von Dr. Bea Brünen

Auftrags(daten)verarbeitung und Steuerdaten: Benötigen Shop-Betreiber mit ihrem Steuerberater einen Vertrag zur Auftrags(daten)verarbeitung?

News vom 27.03.2018, 19:46 Uhr | 2 Kommentare 

Bei der Erstellung von Buchhaltung, Jahresabschluss & Co. greifen viele Shop-Betreiber gerne auf die Expertise eines erfahrenen Steuerberaters zurück. Woran viele dabei nicht denken: Die Auslagerung sensibler Steuerdaten an externe Steuerberater könnte eine sogenannte Auftragsverarbeitung darstellen – und für diese muss ein spezieller Vertrag mit einer ganzen Palette an Pflichtinhalten abgeschlossen werden. Ob das Auslagern von Steuerdaten an den Steuerberater tatsächlich eine – nach bisheriger Rechtslage und nach der DSGVO – Auftragsverarbeitung ist, erfahren Sie im Folgenden.

A. Auftragsverarbeitung: Was ist das nochmal?

Bei der sogenannten Auftragsverarbeitung oder Auftragsverarbeitung beauftragt ein Unternehmen externe Dienstleister damit, weisungsgebunden personenbezogene Daten zu verarbeiten.

Das bedeutet: Die externen Dienstleister werden bei der Auftragsverarbeitung nur unterstützend tätig, sie sind praktisch der „verlängerte Arm“ des Auftraggebers. Mit Inkrafttreten der DSGVO am 25. Mai 2018 gilt jedoch: Gewisse Entscheidungsspielräume eines Beauftragten - innerhalb des durch das beauftragende Unternehmen gesteckten Rahmens - bezüglich der Mittel der Verarbeitung hinsichtlich der technisch-organisatorischen Fragen schließen die Auftragsverarbeitung künftig nicht mehr aus (so DSK, Kurzpapier Nr. 12, Auftragsverarbeitung, Art. 28 DSGVO, S. 1 mit Verweis WP 169, S. 17 f.). Entscheidend ist vielmehr, dass das beauftragende Unternehmen bei der Tätigkeit des externen Dienstleisters einen rechtlichen oder einen tatsächlichen Einfluss auf die Entscheidung hat, wie personenbezogene Daten verarbeitet werden (Lepperhoff/Müthlein 2017, S. 311).

Personenbezogene Daten sind dabei nach Art. 4 Nr. 1 DSGVO alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Entscheidend ist also – wie bereits nach dem bislang geltenden § 3 Abs. 1 Bundesdatenschutzgesetz (BDSG) –, ob durch die erhobenen Daten irgendwie ein Personenbezug hergestellt werden kann.

Folgende Daten sind daher personenbezogen:

  • Name und Anschrift,
  • E-Mail-Adresse,
  • Telefonnummer und
  • Kontodaten.

Sogar IP-Adressen, die zum Beispiel durch Google Analytics erhoben werden, stellen personenbezogene Daten dar, wenn der Anbieter von Online-Diensten über rechtliche Mittel zur Identifizierung der hinter der IP-Adresse stehenden Personen verfügt (EuGH, Urteil vom 19.10.2016 (C-582/14)).

Vor diesem Hintergrund liegt in folgenden Fällen eine Auftragsverarbeitung vor:

  • Beauftragung einer externen Marketing-Agentur mit der Erstellung eines Newsletters
  • Beauftragung eines externen Rechenzentrums mit der Durchführung der Lohn- und Gehaltsabrechnung
  • Nutzung von Google Analytics
1

B. Zwingend notwendig: Vertrag zur Auftragsverarbeitung

Liegt eine Auftragsverarbeitung im oberen Sinne vor, trägt das beauftragende Unternehmen die Verantwortung für die ordnungsgemäße Datenverarbeitung. Das beauftragende Unternehmen ist daher auch der Hauptverantwortliche für den Datenschutz. Um dieser Verantwortung nachzukommen, müssen die Parteien vor Beginn der Auftragsverarbeitung schriftlich einen speziellen Vertrag abschließen.

