it-recht kanzlei münchen

Ähnliche Dokumente
Datenverarbeitung im Auftrag

Das neue Recht zum Datenschutz Die wichtigsten Fakten kurz gefasst*

DuD Jahresfachkonferenz Datenschutz und Datensicherheit. Was bedeutet die EU-DSGVO für die Auftragsdatenverarbeitung?

Datenschutzreform 2018

Auftragsdatenverarbeitung

Die Auftragsverarbeitung nach der DSGVO. Bremen, 17.August 2017 Hamburg, 07. September 2017 Dr. Babette Nüßlein

Kurzpapier Nr. 13 Auftragsverarbeitung, Art. 28 DS-GVO

Datenschutz. Vortrag

Wissenschaftliche Dienste. Sachstand. Sanktionen bei Datenmissbrauch Deutscher Bundestag WD /18

WPK aktuell. Mitgliederinformation

Datenschutz von A-Z. Ausgabe Taschenbuch. 272 S. Paperback ISBN

Kurzpapier Nr. 13 Auftragsverarbeitung, Artikel 28 DS-GVO

Informationen zur Verarbeitung personenbezogener Daten von Geschäftspartnern

Kurzpapier Nr. 16 Gemeinsam für die Verarbeitung Verantwortliche, Art. 26 DS- GVO

Informationen zur Verarbeitung personenbezogener Daten von Lieferanten gültig ab Mai 2018

Verantwortlicher gemäß Art. 4 Nr. 7 Datenschutz-Grundverordnung ( DS-GVO ) ist die

Die Datenschutzgrundverordnung

UNSER UMGANG MIT IHREN DATEN UND IHRE RECHTE INFORMATIONEN NACH ART. 13, 14 UND 21 DER EUDATENSCHUTZ-GRUNDVERORDNUNG (DSGVO)

Datenschutzinformation der SPECTRO Analytical Instruments GmbH nach Art. 13, 14 und 21 DSGVO

Herzlich Willkommen. zum bayrisch-tschechischen Workshop. Datenschutzbeauftragter nach der DSGVO. Autor: Rainer Aigner Stand:

II. Allgemeine Hinweise (vgl. Muster Merkblatt für Patienten )

Datenschutz für ÖBUVs. 07. November 2018

Wer ist für die Datenverarbeitung verantwortlich und an wen kann ich mich wenden?

UNSER UMGANG MIT IHREN DATEN UND IHRE RECHTE INFORMATIONEN NACH ART. 13, 14 UND 21 DER EU- DATENSCHUTZ- GRUNDVERORDNUNG (DSGVO)

A-s Informationspflicht gegenüber Kunden

Quick Check. Quick Check erecht24. DSGVO für Webseitenbetreiber, Webdesigner und Agenturen

EU-Datenschutzgrundverordnung

Unser Umgang mit Ihren Daten und Ihre Rechte Informationen nach Art. 13, 14 und 21 der EU-Datenschutz- Grundverordnung (DSGVO)

Den Datenschutz nicht vergessen

Die EU-Datenschutz-Grundverordnung

Das neue Datenschutzrecht. 19. September 2018

Auftragsdatenverarbeitung und Zertifizierung nach der DSGVO M ä r z , K ö l n

Informationsblatt über die Verarbeitung personenbezogener Daten im Bewerbungsverfahren

EU-DATENSCHUTZ-GRUNDVERORDNUNG

Grundlagenschulung Datenschutz

Umgang mit Ihren Daten und Ihre Rechte Informationen nach Art.13, 14 und 21 der Datenschutz- Grundverordnung (DSGVO)

DIE NEUE EU-DATENSCHUTZ- GRUNDVERORDNUNG: WAS KOMMT AUF IHR UNTERNEHMEN ZU WAS IST ZU TUN?

