Auftragsverarbeitung

Deutscher Gesetzgeber stellt klar: Steuerberater sind keine Auftragsverarbeiter

30/12/2019 / Von / Datenschutz, Empfohlen / , ,

In meinem Beitrag „Warum ist denn nun die Lohnbuchhaltung durch Steuerberater KEINE Auftragsverarbeitung?“ hatte ich schon dargestellt, dass nach dem Steuerberatungsgesetz ausgeschlossen ist, dass Steuerberater als Auftragsverarbeiter eingestuft werden. Und zwar auch dann, wenn diese nur die Lohnbuchhaltung übernehmen.

Einige Aufsichtsbehörden haben das allerdings (auch dazu mehr im Beitrag) fälschlicherweise anders gesehen. Dies hat in der Praxis zu nicht unerheblichen Problemen geführt. Das ging sogar so weit, dass – wie mir berichtet wurde – eine Aufsichtsbehörde in Süddeutschland einem anfragenden Unternehmen geraten hatte, den Steuerberater zu wechseln, weil dieser sich (zurecht) weigerte, einen Auftragsverarbeitungsvertrag mit dem Mandanten abzuschließen. Ein Unding übrigens. Wenn ich mit diesem Fall als Anwalt betraut gewesen wäre, hätte die Behördenleitung Konsequenzen aus diesem rechtswidrigen Verhalten folgen lassen müssen.

Um für rechtliche Klarheit in diesem Bereich zu sorgen, hat der deutsche Gesetzgeber nun eine Änderung des Steuerberatungsgesetzes (StBerG) beschlossen, die seit dem 18.12.2019 in Kraft getreten ist.

Dort ist § 11 StBerG neu gefasst worden:

§ 11 Verarbeitung personenbezogener Daten
(1) Soweit es zur Erfüllung der Aufgaben nach diesem Gesetz erforderlich ist, dürfen personenbezogene Daten verarbeitet werden. Personenbezogene Daten dürfen auch für Zwecke künftiger Verfahren nach diesem Gesetz verarbeitet werden. Besondere Kategorien personenbezogener Daten gemäß Artikel 9 Absatz 1 der Verordnung (EU) 679/2016 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) (ABl. L 119 vom 4.5.2016, S. 1; L 314 vom 22.11.2016, S. 72) dürfen gemäß Artikel 9 Absatz 2 Buchstabe g der Datenschutz-Grundverordnung (EU) 2016/679 in diesem Rahmen verarbeitet werden.
(2) Die Verarbeitung personenbezogener Daten durch Personen und Gesellschaften nach § 3 erfolgt unter Beachtung der für sie geltenden Berufspflichten weisungsfrei. Die Personen und Gesellschaften nach § 3 sind bei Verarbeitung sämtlicher personenbezogener Daten ihrer Mandanten Verantwortliche gemäß Artikel 4 Nummer 7 der Datenschutz-Grundverordnung (EU) 2016/679. Besondere Kategorien personenbezogener Daten gemäß Artikel 9 Absatz 1 der Verordnung (EU) 679/2016 dürfen gemäß Artikel 9 Absatz 2 Buchstabe g der Datenschutz-Grundverordnung (EU) 2016/679 in diesem Rahmen verarbeitet werden.
(3) § 83 dieses Gesetzes und § 30 der Abgabenordnung stehen dem nicht entgegen.

Damit sind nun folgende, zuvor nicht ganz klare Probleme gelöst:

  1. Für besondere Kategorien personenbezogener Daten ist nun die Rechtsgrundlage für die Verarbeitung durch Steuerberater geregelt. Und zwar verweist § 11 StBerG insoweit jetzt auf die Befugnis aus Artikel 9 Abs. 2 lit. g) DSGVO. Im Ergebnis ist so eine Befugnis zur Verarbeitung besonderer Kategorien personenbezogener Daten im deutschen Recht – also im StBerG – geschaffen worden.
  2. Steuerberater sind bei jeglicher Verarbeitung von personenbezogenen Daten selbst Verantwortliche i.S.d. Art. 4 Nr. 7 DSGVO und arbeiten weisungsfrei. Im Ergebnis ist damit eine Auftragsverarbeitung ausgeschlossen. Und zwar auch dann, wenn „nur“ eine Lohnabrechnung für Mandanten erfolgt.

Dass der Gesetzgeber gerade auch das Problem, dass z.B. von einigen Aufsichtsbehörden vertreten wurde, dass die Lohnbuchhaltung eine Auftragsverarbeitung sei, lösen wollte, lässt sich übrigens ausdrücklich der Gesetzesbegründung entnehmen:

In § 11 Absatz 2 Satz 1 StBerG wird ergänzt, dass die Verarbeitung personenbezogener Daten durch Personen und Gesellschaften nach § 3 StBerG unter Beachtung der für sie geltenden Berufspflichten weisungsfrei erfolgt. D. h. dies gilt auch für das „Buchen laufender Geschäftsvorfälle“, „laufende Lohnabrechnung“ und „Fertigen der Lohnsteuer-Anmeldungen“, denn die Leistung des mit der Lohnbuchführung beauftragten Steuerberaters umfasst die eigenverantwortliche Prüfung und Anwendung der gesetzlichen Bestimmungen. Mit dieser Regelung werden die berufsrechtlichen Pflichten des Steuerberaters als Berufsgeheimnisträger zur unabhängigen, eigenverantwortlichen, gewissenhaften und verschwiegenen Berufsausübung sichergestellt.
Quelle: BT-Drs. 19/14909, S. 58

Dass der deutsche Gesetzgeber diese Frage der Berufsausübung im Bereich der freien Berufe so regelt, widerspricht im Übrigen auch nicht dem Europarecht. So wird man hier also nicht über einen Vorrang der DSGVO argumentieren können, dass dennoch eine Auftragsverarbeitung bei Steuerberatern in Frage käme.

Update, 30.12.2019: Da die Diskussion bei Twitter aufkam, ob der nationale Gesetzgeber überhaupt festlegen kann, wer Verantwortlicher und wer Auftragsverarbeiter ist, weise ich ergänzend darauf hin, dass der nationale Gesetzgeber nach Art. 4 Nr. 7 DSGVO die Zwecke und Mittel der Verarbeitung personenbezogener Daten vorgeben kann. Dies hat der Gesetzgeber im vorliegenden Fall in zulässiger (wenn vielleicht auch nicht eleganter) Weise getan, in dem in seiner Gesetzesbegründung erläutert hat, warum Steuerberater auch bei einer Lohnabrechnung etc. eigenverantwortlich tätig werden. Im Ergebnis kann so eine Verantwortlichkeit faktisch vom nationalen Gesetzgeber vorbestimmt werden.