Welchen Inhalt der Vertrag zur Auftragsverarbeitung dabei haben muss, wird durch das Gesetz genau festgelegt. Bislang regelte § 11 Abs. 2 Satz 2 BDSG, welche Punkte ein Vertrag zur Auftragsverarbeitung konkret enthalten muss. Mit Inkrafttreten der DSGVO am 25. Mai 2018 tritt in Deutschland jedoch eine neue Norm zur Auftragsverarbeitung in Kraft. Ab dem 25. Mai 2018 legt Art. 28 Abs. 3 DSGVO den genauen Inhalt eines Vertrags zur Auftragsverarbeitung fest. Nach Art. 28 Abs. 3 DSGVO muss ein Vertrag zur Auftragsverarbeitung auch in Zukunft eine ganze Palette von Regelungen enthalten.

Dazu gehören gemäß Art. 28 Abs. 3 S. 1 DSGVO

  • der Gegenstand und die Dauer der Verarbeitung,
  • die Art und der Zweck der Verarbeitung,
  • die Art der personenbezogenen Daten,
  • die Kategorien betroffener Personen und
  • die Pflichten und Rechte des Verantwortlichen.

Art. 28 Abs. 3 S. 2 DSGVO legt darüber hinaus weitere Pflichtinhalte des Vertrages zur Auftragsverarbeitung fest.

Wichtig: Entspricht die Vereinbarung zur Auftragsverarbeitung nicht den Anforderungen der DSGVO, begehen Unternehmen eine Ordnungswidrigkeit. Diese kann mit einem Bußgeld von bis zu 10 Millionen Euro oder von bis zu 2 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres geahndet werden (vgl. Art. 83 Abs. 4 lit. a DSGVO).

C. Das Auslagern von Daten an den Steuerberater als Auftragsverarbeitung?

Vor dem Hintergrund dieser doch recht drakonischen Strafen fragen sich viele Shop-Betreiber, die Leistungen eines Steuerberaters in Anspruch nehmen, ob hier auch ein Vertrag zur Auftragsverarbeitung abgeschlossen werden muss.

I. Knackpunkt: Funktionsübertragung vs. Auftragsdatenverarbeitung

Unter Geltung des BDSG wurde die Auftragsverarbeitung an dieser Stelle häufig von der sog. Funktionsübertragung abgegrenzt. Abgrenzungskriterium war dabei die Weisungsgebundenheit. So setzt die Auftragsverarbeitung danach voraus, dass der externe Dienstleister die Daten „weisungsgebunden“ verarbeitet. Die maßgeblichen Entscheidungen über den Umgang mit den personenbezogenen Daten verbleiben bei dem beauftragenden Unternehmen. Anders bei der Funktionsübertragung: Bei dieser werden die externen Dienstleister nicht weisungsgebunden tätig. Sie können frei entscheiden, was mit den Daten des Unternehmens geschieht. Die externen Dienstleister sind für die Einhaltung der datenschutzrechtlichen Vorschriften daher auch selbst verantwortlich. Die

Folge: Für die Funktionsübertragung muss kein spezieller Vertrag zur Auftragsverarbeitung geschlossen werden. Der externe Dienstleister ist im Rahmen der Funktionsübertragung vielmehr selbst für die Einhaltung des Datenschutzrechts verantwortlich.

II. Weitergeltung der Funktionsübertragung im Rahmen der DSGVO?

Ob die Figur der Funktionsübertragung auch nach Inkrafttreten der DSGVO weiterhin gelten soll, ist umstritten.

Teilweise wird dies im Hinblick auf das auch unter der DSGVO bestehende Bedürfnis, den weiten Begriff der „Auftragsverhältnisse“ einzuschränken, bejaht. Würde man eine Abgrenzung von Funktionsübertragung und Auftragsverarbeitung nicht vornehmen, hätte dies enorme Folgen: So würde bspw. jeder Auftrag an einen Freiberufler, in dessen Rahmen auch personenbezogene Daten verarbeitet werden, zu einer weisungsgebundenen Auftragsverarbeitung (so Schreiber in Plath/Plath BDSG/DSGVO 2016, Art. 4 DSGVO Rn. 28).

