Es wurde leider kein Ergebnis gefunden. Bitte versuchen Sie es erneut.

Affiliate-Marketing
Afterbuy
Amazon
Apotheken-Online-Shop
Apps (Datenschutzerklärung)
Argato
Avocadostore
Azoo
Booklooker
branchbob
BrickLink
Cardmarket
Cdiscount.com
Chrono24
commerce:seo
conrad.de
CosmoShop
Delcampe
Dienstleistungen
Discogs
Dropshipping-Marktplatz.de
eBay
eBay-Kleinanzeigen
ecwid
eGun
Einkaufsbedingungen (B2B)
ePages
Etsy
Facebook
FairFox
Fairmondo.de
galeria.de
Gambio
Gambio-Cloud
Gastro-Lieferservice (Restaurants)
GTC for Shopify
Handmade at Amazon
Homepages
Hood
Hosting-B2B
Hosting-B2B-B2C
Idealo-Direktkauf
Instagram
Jimdo
Joomla
JTL
Kasuwa
Kaufland.de
Kauflux
Lightspeed
LinkedIn
Lizenzo
Magento 1 und Magento 2
manomano
Mediamarkt.de
meinOnlineLager
metro.de
modified eCommerce-Shops
Mädchenflohmarkt
Online-Shop
Online-Shop (Verkauf digitaler Inhalte)
Online-Shop - B2B
OpenCart
Otto.de
Oxid-Shops
Palundu
Pinterest
plentymarkets
Praktiker.de
Prestashop
productswithlove
RAIDBOXES
Restposten
restposten24.de
Ricardo.ch
Seminare
Shop - Online-Kurse (live/on demand)
Shop - Verkauf von eigener Software
Shop - Verkauf von fremder Software
Shop - Vermietung von Waren
Shopgate
shopify
Shopware
Shpock+
shöpping.at
smartvie
Squarespace
STRATO
Teilehaber.de
TikTok-Präsenzen
Tumblr
Twitch
Twitter
TYPO3
Verkauf von Veranstaltungstickets
Verkauf über individuelle Kommunikation (B2B)
Verkauf über individuelle Kommunikation (B2Bb2c)
Verkauf über Printkataloge
Verkauf über stationären Handel
Vermietung Ferienwohnungen
Vermietung von Shops (inkl. Hosting)
VersaCommerce
VirtueMart
webador
Webseite (kein Verkauf)
Werky
Wix
WooCommerce
WooCommerce German Market
WooCommerce Germanized
WordPress
Wordpress-Shops
wpShopGermany
Xanario
XING
xt:Commerce
Yatego
YouTube
Zen-Cart
ZVAB
Österreichische Datenschutzerklärung
von Dr. Bea Brünen

Auftrags(daten)verarbeitung und Steuerdaten: Benötigen Shop-Betreiber mit ihrem Steuerberater einen Vertrag zur Auftrags(daten)verarbeitung?

News vom 27.03.2018, 19:46 Uhr | 2 Kommentare 

Bei der Erstellung von Buchhaltung, Jahresabschluss & Co. greifen viele Shop-Betreiber gerne auf die Expertise eines erfahrenen Steuerberaters zurück. Woran viele dabei nicht denken: Die Auslagerung sensibler Steuerdaten an externe Steuerberater könnte eine sogenannte Auftragsverarbeitung darstellen – und für diese muss ein spezieller Vertrag mit einer ganzen Palette an Pflichtinhalten abgeschlossen werden. Ob das Auslagern von Steuerdaten an den Steuerberater tatsächlich eine – nach bisheriger Rechtslage und nach der DSGVO – Auftragsverarbeitung ist, erfahren Sie im Folgenden.

A. Auftragsverarbeitung: Was ist das nochmal?

Bei der sogenannten Auftragsverarbeitung oder Auftragsverarbeitung beauftragt ein Unternehmen externe Dienstleister damit, weisungsgebunden personenbezogene Daten zu verarbeiten.

Das bedeutet: Die externen Dienstleister werden bei der Auftragsverarbeitung nur unterstützend tätig, sie sind praktisch der „verlängerte Arm“ des Auftraggebers. Mit Inkrafttreten der DSGVO am 25. Mai 2018 gilt jedoch: Gewisse Entscheidungsspielräume eines Beauftragten - innerhalb des durch das beauftragende Unternehmen gesteckten Rahmens - bezüglich der Mittel der Verarbeitung hinsichtlich der technisch-organisatorischen Fragen schließen die Auftragsverarbeitung künftig nicht mehr aus (so DSK, Kurzpapier Nr. 12, Auftragsverarbeitung, Art. 28 DSGVO, S. 1 mit Verweis WP 169, S. 17 f.). Entscheidend ist vielmehr, dass das beauftragende Unternehmen bei der Tätigkeit des externen Dienstleisters einen rechtlichen oder einen tatsächlichen Einfluss auf die Entscheidung hat, wie personenbezogene Daten verarbeitet werden (Lepperhoff/Müthlein 2017, S. 311).