Ich betrachte diese Rechtsfrage damit als geklärt. Daraus ergibt sich: Bei der Inanspruchnahme von Leistungen von Steuerberatern nach dem StBerG liegt KEINE Auftragsverarbeitung vor.

Insbesondere die Aufsichtsbehörden in Baden-Württemberg und Nordrhein-Westfalen sind nun aufgefordert, die von ihnen zuvor vertretene Rechtsauffassung, dass bei einer Lohnbuchhaltung durch Steuerberater eine Auftragsverarbeitung vorliege, öffentlich zu revidieren.
Dies ist schon geboten, um die von den Aufsichtsbehörden (m.E. fälschlicherweise) verursachte Rechtsunsicherheit nunmehr zu beseitigen.

Eingeschränkte Kontrollrechte des Auftraggebers im Auftragsverarbeitungsvertrag

21/02/2020 / Von / Fragen & Antworten /

Es sind offenbar einige Auftragsverarbeitungsverträge im Umlauf, bei denen die Auftragnehmer einer „sehr, sehr auftragnehmerfreundliche“ Klausel bzgl. eingeschränkter Kontrollrechte durch den Auftraggeber vorsehen.

So wird z.B. diese Klausel häufiger verwendet:

Wenn im Einzelfall dennoch eine Inspektion beim Auftragnehmer erforderlich sein sollte, wird diese auf Kosten des Auftraggebers durch einen unabhängigen externen Prüfer / eine unabhängige externe Prüferin durchgeführt, den / die der Auftragnehmer benennt. Der Auftragnehmer darf nur solche Prüfer/Prüferinnen benennen, die gegenüber dem Auftraggeber ihre Unabhängigkeit vom Auftragnehmer versichert und sich zur Verschwiegenheit verpflichtet haben.

Ich denke, wir sind uns einig, dass das sicher einigen Auftraggebern einer Auftragsverarbeitung nicht „schmecken“ dürfte.

Die Frage ist aber. Ist eine solche Klausel überhaupt zulässig?

Das Kontrollrecht des Auftraggebers einer Auftragsverarbeitung ist in Art. 28 Abs. 3 lit. h) DSGVO geregelt. Besser gesagt ist dort geregelt, dass im Auftragsverarbeitungsvertrag Regelungen zu treffen sind, die eine wirksame Kontrolle des Auftragsverarbeiters durch den Auftraggeber ermöglichen.

Wörtlich ist dort auch von „Inspektionen, die vom Verantwortlichen oder einem anderen beauftragten Prüfer durchgeführt werden“ die Rede.

Frage ist nun im Kern also diese:

Kann der Auftragnehmer einer Auftragsverarbeitung bei einer durchzuführenden Kontrolle den Prüfer selbst benennen, wenn er versichert, dass dieser gegenüber dem Auftragnehmer unabhängig ist?

Unternehmen, die eine derartige Klausel verwenden, behaupten gerne, dass dies zulässig sei und im Übrigen diese Ansicht im Übrigen auch so von der rechtswissenschaftlichen Literatur geteilt werde.

Was meint die rechtswissenschaftliche Literatur?

Da wir keine Rechtsprechung zu dieser Thematik haben, dürfen wir zunächst einen Blick in die Literatur werfen.

Richtig ist, dass in Teilen der Literatur durchaus vertreten wird, dass im Hinblick auf Vor-Ort-Kontrollen ausreichend sei, wenn diese Vor-Ort-Kontrollen durch Prüfer durchgeführt werden, die vom Auftragsverarbeiter beauftragt wurden. So findet sich z.B. diese Äußerung in der rechtswissenschaftlichen Literatur:

Wie vielfach in Auftragsverhältnissen bereits üblich und nach dem etwa von den deutschen Datenschutzbehörden sowie der Art.-29-Gruppe im Falle von Cloud Computing anerkannten Mechanismus ist hier keine eigene Kontrolle durch den Verantwortlichen erforderlich, ausreichend ist die Beauftragung von externen Prüfern durch den Auftragsverarbeiter.
Quelle: Hartung, in: Kühling/Buchner, DS-GVO BDSG, 2. Auflage 2018, Art. 28 Rn. 78

Und selbst in Gesetzeskommentaren, die tendenziell eher weite Kontrollrechte für Auftraggeber einer Auftragsverarbeitung vertreten, wird vertreten, dass vertraglich vereinbart werden könne:

(…) können Inspektionen nunmehr durch spezialisierte Dienstleister durchgeführt werden. Ob diese oder der Verantwortliche selbst prüft, kann verbindlich in einem Rechtsinstrument festgelegt, in Verträgen aber auch vereinbart werden.
Quelle: Petri, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, 1. Auflage 2019, Art. 28 Rn. 81

Dieses Zitat bezieht sich allerdings auch eine Passage bzgl. der Zertifizierung von Auftragsverarbeitern. Wenn also z.B. ein Auftragsverarbeiter eine Zertifizierung für seine Dienstleistungen nachweisen kann, dann könnte z.B. nach dieser Ansicht vertraglich vereinbart werden, dass weitere Vor-Ort-Kontrollen durch den Auftraggeber nicht zulässig sind.

Es gibt jedoch auch Stimmen in der juristischen Literatur, die eine Beschneidung von Kontrollrechten von Auftraggebern einer Auftragsverarbeitung für unzulässig halten:

Zuletzt muss die besondere Bedeutung von Kontrollen durch die Verantwortlichen für das Auftragsverarbeitungsrechtsverhältnis gesondert hervorgehoben werden. Durch die gesteigerte Dynamisierung der Verantwortlichkeit, wie sie besonders in Art. 24 Abs. 1 S. 2 DSGVO sowie Art. 5 Abs. 2 DSGVO zum Ausdruck kommt, sind die Verantwortlichen gehalten, regelmäßige Überprüfungen vorzunehmen, um die Datenschutzkonformität der von ihnen verantworteten Verarbeitungen zu gewährleisten.
(…)
An erster Stelle steht insoweit die unmittelbare Möglichkeit von Überprüfungen und Inspektionen durch die Verantwortlichen.
Quelle: Ingold, in: Sydow, Europäische Datenschutzgrundverordnung, 2. Auflage 2018, Art. 28 Rn. 70 f.