Unterschätzte Anforderungen der Datenschutz- Grundverordnung an den technischen Datenschutz

1. Wer ist verantwortlich für die Verarbeitung Ihrer personenbezogenen Daten?

Vereinbarung zur Auftragsdatenverarbeitung mit Kunde

Datenschutzinformation an Dritte nach Artikel 13, 14 und 21 der Datenschutzgrundverordnung

SaaSKon 2009 SaaS - Datenschutzfallen vermeiden Stuttgart, Rechtsanwalt Jens Eckhardt JUCONOMY Rechtsanwälte Düsseldorf

Informationen nach Artikeln 13, 14 und 21 der Datenschutz-Grundverordnung (DSGVO)

G eleitwort An wen richtet sich dieses Buch? Was bringt die europäische Datenschutz-Grundverordnung?... 20

DATENSCHUTZHINWEISE nach DS-GVO

UNSER UMGANG MIT IHREN DATEN UND IHRE RECHTE INFORMATIONEN NACH ART. 13, 14 UND 21 DER EU DATENSCHUTZ GRUNDVERORDNUNG (DSGVO)

Spezielle Sicherheitsfragen

INFORMATION gemäß Artikel 13, Artikel 14 DSGVO

Nachfolgend erhalten Sie die ausführlichen Informationen zum Thema Datenschutz bei Schwarzer:

Datenschutzrechtliche Neuerungen für AMS Partnerinstitutionen. DI Robert Hörmann 7. Mai 2018

Datenschutzinformation für Betroffene

Die Ernennung eines Datenschutzbeauftragten

Europäische Datenschutz-Grundverordnung

Informationsblatt Datenschutz im Verein

Hinweise zum Datenschutz der Sparkassen Immobilien GmbH (S-Immo)


REFERENTIN. Die EU-DSGVO was steht drin?

a CHECKLISTE Checkliste DSGVO EU-Datenschutz-Grundverordnung 2018 Überblick: Das müssen Sie seit dem 25. Mai 2018 sicherstellen.

Die Datenschutz-Grundverordnung (DSGVO)

Datenschutzvereinbarung nach 11 BDSG Wartung und Pflege von IT-Systemen

Auftragsverarbeitungsvereinbarung gemäß Art 28 DSGVO

Die neue Datenschutz-Grundverordnung Auswirkungen auf das Bewerbermanagement

Remote Support Datenschutz-

Datenschutz-Grundverordnung. Was kommt auf Sie als Gründer / Unternehmer zu?

Dossier VI: Auftragsverarbeitung

TRANSPARENZ- UND INFORMATIONSPFLICHTEN

Vereinbarung über eine Auftragsverarbeitung gemäß Art. 28 DSGVO

Aktuelles aus der Rechtsprechung

Unser Umgang mit Ihren Daten und Ihre Rechte Informationen nach Art. 13, 14 und 21 der EU-Datenschutz-Grundverordnung (DSGVO) für unsere Kunden

Information zur Verarbeitung von personenbezogenen Daten im Rahmen der Geschäftsbeziehung mit Kunden und Lieferanten

V orw ort... Abkürzungsverzeichnis... XVII. Literaturverzeichnis... XXI. Einführung B. Gang der Darstellung Teil: Grundlagen...

Information über die Erhebung und Verarbeitung Ihrer personenbezogenen Daten

Datenschutzhinweise zur Website

Sparkasse Heidelberg IBAN DE SWIFT-BIC SOLADES1HDB Steuernummer 32081/ , Finanzamt Heidelberg, VR

Auftragsverarbeitungsvertrag nach Art. 28 Abs. 3 DS-GVO

Datenschutzhinweise. gemäß EU-Datenschutz-Grundverordnung zur Erhebung und Verarbeitung personenbezogener Daten von Spendern für KulturLife

Informationen zum Datenschutz gemäß Artikel 13 DSGVO

AUF EINEN BLICK. Die EU-Datenschutz- Grundverordnung (EU-DSGVO)

Informationspflichten der GWFF nach 13 und 14 der Datenschutzgrundverordnung (DSGVO)

Datenschutzhinweise LBG (Ludewig, Busch, Gloe)

Auftragsdatenverarbeitungsvertrag Wartung und Pflege von IT-Systemen

Informationen nach Artikeln 13, 14 und 21 der Datenschutz-Grundverordnung (DSGVO) Liebe Teilnehmerinnen und Teilnehmer an unseren Gewinnspielen,

