Es wurde leider kein Ergebnis gefunden. Bitte versuchen Sie es erneut.

keine Ergebnisse
Affiliate-Marketing
Afterbuy
Amazon
Apotheken-Online-Shop
Apps (Datenschutzerklärung)
Argato
Avocadostore
Azoo
Booklooker
Branchbob
Brick Owl
BrickLink
Cardmarket
Cdiscount.com
Check24
Chrono24
Coaching
commerce:seo
Conrad
Consulting
CosmoShop
Decathlon
Delcampe
Dienstleistungen
Discogs
Dropshipping
Dropshipping-Marktplatz
eBay
ecwid
eGun
Einkaufsbedingungen (B2B)
ePages
Etsy
Etsy (digitale Inhalte)
Facebook
Facebook (Warenverkauf)
Fairmondo
Fernunterricht
For-vegans
Fotografie und Bildbearbeitung
Freizeitkurse
Galaxus
Galeria
Gambio
Gambio-Cloud
Gastro-Lieferservice (Restaurants)
German Market
Germanized for WooCommerce
GTC for Shopify
GTC-Kaufland.de
Handmade at Amazon
home24
Homepage
Hood
Hornbach
Hosting
Hosting B2B
Individuelle Kundenkommunikation (B2B)
Individuelle Kundenkommunikation (B2C)
Instagram
Instagram (Warenverkauf)
Jimdo
Joomla
JTL
Kasuwa
Kaufland
Kaufland - alle Sprachen
Kleinanzeigen.de
Kleinanzeigen.de (Vermietung)
Lightspeed
LinkedIn
Lizenzo
Magento
Manomano
Mediamarkt
MeinOnlineLager
metro.de
modified eCommerce-Shops
Online-Shop
Online-Shop (digitale Inhalte)
Online-Shop - B2B
OpenCart
Otto
Oxid-Shops
Palundu
Pinterest
plentymarkets
Praktiker
Prestashop
Printkataloge
Productswithlove
RAIDBOXES
Restposten
Restposten24
Ricardo.ch
Selbstbedienungsläden
Seminare
SHOMUGO
Shop - Online-Kurse (live oder on demand)
Shop - Verkauf von eigener Software
Shop - Verkauf von fremder Software
Shop - Vermietung von Waren
Shop Apotheke
Shopify
Shopware
Shpock
Shöpping
Smartvie
Snapchat
Spandooly
Squarespace
Stationärer Handel
STRATO
Teilehaber.de
Threads
TikTok
Tumblr
Twitch
TYPO3
Verkauf von Veranstaltungstickets
Vermietung Ferienwohnungen
Vermietung von Shops (inkl. Hosting)
VersaCommerce
VirtueMart
voelkner
webador
Webdesign
Webflow
Webshop Factory
Werky
WhatsApp Business
WhatsApp Business (Warenverkauf)
Wix
WooCommerce
WordPress
Wordpress (Warenverkauf)
wpShopGermany
X (ehemals Twitter)
Xanario
XING
xt:Commerce
XXXLutz
YouTube
zalando
Zen-Cart
ZVAB

Auftrags(daten)verarbeitung und Steuerdaten: Benötigen Shop-Betreiber mit ihrem Steuerberater einen Vertrag zur Auftrags(daten)verarbeitung?

27.03.2018, 19:46 Uhr | Lesezeit: 6 min
von Dr. Bea Brünen
Auftrags(daten)verarbeitung und Steuerdaten: Benötigen Shop-Betreiber mit ihrem  Steuerberater einen Vertrag zur Auftrags(daten)verarbeitung?

Bei der Erstellung von Buchhaltung, Jahresabschluss & Co. greifen viele Shop-Betreiber gerne auf die Expertise eines erfahrenen Steuerberaters zurück. Woran viele dabei nicht denken: Die Auslagerung sensibler Steuerdaten an externe Steuerberater könnte eine sogenannte Auftragsverarbeitung darstellen – und für diese muss ein spezieller Vertrag mit einer ganzen Palette an Pflichtinhalten abgeschlossen werden. Ob das Auslagern von Steuerdaten an den Steuerberater tatsächlich eine – nach bisheriger Rechtslage und nach der DSGVO – Auftragsverarbeitung ist, erfahren Sie im Folgenden.

A. Auftragsverarbeitung: Was ist das nochmal?

Bei der sogenannten Auftragsverarbeitung oder Auftragsverarbeitung beauftragt ein Unternehmen externe Dienstleister damit, weisungsgebunden personenbezogene Daten zu verarbeiten.