Das dürfte aber in der Weite eher eine Mindermeinung darstellen, auch wenn ich sie gut nachvollziehen kann.

Und was sagen die Aufsichtsbehörden?

Die Aufsichtsbehörden haben sich auf Basis des „alten“ Rechts – also vor Anwendung der DSGVO – zur Thematik von Kontrollen durch Verantwortliche bei einer Auftragsverarbeitung im Zusammenhang mit dem sog. „Cloud Computing“ geäußert. So gibt es von der Art. 29 Gruppe eine „Stellungnahme 05/2012 zum Cloud Computing“ (PDF). Und von den deutschen Aufsichtsbehörden gab es eine „Orientierungshilfe Cloud Computing“ (PDF).

In beiden Dokumenten wird deutlich vertreten, dass zwar eine Zertifizierung eines Auftragsverarbeiters geeignet sein kann, die Einhaltung der geforderten technischen und organisatorischen Maßnahmen nachzuweisen.

Ein Auftraggeber sollte sich dann die Prüfbescheinigungen zeigen lassen.

Unabhängig davon halten die Aufsichtsbehörden es aber für geboten, dass „eigene Kontrollrechte des Cloud-Anwenders vertraglich nicht ausgeschlossen werden, selbst wenn gewollt ist, dass die Auftragskontrolle in der Praxis in aller Regel durch die Vorlage geeigneter Zertifikate ausgeführt werden soll“..

Sofern die Aufsichtsbehörde – was nicht ganz klar ist –auf Basis der DSGVO diese Auffassung weiter vertreten sollten, würden sie eine Vertragsklausel wie die oben im Beitrag angeführt für unzulässig erachten.

Meine bescheidene Meinung

Ich meine, dass wir uns im Hinblick auf die Kontrollrechte bei einer Auftragsverarbeitung an der gesetzlichen Regelung in Art. 28 DSGVO zu orientieren haben. Nach Art. 28 Abs. 3 lit. h) DSGVO sind in einem Auftragsverarbeitungsvertrag Regelungen zu treffen, die eine wirksame Kontrolle der Verarbeitung von Daten im Auftrag durch den Verantwortlichen ermöglichen.

Dreh- und Angelpunkt ist also hier die „vertragliche Regelung“. Ich meine schon, dass vertragliche Regelungen auch dahingehend getroffen werden können, dass dem Auftraggeber keine eigenen Kontrollrechte zustehen, wenn eine Auditierung durch eine unabhängige „Instanz“ erfolgt ist und dem Auftraggeber prüffähige Unterlagen durch den Auftragnehmer zur Verfügung gestellt werden.

Wir können jetzt lange darüber streiten, ob hier die Vertragsfreiheit besteht oder durch den „Datenschutz“ eingeschränkt werden kann. Diese Diskussion würde hier aber zu weit führen.

Ich meine jedenfalls schon, dass unter Kaufleuten auf Augenhöhe vertragliche Regelungen getroffen werden können, die beide für hinreichend halten, um eine rechtskonforme Verarbeitung zu gewährleisten.

Und ganz ehrlich. Kein Rechenzentrum wird unbedingt sicherer, wenn es einen „Audit-Tourismus“ gibt und jeden Tag Besucherströme durch ein Rechenzentrum „wandern“.

Da macht es für einen Dienstleister schon mehr Sinn, die von ihm getroffenen technischen und organisatorischen Maßnahmen zum Datenschutz von einer unabhängigen Stelle überprüfen lassen zu können und dann weitere Kontrollen auszuschließen.

Und genauso kann ich verstehen, wenn andere Menschen diese Auffassung für kritisch halten.

Nur: Wer als Auftraggeber Daten im Auftrag verarbeiten lassen möchte, dem steht es frei, sich einen alternativen Anbieter zu suchen, der die nach seiner Meinung erforderliche eigene Kontrolle einräumt.

Einen verbindlichen Anspruch gibt die DSGVO hierfür jedoch m.E. nicht her.

Warum die o.g. Klausel dennoch unzulässig ist

Dass die o.g. Klausel meiner Meinung nach dennoch unzulässig ist, hat ausschließlich damit zu tun, dass der Auftragnehmer hier nicht nur den Prüfer selbst bestimmen möchte, sondern darüber hinaus der Auftraggeber diesen auch noch bezahlen soll.

Zum Verständnis möchte ich kurz darauf hinweisen, dass auf solche Auftragsverarbeitungsverträge, die nicht nur für einen Einzelfall erstellt worden sind, das sog. „AGB-Recht“ i.S.d. §§ 305 ff. BGB zur Anwendung kommt. Dieses Recht schützt nicht nur Verbraucher, sondern auch Unternehmen in Vertragsbeziehungen untereinander vor unzulässigen Klauseln, die in AGB zum Einsatz kommen.

Die hier diskutierte Klausel weicht m.E. derart von dem gesetzlichen Leitbild des Art 28 Abs. 3 lit. h) DSGVO ab, dass die wegen § 305c BGB schon nicht wirksam in den Vertrag einbezogen wird. Das Leitbild des Art. 28 Abs. 3 lit. h) DSGVO geht meiner Meinung nach recht deutlich davon aus, dass dem Auftraggeber grundsätzlich die Kontrollrechte zustehen und eine Klausel, die eine Kostentragungspflicht für einen vom Auftragsverarbeiter ausgewählten Prüfer vorsieht, ist insoweit auch in Verträgen zwischen Unternehmen ungewöhnlich und überraschend.

Darüber hinaus ist die Klausel m.E. unzulässig, da sie eine unangemessene Benachteiligung i.S.d. § 307 Abs. 2 BGB darstellt. Dem Auftraggeber steht nach Art. 28 DSGVO grundsätzlich selbst das Recht zu, seine Kontrollmaßnahmen zu wählen. Dabei kann zwar vertraglich vereinbart werden, dass diese Kontrollen nicht selbst durch den Verantwortlichen vorgenommen werden. Diese Regelung stellt jedoch eine Privilegierung des Auftragnehmers dar. Hier ist dem Auftraggeber nicht zuzumuten, dass er die Kosten dieser Privilegierung auch noch unmittelbar zu zahlen hat.

Eine solche Regelung ist mit der Regelung in Art. 28 Abs. 3 lit. h) DSGVO unvereinbar und damit eine unangemessene Benachteiligung i.S.d. § 307 Abs. 2 Nr. 1 BGB.

