließen. Denn Sie sind als Verantwortlicher ebenfalls für die Einhaltung der Grundsätze der Verarbeitung von personenbezogenen Daten verantwortlich und müssen deren Einhaltung nachweisen können (Rechenschaftspflicht).

Pflichten des Auftragnehmers

Umgekehrt bedeutet dies jedoch nicht, dass der Auftragnehmer einfach „aus dem Schneider“ ist, wenn er seitens des Verantwortlichen keinen Vertag angeboten bekommt und sich zurücklehnen darf. Denn personenbezogene Daten dürfen ausschließlich verarbeitet werden, wenn deren Verarbeitung rechtmäßig ist. Somit benötigt es immer einer rechtlichen Grundlage.

Für Verantwortliche ist diese Rechtsgrundlage Art. 6 DSGVO, für Auftragsverarbeiter Art. 28 DSGVO. Wenn nun aber kein Vertrag nach Art. 28 vorliegt (also ein AV Vertrag), dann hat der Auftragnehmer dieses schonmal nicht als Rechtsgrundlage. Will er trotzdem personenbezogene Daten verarbeiten, dann muss er das als Verantwortlicher tun.

Verarbeitet der Auftragnehmer somit Daten, die er vom Auftraggeber erhalten hat, ohne dass ein AV Vertrag vorliegt, fehlt die Rechtsgrundlage zur Verarbeitung der Daten. Ergo: er dürfte die Daten eigentlich nicht besitzen, geschweige denn in irgendeiner Form verarbeiten.

Ohne die Rechtsgrundlage würde dies für den Auftragnehmer bedeuten, dass er die Verarbeitung einstellen müsste. Somit ist auch der Auftragnehmer dazu verpflichtet, seinen Auftraggeber auf den notwendigen Vertragsschluss hinzuweisen. Denn mit diesem wird die Rechtsgrundlage für beide Seiten geschaffen.

Kleiner Tipp:

Hier kann der Auftragnehmer auch proaktiv vorgehen und dem Verantwortlichen seinen AV-Vertrag zukommen lassen.
Und bei neuen Geschäftsbeziehungen unbedingt beachten: der AV-Vertrag muss vor der Aufnahme der Verarbeitungstätigkeit geschlossen werden. Ist die Verarbeitung bereits „im Gange“ sollten Sie diesen zügig nachziehen.

Eigenständig Verantwortlicher

Seitens der Datenschutzkonferenz (DSK) gibt es ein Kurzpapier, das die Begrifflichkeiten und Vorgaben rund um den Vertrag zur Auftragsverarbeitung erläutert. Hier wird auch die Nutzung von Subunternehmern oder der Umgang bei IT-Wartung und Fernzugriffen, die gemeinsame Verantwortlichkeit von Unternehmen und die Folgen bei Verstößen erläutert.

Nach der Veröffentlichung des aktualisierten Kurzpapiers im Januar 2018 kam es bei unseren Kunden oftmals zu Diskussionen bzgl. der Hinweise zu Berufsgruppen, bei denen (angeblich) keine Auftragsverarbeitung vorliegt. Hier werden Bereiche und Berufsgruppen aufgelistet, die eine Inanspruchnahme fremder Fachdienstleistungen bei einem eigenständig Verantwortlichen, deren Rechtsgrundlage gemäß Art. 6 DSGVO gegeben sein muss, aufgelistet:

  • Berufsgeheimnisträger (Steuerberater, Rechtsanwälte, externe Betriebsärzte, Wirtschaftsprüfer)
  • Inkassobüros mit Forderungsübertragung
  • Bankinstitute für den Geldtransfer
  • Postdienste für den Brieftransport
  • u. v. m.