Personenbezogene Daten sind dabei nach Art. 4 Nr. 1 DSGVO alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Entscheidend ist also – wie bereits nach dem bislang geltenden § 3 Abs. 1 Bundesdatenschutzgesetz (BDSG) –, ob durch die erhobenen Daten irgendwie ein Personenbezug hergestellt werden kann.

Folgende Daten sind daher personenbezogen:

  • Name und Anschrift,
  • E-Mail-Adresse,
  • Telefonnummer und
  • Kontodaten.

Sogar IP-Adressen, die zum Beispiel durch Google Analytics erhoben werden, stellen personenbezogene Daten dar, wenn der Anbieter von Online-Diensten über rechtliche Mittel zur Identifizierung der hinter der IP-Adresse stehenden Personen verfügt (EuGH, Urteil vom 19.10.2016 (C-582/14)).

Vor diesem Hintergrund liegt in folgenden Fällen eine Auftragsverarbeitung vor:

  • Beauftragung einer externen Marketing-Agentur mit der Erstellung eines Newsletters
  • Beauftragung eines externen Rechenzentrums mit der Durchführung der Lohn- und Gehaltsabrechnung
  • Nutzung von Google Analytics
Banner Unlimited Paket

B. Zwingend notwendig: Vertrag zur Auftragsverarbeitung

Liegt eine Auftragsverarbeitung im oberen Sinne vor, trägt das beauftragende Unternehmen die Verantwortung für die ordnungsgemäße Datenverarbeitung. Das beauftragende Unternehmen ist daher auch der Hauptverantwortliche für den Datenschutz. Um dieser Verantwortung nachzukommen, müssen die Parteien vor Beginn der Auftragsverarbeitung schriftlich einen speziellen Vertrag abschließen.

Welchen Inhalt der Vertrag zur Auftragsverarbeitung dabei haben muss, wird durch das Gesetz genau festgelegt. Bislang regelte § 11 Abs. 2 Satz 2 BDSG, welche Punkte ein Vertrag zur Auftragsverarbeitung konkret enthalten muss. Mit Inkrafttreten der DSGVO am 25. Mai 2018 tritt in Deutschland jedoch eine neue Norm zur Auftragsverarbeitung in Kraft. Ab dem 25. Mai 2018 legt Art. 28 Abs. 3 DSGVO den genauen Inhalt eines Vertrags zur Auftragsverarbeitung fest. Nach Art. 28 Abs. 3 DSGVO muss ein Vertrag zur Auftragsverarbeitung auch in Zukunft eine ganze Palette von Regelungen enthalten.

Dazu gehören gemäß Art. 28 Abs. 3 S. 1 DSGVO

  • der Gegenstand und die Dauer der Verarbeitung,
  • die Art und der Zweck der Verarbeitung,
  • die Art der personenbezogenen Daten,
  • die Kategorien betroffener Personen und
  • die Pflichten und Rechte des Verantwortlichen.

Art. 28 Abs. 3 S. 2 DSGVO legt darüber hinaus weitere Pflichtinhalte des Vertrages zur Auftragsverarbeitung fest.

Wichtig: Entspricht die Vereinbarung zur Auftragsverarbeitung nicht den Anforderungen der DSGVO, begehen Unternehmen eine Ordnungswidrigkeit. Diese kann mit einem Bußgeld von bis zu 10 Millionen Euro oder von bis zu 2 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres geahndet werden (vgl. Art. 83 Abs. 4 lit. a DSGVO).

C. Das Auslagern von Daten an den Steuerberater als Auftragsverarbeitung?

Vor dem Hintergrund dieser doch recht drakonischen Strafen fragen sich viele Shop-Betreiber, die Leistungen eines Steuerberaters in Anspruch nehmen, ob hier auch ein Vertrag zur Auftragsverarbeitung abgeschlossen werden muss.

I. Knackpunkt: Funktionsübertragung vs. Auftragsdatenverarbeitung

Unter Geltung des BDSG wurde die Auftragsverarbeitung an dieser Stelle häufig von der sog. Funktionsübertragung abgegrenzt. Abgrenzungskriterium war dabei die Weisungsgebundenheit. So setzt die Auftragsverarbeitung danach voraus, dass der externe Dienstleister die Daten „weisungsgebunden“ verarbeitet. Die maßgeblichen Entscheidungen über den Umgang mit den personenbezogenen Daten verbleiben bei dem beauftragenden Unternehmen. Anders bei der Funktionsübertragung: Bei dieser werden die externen Dienstleister nicht weisungsgebunden tätig. Sie können frei entscheiden, was mit den Daten des Unternehmens geschieht. Die externen Dienstleister sind für die Einhaltung der datenschutzrechtlichen Vorschriften daher auch selbst verantwortlich. Die

Folge: Für die Funktionsübertragung muss kein spezieller Vertrag zur Auftragsverarbeitung geschlossen werden. Der externe Dienstleister ist im Rahmen der Funktionsübertragung vielmehr selbst für die Einhaltung des Datenschutzrechts verantwortlich.

II. Weitergeltung der Funktionsübertragung im Rahmen der DSGVO?

Ob die Figur der Funktionsübertragung auch nach Inkrafttreten der DSGVO weiterhin gelten soll, ist umstritten.

