DSGVO: Auftragsverarbeitung durch Kanzleidienstleister

Mit dem Thema Auftragsverarbeitung sollten sich Steuerkanzleien intensiv auseinandersetzen, da es eine hohe praktische Relevanz besitzt und in einem engen Zusammenhang mit der beruflichen Verschwiegenheitspflicht steht.

Unter Auftragsverarbeitung versteht man die Tatsache, dass sich eine Kanzlei zur Aufrechterhaltung des Geschäftsbetriebs oder zur Durchführung bestimmter Tätigkeiten externer Dienstleister bedient, die im Rahmen ihrer Tätigkeit personenbezogene Daten der Kanzlei erheben, verarbeiten oder nutzen. Man spricht auch dann von Auftragsverarbeitung, wenn ein Dienstleister die theoretische Möglichkeit hat, im Rahmen seiner Tätigkeit auf personenbezogene Daten zugreifen zu können. Eine Grundvoraussetzung für das Vorliegen einer Auftragsverarbeitung ist die weisungsabhängige Bearbeitung.

Sowohl das Arbeitsergebnis als auch der Inhalt bzw. die Vorgehensweise sind bei der Auftragsverarbeitung vertraglich festgelegt; dem Auftragnehmer (Auftragsverarbeiter im Sinne der DSGVO) bleibt nur ein überschaubarer Spielraum. 

Beispiele für Auftragsverarbeitung

  • Lohnbuchhaltungsbüros, Datenerfassungsbüros, Rechenzentren, Copyshops.
  • Externe Dienstleister EDV und TK mit "Remote-Zugriff" (Server, Aktivkomponenten, Datenbanken, Wartungsverträge, Softwarepflege, Wartung TK-Anlagen etc.).
  • Externe Dienstleister Peripherie IT/TK (Faxgeräte, Drucker, Multifunktionsgeräte, Scanner, Kopiergeräte, etc.).
  • Entsorger IT / TK und Entsorger Papier.
  • Internet-Service-Provider (Internet und E-Mail-Dienste).
  • Application-Service-Provider (Fremdsoftware als Dienstleistung), z. B. DATEV, Addison, Systempartner.

Mit Geltung der DSGVO wird dieser Sachverhalt im Sinne der Auftraggeber entlastet. Dann gilt, dass auch der Auftragnehmer – in z.B. der Softwarepartner – im Falle einer Datenpanne eine Mithaftung erhält, sofern er gegen vertraglich festgelegte Vorgehensweisen oder geltende Vorschriften zu Datenschutz und Datensicherheit verstößt.

Unterscheidung zwischen Auftragsverarbeitung und Funktionsübertragung

Bislang war noch nicht ganz klar, ob die Unterscheidung zwischen Auftragsverarbeitung und Funktionsübertragung mit der DSGVO neu zu treffen ist oder ggf. ganz wegfällt. Dann würden auch für die Datenverarbeitung im Rahmen einer Funktionsübertragung die Regelungen der Auftragsverarbeitung gelten.

In Abgrenzung zur Auftragsverarbeitung lag nach bisheriger Interpretation eine Funktionsübertragung vor, wenn der Auftragnehmer nicht nur Daten verarbeitende Hilfsfunktionen weisungsabhängig erfüllte, sondern die ihm übergebenen Daten zur Erfüllung weiterer eigener Aufgaben oder Funktionen benötigte, die weisungsunabhängig durchgeführt wurden. In der DSGVO ist die Konstellation der Funktionsübertragung nicht vorgesehen. Dies geht auch aus dem Kurzpapier Nr. 13 der unabhängigen Datenschutzbehörden des Bundes und der Länder (Datenschutzkonferenz – DSK) klar hervor. 

Keine Auftragsverarbeitung, sondern die Inanspruchnahme fremder Fachleistungen bei einem eigenständig Verantwortlichen, für die bei der Verarbeitung (einschließlich Übermittlung) personenbezogener Daten eine Rechtsgrundlage gemäß Art. 6 DSGVO gegeben sein muss, sind beispielsweise in der Regel die Einbeziehung eines Berufsgeheimnisträgers (Steuerberater, Rechtsanwälte, externe Betriebsärzte, Wirtschaftsprüfer), Inkassobüros mit Forderungsübertragung, Bankinstituts für den Geldtransfer, Postdienstes für den Brieftransport, und vieles mehr.

Der Vertrag zur Auftragsverarbeitung nach Art. 28 DSGVO

Der für die Verarbeitung von personenbezogenen Daten Verantwortliche – z.B. die Kanzlei als Auftraggeber – muss sich vor Auftragsvergabe davon überzeugen, dass beim Auftragnehmer entsprechende technische und organisatorische Voraussetzungen geschaffen sind, um die gewünschte Verarbeitung rechtskonform durchzuführen. 

