Vortragsreihe für die Buchhandlung Decius

An den Standorten Celle (28.12.2006), Delmenhorst (16.11.2006), Hannover (21.11.2006) und Hildesheim (31.10.2006) referierte Herr Dipl.-Ök. Stephan Rehfeld von scope & focus in den Räumen der Buchhandlung Decius zu dem Thema „Datenschutz in 
Steuerberatungskanzleien“. Neben einer allgemeinen Einführung zum Datenschutz wurde von Herrn Rehfeld insb. auf das Thema 
Auftragsdatenverarbeitung (§ 11 BDSG) eingegangen.

Zunehmend wird der Steuerberater von Mandanten aufgefordert, datenschutzrechtliche Ergänzungs-Verträge zur Auftragsdatenverarbeitung zu unterzeichnen. Es sei jedoch darauf hingewiesen, dass im Vorfeld zu prüfen ist, ob eine 
Auftragsdatenverarbeitung oder eine sog. Funktionsübertragung vorliegt. Kriterien für das Vorliegen einer Auftragsdatenverarbeitung 
sind:

• „Fehlende Entscheidungsbefugnis des Auftragnehmers über die Daten.
• Auftragsschwerpunkt ist auf die Durchführung einer Verarbeitung gerichtet, die der Auftraggeber nach außen in eigener Verantwortung vertritt.
• Das Fehlen einer eigenständigen rechtlichen Beziehung des Auftragnehmers zum Betroffenen.“

Kriterien für das Vorliegen einer Funktionsübertragung sind:

• „Überlassung von eigenständigen Nutzungsrechten an den vom Auftraggeber zur Verfügung gestellten Daten.
• Fehlende Einflussnahmemöglichkeit des Auftraggebers auf Teilbereiche  der Datenverarbeitung.
• Abwälzung der Verantwortlichkeit für die Zulässigkeit der Datenverarbeitung und Richtigkeit der Daten auf den Auftragnehmer.
• Verarbeitung von Daten, die erst auf Grund einer eigenständigen Rechtsbeziehung des Auftragnehmers mit dem Betroffenen erhoben wurden.“

Jedes Auftragsverhältnis ist individuell zu prüfen. Ist das Ergebnis der Prüfung, dass eine Auftragsdatenverarbeitung vorliegt, dann ist 
der Auftrag durch den Auftraggeber schriftlich zu erteilen (§ 11 Abs. 2 S. 2 BDSG). In dem entsprechenden Vertrag sind insb.

• die Datenerhebung, -verarbeitung oder -nutzung,
• die technisch und organisatorischen Maßnahmen und
• etwaige Unterauftragsverhältnisse

festzulegen (§ 11 Abs. 2 S. 2 BDSG).

Bei der Auswahl potenzieller Auftragnehmer ist die Gewährleistung der technischen und organisatorischen Maßnahmen durch den Auftraggeber zu berücksichtigen (§ 11 Abs. 2 S. 1 BDSG). Während der Auftragsdatenverarbeitung hat der Auftraggeber stichprobenartig die Einhaltung des Datenschutzes und (insb. auch der Umsetzung der technischen und organisatorischen Maßnahmen) durch den Auftragnehmer zu kontrollieren (§ 11 Abs. 1 S. 1 BDSG). Auch muss er die Zulässigkeit der Datenerhebung prüfen und die Rechte der Betroffenen.

(§ 6 BDSG) gewährleisten (§ 11 Abs. 1 S. 2 BDSG).

Der Auftragnehmer wiederum hat sicherzustellen, dass die Datenerhebung, -verarbeitung oder -nutzung entsprechend den Weisungen des Auftraggebers erfolgt. Eine Schulung und Verpflichtung der Mitarbeiter des Auftragnehmers ist durch ihn durchzuführen. Der 
Auftragnehmer hat die Einhaltung der technischen und organisatorischen Maßnahmen zu gewährleisten und die Pflicht zur Anzeige von Verstößen.