Teilweise wird dies im Hinblick auf das auch unter der DSGVO bestehende Bedürfnis, den weiten Begriff der „Auftragsverhältnisse“ einzuschränken, bejaht. Würde man eine Abgrenzung von Funktionsübertragung und Auftragsverarbeitung nicht vornehmen, hätte dies enorme Folgen: So würde bspw. jeder Auftrag an einen Freiberufler, in dessen Rahmen auch personenbezogene Daten verarbeitet werden, zu einer weisungsgebundenen Auftragsverarbeitung (so Schreiber in Plath/Plath BDSG/DSGVO 2016, Art. 4 DSGVO Rn. 28).

Andere hingegen sind der Auffassung, dass die Figur der Funktionsübertragung in der DSGVO nicht vorgesehen sei. Dies ergebe sich aus der Gesamtsystematik, insbesondere aus der Figur der gemeinsam Verantwortlichen nach Art. 26 DSGVO. Diese nimmt den Auftragsverarbeiter ebenfalls in die Pflicht. Gegen eine Weitergeltung der Figur der Funktionsübertragung spreche schließe auch, dass gewisse Entscheidungsspielräume eines Beauftragten die Auftragsverarbeitung nicht mehr ausschließen (s. dazu bereits oben und DSK, Kurzpapier Nr. 12, Auftragsverarbeitung, Art. 28 DSGVO, S. 1 mit Verweis WP 169, S. 17 f.).

III. Die Lösung: Abgrenzung von drei Bereichen

Richtigerweise dürften künftig – in Abstufung der Verantwortlichkeit für den Datenschutz – drei Bereiche voneinander abzugrenzen sein:

  • Eine Auftragsverarbeitung nach Art. 28 DSGVO mit einem neuen sachlichen Anwendungsbereich. Denn: Künftig schließen gewisse Entscheidungsspielräume eine Auftragsverarbeitung nicht mehr aus. Entscheidend ist vielmehr, dass das beauftragende Unternehmen bei der Tätigkeit des externen Dienstleisters einen rechtlichen oder einen tatsächlichen Einfluss auf die Entscheidung hat, wie personenbezogene Daten verarbeitet werden.
  • Eine weisungsfreie Tätigkeit, die jedoch der Figur der gemeinsam Verantwortlichen nach Art. 26 DSGVO unterliegt. Hierunter können je nach Gestaltung zahlreiche Verarbeitungen fallen, die bereits unter die Figur der Funktionsübertragung eingeordnet wurden.
  • Eine weisungsfreie Tätigkeit, die nicht der Figur der gemeinsam Verantwortlichen nach Art. 26 DSGVO unterliegt. Auch hierunter können je nach Gestaltung zahlreiche Verarbeitungen fallen, die bereits unter die Figur der Funktionsübertragung eingeordnet wurden.

IV. Inanspruchnahme des Steuerberaters als weisungsfreie Fachleistung

Der Steuerberater führt die ihm übertragenen Aufgaben, wie bspw. die Erstellung einer Jahresbilanz oder einer Lohnabrechnung, grundsätzlich eigenverantwortlich und weisungsfrei durch. Hier liegt keine Auftragsverarbeitung vor. Vielmehr ist der Steuerberater für die Einhaltung des Datenschutzrechts selbst verantwortlich. Das bedeutet: Mit ihm muss kein Vertrag über die Auftragsverarbeitung geschlossen werden.

Das gleich gilt im Übrigen auch dann, wenn bspw. ein Inkassounternehmen die Forderungen seines Auftraggebers durchsetzt oder ein Transportdienstleister die Waren für den Auftraggeber an Kunden ausliefert (dazu auch DSK, Kurzpapier Nr. 12, Auftragsverarbeitung, Art. 28 DSGVO, Anhang B).

D. Fazit

Shop-Betreiber, die sensible Steuerdaten an ihren Steuerberater auslagern, können aufatmen: Sie müssen keinen Vertrag zur Auftragsverarbeitung mit ihrem Steuerberater abschließen. Vielmehr ist der Steuerberater selbst für die Einhaltung des Datenschutzrechts zuständig.

Tipp: Sie haben Fragen zu dem Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook.

Bildquelle:
© vege - Fotolia.com
Autor:
Dr. Bea Brünen
(freie jur. Mitarbeiterin der IT-Recht Kanzlei)

Besucherkommentare

Entschuldigung

28.03.2018, 17:09 Uhr

Kommentar von IT-Recht Kanzlei

Sie haben völlig Recht. Das war kein guter Stil. Kurz zur Begründung: Wir haben auf Ihre berechtigte Kritik hin den Artikel offline gesetzt, noch einmal stark umgeschrieben und sodann neu...

Vielen Dank für die Anpassung ...

28.03.2018, 17:00 Uhr

Kommentar von Aufgepasst

... im Interesse aller Beteiligten. Schade jedoch, dass der Kommentar oder zumindest ein kleiner (anonymer) Dank, z.B. unter dem Artikel, bisher nicht veröffentlicht wurde. Ich finde, dass sich dies...

© 2005-2022 · IT-Recht Kanzlei Keller-Stoltenhoff, Keller