Darüber hinaus könnte man auch ggf. annehmen, dass hier schon ein Fall des § 307 Abs. 2 Nr. 2 BGB vorliegt, da hier wesentliche Rechte des Verantwortlichen (hier: Kontrollrechte) so eingeschränkt werden, dass die Erreichung des Vertragszwecks gefährdet wird. Der Fall ist aber juristisch nicht so klar, dass ich auf diese Karte setzen würde.

Fazit:
Im Ergebnis halte ich die o.g. Klausel, nach der der Auftragnehmer einer Auftragsverarbeitung den Prüfer bei einer Inspektion selbst auswählen darf, der Auftraggeber aber die Kosten zu tragen hat, für unzulässig.

Webinaraufzeichung „Wie prüfe ich einen Auftragsverarbeitungsvertrag?“

12/05/2020 / Von / Datenschutz-Coaching, Webinar / ,

Für Datenschutz-Coaching-Mitglieder gab es gestern ein Webinar zum Thema „Wie prüfe ich einen Auftragsverarbeitungsvertrag?“.

Und das auch mit dem Blick darauf, dass Datenschutzbeauftragte, die keine Anwälte sind, ggf. gar nicht alles prüfen dürfen. Was in einen Auftragsverarbeitungsvertrag hinein muss, warum eine Checkliste da hilfreich ist und wo die Grenzen zu einer „Rechtsberatung“ sind, das können Datenschutz-Coaching-Mitglieder in dem Webinar hier nachschauen:

Um auf diese Inhalte zugreifen zu können, musst du eines der folgenden Produkte gekauft haben: Datenschutz-Coaching PRO (12 Monate) [Digital] [Digital] oder Datenschutz-Coaching PRO (6 Monate) [Digital] [Digital]. Wenn du das Produkt schon gekauft hast, kannst du dich hier anmelden: Anmelden

Warum ist denn nun die Lohnbuchhaltung durch Steuerberater KEINE Auftragsverarbeitung?

28/12/2019 / Von / Datenschutz, Empfohlen / , ,
Update (28.12.2019): Der Beitrag ist mittlerweile "überholt". Denn der deutsche Gesetzgeber hat diese Rechtsfrage nun ausdrücklich geklärt. Mehr Infos dazu in diesem Beitrag: Deutscher Gesetzgeber stellt klar: Steuerberater sind keine Auftragsverarbeiter

Ich habe das hier im Podcast schon einmal erläutert. Da nicht jeder die Zeit hat, sich einen Podcast anzuhören, habe ich die Gründe hier noch einmal in Textform ausgeführt. Zumal einige Aufsichtsbehörde das mittlerweile anders sehen.

Steuerberater als Auftragsverarbeiter bei der Lohnbuchhaltung?

Um diese Frage zu beantworten, ist juristisches Handwerkszeug gefragt. Denn die Beantwortung der Frage hat auch einen historischen Hintergrund.

Unstreitig ist (bzw. war bis vor kurzem), dass die Lohnbuchhaltung eine „Hilfe in Steuersachen“ i.S.d. § 1 des Steuerberatungsgesetz (StBerG). Und diese Hilfe in Steuersachen darf – wenn sie geschäftsmäßig erfolgt – nur von Personen erbracht werden, die hierzu befugt sind. Das wiederum ergibt sich aus § 2 StBerG.

Wer nun zu geschäftsmäßiger Hilfeleistung in Steuersachen befugt ist, ergibt sich wiederum aus § 3 StBerG. Du merkst, das Gesetz hat einen nachvollziehbaren, prozeduralen Aufbau. Und nach § 3 StBerG dürfen diese Personen in Steuersachen Hilfe leisten:

  1. Steuerberater, Steuerbevollmächtigte, Rechtsanwälte, niedergelassene europäische Rechtsanwälte, Wirtschaftsprüfer und vereidigte Buchprüfer,
  2. Partnerschaftsgesellschaften, deren Partner ausschließlich die in Nummer 1 genannten Personen sind,
  3. Steuerberatungsgesellschaften, Rechtsanwaltsgesellschaften, Wirtschaftsprüfungsgesellschaften und Buchprüfungsgesellschaften.

Merke: Hier steht nichts von Lohnbüros, Buchhalterinnen und Buchhaltern oder anderen Berufsgruppen.

Halten wir also – der Struktur des StBerG – entsprechend diesen Grundsatz fest:

  • Lohnbuchhaltung, inkl. des Führens von Lohnkonten ist eine Hilfe in Steuersachen, die grundsätzlich nur von den in § 3 StBerG genannten Berufsgruppen erbracht werden darf.

Wie nicht nur Juristinnen wissen, gibt es von jedem Grundsatz Ausnahmen, denn sonst wäre es kein Grundsatz.

Und so ist es auch beim Führen von Lohnkonten. Bis Ende der 80er Jahre war die Lohnbuchhaltung zwar den Steuerberatern und den weiteren in § 3 StBerG genannten Berufen vorbehalten. Dann kamen jedoch zwei Entscheidungen des BVerfG zur Berufsfreiheit „dazwischen“. Aufgrund dieser Entscheidungen hat der Gesetzgeber mit dem „Vierten Gesetz zur Änderung des Steuerberatungsgesetzes“ (BT-Drs. 11/3915) Ausnahmen von diesem Grundsatz eingeführt.

Die Ausnahme bzgl. der Lohnbuchhaltung sind seitdem in § 6 Nr. 4 StBerG geregelt. Aus der Begründung des Gesetzgebers ergibt sich jedoch nicht, dass die Lohnbuchhaltung keine steuerberatende Tätigkeit sei. Nein, es wird nur unter Bezugnahme auf die damals neueren Entscheidung des BVerfG geregelt, dass auch Nicht-Steuerberater Lohnbuchhaltungstätigkeiten (übrigens nicht alle) unter bestimmten Voraussetzungen durchführen dürfen, da diese nicht so komplex seien, dass sie die Ausbildung zum Steuerberater erfordern.

Entscheidend ist jedoch, dass der Gesetzgeber hier eine Ausnahme von dem Grundsatz geregelt hat, dass nur Steuerberater etc. die Lohnbuchhaltung durchführen dürfen. Für Steuerberater, die eine Lohnbuchhaltung durchführen, gilt aber auch für diese Tätigkeit unstreitig das StBerG als berufsrechtliche Regelung. Und damit ist auch die Lohnbuchhaltung – wenn sie durch Steuerberater – erbracht wird, keine Auftragsverarbeitung. Denn der Steuerberater übt seine Tätigkeit nach § 32 Abs. 2 StBerG als freien Beruf und damit weisungsfrei aus. Für eine Auftragsverarbeitung ist hier kein Raum, zumal der Auftraggeber hier nicht über Zweck und Mittel der Datenverarbeitung entscheidet.