Auch bei einer gemeinsamen Verantwortlichkeit liegt u. U. keine Auftragsverarbeitung vor. Als Beispiel nennt die DSK

  • klinische Arzneimittelstudien, wenn mehrere Mitwirkende (z. B. Sponsor, Studienzentren / Ärzte) jeweils in Teilbereichen Entscheidungen über die Verarbeitung treffen
  • gemeinsame Verwaltung bestimmter Datenkategorien (z.B. „Stammdaten“) für bestimmte gleichlaufende Geschäftszwecke mehrerer Konzernunternehmen

Nach dem BDSG-alt waren dies vor allem Vorgänge, die als sogenannte Funktionsübertragung eingestuft wurden und bei denen auch die Verantwortlichkeit hinsichtlich der Daten auf den Verarbeiter überging.

Jedoch sieht die DSGVO keine Funktionsübertragung mehr vor und bei unseren Kunden kam immer wieder die Frage hinsichtlich des Steuerberaters auf. Denn sie wissen um ihre Verantwortung hinsichtlich des notwendigen Vertragsschlusses, sobald es sich um eine Verarbeitung von Daten im Auftrag handelt.

AV-Verträge mit Steuerberatern

Die Fragen unserer Kunden sind durchaus berechtigt, da diese Frage zwischenzeitlich seitens der Behörden mehrfach klargestellt wurde.

Jedoch müssen hier vorab zwei entscheidende Fragen geklärt werden. Welche Tätigkeiten führt der Steuerberater für Sie aus?

  1. Ist er ausschließlich in seiner Funktion als Berater für Sie tätig?

  2. Übernimmt er zusätzlich zu seiner beratenden Tätigkeit für Sie die Lohn- und Gehaltsabrechnung?

Beantworten Sie die 1. Frage mit ja und die 2. mit nein müssen Sie keinen AV-Vertrag mit ihm abschließen, da er, wie von der DSK aufgelistet, ausschließlich als Berufsgeheimnisträger für Sie tätig ist.

Übernimmt Ihr Steuerberater zusätzlich die Lohn- und Gehaltsabrechnung handelt es sich bei dieser Tätigkeit um eine weisungsgebundene Dienstleistung. Bei dieser Verarbeitung (Lohn- und Gehaltsabrechnung) handelt es sich um eine untergeordnete Tätigkeit in Form einer Dienstleistung, welche ausschließlich eine Verarbeitung der Daten im Auftrag darstellt. Somit müssen Sie mit Ihrem Steuerberater über diese zusätzliche Tätigkeit einen AV-Vertrag schließen.

Auch der Verweis vieler Steuerberater auf § 57 Abs. 1 StBerG (Allgemeine Berufspflichten):

"Steuerberater und Steuerbevollmächtigte haben ihren Beruf unabhängig, eigenverantwortlich, gewissenhaft, verschwiegen und unter Verzicht auf berufswidrige Werbung auszuüben."

hinsichtlich Ihrer Unabhängigkeit und Eigenverantwortlichkeit ist in diesem Fall nicht gegeben. Denn die Vorgaben bzgl. seiner allgemeinen Berufspflichten beziehen sich ausschließlich auf seine Tätigkeit als Berufsgeheimnisträger und nicht auf seine zusätzlichen Dienstleistungen. Diese Bestätigung haben sowohl der Landesdatenschutzbeauftragte für Datenschutz und Informationsfreiheit in Nordrhein-Westfalen als auch die Behörde in Baden-Württemberg (FAQ zu Art. 28 DSGV) nochmals verdeutlicht.

Um es sehr salopp und fiktiv auf den Punkt zu bringen:
Würde der Steuerberater nebenbei irgendwo putzen gehen, könnte er auch nicht selbst entscheiden, was er sauber macht, weil er zu den Berufsgeheimnisträgern gehört, sondern arbeitet auch hier nach Anweisung seines Auftraggebers. Nicht anders verhält es sich bei der zusätzlichen Lohn- und Gehaltsabrechnung.

Unseren Kunden stellen wir einen Muster-AV-Vertrag für Ihren Steuerberater zur Verfügung.

Unterstützung vom Profi

Das Team der dacuro besteht aus unterschiedlichen Datenschutzbeauftragten. Wir haben sowohl das Know-how im technischen Bereich für Ihre IT und Ihre technisch-organisatorischen Maßnahmen (TOMs), wir bieten auch die juristische Unterstützung bei der Prüfung von AV-Verträgen. Denn Datenschutz ist weder nur das eine noch das andere.