Andere hingegen sind der Auffassung, dass die Figur der Funktionsübertragung in der DSGVO nicht vorgesehen sei. Dies ergebe sich aus der Gesamtsystematik, insbesondere aus der Figur der gemeinsam Verantwortlichen nach Art. 26 DSGVO. Diese nimmt den Auftragsverarbeiter ebenfalls in die Pflicht. Gegen eine Weitergeltung der Figur der Funktionsübertragung spreche schließe auch, dass gewisse Entscheidungsspielräume eines Beauftragten die Auftragsverarbeitung nicht mehr ausschließen (s. dazu bereits oben und DSK, Kurzpapier Nr. 12, Auftragsverarbeitung, Art. 28 DSGVO, S. 1 mit Verweis WP 169, S. 17 f.).

III. Die Lösung: Abgrenzung von drei Bereichen

Richtigerweise dürften künftig – in Abstufung der Verantwortlichkeit für den Datenschutz – drei Bereiche voneinander abzugrenzen sein:

  • Eine Auftragsverarbeitung nach Art. 28 DSGVO mit einem neuen sachlichen Anwendungsbereich. Denn: Künftig schließen gewisse Entscheidungsspielräume eine Auftragsverarbeitung nicht mehr aus. Entscheidend ist vielmehr, dass das beauftragende Unternehmen bei der Tätigkeit des externen Dienstleisters einen rechtlichen oder einen tatsächlichen Einfluss auf die Entscheidung hat, wie personenbezogene Daten verarbeitet werden.
  • Eine weisungsfreie Tätigkeit, die jedoch der Figur der gemeinsam Verantwortlichen nach Art. 26 DSGVO unterliegt. Hierunter können je nach Gestaltung zahlreiche Verarbeitungen fallen, die bereits unter die Figur der Funktionsübertragung eingeordnet wurden.
  • Eine weisungsfreie Tätigkeit, die nicht der Figur der gemeinsam Verantwortlichen nach Art. 26 DSGVO unterliegt. Auch hierunter können je nach Gestaltung zahlreiche Verarbeitungen fallen, die bereits unter die Figur der Funktionsübertragung eingeordnet wurden.

IV. Inanspruchnahme des Steuerberaters als weisungsfreie Fachleistung

Der Steuerberater führt die ihm übertragenen Aufgaben, wie bspw. die Erstellung einer Jahresbilanz oder einer Lohnabrechnung, grundsätzlich eigenverantwortlich und weisungsfrei durch. Hier liegt keine Auftragsverarbeitung vor. Vielmehr ist der Steuerberater für die Einhaltung des Datenschutzrechts selbst verantwortlich. Das bedeutet: Mit ihm muss kein Vertrag über die Auftragsverarbeitung geschlossen werden.

Das gleich gilt im Übrigen auch dann, wenn bspw. ein Inkassounternehmen die Forderungen seines Auftraggebers durchsetzt oder ein Transportdienstleister die Waren für den Auftraggeber an Kunden ausliefert (dazu auch DSK, Kurzpapier Nr. 12, Auftragsverarbeitung, Art. 28 DSGVO, Anhang B).

D. Fazit

Shop-Betreiber, die sensible Steuerdaten an ihren Steuerberater auslagern, können aufatmen: Sie müssen keinen Vertrag zur Auftragsverarbeitung mit ihrem Steuerberater abschließen. Vielmehr ist der Steuerberater selbst für die Einhaltung des Datenschutzrechts zuständig.

Tipp: Sie haben Fragen zu dem Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook.

Bildquelle:
© vege - Fotolia.com
Autor:
Dr. Bea Brünen
(freie jur. Mitarbeiterin der IT-Recht Kanzlei)

Besucherkommentare

Entschuldigung

28.03.2018, 17:09 Uhr

Kommentar von IT-Recht Kanzlei

Sie haben völlig Recht. Das war kein guter Stil. Kurz zur Begründung: Wir haben auf Ihre berechtigte Kritik hin den Artikel offline gesetzt, noch einmal stark umgeschrieben und sodann neu...

Vielen Dank für die Anpassung ...

28.03.2018, 17:00 Uhr

Kommentar von Aufgepasst

... im Interesse aller Beteiligten. Schade jedoch, dass der Kommentar oder zumindest ein kleiner (anonymer) Dank, z.B. unter dem Artikel, bisher nicht veröffentlicht wurde. Ich finde, dass sich dies...

© 2005-2019 ·IT-Recht Kanzlei Keller-Stoltenhoff, Keller