Einige Datenschutz-Aufsichtsbehörden sehen das anscheinend anders. So z.B. in Nordrhein-Westfalen und in Baden-Württemberg. Leider mit entweder spärlicher (NRW) oder nicht überzeugender (BW) Begründung.

Die Aufsichtsbehörde in Nordrhein-Westfalen hat die Systematik des StBerG nicht berücksichtigt, sondern spricht hier pauschal von „weisungsgebundenen“ und „weisungsunabhängigen“ Tätigkeiten von Steuerberaten, bei denen erstere dann als Auftragsverarbeitung klassifiziert werden könnten. Diese Ansicht ist nur schlichtweg falsch. Sie übersieht die o.g. Regelungssystematik nach Grundsatz und Ausnahmen der Tätigkeiten von Personengruppen bei der Erbringung von „Hilfe in Steuersachen“.

Die Aufsichtsbehörde in Baden-Württemberg hat sich da etwas mehr Mühe gemacht und sich im jüngsten Tätigkeitsbericht und neuerdings auch hier zu dem Thema geäußert. Und sich dabei erfreulicherweise auch etwas eingehender mit der Thematik beschäftigt. So werden z.B. die Entscheidungen des BVerfG angegeben. Leider wurde dabei ebenfalls die Systematik der Umsetzung im StBerG nicht berücksichtigt. – ein handwerklicher Fehler in der Auslegung. So kommt die Behörde dann auch zu dem falschen Schluss:

Für die Frage, ob der Steuerberater solche Arbeiten als Verantwortlicher (…) oder als Auftragsverarbeiter (…) erledigt, kommt diesem Umstand, dass es sich bei der laufenden Lohnbuchhaltung um rein mechanische Verarbeitungsvorgänge handelt, die keine besondere Qualifikation der steuerberatenden Berufe erfordert, entscheidende Bedeutung zu. Denn dies hat zur Folge, dass der für die Mitarbeiterdaten Verantwortliche die Befugnis behält, Zwecke und Mittel der Verarbeitung zu bestimmen. Dem steht auch nicht entgegen, dass der Steuerberater ansonsten, soweit er dem Steuerberaterprivileg unterfallende Arbeiten erledigt, zweifelsfrei als Verantwortlicher tätig wird. Denn es ist anerkannt, dass je nach konkreter Tätigkeit und Zusammenhang dieselbe Organisation hinsichtlich bestimmter Verarbeitungen als Verantwortlicher und hinsichtlich anderer Verarbeitungen als Auftragsverarbeiter handeln kann (…)

Auch hier wurde die bewusste Entscheidung des Gesetzgebers, die Berufsregeln nach einem Grundsatz-Ausnahme-Prinzip zu regeln, nicht beachtet. Diese berufsrechtlichen Regeln beinhalten aber aus den o.g. Gründen, dass Steuerberater insgesamt bei „Hilfe in Steuersachen“ weisungsfrei agieren.

Es ist eben nicht juristisch korrekt, die Lohnbuchhaltung nicht als „Hilfe in Steuersachen“ anzusehen. Die Aufsichtsbehörde in Baden-Württemberg schreibt in ihrem Beitrag auf der Website wörtlich:

Soweit es um die Verarbeitung personenbezogener Daten durch den Steuerberater für Zwecke der laufenden Lohnabrechnung geht, kann als Rechtsgrundlage jedenfalls nicht auf § 11 des Steuerberatungsgesetzes abgestellt werden, da es sich insoweit nicht um Daten handelt, die der „Erfüllung der Aufgaben nach diesem Gesetz“ (Hilfe in Steuersachen) dienen.

Und ich bin erstaunt, wie eine Aufsichtsbehörde hier so einen m.E. groben handwerklichen Fehler begeht. Denn schon aus dem Wortlaut des § 6 Nr. 4 StBerG ergibt sich eben ausdrücklich, dass es sich um Hilfeleistung in Steuersachen handelt. Merke: Schon der Titel der Norm heißt „§ 6 Ausnahmen vom Verbot der unbefugten Hilfeleistung in Steuersachen“. Im Umkehrschluss und das lernen wir Juristen ja schon in frühen Semestern heißt das aber auch, dass es eben auch die laufende Lohnabrechnung i.S.d. § 6 Nr. 4 StBerG eine Hilfeleistung in Steuersachen ist.

Im Ergebnis kann also nur festgehalten werden, dass die Lohnabrechnung durch Steuerberater eben keine Auftragsverarbeitung darstellt, da sie in Ausübung eines freien Berufes und weisungsfrei i.S.d. § 32 Abs. 2 StBerG handelt.

Natürlich hätte man aufgrund der Entscheidungen des BVerfG zur Berufsfreiheit in diesem Bereich das so sehen können wie die Aufsichtsbehörde in Baden-Württemberg. Der Gesetzgeber jedoch hat dies ausdrücklich anders geregelt. Und daran hat sich nun glücklicherweise auch eine Aufsichtsbehörde zu orientieren.

Und ich würde es sehr begrüßen, wenn sich Aufsichtsbehörden, die die hier eine Auftragsverarbeitung annehmen, sich mit dieser Argumentation einmal auseinandersetzen und sich dazu äußern. Ich bin sehr gespannt…

Warum die Lohnbuchhaltung durch Steuerberater KEINE Auftragsverarbeitung ist

28/03/2019 / Von / Podcast / ,
Die schriftliche, ausführliche Begründung kannst du hier nachlesen: Warum ist denn nun die Lohnbuchhaltung durch Steuerberater KEINE Auftragsverarbeitung?

Aus aktuellem Anlass (dazu mehr im Podcast) gibt es jetzt im Oktober doch noch eine Podcastfolge. In dem Podcast möchte ich die Begründung dafür liefern, warum die Lohnbuchhaltung durch Steuerberater keine Auftragsverarbeitung ist.

Eine Begründung in Textform reiche ich ggf. noch als gesonderten Blogbeitrag nach. Dieser Podcast sollte aber „schnell“ raus. Daher auch etwas heiß und fettig produziert. Ich hoffe, dass der Argumentationsstrang trotz meines „Gesappels“ deutlich wird…

Auftragsverarbeitung bei Übermittlung von Daten von Reisenden

05/09/2018 / Von / Fragen & Antworten /

Vor einiger Zeit erreichte mich folgende Frage:

Wir als Reiseveranstalter verschicken (SEHR) häufig (manchmal auch einmalig) Namenslisten an Hotels , Tourismus -Verbände und Lift-Gesellschaften. Ist es wirklich notwendig mit allen einen Auftragsverarbeitungsvertrag abzuschließen?