Das bedeutet: Die externen Dienstleister werden bei der Auftragsverarbeitung nur unterstützend tätig, sie sind praktisch der „verlängerte Arm“ des Auftraggebers. Mit Inkrafttreten der DSGVO am 25. Mai 2018 gilt jedoch: Gewisse Entscheidungsspielräume eines Beauftragten - innerhalb des durch das beauftragende Unternehmen gesteckten Rahmens - bezüglich der Mittel der Verarbeitung hinsichtlich der technisch-organisatorischen Fragen schließen die Auftragsverarbeitung künftig nicht mehr aus (so DSK, Kurzpapier Nr. 12, Auftragsverarbeitung, Art. 28 DSGVO, S. 1 mit Verweis WP 169, S. 17 f.). Entscheidend ist vielmehr, dass das beauftragende Unternehmen bei der Tätigkeit des externen Dienstleisters einen rechtlichen oder einen tatsächlichen Einfluss auf die Entscheidung hat, wie personenbezogene Daten verarbeitet werden (Lepperhoff/Müthlein 2017, S. 311).

Personenbezogene Daten sind dabei nach Art. 4 Nr. 1 DSGVO alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Entscheidend ist also – wie bereits nach dem bislang geltenden § 3 Abs. 1 Bundesdatenschutzgesetz (BDSG) –, ob durch die erhobenen Daten irgendwie ein Personenbezug hergestellt werden kann.

Folgende Daten sind daher personenbezogen:

  • Name und Anschrift,
  • E-Mail-Adresse,
  • Telefonnummer und
  • Kontodaten.

Sogar IP-Adressen, die zum Beispiel durch Google Analytics erhoben werden, stellen personenbezogene Daten dar, wenn der Anbieter von Online-Diensten über rechtliche Mittel zur Identifizierung der hinter der IP-Adresse stehenden Personen verfügt (EuGH, Urteil vom 19.10.2016 (C-582/14)).

Vor diesem Hintergrund liegt in folgenden Fällen eine Auftragsverarbeitung vor:

  • Beauftragung einer externen Marketing-Agentur mit der Erstellung eines Newsletters
  • Beauftragung eines externen Rechenzentrums mit der Durchführung der Lohn- und Gehaltsabrechnung
  • Nutzung von Google Analytics
Banner Starter Paket

B. Zwingend notwendig: Vertrag zur Auftragsverarbeitung

Liegt eine Auftragsverarbeitung im oberen Sinne vor, trägt das beauftragende Unternehmen die Verantwortung für die ordnungsgemäße Datenverarbeitung. Das beauftragende Unternehmen ist daher auch der Hauptverantwortliche für den Datenschutz. Um dieser Verantwortung nachzukommen, müssen die Parteien vor Beginn der Auftragsverarbeitung schriftlich einen speziellen Vertrag abschließen.

Welchen Inhalt der Vertrag zur Auftragsverarbeitung dabei haben muss, wird durch das Gesetz genau festgelegt. Bislang regelte § 11 Abs. 2 Satz 2 BDSG, welche Punkte ein Vertrag zur Auftragsverarbeitung konkret enthalten muss. Mit Inkrafttreten der DSGVO am 25. Mai 2018 tritt in Deutschland jedoch eine neue Norm zur Auftragsverarbeitung in Kraft. Ab dem 25. Mai 2018 legt Art. 28 Abs. 3 DSGVO den genauen Inhalt eines Vertrags zur Auftragsverarbeitung fest. Nach Art. 28 Abs. 3 DSGVO muss ein Vertrag zur Auftragsverarbeitung auch in Zukunft eine ganze Palette von Regelungen enthalten.

Dazu gehören gemäß Art. 28 Abs. 3 S. 1 DSGVO

  • der Gegenstand und die Dauer der Verarbeitung,
  • die Art und der Zweck der Verarbeitung,
  • die Art der personenbezogenen Daten,
  • die Kategorien betroffener Personen und
  • die Pflichten und Rechte des Verantwortlichen.

Art. 28 Abs. 3 S. 2 DSGVO legt darüber hinaus weitere Pflichtinhalte des Vertrages zur Auftragsverarbeitung fest.

Wichtig: Entspricht die Vereinbarung zur Auftragsverarbeitung nicht den Anforderungen der DSGVO, begehen Unternehmen eine Ordnungswidrigkeit. Diese kann mit einem Bußgeld von bis zu 10 Millionen Euro oder von bis zu 2 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres geahndet werden (vgl. Art. 83 Abs. 4 lit. a DSGVO).

C. Das Auslagern von Daten an den Steuerberater als Auftragsverarbeitung?

Vor dem Hintergrund dieser doch recht drakonischen Strafen fragen sich viele Shop-Betreiber, die Leistungen eines Steuerberaters in Anspruch nehmen, ob hier auch ein Vertrag zur Auftragsverarbeitung abgeschlossen werden muss.