Seit Anfang 2019 befindet sich unser Büro in der Heidelberger Straße 70b in 69190 Walldorf. Unsere Kunden betreuen wir jedoch weit über den Rhein-Neckar Kreis hinaus - nicht nur in Karlsruhe, Stuttgart oder Soligen haben wir Kunden, von Freiburg bis Hamburg ist alles dabei. Sprechen Sie uns an.

__________________________________________________________________________________________________________________

*Drittland = alle Länder, in denen die EU-Datenschutzgrundverordnung (DSGVO) keine Gültigkeit hat. Hierbei ist zwischen sicherem Drittland (ein Land, welches das gleiche Datenschutzniveau nachweisen kann, wie es derzeit in der EU vorliegt) und unsicherem Drittland zu unterscheiden. Unter Letzteres fallen z. B. die USA und aufgrund des Brexits vermutlich in Zukunft auch Großbritannien.

__________________________________________________________________________________________________________________

Update 13.03.2019 - Bestätigung durch die Behörde

Die verschiedenen Landesbehörden für Datenschutz vertreten bzgl. der Sachlage zur Auftragsverarbeitung bei Steuerberatern im Zusammenhang mit der Lohnbuchhaltung unterschiedliche Meinungen.

Hierzu hat die Pressestelle des Landesbeauftragten für Datenschutz und Informationsfreiheit Baden-Württemberg am 11. März 2019 einen Artikel veröffentlich, der sich mit unserer Meinung deckt. Bis es hier zu einer gerichtlichen Entscheidung kommen wird, vertritt die Behörde in Baden-Württemberg ebenfalls die Ansicht, dass es sich bei der Lohnbuchhaltung durch den Steuerberater um eine Datenverarbeitung im Auftrag handelt und hierzu ein Vertrag zur Auftragsverarbeitung (AVV) geschlossen werden muss.

Den gesamten Artikel und die Begründung seitens der Behörde finden Sie hier.

 

Zurück

Einen Kommentar schreiben

Was ist die Summe aus 2 und 9?

Für die korrekte Darstellung der Webseite auf Ihrem Computer arbeiten wir mit sogenannten Cookies. Diese Speichern Informationen auf Ihrem Gerät. Außerdem speichern wir auch Information über Ihren Besuch in solchen Cookies. Detaillierte Informationen über den Einsatz von Cookies auf unserer Webseite erhalten Sie in der Datenschutzerklärung. Die rechtlichen Angaben und Kontaktinformationen der dacuro GmbH finden Sie im Impressum.

Technisch notwendige Cookies

Dies sind Informationen, die wesentliche technische Funktionen ermöglichen, so wie das Ausfüllen von Formularen oder Spracheinstellungen. Diese Cookies sind notwendig, um die Seite anzeigen und diese korrekt nutzen zu können.

Mit der Bestätigung stimmen Sie diesem Vorgang zu.

Maps & YouTube

Mit Aktivierung des Buttons haben Sie Zugriff auf Google Maps und von uns bereitgestellte YouTube-Videos. Hierfür werden Ihre Daten an Google Ireland Limited („Google“) weitergeleitet, wodurch unter Umständen eine Verabeitung Ihrer Daten in den USA erfolgt, da hier der Hauptsitz des Unternehmens ist.

Sie können sich auch nachträglich dazu entschließen, die Anwendungen zuzulassen.

Analyse

Dies sind Informationen, die Daten über Ihre Webseiten-Nutzung sammeln, damit wir diese verbessern können. Hierfür verwenden wir Google Analytics mit Einbindung der IP-Anonymisierung von Google Ireland Limited („Google“), deren Hauptsitz in den USA ist. Wir können daraus keine Rückschlüsse über Ihren Namen oder Ihre Kontaktdaten ziehen.

Sie können diese Cookies in der Datenschutzerklärung wieder ausschalten, wenn Sie sie jetzt zulassen.