Auftragsverarbeitung

Deutscher Gesetzgeber stellt klar: Steuerberater sind keine Auftragsverarbeiter

In meinem Beitrag „Warum ist denn nun die Lohnbuchhaltung durch Steuerberater KEINE Auftragsverarbeitung?“ hatte ich schon dargestellt, dass nach dem Steuerberatungsgesetz ausgeschlossen ist, dass Steuerberater als Auftragsverarbeiter eingestuft werden. Und zwar auch dann, wenn diese nur die Lohnbuchhaltung übernehmen. Einige Aufsichtsbehörden haben das allerdings (auch dazu mehr im Beitrag) fälschlicherweise anders gesehen. Dies hat in der Praxis zu nicht unerheblichen Problemen geführt. Das ging sogar so weit, dass – wie mir berichtet wurde – eine Aufsichtsbehörde in Süddeutschland einem anfragenden Unternehmen geraten hatte, den Steuerberater zu wechseln, weil dieser sich (zurecht) weigerte, einen Auftragsverarbeitungsvertrag mit dem Mandanten abzuschließen. Ein Unding übrigens. Wenn …

Deutscher Gesetzgeber stellt klar: Steuerberater sind keine Auftragsverarbeiter Weiter lesen »

Eingeschränkte Kontrollrechte des Auftraggebers im Auftragsverarbeitungsvertrag

Es sind offenbar einige Auftragsverarbeitungsverträge im Umlauf, bei denen die Auftragnehmer einer „sehr, sehr auftragnehmerfreundliche“ Klausel bzgl. eingeschränkter Kontrollrechte durch den Auftraggeber vorsehen. So wird z.B. diese Klausel häufiger verwendet: Wenn im Einzelfall dennoch eine Inspektion beim Auftragnehmer erforderlich sein sollte, wird diese auf Kosten des Auftraggebers durch einen unabhängigen externen Prüfer / eine unabhängige externe Prüferin durchgeführt, den / die der Auftragnehmer benennt. Der Auftragnehmer darf nur solche Prüfer/Prüferinnen benennen, die gegenüber dem Auftraggeber ihre Unabhängigkeit vom Auftragnehmer versichert und sich zur Verschwiegenheit verpflichtet haben. Ich denke, wir sind uns einig, dass das sicher einigen Auftraggebern einer Auftragsverarbeitung nicht …

Eingeschränkte Kontrollrechte des Auftraggebers im Auftragsverarbeitungsvertrag Weiter lesen »

Webinaraufzeichung „Wie prüfe ich einen Auftragsverarbeitungsvertrag?“

Für Datenschutz-Coaching-Mitglieder gab es gestern ein Webinar zum Thema „Wie prüfe ich einen Auftragsverarbeitungsvertrag?“.

Und das auch mit dem Blick darauf, dass Datenschutzbeauftragte, die keine Anwälte sind, ggf. gar nicht alles prüfen dürfen. Was in einen Auftragsverarbeitungsvertrag hinein muss, warum eine Checkliste da hilfreich ist und wo die Grenzen zu einer „Rechtsberatung“ sind, das können Datenschutz-Coaching-Mitglieder in dem Webinar hier nachschauen:

Um auf diese Inhalte zugreifen zu können, musst du eines der folgenden Produkte gekauft haben: Datenschutz-Coaching PRO (12 Monate) [Digital] [Digital].
Wenn du das Produkt schon gekauft hast, kannst du dich hier anmelden: Anmelden

Warum ist denn nun die Lohnbuchhaltung durch Steuerberater KEINE Auftragsverarbeitung?

Update (28.12.2019): Der Beitrag ist mittlerweile "überholt". Denn der deutsche Gesetzgeber hat diese Rechtsfrage nun ausdrücklich geklärt. Mehr Infos dazu in diesem Beitrag: Deutscher Gesetzgeber stellt klar: Steuerberater sind keine Auftragsverarbeiter Ich habe das hier im Podcast schon einmal erläutert. Da nicht jeder die Zeit hat, sich einen Podcast anzuhören, habe ich die Gründe hier noch einmal in Textform ausgeführt. Zumal einige Aufsichtsbehörde das mittlerweile anders sehen. Steuerberater als Auftragsverarbeiter bei der Lohnbuchhaltung? Um diese Frage zu beantworten, ist juristisches Handwerkszeug gefragt. Denn die Beantwortung der Frage hat auch einen historischen Hintergrund. Unstreitig ist (bzw. war bis vor kurzem), dass …

Warum ist denn nun die Lohnbuchhaltung durch Steuerberater KEINE Auftragsverarbeitung? Weiter lesen »

Warum die Lohnbuchhaltung durch Steuerberater KEINE Auftragsverarbeitung ist

Die schriftliche, ausführliche Begründung kannst du hier nachlesen: Warum ist denn nun die Lohnbuchhaltung durch Steuerberater KEINE Auftragsverarbeitung? Aus aktuellem Anlass (dazu mehr im Podcast) gibt es jetzt im Oktober doch noch eine Podcastfolge. In dem Podcast möchte ich die Begründung dafür liefern, warum die Lohnbuchhaltung durch Steuerberater keine Auftragsverarbeitung ist. Eine Begründung in Textform reiche ich ggf. noch als gesonderten Blogbeitrag nach. Dieser Podcast sollte aber „schnell“ raus. Daher auch etwas heiß und fettig produziert. Ich hoffe, dass der Argumentationsstrang trotz meines „Gesappels“ deutlich wird…

