Steuerberater und die EU-Datenschutz-Grundverordnung / 5 Auftragsverarbeitung durch Kanzleidienstleister

Mit dem Thema Auftragsverarbeitung sollten sich Steuerkanzleien intensiv auseinandersetzen, da es eine hohe praktische Relevanz besitzt und in einem engen Zusammenhang mit der beruflichen Verschwiegenheitspflicht steht.

Unter Auftragsverarbeitung versteht man die Tatsache, dass sich eine Kanzlei zur Aufrechterhaltung des Geschäftsbetriebs oder zur Durchführung bestimmter Tätigkeiten externer Dienstleister bedient, die im Rahmen ihrer Tätigkeit personenbezogene Daten der Kanzlei erheben, verarbeiten oder nutzen. Man spricht auch dann von Auftragsverarbeitung, wenn ein Dienstleister die theoretische Möglichkeit hat, im Rahmen seiner Tätigkeit auf personenbezogene Daten zugreifen zu können. Eine Grundvoraussetzung für das Vorliegen einer Auftragsverarbeitung ist die weisungsabhängige Bearbeitung.

Sowohl das Arbeitsergebnis als auch der Inhalt bzw. die Vorgehensweise sind bei der Auftragsverarbeitung vertraglich festgelegt; dem Auftragnehmer (Auftragsverarbeiter im Sinne der DSGVO) bleibt nur ein überschaubarer Spielraum.

Beispiele für Auftragsverarbeitung

• Lohnbuchhaltungsbüros, Datenerfassungsbüros, Rechenzentren, Copyshops.
• Externe Dienstleister EDV und TK mit "Remote-Zugriff" (Server, Aktivkomponenten, Datenbanken, Wartungsverträge, Softwarepflege, Wartung TK-Anlagen etc.).
• Externe Dienstleister Peripherie IT/TK (Faxgeräte, Drucker, Multifunktionsgeräte, Scanner, Kopiergeräte, etc.).
• Entsorger IT / TK und Entsorger Papier.
• Internet-Service-Provider (Internet und E-Mail-Dienste).
• Application-Service-Provider (Fremdsoftware als Dienstleistung), z. B. DATEV, Addison, Systempartner.

Mit Geltung der DSGVO wird dieser Sachverhalt im Sinne der Auftraggeber entlastet. Dann gilt, dass auch der Auftragnehmer – in z.B. der Softwarepartner – im Falle einer Datenpanne eine Mithaftung erhält, sofern er gegen vertraglich festgelegte Vorgehensweisen oder geltende Vorschriften zu Datenschutz und Datensicherheit verstößt.

Unterscheidung zwischen Auftragsverarbeitung und Funktionsübertragung

Bislang war noch nicht ganz klar, ob die Unterscheidung zwischen Auftragsverarbeitung und Funktionsübertragung mit der DSGVO neu zu treffen ist oder ggf. ganz wegfällt. Dann würden auch für die Datenverarbeitung im Rahmen einer Funktionsübertragung die Regelungen der Auftragsverarbeitung gelten.

In Abgrenzung zur Auftragsverarbeitung lag nach bisheriger Interpretation eine Funktionsübertragung vor, wenn der Auftragnehmer nicht nur Daten verarbeitende Hilfsfunktionen weisungsabhängig erfüllte, sondern die ihm übergebenen Daten zur Erfüllung weiterer eigener Aufgaben oder Funktionen benötigte, die weisungsunabhängig durchgeführt wurden. In der DSGVO ist die Konstellation der Funktionsübertragung nicht vorgesehen. Dies geht auch aus dem Kurzpapier Nr. 13 der unabhängigen Datenschutzbehörden des Bundes und der Länder (Datenschutzkonferenz – DSK) klar hervor.

Keine Auftragsverarbeitung, sondern die Inanspruchnahme fremder Fachleistungen bei einem eigenständig Verantwortlichen, für die bei der Verarbeitung (einschließlich Übermittlung) personenbezogener Daten eine Rechtsgrundlage gemäß Art. 6 DSGVO gegeben sein muss, sind beispielsweise in der Regel die Einbeziehung eines Berufsgeheimnisträgers (Steuerberater, Rechtsanwälte, externe Betriebsärzte, Wirtschaftsprüfer), Inkassobüros mit Forderungsübertragung, Bankinstituts für den Geldtransfer, Postdienstes für den Brieftransport, und vieles mehr.

Der Vertrag zur Auftragsverarbeitung nach Art. 28 DSGVO

Der für die Verarbeitung von personenbezogenen Daten Verantwortliche – z.B. die Kanzlei als Auftraggeber – muss sich vor Auftragsvergabe davon überzeugen, dass beim Auftragnehmer entsprechende technische und organisatorische Voraussetzungen geschaffen sind, um die gewünschte Verarbeitung rechtskonform durchzuführen.

Der Gesetzgeber sieht vor, dass im Falle einer Auftragsverarbeitung nach Art. 28 DSGVO folgende Punkte zu beachten sind:

• Sorgfältige Auswahl der Auftragnehmer und hinreichende Garantien!
• Kriterien für die Auswahl der Auftragnehmer: geeignete technische und organisatorische Maßnahmen.
• Detaillierte Regelungen der Unterauftragsverhältnisse; Einsatz und Wechsel von Subunternehmen nur mit schriftlicher Genehmigung.
• Detaillierte Regelungen der Auftragsverhältnisse (schriftlich oder elektronisch).

Ist eine sorgfältige Auswahl mit Prüfung der technischen und organisatorischen Maßnahmen erfolgt, so ist ein Vertrag zur Auftragsverarbeitung nach Art. 28 DSGVO zu schließen. Dabei sind folgende Inhalte zu klären:

• Die Weisung des Verantwortlichen gegenüber dem Auftragsverarbeiter muss festgelegt werden.
• Beim Auftragsverarbeiter ist die Verpflichtung der Mitarbeiter zur Vertraulichkeit festzulegen.
• Die Maßnahmen nach Art. 32 (Sicherheit der Verarbeitung, TOMs) sind zu vereinbaren.
• Es sind Regelungen zu Subdienstleistern, insbesondere zur Genehmigung, zu treffen.
• Die Unterstützung des Auftraggebers bei der Beantwortung von Anträgen von betroffenen Personen ist zu regeln (siehe Teil 3 und 4, Auskunftsrechte und Betroffe...