Der Gesetzgeber sieht vor, dass im Falle einer Auftragsverarbeitung nach Art. 28 DSGVO folgende Punkte zu beachten sind: 

  • Sorgfältige Auswahl der Auftragnehmer und hinreichende Garantien!
  • Kriterien für die Auswahl der Auftragnehmer: geeignete technische und organisatorische Maßnahmen.
  • Detaillierte Regelungen der Unterauftragsverhältnisse; Einsatz und Wechsel von Subunternehmen nur mit schriftlicher Genehmigung. 
  • Detaillierte Regelungen der Auftragsverhältnisse (schriftlich oder elektronisch).

Ist eine sorgfältige Auswahl mit Prüfung der technischen und organisatorischen Maßnahmen erfolgt, so ist ein Vertrag zur Auftragsverarbeitung nach Art. 28 DSGVO zu schließen. Dabei sind folgende Inhalte zu klären:

  • Die Weisung des Verantwortlichen gegenüber dem Auftragsverarbeiter muss festgelegt werden.
  • Beim Auftragsverarbeiter ist die Verpflichtung der Mitarbeiter zur Vertraulichkeit festzulegen.
  • Die Maßnahmen nach Art. 32 (Sicherheit der Verarbeitung, TOMs) sind zu vereinbaren.
  • Es sind Regelungen zu Subdienstleistern, insbesondere zur Genehmigung, zu treffen.
  • Die Unterstützung des Auftraggebers bei der Beantwortung von Anträgen von betroffenen Personen ist zu regeln (siehe Teil 3 und 4, Auskunftsrechte und Betroffenenrechte).
  • Die Unterstützung des Verantwortlichen bei der Einhaltung der in den Artikeln 32 bis 36 genannten Pflichten ist zu regeln: Meldung von Datenschutzpannen, Benachrichtigung der Betroffenen, Datenschutz-Folgenabschätzung.
  • Die Löschung oder Rückgabe von Daten nach Beendigung des Auftrages muss ebenso festgelegt werden wie
  • die Unterstützung des Verantwortlichen bei Überprüfungen - einschließlich Inspektionen.
  • Die unverzügliche Information, falls eine Weisung des Verantwortlichen gegen die DSGVO oder gegen andere Datenschutzbestimmungen der Union oder der Mitgliedstaaten verstößt, muss im Vertrag ebenfalls geregelt werden.

Kanzleien, die sich bisher noch nicht intensiv mit dem Datenschutz auseinandergesetzt haben, verfügen in der Regel nicht über entsprechende Vereinbarungen mit ihren Dienstleistern im Falle einer Auftragsverarbeitung. Es ist empfehlenswert, diese Verträge schnellstmöglich abzuschließen, um das Haftungsrisiko der Kanzlei im Fall einer Datenpanne des Dienstleisters zu reduzieren. Der Abschluss entsprechender Verträge mit den Anbietern für Kanzleisoftware verläuft erfahrungsgemäß unkompliziert auf Anfrage. Bei anderen Dienstleistern ist dies nur zum Teil der Fall. Tauchen Fragen seitens des Dienstleisters auf, sollte der Datenschutzexperte zu Rate gezogen werden, um den Abschluss einer korrekten Vereinbarung herbeizuführen.

Hinzuziehung von Subunternehmern

Es kommt häufig vor, dass die Dienstleister selbst im Rahmen der Leistungserbringung Subunternehmer hinzuziehen. Je nachdem, um welche Dienstleistung es sich handelt (z.B. Webhosting oder Rechenzentrumsleistungen) kann es zu einer überraschend langen Kette an Unterauftragsverhältnissen kommen. Als Auftraggeber ist die Kanzlei auch hier in der Pflicht, für eine rechts- und vertragskonforme Datenverarbeitung bei Subunternehmern zu sorgen. Daher ist die Einbeziehung von Subunternehmern im Vertrag zur Auftragsverarbeitung unbedingt zu regeln. Insbesondere sollte darauf Wert gelegt werden, dass der Dienstleister die Subunternehmer benennen muss und ein Wechsel des Subunternehmers angezeigt werden muss. Hier wird sich vermutlich ein Verfahren etablieren, das im Zuge einer allgemeinen Genehmigung eine schriftliche Benachrichtigung mit Sonderkündigungsrecht vorsieht.

Kontrolle der Auftragsverarbeiter

Eine Aufgabe des Datenschutzspezialisten der Kanzlei ist die regelmäßige Kontrolle der Auftragsverarbeiter. Der einmalige Abschluss eines Vertrags zur Auftragsverarbeitung alleine – optimalerweise mit vorhergehender Kontrolle des Dienstleisters – reicht dem Gesetzgeber nicht aus, da die Verarbeitungsverhältnisse beim Auftragnehmer auch einem Veränderungszyklus unterliegen. Hier darf die Kontrolle der Unterauftragnehmer nicht vergessen werden. Gerade bei Berufsgeheimnisträgern wird die jährliche Kontrolle empfohlen. Grundlage für den Nachweis beim Auftragsverarbeiter kann u.a. eine Zertifizierung oder die Einhaltung einer genehmigten Verhaltensregel sein. Die Möglichkeit von Vor-Ort-Audits sollte nicht außer Acht gelassen werden, in der Regel werden aber Selbstauskünfte auf Grundlage von Checklisten erfolgen.