Auftragsverarbeitung bei Übermittlung von Daten von Reisenden

Vor einiger Zeit erreichte mich folgende Frage: Wir als Reiseveranstalter verschicken (SEHR) häufig (manchmal auch einmalig) Namenslisten an Hotels , Tourismus -Verbände und Lift-Gesellschaften. Ist es wirklich notwendig mit allen einen Auftragsverarbeitungsvertrag abzuschließen? Klare Antwort: Nein Die Weitergabe von Daten von Reisenden an z.B. Hotels oder Lift-Gesellschaften stellt keine Verarbeitung von Daten im Auftrag dar. Vielmehr verarbeiten Hotels oder z.B. auch Lift-Gesellschaften die Daten für eigene Zwecke. Sie entscheiden sowohl über Zweck als auch Mittel der Datenverarbeitung selbst und sind damit selbst „Verantwortlicher“ i.S.d. Art. 4 Nr. 7 DSGVO. Die Weitergabe ist auch unproblematisch auf Basis der Rechtsgrundlage des Art. …

Auftragsverarbeitung bei Übermittlung von Daten von Reisenden Weiter lesen »

Unzulässige Klausel in Auftragsverarbeitungsverträgen

Ich bin seit 03.09.2018 zurück in der Kanzlei. Und natürlich häufen sich jetzt schon wieder die Prüfanfragen von Mandanten zu Auftragsverarbeitungsverträgen. Auch wenn mittlerweile in Sachen DSGVO ein wenig Ruhe eingekehrt ist und es insgesamt „besonnener“ und weniger hektisch zugeht, treffe ich doch immer wieder auf ähnliche Probleme in Auftragsverarbeitungsverträgen. Heute möchte ich gerne mal eine Problemklausel in Auftragsverarbeitungsverträgen benennen, die doch recht häufig in entsprechenden Verträgen vorkommt. Es geht um Regelungen zur Beauftragung von Unterauftragnehmern. Während es vor Jahren ganz normal war, dass jeder Unterauftragnehmer vom Auftraggeber einer (damals noch) Auftragsdatenverarbeitung genehmigt werden musste, ist dies in der vertraglichen …

Unzulässige Klausel in Auftragsverarbeitungsverträgen Weiter lesen »

Kontrolle des Auftragsverarbeiters nur gegen Zahlung eines Entgelts?

Der Bayerische Landesdatenschutzbeauftragte Dr. Thomas Petri hat dieses Thema im Sommer in einer Mitteilung aufgegriffen: „Aktuelle Kurz-Information 6 – Keine gesonderte Entgeltpflicht für Kontrollen bei der Auftragsverarbeitung“ Dort wird die Auffassung vertreten, dass ein Auftragsverarbeiter eine Vor-Ort-Kontrolle grundsätzlich einräumen muss und kein Entgelt dafür verlangt werden darf. Möglich sei aber, dies „einzupreisen“. Aber: Ist das rechtlich wirklich so eindeutig? Mitnichten. Und vor allem sind viele Auftragsverarbeiter etwas „gebeutelt“. Ob also Vor-Ort-Kontrollen vom Auftragsverarbeiter berechnet werden können und unter welchen Bedingungen dies denkbar ist. Darum geht es in dieser Podcast-Episode. Update (23.08.2018): Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) scheint das übrigens …

Kontrolle des Auftragsverarbeiters nur gegen Zahlung eines Entgelts? Weiter lesen »

Webinaraufzeichnung: Auftragsverarbeitung oder nicht?

Wann liegt denn nun eigentlich eine Auftragsverarbeitung vor und wann nicht? Die DSGVO ist da (genau wie das alte BDSG) alles andere als deutlich. Es gibt auch jetzt wieder neue Ansätze einer Auslegung unter den Juristen. Einige wollen einfach die bisherigen Abgrenzungslehren (Funktionsübertragung etc.) anwenden. Das geht natürlich nicht bzw. nur, soweit es europarechtlich passt.

Andere wollen jetzt jede Weitergabe von Daten oder jede Teilnahme eines Geschäftspartners an einem bestimmten Prozess als Auftragsverarbeitung einordnen.