Klare Antwort: Nein

Die Weitergabe von Daten von Reisenden an z.B. Hotels oder Lift-Gesellschaften stellt keine Verarbeitung von Daten im Auftrag dar. Vielmehr verarbeiten Hotels oder z.B. auch Lift-Gesellschaften die Daten für eigene Zwecke. Sie entscheiden sowohl über Zweck als auch Mittel der Datenverarbeitung selbst und sind damit selbst „Verantwortlicher“ i.S.d. Art. 4 Nr. 7 DSGVO.

Die Weitergabe ist auch unproblematisch auf Basis der Rechtsgrundlage des Art. 6 Abs. 1 lit. b) DSGVO zulässig. Denn diese dient der Erbringung von vertraglichen Leistungen gegenüber dem Betroffenen. Bei Übermittlungen in Drittstaaten ist hier noch einmal gesondert Art. 49 Abs. 1 lit. b) DSGVO zu prüfen.

Und in diesen Szenarien liegt im Übrigen auch keine gemeinsame Verantwortlichkeit vor. Eine gemeinsame Entscheidung über Zwecke oder Mittel der Datenverarbeitung ist nicht Gegenstand der rechtlichen oder tatsächlichen Beziehungen zwischen den einzelnen Unternehmen.

Unzulässige Klausel in Auftragsverarbeitungsverträgen

05/09/2018 / Von / Datenschutz /

Ich bin seit 03.09.2018 zurück in der Kanzlei. Und natürlich häufen sich jetzt schon wieder die Prüfanfragen von Mandanten zu Auftragsverarbeitungsverträgen.

Auch wenn mittlerweile in Sachen DSGVO ein wenig Ruhe eingekehrt ist und es insgesamt „besonnener“ und weniger hektisch zugeht, treffe ich doch immer wieder auf ähnliche Probleme in Auftragsverarbeitungsverträgen. Heute möchte ich gerne mal eine Problemklausel in Auftragsverarbeitungsverträgen benennen, die doch recht häufig in entsprechenden Verträgen vorkommt.

Es geht um Regelungen zur Beauftragung von Unterauftragnehmern.

Während es vor Jahren ganz normal war, dass jeder Unterauftragnehmer vom Auftraggeber einer (damals noch) Auftragsdatenverarbeitung genehmigt werden musste, ist dies in der vertraglichen Praxis durch die wachsende Verbreitung von Cloud-Services, SaaS und ähnlichen Diensten üblich geworden, dass nicht jeder Auftragsverarbeiter mehr alles selbst macht, sondern wiederum auch für sich Unterauftragnehmer für die Erbringung von Teilen des jeweiligen Services nutzt. Das ist an sich auch nicht schlecht. Nur musst es halt geregelt werden.

Die Neuregelung der Auftragsverarbeitung in der DSGVO macht vielen Auftragsverarbeitern jetzt jedoch einen Strich durch die Rechnung. Denn es ist zwar nach Art. 28 Abs. 2 DSGVO möglich, sich eine (schriftliche) „Pauschal-Genehmigung“ des Auftraggebers zur Beauftragung von Unterauftragnehmern geben zu lassen, damit nicht jeder einzeln vorab genehmigt werden muss.

Aber: Art. 28 Abs. 2 Satz 2 DSGVO sieht in diesem Fall gleichwohl das Korrektiv vor, dass vor jede neuen Beauftragung eines Unterauftragnehmers oder bei einem Wechsel des bestehenden eine Information des Auftraggebers erfolgen muss. Und es gibt zudem eine Widerspruchsmöglichkeit des Auftraggebers der Auftragsverarbeitung. Er kann also dem Einsatz eines Unterauftragnehmers, der ihm nicht genehm ist, widersprechen.

Jetzt kann man trefflich rechtlich darüber streiten, welche Konsequenzen der Widerspruch für das Vertragsverhältnis zwischen Auftraggeber und Auftragnehmer hätte oder ob es ggf. möglich ist, das Widerspruchsrecht an eine sachgerechte Begründung des Auftraggebers zu knüpfen. Beides ist jedoch nicht Thema dieses Beitrags. In diesem Beitrag geht es nur um diese oder ähnliche Klauseln:

Dem Auftragnehmer ist gestattet, für die Erbringung der vertragsgegenständlichen Leistungen seinerseits Unterauftragnehmer zu beauftragen. Der Auftragnehmer teilt dem Auftraggeber die beauftragten Unterauftragnehmer auf Anfrage mit.

Wenn ihr so eine Klausel oder eine ähnliche Klausel in einem Auftragsverarbeitungsvertrag verwendet, dann solltet ihr wissen, dass eine Klausel dieser Art rechtlich unzulässig ist. Sie widerspricht unmittelbar der Regelung in Art. 28 Abs. 2 Satz 2 DSGVO, nach der der Auftragnehmer den Auftraggeber im Falle einer Beauftragung (oder eines Wechsels) eines Unterauftragnehmers zu informieren und eine Widerspruchsmöglichkeit einzuräumen hat.

Im Ergebnis ist eine Regelung dieser Art auch derart ungeeignet, dass sie nicht durch Auslegung der Norm „geheilt“ werden kann. In den meisten Auftragsverarbeitungsverträgen ist zumindest eine sog. „salvatorische Klausel“ enthalten, die dazu führt, dass die anderen Regelungen des Auftragsverarbeitungsvertrages wirksam bleiben.

Nur löst das leider nicht das Problem. Denn der Auftragsverarbeitungsvertrag genügt in der Form nicht den gesetzlichen Anforderungen. Es besteht sogar die Möglichkeit, dass der Verantwortliche wegen eines fehlerhaften Auftragsverarbeitungsvertrages ein Bußgeld riskiert.

Daher ist in diesen Fällen unbedingt Vorsicht walten zu lassen. Wenn ihr so eine Klausel in eurem Mustervertrag verwendet und vor allem gegenüber Kunden verwendet habt, sollten diese Verträge unbedingt angepasst werden. Wenn der Vertrag nicht insgesamt neu geschlossen werden soll, kann diese auch durch einen Annex zum Vertrag erfolgen, den beide Parteien vereinbaren.