I. Knackpunkt: Funktionsübertragung vs. Auftragsdatenverarbeitung

Unter Geltung des BDSG wurde die Auftragsverarbeitung an dieser Stelle häufig von der sog. Funktionsübertragung abgegrenzt. Abgrenzungskriterium war dabei die Weisungsgebundenheit. So setzt die Auftragsverarbeitung danach voraus, dass der externe Dienstleister die Daten „weisungsgebunden“ verarbeitet. Die maßgeblichen Entscheidungen über den Umgang mit den personenbezogenen Daten verbleiben bei dem beauftragenden Unternehmen. Anders bei der Funktionsübertragung: Bei dieser werden die externen Dienstleister nicht weisungsgebunden tätig. Sie können frei entscheiden, was mit den Daten des Unternehmens geschieht. Die externen Dienstleister sind für die Einhaltung der datenschutzrechtlichen Vorschriften daher auch selbst verantwortlich. Die

Folge: Für die Funktionsübertragung muss kein spezieller Vertrag zur Auftragsverarbeitung geschlossen werden. Der externe Dienstleister ist im Rahmen der Funktionsübertragung vielmehr selbst für die Einhaltung des Datenschutzrechts verantwortlich.

II. Weitergeltung der Funktionsübertragung im Rahmen der DSGVO?

Ob die Figur der Funktionsübertragung auch nach Inkrafttreten der DSGVO weiterhin gelten soll, ist umstritten.

Teilweise wird dies im Hinblick auf das auch unter der DSGVO bestehende Bedürfnis, den weiten Begriff der „Auftragsverhältnisse“ einzuschränken, bejaht. Würde man eine Abgrenzung von Funktionsübertragung und Auftragsverarbeitung nicht vornehmen, hätte dies enorme Folgen: So würde bspw. jeder Auftrag an einen Freiberufler, in dessen Rahmen auch personenbezogene Daten verarbeitet werden, zu einer weisungsgebundenen Auftragsverarbeitung (so Schreiber in Plath/Plath BDSG/DSGVO 2016, Art. 4 DSGVO Rn. 28).

Andere hingegen sind der Auffassung, dass die Figur der Funktionsübertragung in der DSGVO nicht vorgesehen sei. Dies ergebe sich aus der Gesamtsystematik, insbesondere aus der Figur der gemeinsam Verantwortlichen nach Art. 26 DSGVO. Diese nimmt den Auftragsverarbeiter ebenfalls in die Pflicht. Gegen eine Weitergeltung der Figur der Funktionsübertragung spreche schließe auch, dass gewisse Entscheidungsspielräume eines Beauftragten die Auftragsverarbeitung nicht mehr ausschließen (s. dazu bereits oben und DSK, Kurzpapier Nr. 12, Auftragsverarbeitung, Art. 28 DSGVO, S. 1 mit Verweis WP 169, S. 17 f.).

III. Die Lösung: Abgrenzung von drei Bereichen

Richtigerweise dürften künftig – in Abstufung der Verantwortlichkeit für den Datenschutz – drei Bereiche voneinander abzugrenzen sein:

  • Eine Auftragsverarbeitung nach Art. 28 DSGVO mit einem neuen sachlichen Anwendungsbereich. Denn: Künftig schließen gewisse Entscheidungsspielräume eine Auftragsverarbeitung nicht mehr aus. Entscheidend ist vielmehr, dass das beauftragende Unternehmen bei der Tätigkeit des externen Dienstleisters einen rechtlichen oder einen tatsächlichen Einfluss auf die Entscheidung hat, wie personenbezogene Daten verarbeitet werden.
  • Eine weisungsfreie Tätigkeit, die jedoch der Figur der gemeinsam Verantwortlichen nach Art. 26 DSGVO unterliegt. Hierunter können je nach Gestaltung zahlreiche Verarbeitungen fallen, die bereits unter die Figur der Funktionsübertragung eingeordnet wurden.
  • Eine weisungsfreie Tätigkeit, die nicht der Figur der gemeinsam Verantwortlichen nach Art. 26 DSGVO unterliegt. Auch hierunter können je nach Gestaltung zahlreiche Verarbeitungen fallen, die bereits unter die Figur der Funktionsübertragung eingeordnet wurden.

IV. Inanspruchnahme des Steuerberaters als weisungsfreie Fachleistung

Der Steuerberater führt die ihm übertragenen Aufgaben, wie bspw. die Erstellung einer Jahresbilanz oder einer Lohnabrechnung, grundsätzlich eigenverantwortlich und weisungsfrei durch. Hier liegt keine Auftragsverarbeitung vor. Vielmehr ist der Steuerberater für die Einhaltung des Datenschutzrechts selbst verantwortlich. Das bedeutet: Mit ihm muss kein Vertrag über die Auftragsverarbeitung geschlossen werden.