Diese Ansicht verkennt allerdings den Sinn und Zweck des „Rechtsfigur“ der Auftragsverarbeitung und vor allem auch, dass die Auftragsverarbeitung systematisch im Lichte anderer Grundrechte und Grundfreiheiten der Grundrechtecharta der EU (GrCH) auszulegen ist. Und da ist vor allem Art. 16 GrCH zu nennen: Die unternehmerische Freiheit

Denn wenn ein Unternehmer nur durch bloße Kooperation zu einem Auftragsverarbeiter wird, unterliegt er wesentlichen Einwirkungs- und Kontrollrechten des Auftraggeber einer Auftragsverarbeitung. Das ist mit einer freien Berufsausübung nicht bzw. nur unter bestimmten Voraussetzungen zu vereinbaren. Denken wir nur einmal an das Szenario, dass ein Auftraggeber z.B. mindestens ein Widerspruchsrecht gegenüber neuen Unterauftragnehmern hat. Oder auch die Einräumung von Kontrollrechten gegenüber Unterauftragnehmern. Und auch der Gleichklang der Pflichten des Auftraggebers gegenüber dem Auftragnehmer, die dieser auch an den Unterauftragnehmer weiterreichen müsste. Ihr merkt schon: Das passt alles nicht mehr zusammen. Ich nenne es Auftragsverarbeitungsexzess.

Um den Anforderungen des Ausgleichs der Grundrechte zum Datenschutz in Art. 8 GrCH und Art. 7 GrCH und aber auch den Rechten der Unternehmen bzw. allgemein „Verantwortlichen“ Rechnung zu tragen, ist die Frage, ob eine Auftragsverarbeitung vorliegt oder nicht, ganz gut nach der „GM-Methode“, also mit gesundem Menschenverstand zu beantworten. Und daraus ist bei mir die Schwerpunkttheorie entstanden, die ich einfach mal so nenne. Mit der Schwerpunkttheorie dürften sich die meisten Fragen, ob eine Auftragsverarbeitung vorliegt oder nicht sachgerecht – und unter Berücksichtigung der einschlägigen Grundrechte und Grundfreiheiten der Beteiligten (Betroffene, Verantwortliche, Auftragsverarbeiter) – lösen lassen. Die Schwerpunkttheorie benötigt sicher noch einen Feinschliff (daran und an einem Fachbeitrag dazu arbeite ich gerade), aber für einen ersten Aufschlag passt das m.E. ganz gut. Ich bekomme damit jedenfalls einen Großteil der Abgrenzungen gut gelöst.

In der Aufzeichnung des Webinars vom 12.06.2018 mit dem Titel „Auftragsverarbeitung oder nicht“ stelle ich die Grundlagen der Auftragsverarbeitung dar und erklären meinen Ansatz für die Schwerpunkttheorie.

Das in dem Webinar häufig angesprochene Arbeitspapier der damaligen Art. 29 Gruppe findet ihr hier:

Und hier finden Datenschutz-Coaching-Mitglieder die Aufzeichnung des Webinars:

Um auf diese Inhalte zugreifen zu können, musst du eines der folgenden Produkte gekauft haben: Datenschutz-Coaching PRO (12 Monate) [Digital] [Digital].
Wenn du das Produkt schon gekauft hast, kannst du dich hier anmelden: Anmelden

Muss ich einen Auftragsverarbeitungsvertrag mit meinem Reinigungsunternehmen schließen?

Ich bekomme ungefähr 1x pro Woche folgende Anfrage von Mandanten oder Lesern dieser Internetseite: Muss ich mit meinem Reinigungsunternehmen einen Auftragsverarbeitungsvertrag schließen? Und die nächste Frage ist dann meist auch schon, ob das nach der DSGVO nun erforderlich ist. Und die Beantwortung ist dann gar nicht ganz so einfach. Denn rechtlich lassen sich da mehrere Auffassungen vertreten. Das hat mit der sehr weiten Definition der Datenverarbeitung in Art. 4 Nr. 2 DSGVO zu tun. Und auch mit der leider nicht geklärten Frage, was denn überhaupt das „geschützte Rechtsgut“ beim Datenschutz ist. Das würde nämlich bei der Auslegung und Klärung der …

Muss ich einen Auftragsverarbeitungsvertrag mit meinem Reinigungsunternehmen schließen? Weiter lesen »

Webinaraufzeichnung: Anpassung von ADV-Verträgen an die DSGVO

Heute fand mein Webinar „Anpassung von Auftragsdatenverarbeitungsverträgen an die DSGVO“ für Datenschutz-Coaching-Mitglieder statt.

Thema war, worauf ihr achten müsst, wenn ihr bestehende Auftragsdatenverarbeitungsverträge für eure Kunden oder Dienstleister ändern wollt bzw. worauf ihr achten solltet, wenn ihr neue Auftragsverarbeitungsverträge auf Basis von Art. 28 DSGVO von euren Kunden bzw. Auftraggebern erhaltet.

Anhand einer Überarbeitung meiner alten Checkliste zur Prüfung von ADV-Verträgen gehen wir so mal die Anforderungen durch. Und ich habe eine ganze Reihe von Fragen der Datenschutz-Coaching-Mitglieder beantwortet, die sich sicherlich auch viele andere stellen.

Die neue Checkliste werde ich voraussichtlich am 30.01.2018 mit dem Newsletter am Dienstag veröffentlichen.

Hier jetzt aber erst einmal die Aufzeichnung des Videos:

Um auf diese Inhalte zugreifen zu können, musst du eines der folgenden Produkte gekauft haben: Datenschutz-Coaching PRO (12 Monate) [Digital] [Digital].
Wenn du das Produkt schon gekauft hast, kannst du dich hier anmelden: Anmelden