Wenn ihr Verantwortlicher (also Auftraggeber) seid und so eine Klausel vorgelegt bekommt, sollte diese in keinem Fall akzeptiert werden.

Ein Fehler in AGB oder wie hier einem „Standardvertrag“ geht zwar zu Lasten dessen, der den Vertrag „angeboten“ hat. In der anwaltlichen Praxis rate ich Mandanten manchmal schon, unzulässige Klauseln nicht zu beanstanden, da sie dann bei klaren Verstößen unwirksam werden und das einen Vorteil für den Mandanten darstellen kann. Beispiel: Mandant erhält Angebot über die Inanspruchnahme eines „Cloud-Services“. Dem Angebot liegen AGB zugrunde. In den AGB befindet sich dann beispielsweise eine unzulässige Haftungsbeschränkung, die klar der insoweit recht einschränkenden Rechtsprechung des BGH widerspricht. Dann rate ich den Mandanten schon gerne einmal, diese Klausel nicht zu beanstanden und auch gar nicht anzusprechen. Denn in einem Streitfalle würde ein Gericht die Haftungsbeschränkung als unzulässige Klausel einstufen. Selbst wenn der Streit nicht vor Gerichte enden sollte, wüssten beteiligte Anwält um dieses Risiko. Die Unzulässigkeit der Klausel würde zu einer unbeschränkten Haftung des „Cloud-Services“ führen können. Ein gewichtiger Vorteil für den Mandanten.

In dem Beispiel der unwirksamen Klausel des Auftragsverarbeitungsvertrages muss dies jedoch vom Verantwortlichen angesprochen werden. Denn mit der unzulässigen Regelung zur Beauftragung von Unterauftragnehmern wird Art. 28 DSGVO verletzt und daraus resultiert – wie gesagt – ein Bußgeldrisiko für den Auftraggeber.

Daher sind Vertragsanpassungen bei solchen unzulässigen Klauseln dringend geboten.

Kontrolle des Auftragsverarbeiters nur gegen Zahlung eines Entgelts?

01/02/2019 / Von / Podcast / ,

Der Bayerische Landesdatenschutzbeauftragte Dr. Thomas Petri hat dieses Thema im Sommer in einer Mitteilung aufgegriffen:

Dort wird die Auffassung vertreten, dass ein Auftragsverarbeiter eine Vor-Ort-Kontrolle grundsätzlich einräumen muss und kein Entgelt dafür verlangt werden darf. Möglich sei aber, dies „einzupreisen“.

Aber: Ist das rechtlich wirklich so eindeutig? Mitnichten. Und vor allem sind viele Auftragsverarbeiter etwas „gebeutelt“. Ob also Vor-Ort-Kontrollen vom Auftragsverarbeiter berechnet werden können und unter welchen Bedingungen dies denkbar ist. Darum geht es in dieser Podcast-Episode.

Update (23.08.2018): Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) scheint das übrigens nicht pauschal so zu sehen, wie der Bayerische Landesdatenschutzbeauftragte. Das lässt sich hier (PDF) auf Seite 8 nachlesen. Zum Thema übrigens auch Kollege Piltz hier.

Webinaraufzeichnung: Auftragsverarbeitung oder nicht?

12/05/2020 / Von / Datenschutz-Coaching, Webinar / ,

Wann liegt denn nun eigentlich eine Auftragsverarbeitung vor und wann nicht? Die DSGVO ist da (genau wie das alte BDSG) alles andere als deutlich. Es gibt auch jetzt wieder neue Ansätze einer Auslegung unter den Juristen. Einige wollen einfach die bisherigen Abgrenzungslehren (Funktionsübertragung etc.) anwenden. Das geht natürlich nicht bzw. nur, soweit es europarechtlich passt.

Andere wollen jetzt jede Weitergabe von Daten oder jede Teilnahme eines Geschäftspartners an einem bestimmten Prozess als Auftragsverarbeitung einordnen.

Diese Ansicht verkennt allerdings den Sinn und Zweck des „Rechtsfigur“ der Auftragsverarbeitung und vor allem auch, dass die Auftragsverarbeitung systematisch im Lichte anderer Grundrechte und Grundfreiheiten der Grundrechtecharta der EU (GrCH) auszulegen ist. Und da ist vor allem Art. 16 GrCH zu nennen: Die unternehmerische Freiheit

Denn wenn ein Unternehmer nur durch bloße Kooperation zu einem Auftragsverarbeiter wird, unterliegt er wesentlichen Einwirkungs- und Kontrollrechten des Auftraggeber einer Auftragsverarbeitung. Das ist mit einer freien Berufsausübung nicht bzw. nur unter bestimmten Voraussetzungen zu vereinbaren. Denken wir nur einmal an das Szenario, dass ein Auftraggeber z.B. mindestens ein Widerspruchsrecht gegenüber neuen Unterauftragnehmern hat. Oder auch die Einräumung von Kontrollrechten gegenüber Unterauftragnehmern. Und auch der Gleichklang der Pflichten des Auftraggebers gegenüber dem Auftragnehmer, die dieser auch an den Unterauftragnehmer weiterreichen müsste. Ihr merkt schon: Das passt alles nicht mehr zusammen. Ich nenne es Auftragsverarbeitungsexzess.

Um den Anforderungen des Ausgleichs der Grundrechte zum Datenschutz in Art. 8 GrCH und Art. 7 GrCH und aber auch den Rechten der Unternehmen bzw. allgemein „Verantwortlichen“ Rechnung zu tragen, ist die Frage, ob eine Auftragsverarbeitung vorliegt oder nicht, ganz gut nach der „GM-Methode“, also mit gesundem Menschenverstand zu beantworten. Und daraus ist bei mir die Schwerpunkttheorie entstanden, die ich einfach mal so nenne. Mit der Schwerpunkttheorie dürften sich die meisten Fragen, ob eine Auftragsverarbeitung vorliegt oder nicht sachgerecht – und unter Berücksichtigung der einschlägigen Grundrechte und Grundfreiheiten der Beteiligten (Betroffene, Verantwortliche, Auftragsverarbeiter) – lösen lassen. Die Schwerpunkttheorie benötigt sicher noch einen Feinschliff (daran und an einem Fachbeitrag dazu arbeite ich gerade), aber für einen ersten Aufschlag passt das m.E. ganz gut. Ich bekomme damit jedenfalls einen Großteil der Abgrenzungen gut gelöst.

In der Aufzeichnung des Webinars vom 12.06.2018 mit dem Titel „Auftragsverarbeitung oder nicht“ stelle ich die Grundlagen der Auftragsverarbeitung dar und erklären meinen Ansatz für die Schwerpunkttheorie.