Der Auftragsverarbeiter arbeitet nach Weisung der Kanzlei und ist verpflichtet dieser seine Sicherungsmaßnahmen nachzuweisen und sie bei Verstößen und Datenpannen umgehend zu benachrichtigen. Selbstverständlich muss der Auftragsverarbeiter der Kanzlei auch die Kontaktdaten seines Datenschutzbeauftragten mitteilen.

Besonderheit in der Steuerkanzlei: § 203 StGB

Eine Besonderheit stellt das Thema Auftragsverarbeitung im Zusammenhang mit § 203 StGB (Verletzung von Privatgeheimnissen) dar. Bisher galt hier für Kanzleien eine in der Praxis kaum umzusetzende Vorgabe: eine Weitergabe von Mandatsinformationen an Dritte durfte nur mit expliziter Einwilligung des Mandanten erfolgen. Der damit verbundene Aufwand wäre bei korrekter Umsetzung enorm gewesen, daher wurde das Thema trotz hohem Risiko oft vernachlässigt.

Die neue rechtliche Situation stellt sich wie folgt dar: Mit dem "Gesetz zur Neuregelung des Schutzes von Geheimnissen bei der Mitwirkung Dritter an der Berufsausübung schweigepflichtiger Personen" liegt kein Offenbaren im Sinne dieser Vorschrift (StGB) vor, wenn die in den Absätzen 1 und 2 des § 203 StGB genannten Personen (u.a. Steuerberater) Geheimnisse den bei ihnen berufsmäßig tätigen Gehilfen oder den bei ihnen zur Vorbereitung auf den Beruf tätigen Personen zugänglich machen. 

Die in den Absätzen 1 und 2 Genannten dürfen fremde Geheimnisse gegenüber sonstigen Personen offenbaren, die an ihrer beruflichen oder dienstlichen Tätigkeit mitwirken, soweit dies für die Inanspruchnahme der Tätigkeit der sonstigen mitwirkenden Personen erforderlich ist; das Gleiche gilt für sonstige mitwirkende Personen, wenn diese sich weiterer Personen bedienen, die an der beruflichen oder dienstlichen Tätigkeit der in den Absätzen 1 und 2 Genannten mitwirken. Somit bietet sich jetzt die Möglichkeit, externe Dienstleister auch ohne Einwilligung der Mandanten straffrei zu beauftragen. Zusätzlich zum Vertrag zur Auftragsverarbeitung ist mit den Dienstleistern allerdings eine Verpflichtung auf die Verschwiegenheit nach § 203 StGB zu schließen, um die Einbeziehung des Dienstleisters korrekt zu regeln. 

Übermittlung personenbezogener Daten ins Ausland

Für die Übermittlung personenbezogener Daten an Stellen

  • in anderen Mitgliedstaaten der Europäischen Union,
  • in anderen Vertragsstaaten des Abkommens über den Europäischen Wirtschaftsraum oder
  • der Organe und Einrichtungen der Europäischen Gemeinschaften

gibt es keine Besonderheiten zu beachten, da sich diese im Geltungsbereich der DSGVO befinden. Im Grunde kann somit ein Vertrag zur Auftragsverarbeitung geschlossen werden. Ggf. können hierfür auch englische Muster Verwendung finden, wobei im Zweifelsfall immer ein Anwalt zu Rate gezogen werden sollte.

Vor einer Übermittlung personenbezogener Daten in Drittstaaten muss zunächst eine Prüfung des im Empfängerland vorhandenen Datenschutzniveaus erfolgen. Bei angemessenem Datenschutzniveau kann mit dem Dienstleister z.B. ein Vertragsschluss auf der Grundlage der sog. EU-Standardvertragsklauseln bzw. künftig Standarddatenschutzklauseln erfolgen. 

Da sowohl die Datenübermittlung ins EU-Ausland, als auch die Übermittlung in Drittstaaten in Steuerkanzleien sehr selten stattfinden, sollte im Einzelfall der Datenschutzspezialist zu Rate gezogen werden. Insbesondere die Übermittlung in Drittstaaten ist mit entsprechendem fachlichen Know-How zu prüfen. Die Kanzleileitung muss sich allerdings der Tatsache bewusst sein, dass entsprechende Prüfungen und der Abschluss von Vereinbarungen unbedingt vor Beginn der Tätigkeit des Dienstleisters durchzuführen sind.

Kann ein Steuerberater Auftragsverarbeiter eines Mandanten sein?

Hierzu gab es bislang unterschiedliche Auffassungen. Viele Aufsichtsbehörden verneinten dies, da die freiberufliche und eigenverantwortliche Tätigkeit die enge Weisungsgebundenheit im Sinne des § 11 BDSG nicht zulässt. Mit dem oben erwähnten DSK-Papier Nr. 13 herrscht nun Klarheit: der Steuerberater ist definitiv kein Auftragsverarbeiter im Sinne der DSGVO!