Das gleich gilt im Übrigen auch dann, wenn bspw. ein Inkassounternehmen die Forderungen seines Auftraggebers durchsetzt oder ein Transportdienstleister die Waren für den Auftraggeber an Kunden ausliefert (dazu auch DSK, Kurzpapier Nr. 12, Auftragsverarbeitung, Art. 28 DSGVO, Anhang B).

D. Fazit

Shop-Betreiber, die sensible Steuerdaten an ihren Steuerberater auslagern, können aufatmen: Sie müssen keinen Vertrag zur Auftragsverarbeitung mit ihrem Steuerberater abschließen. Vielmehr ist der Steuerberater selbst für die Einhaltung des Datenschutzrechts zuständig.

Tipp: Sie haben Fragen zu dem Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook.

Bildquelle:
© vege - Fotolia.com

Link kopieren

Als PDF exportieren

Drucken

|

Per E-Mail verschicken

Zum Facebook-Account der Kanzlei

Zum Instagram-Account der Kanzlei

2 Kommentare

I
IT-Recht Kanzlei 28.03.2018, 17:09 Uhr
Entschuldigung
Sie haben völlig Recht. Das war kein guter Stil. Kurz zur Begründung: Wir haben auf Ihre berechtigte Kritik hin den Artikel offline gesetzt, noch einmal stark umgeschrieben und sodann neu veröffentlicht - dabei wurde Ihr gestriger (für uns sehr hilfreicher) Kommentar durch unser CMS nicht mehr mit berücksichtigt.

Und richtig, wir schmücken uns hier (teilweise) mit Ihren Federn und sind Ihnen hierfür auch dankbar.

Ihre IT-Recht Kanzlei
A
Aufgepasst 28.03.2018, 17:00 Uhr
Vielen Dank für die Anpassung ...
... im Interesse aller Beteiligten.

Schade jedoch, dass der Kommentar oder zumindest ein kleiner (anonymer) Dank, z.B. unter dem Artikel, bisher nicht veröffentlicht wurde. Ich finde, dass sich dies in Internetkreisen (v.a. unter Bloggern) so gehört. Es sind schließlich nicht Ihre Federn, mit denen Sie sich nunmehr schmücken - Ihr gestriger Artikel(entwurf) ging noch von ganz anderen rechtlichen Prämissen aus, die sie nunmehr - zutreffenderweise - über Bord geworfen haben.

Undank ist der Welten Lohn - auch bei der IT-Recht Kanzlei?

weitere News

OVG Niedersachsen: Pauschale Abfrage des Geburtsdatums in Online-Shops unzulässig
(28.03.2024, 12:24 Uhr)
OVG Niedersachsen: Pauschale Abfrage des Geburtsdatums in Online-Shops unzulässig
FAQ: Schadensersatzpflicht von Händlern bei Datenschutzverstößen
(15.03.2024, 08:17 Uhr)
FAQ: Schadensersatzpflicht von Händlern bei Datenschutzverstößen
EuGH: Fehlendes Verarbeitungsverzeichnis führt nicht automatisch zu einer unzulässigen Datenverarbeitung
(16.02.2024, 10:48 Uhr)
EuGH: Fehlendes Verarbeitungsverzeichnis führt nicht automatisch zu einer unzulässigen Datenverarbeitung
Auch weiterhin gilt: Die Weitergabe von E-Mail-Adressen an Paketdienstleister zu Paketankündigungszwecken bedarf einer Einwilligung
(05.01.2024, 13:23 Uhr)
Auch weiterhin gilt: Die Weitergabe von E-Mail-Adressen an Paketdienstleister zu Paketankündigungszwecken bedarf einer Einwilligung
EuGH: Keine Spürbarkeitsschwelle für immateriellen Schadensersatz nach DSGVO
(02.01.2024, 09:42 Uhr)
EuGH: Keine Spürbarkeitsschwelle für immateriellen Schadensersatz nach DSGVO
Hamburger Datenschutzbeauftragter: Gemeinsame Verantwortlichkeit nach DSGVO bei geteilter Kundendatenbank im Unternehmensverbund
(04.12.2023, 08:13 Uhr)
Hamburger Datenschutzbeauftragter: Gemeinsame Verantwortlichkeit nach DSGVO bei geteilter Kundendatenbank im Unternehmensverbund
Kommentar
verfassen
Ihre Meinung zu unserem Beitrag.
* mit Sternchen gekennzeichnete Felder sind Pflichtfelder
speichern

Vielen Dank für Ihren Kommentar

Wir werden diesen nach einer kurzen Prüfung
so schnell wie möglich freigeben.
Ihre IT-Recht Kanzlei
Vielen Dank!

Ihr Kommentar konnte nicht gespeichert werden!

Bitte versuchen Sie es zu einem späteren Zeitpunkt noch einmal.
Ihre IT-Recht Kanzlei
Vielen Dank!
© 2004-2024 · IT-Recht Kanzlei