Die EU-Datenschutz-Grundverordnung (DS-GVO) Neue Regeln für den Datenschutz

Verzeichnis der Verarbeitungstätigkeiten

Datenschutzinformation für Kunden und Interessenten nach Art. 13, 14 und 21 der Datenschutz-Grundverordnung DSGVO

Vereinbarung zur Auftragsdatenverarbeitung nach Art. 28/29 Datenschutzgrundverordnung (DSGVO)

Information zur Verarbeitung Ihrer Bewerberdaten

Die EU-Datenschutz-Grundverordnung: Rechtsgrundlagen der Datenverarbeitung

Datenschutzinformation für unsere Mitglieder

Bundesdatenschutzgesetz (BDSG) und Datenschutz-Grundverordnung (DSGVO) Personenbezogene Daten ( 2 BDSG und Artikel 4 DSGVO)

Die neue EU-Datenschutzgrundverordnung (EU DS-GVO) - Lösungen für Unternehmen

D_05b Datenschutzerklärung

Ergebnisbericht zum Workshop DS-GVO an Hochschulen vom 6./ Teil II

Transkript:

von Bea Brünen Auftrags(daten)verarbeitung und Steuerdaten: Benötigen Shop-Betreiber mit ihrem Steuerberater einen Vertrag zur Auftrags(daten)verarbeitung? Bei der Erstellung von Buchhaltung, Jahresabschluss & Co. greifen viele Shop-Betreiber gerne auf die Expertise eines erfahrenen Steuerberaters zurück. Woran viele dabei nicht denken: Die Auslagerung sensibler Steuerdaten an externe Steuerberater könnte eine sogenannte Auftragsverarbeitung darstellen - und für diese muss ein spezieller Vertrag mit einer ganzen Palette an Pflichtinhalten abgeschlossen werden. Ob das Auslagern von Steuerdaten an den Steuerberater tatsächlich eine - nach bisheriger Rechtslage und nach der DSGVO - Auftragsverarbeitung ist, erfahren Sie im Folgenden. A. Auftragsverarbeitung: Was ist das nochmal? Bei der sogenannten Auftragsverarbeitung oder Auftragsverarbeitung beauftragt ein Unternehmen externe Dienstleister damit, weisungsgebunden personenbezogene Daten zu verarbeiten. Das bedeutet: Die externen Dienstleister werden bei der Auftragsverarbeitung nur unterstützend tätig, sie sind praktisch der "verlängerte Arm" des Auftraggebers. Mit Inkrafttreten der DSGVO am 25. Mai 2018 gilt jedoch: Gewisse Entscheidungsspielräume eines Beauftragten - innerhalb des durch das beauftragende Unternehmen gesteckten Rahmens - bezüglich der Mittel der Verarbeitung hinsichtlich der technisch-organisatorischen Fragen schließen die Auftragsverarbeitung künftig nicht mehr aus (so DSK, Kurzpapier Nr. 12, Auftragsverarbeitung, Art. 28 DSGVO, S. 1 mit Verweis WP 169, S. 17 f.). Entscheidend ist vielmehr, dass das beauftragende Unternehmen bei der Tätigkeit des externen Dienstleisters einen rechtlichen oder einen tatsächlichen Einfluss auf die Entscheidung hat, wie personenbezogene Daten verarbeitet werden (Lepperhoff/Müthlein 2017, S. 311). Personenbezogene Daten sind dabei nach Art. 4 Nr. 1 DSGVO alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Entscheidend ist also - wie bereits nach dem bislang geltenden 3 Abs. 1 Bundesdatenschutzgesetz (BDSG) -, ob durch die erhobenen Daten irgendwie ein Personenbezug hergestellt werden kann. Folgende Daten sind daher personenbezogen:

