Outsourcing von Beratungsleistungen / 4 Outsourcing und Datenschutzrecht

Nach und nach spricht sich durch die öffentliche Berichterstattung auch bei Steuerberatern und Rechtsanwälten herum, dass die europäische Datenschutzgrundverordnung (DSGVO) ab dem 25. Mai 2018 ihre volle Kraft entfaltet hat. Mit Inkrafttreten wird das europäische Datenschutzrecht für alle Unternehmen in der Europäischen Union verbindlich; und damit auch für Steuerberaterkanzleien.

Die europäische Datenschutzgrundverordnung verändert dabei, im Vergleich zum Bundesdatenschutzgesetz alter Fassung, auch einige Aspekte des Outsourcings in der Steuerkanzlei. Denn natürlich verarbeiten heute Steuerbüros ausnahmslos Daten elektronisch per Computer. Wer als Steuerberater dabei besonders modern und innovativ sein möchte gibt seine Daten häufig auch in die Cloud. Und selbstverständlich transferieren viele Finanzabteilungen von Mandanten ihre Daten in elektronischer Form zum Steuerberater. Vergleichbar kann der Steuerberater nun seine Dienstleistungen wiederum auslagern, muss dabei jedoch Aspekte des Datenschutzes berücksichtigen. Denn bei der Auslagerung handelt es sich um regelmäßig um einen Fall der Auftragsverarbeitung.

Die Auftragsverarbeitung wurde mit der Datenschutzgrundverordnung in Europa erstmals detailliert geregelt. Der europäische Gesetzgeber geht in Art. 4 Nr. 2 DSGVO von einem umfassenden Verarbeitungsbegriff aus. Erfüllt der für die Verarbeitung Verantwortliche, also der Steuerberater, die in der Datenschutzgrundverordnung niedergelegten Anforderungen an die Auftragsverarbeitung, wird die Datenweitergabe an den Auftragsverarbeiter regelmäßig aufgrund der Interessenabwägung gemäß Art. 6 Abs. 1 lit. f DSGVO zulässig sein.

Der räumliche Anwendungsbereich der Auftragsverarbeitung richtet sich nach Art. 3 DSGVO. Danach ist die Datenschutzgrundverordnung auf alle Verarbeitungen anzuwenden, an denen ein für die Verarbeitung Verantwortlicher oder Auftragsverarbeiter mit Sitz in der Europäischen Union beteiligt ist, und zwar unabhängig davon, ob die Verarbeitung in der Europäischen Union stattfindet.

Die Art. 5 Abs. 2, 24 DSGVO legen fest, wer für die Verarbeitung und die Einhaltung der wesentlichen datenschutzrechtlichen Vorschriften verantwortlich ist. Wie bereits aus Zeiten des nationalen Datenschutzes über das Bundesdatenschutzgesetz alter Fassung üblich, ist der Verantwortliche nach Art. 28 Abs. 1 DSGVO verpflichtet, den Auftragsverarbeiter sorgfältig auszuwählen. Besonderes Augenmerk ist dabei auf die von dem Auftragsverarbeiter getroffenen technischen und organisatorischen Schutzmaßnahmen und die Gewährleistung der Rechte der betroffenen Personen zu legen. Art. 29 DSGVO sieht vor, dass der Auftragsverarbeiter Daten nur auf Weisung des für die Verarbeitung Verantwortlichen verarbeiten darf.

Für die Begründung eines Auftragsverarbeitungsverhältnisses ist auch künftig ein Vertrag zwischen dem für die Verarbeitung Verantwortlichen und dem Auftragsverarbeiter erforderlich. Art. 28 Abs. 9 DSGVO lässt neben der Schriftform auch die Vereinbarung in einem elektronischen Format zu.

Die Datenschutzgrundverordnung legt Auftragsverarbeitern weitere Pflichten auf, die im Folgenden skizziert werden.

• Dokumentationspflicht Art. 30 Abs. 2 DSGVO
• Meldepflicht bei Datenpannen Art. 33 DSGVO
• Bestellung eines Datenschutzbeauftragten Art. 37 DSGVO

Die Haftung gegenüber den betroffenen Personen und den Aufsichtsbehörden ist in der Datenschutzgrundverordnung im Vergleich zum Bundesdatenschutzgesetz alter Fassung verschärft worden. Nach Art. 82 Abs. 1 DSGVO haften der für die Verarbeitung Verantwortliche und der Auftragsverarbeiter gemeinsam für Datenschutzverstöße gegenüber den betroffenen Personen, wenn diese durch den Datenschutzverstoß einen Schaden erlitten haben. Eine Haftung scheidet allerdings aus, wenn entweder der für die Verarbeitung Verantwortliche oder der Auftragsverarbeiter nachweisen können, für den eingetretenen Schaden nicht verantwortlich zu sein.