Vereinbarung zur Auftragsverarbeitung – kleiner Aufwand große Wirkung!

„Setzt eine datenschutzrechtliche verantwortliche Stelle (Unternehmer, Steuerberater,
Wirtschaftsprüfer, …) in der Rolle als Auftraggeber einen Dienstleister zur Unterstützung ein und kommt der Dienstleister (Auftragnehmer) bei seiner Tätigkeit mit personenbezogenen Daten seines Auftraggebers in Berührung, so liegt eine Auftragsverarbeitung vor. Dies gilt im Kontext einer Steuerkanzlei vor allem für DATEV oder andere RZ-Dienstleister sowie für die IT-Partner zur Systemwartung.

Der Dienstleister darf die betreffenden Auftragsdaten dann nicht nach eigenem Belieben und für eigene Zwecke nutzen, sondern nur insoweit verwenden, wie es der Auftrag vorsieht (Weisung) und seine Tätigkeit es verlangt (Zweckbindung). Die Rechte und Pflichten des Auftraggebers und des Auftragnehmers bezüglich der datenschutzkonformen Erhebung, Verarbeitung und Nutzung von Auftragsdaten werden im Rahmen einer Vereinbarung zur Auftragsverarbeitung mit vertraglich zu vereinbarenden Mindestinhalten – entsprechend den gesetzlichen Vorgaben der DS-GVO – schriftlich festgelegt.

Haben die Parteien bis 25.05.2018 keine schriftliche Vereinbarung zur Auftragsverarbeitung geschlossen, so darf der Auftraggeber dem Dienstleister ab diesem Zeitpunkt keine personenbezogenen Daten mehr zur Verarbeitung überlassen. Aufträge im Sinne einer Auftragsverarbeitung dürfen dann nicht mehr ausgeführt werden, da beide Parteien sonst nicht mehr datenschutzkonform handeln und ein Bußgeld bis zu 10.000.000 Euro riskieren würden (Art. 83 (4) lit. a DS-GVO).

Wir bitten Sie deshalb –sofern noch nicht erfolgt – die erforderliche Vereinbarung mit Ihren Dienstleistern vor dem 25.05. 2018 abzuschließen.

Ein Berufsgeheimnisträger muss den Dienstleister darüber hinaus gem. § 203 StGB unter ausdrücklicher Belehrung über die strafrechtlichen Folgen zur Verschwiegenheit verpflichten.“

Schreiben der DATEV eG.