Name und Anschrift, E-Mail-Adresse, Telefonnummer und Kontodaten. Sogar IP-Adressen, die zum Beispiel durch Google Analytics erhoben werden, stellen personenbezogene Daten dar, wenn der Anbieter von Online-Diensten über rechtliche Mittel zur Identifizierung der hinter der IP-Adresse stehenden Personen verfügt (EuGH, Urteil vom 19.10.2016 (C-582/14)). Vor diesem Hintergrund liegt in folgenden Fällen eine Auftragsverarbeitung vor: Beauftragung einer externen Marketing-Agentur mit der Erstellung eines Newsletters Beauftragung eines externen Rechenzentrums mit der Durchführung der Lohn- und Gehaltsabrechnung Nutzung von Google Analytics B. Zwingend notwendig: Vertrag zur Auftragsverarbeitung Liegt eine Auftragsverarbeitung im oberen Sinne vor, trägt das beauftragende Unternehmen die Verantwortung für die ordnungsgemäße Datenverarbeitung. Das beauftragende Unternehmen ist daher auch der Hauptverantwortliche für den Datenschutz. Um dieser Verantwortung nachzukommen, müssen die Parteien vor Beginn der Auftragsverarbeitung schriftlich einen speziellen Vertrag abschließen. Welchen Inhalt der Vertrag zur Auftragsverarbeitung dabei haben muss, wird durch das Gesetz genau festgelegt. Bislang regelte 11 Abs. 2 Satz 2 BDSG, welche Punkte ein Vertrag zur Auftragsverarbeitung konkret enthalten muss. Mit Inkrafttreten der DSGVO am 25. Mai 2018 tritt in Deutschland jedoch eine neue Norm zur Auftragsverarbeitung in Kraft. Ab dem 25. Mai 2018 legt Art. 28 Abs. 3 DSGVO den genauen Inhalt eines Vertrags zur Auftragsverarbeitung fest. Nach Art. 28 Abs. 3 DSGVO muss ein Vertrag zur Auftragsverarbeitung auch in Zukunft eine ganze Palette von Regelungen enthalten. Dazu gehören gemäß Art. 28 Abs. 3 S. 1 DSGVO der Gegenstand und die Dauer der Verarbeitung, die Art und der Zweck der Verarbeitung, die Art der personenbezogenen Daten,

die Kategorien betroffener Personen und die Pflichten und Rechte des Verantwortlichen. Art. 28 Abs. 3 S. 2 DSGVO legt darüber hinaus weitere Pflichtinhalte des Vertrages zur Auftragsverarbeitung fest. Wichtig: Entspricht die Vereinbarung zur Auftragsverarbeitung nicht den Anforderungen der DSGVO, begehen Unternehmen eine Ordnungswidrigkeit. Diese kann mit einem Bußgeld von bis zu 10 Millionen Euro oder von bis zu 2 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres geahndet werden (vgl. Art. 83 Abs. 4 lit. a DSGVO). C. Das Auslagern von Daten an den Steuerberater als Auftragsverarbeitung? Vor dem Hintergrund dieser doch recht drakonischen Strafen fragen sich viele Shop-Betreiber, die Leistungen eines Steuerberaters in Anspruch nehmen, ob hier auch ein Vertrag zur Auftragsverarbeitung abgeschlossen werden muss. I. Knackpunkt: Funktionsübertragung vs. Auftragsdatenverarbeitung Unter Geltung des BDSG wurde die Auftragsverarbeitung an dieser Stelle häufig von der sog. Funktionsübertragung abgegrenzt. Abgrenzungskriterium war dabei die Weisungsgebundenheit. So setzt die Auftragsverarbeitung danach voraus, dass der externe Dienstleister die Daten "weisungsgebunden" verarbeitet. Die maßgeblichen Entscheidungen über den Umgang mit den personenbezogenen Daten verbleiben bei dem beauftragenden Unternehmen. Anders bei der Funktionsübertragung: Bei dieser werden die externen Dienstleister nicht weisungsgebunden tätig. Sie können frei entscheiden, was mit den Daten des Unternehmens geschieht. Die externen Dienstleister sind für die Einhaltung der datenschutzrechtlichen Vorschriften daher auch selbst verantwortlich. Die Folge: Für die Funktionsübertragung muss kein spezieller Vertrag zur Auftragsverarbeitung geschlossen werden. Der externe Dienstleister ist im Rahmen der Funktionsübertragung vielmehr selbst für die Einhaltung des Datenschutzrechts verantwortlich.