Das in dem Webinar häufig angesprochene Arbeitspapier der damaligen Art. 29 Gruppe findet ihr hier:

Und hier finden Datenschutz-Coaching-Mitglieder die Aufzeichnung des Webinars:

Um auf diese Inhalte zugreifen zu können, musst du eines der folgenden Produkte gekauft haben: Datenschutz-Coaching PRO (12 Monate) [Digital] [Digital] oder Datenschutz-Coaching PRO (6 Monate) [Digital] [Digital]. Wenn du das Produkt schon gekauft hast, kannst du dich hier anmelden: Anmelden

Muss ich einen Auftragsverarbeitungsvertrag mit meinem Reinigungsunternehmen schließen?

01/02/2019 / Von / Podcast /

Ich bekomme ungefähr 1x pro Woche folgende Anfrage von Mandanten oder Lesern dieser Internetseite:

Muss ich mit meinem Reinigungsunternehmen einen Auftragsverarbeitungsvertrag schließen?

Und die nächste Frage ist dann meist auch schon, ob das nach der DSGVO nun erforderlich ist.

Und die Beantwortung ist dann gar nicht ganz so einfach. Denn rechtlich lassen sich da mehrere Auffassungen vertreten. Das hat mit der sehr weiten Definition der Datenverarbeitung in Art. 4 Nr. 2 DSGVO zu tun. Und auch mit der leider nicht geklärten Frage, was denn überhaupt das „geschützte Rechtsgut“ beim Datenschutz ist. Das würde nämlich bei der Auslegung und Klärung der Frage etwas helfen.

Ich denke aber, dass zumindest in den Fällen, in denen die Reinigungskraft bzw. das Reinigungsunternehmen auch beauftragt ist, Papiermülleimer zu leeren und (hoffentlich) in Vernichtungssammelbehälter im Unternehmen zu werfen, eine Datenverarbeitung im Auftrag vorliegen wird. Dann wäre auch ein Auftragsverarbeitungsvertrag zu schließen.

In allen anderen Fällen halte ich es für vertretbar, nicht von einer „Datenverarbeitung“ durch die Reinigungskraft auszugehen. Und dann bleibt auch kein Raum für die Verarbeitung im Auftrag – logischerweise.

Im Podcast gehe ich die Konstellationen und die diesbezüglichen rechtlichen Möglichkeiten einmal durch.

Update, 18.03.2018: Ein wichtiger Punkt: Ich wurde zurecht darauf angesprochen, wie ich darauf komme, dass das Verbringen von Papiermüll in einen Vernichtungsbehälter oder in einen Shredder als Datenverarbeitung nach der DSGVO zu werten sei. Die Frage ist sehr berechtigt. Denn nach Art. 2 Abs. 2 DSGVO ist die DSGVO im Bereich der nichtautomatisierten Datenverarbeitung nur dann anwendbar, wenn die personenbezogenen Daten in einem Dateisystem gespeichert sind oder gespeichert werden sollen.

Nach Erwägungsgrund 15 der DSGVO fallen z.B. Akten und Aktensammlungen nicht in den Anwendungsbereich der DSGVO. Warum also gehe ich denn davon aus, dass in dem Szenario, wenn eine Reinigungskraft am Vernichtungsprozess für Papierunterlagen beteiligt ist, eine Auftragsverarbeitung vorliegen kann?

Das hat zunächst mit dem für mich als Anwalt geltenden „Gebot der Beratung des sichersten Weges“ zu tun. Wir Anwälte sollen immer so beraten, dass der sicherste Weg für den Mandanten gewählt wird. Und da hier das Vorliegen einer Auftragsverarbeitung im Raum stehen kann, wähle ich diesen Weg.

Denn: Mal angenommen, in einen Unternehmen wurde ein Brief von einem Kunden eingescannt, weil er in das Dokumentenmanagementsystem aufgenommen werden sollte. Wenn dieser Brief gescannt wurde, besteht kein Zweifel daran, dass dessen Verarbeitung in den Anwendungsbereich der DSGVO fällt. Der Brief war dazu gedacht, dass er in einem Dateisystem verarbeitet werden soll. Damit liegt die Voraussetzung für die Anwendung der DSGVO nach Art. 2 Abs. 1 DSGVO m.E. vor.

Natürlich können auch einmal andere Briefe im Papierkorb landen, die nicht dazu gedacht waren, in ein Dateisystem überführt zu werden. Nur: Wer will das unterscheiden? Und: Ist es wirklich ausgeschlossen, dass Papierunterlagen, die in einem Dateisystem verarbeitet werden sollen, im Papierkorb landen? Wohl kaum! Daher gehe ich in diesen Szenarien davon aus, dass die DSGVO Anwendung finden kann. Und daher ist es eine gute Idee, diesen Bereich mit einem Auftragsverarbeitungsvertrag zu regeln.

Webinaraufzeichnung: Anpassung von ADV-Verträgen an die DSGVO

12/05/2020 / Von / Datenschutz-Coaching, Webinar / ,

Heute fand mein Webinar „Anpassung von Auftragsdatenverarbeitungsverträgen an die DSGVO“ für Datenschutz-Coaching-Mitglieder statt.

Thema war, worauf ihr achten müsst, wenn ihr bestehende Auftragsdatenverarbeitungsverträge für eure Kunden oder Dienstleister ändern wollt bzw. worauf ihr achten solltet, wenn ihr neue Auftragsverarbeitungsverträge auf Basis von Art. 28 DSGVO von euren Kunden bzw. Auftraggebern erhaltet.

Anhand einer Überarbeitung meiner alten Checkliste zur Prüfung von ADV-Verträgen gehen wir so mal die Anforderungen durch. Und ich habe eine ganze Reihe von Fragen der Datenschutz-Coaching-Mitglieder beantwortet, die sich sicherlich auch viele andere stellen.

Die neue Checkliste werde ich voraussichtlich am 30.01.2018 mit dem Newsletter am Dienstag veröffentlichen.

Hier jetzt aber erst einmal die Aufzeichnung des Videos:

Um auf diese Inhalte zugreifen zu können, musst du eines der folgenden Produkte gekauft haben: Datenschutz-Coaching PRO (12 Monate) [Digital] [Digital] oder Datenschutz-Coaching PRO (6 Monate) [Digital] [Digital]. Wenn du das Produkt schon gekauft hast, kannst du dich hier anmelden: Anmelden