II. Weitergeltung der Funktionsübertragung im Rahmen der DSGVO? Ob die Figur der Funktionsübertragung auch nach Inkrafttreten der DSGVO weiterhin gelten soll, ist umstritten. Teilweise wird dies im Hinblick auf das auch unter der DSGVO bestehende Bedürfnis, den weiten Begriff der "Auftragsverhältnisse" einzuschränken, bejaht. Würde man eine Abgrenzung von Funktionsübertragung und Auftragsverarbeitung nicht vornehmen, hätte dies enorme Folgen: So würde bspw. jeder Auftrag an einen Freiberufler, in dessen Rahmen auch personenbezogene Daten verarbeitet werden, zu einer weisungsgebundenen Auftragsverarbeitung (so Schreiber in Plath/Plath BDSG/DSGVO 2016, Art. 4 DSGVO Rn. 28). Andere hingegen sind der Auffassung, dass die Figur der Funktionsübertragung in der DSGVO nicht vorgesehen sei. Dies ergebe sich aus der Gesamtsystematik, insbesondere aus der Figur der gemeinsam Verantwortlichen nach Art. 26 DSGVO. Diese nimmt den Auftragsverarbeiter ebenfalls in die Pflicht. Gegen eine Weitergeltung der Figur der Funktionsübertragung spreche schließe auch, dass gewisse Entscheidungsspielräume eines Beauftragten die Auftragsverarbeitung nicht mehr ausschließen (s. dazu bereits oben und DSK, Kurzpapier Nr. 12, Auftragsverarbeitung, Art. 28 DSGVO, S. 1 mit Verweis WP 169, S. 17 f.). III. Die Lösung: Abgrenzung von drei Bereichen Richtigerweise dürften künftig - in Abstufung der Verantwortlichkeit für den Datenschutz - drei Bereiche voneinander abzugrenzen sein: Eine Auftragsverarbeitung nach Art. 28 DSGVO mit einem neuen sachlichen Anwendungsbereich. Denn: Künftig schließen gewisse Entscheidungsspielräume eine Auftragsverarbeitung nicht mehr aus. Entscheidend ist vielmehr, dass das beauftragende Unternehmen bei der Tätigkeit des externen Dienstleisters einen rechtlichen oder einen tatsächlichen Einfluss auf die Entscheidung hat, wie personenbezogene Daten verarbeitet werden. Eine weisungsfreie Tätigkeit, die jedoch der Figur der gemeinsam Verantwortlichen nach Art. 26 DSGVO unterliegt. Hierunter können je nach Gestaltung zahlreiche Verarbeitungen fallen, die bereits unter die Figur der Funktionsübertragung eingeordnet wurden. Eine weisungsfreie Tätigkeit, die nicht der Figur der gemeinsam Verantwortlichen nach Art. 26 DSGVO unterliegt. Auch hierunter können je nach Gestaltung zahlreiche Verarbeitungen fallen, die bereits unter die Figur der Funktionsübertragung eingeordnet wurden.

IV. Inanspruchnahme des Steuerberaters als weisungsfreie Fachleistung Der Steuerberater führt die ihm übertragenen Aufgaben, wie bspw. die Erstellung einer Jahresbilanz oder einer Lohnabrechnung, grundsätzlich eigenverantwortlich und weisungsfrei durch. Hier liegt keine Auftragsverarbeitung vor. Vielmehr ist der Steuerberater für die Einhaltung des Datenschutzrechts selbst verantwortlich. Das bedeutet: Mit ihm muss kein Vertrag über die Auftragsverarbeitung geschlossen werden. Das gleich gilt im Übrigen auch dann, wenn bspw. ein Inkassounternehmen die Forderungen seines Auftraggebers durchsetzt oder ein Transportdienstleister die Waren für den Auftraggeber an Kunden ausliefert (dazu auch DSK, Kurzpapier Nr. 12, Auftragsverarbeitung, Art. 28 DSGVO, Anhang B). D. Fazit Shop-Betreiber, die sensible Steuerdaten an ihren Steuerberater auslagern, können aufatmen: Sie müssen keinen Vertrag zur Auftragsverarbeitung mit ihrem Steuerberater abschließen. Vielmehr ist der Steuerberater selbst für die Einhaltung des Datenschutzrechts zuständig. Autor: Bea Brünen (freie jur. Mitarbeiterin der IT-Recht Kanzlei)

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback