#13 Erst prüfen, dann binden: Ihre Dienstleister und die DSGVO

Erst prüfen, dann binden: Ihre Dienstleister und die DSGVO

Wir werfen in den aktuellen Folgen ja einen Blick auf die Themen, die Sie selbst – oder bestenfalls wir für Sie – beim Datenschutz umsetzen sollten. Einen Schwerpunkt stellt dabei der Blick auf Ihre Dienstleister dar, wenn Sie Ihre Datenverarbeitung – oder natürlich auch nur Teilbereiche davon – dorthin auslagern. Die DSGVO möchte nämlich gewährleistet wissen, dass auch bei solchen Dienstleistern, die Daten in Ihrem Auftrag verarbeiten, ein gewisses Datenschutzniveau gewahrt bleibt. Wir sprechen daher in dieser Folge über Ihre Dienstleister als Auftragsverarbeiter – so der Fachbegriff aus der DSGVO.

Und damit herzlich willkommen bei „So geht sicher“, dem Podcast für Datenschutz und IT-Sicherheit in der Steuerkanzlei. Ich bin Christine Munker, Datenschutzberaterin und Geschäftsführerin der Munker Privacy Consulting GmbH.

Wenn wir über die Auftragsverarbeitung sprechen, müssen wir als allererstes klären, welche Tätigkeiten, die Dienstleister übernehmen, typischerweise unter den Bereich der Auftragsverarbeitung fallen. Zum einen müssen die Daten, die der Dienstleister von Ihnen bekommt, personenbezogene Daten enthalten, denn nur um die geht es ja im Datenschutz. Wenn man genau hinschaut, ist das allerdings bei fast allen Kanzlei-Dienstleistern der Fall, wenn Daten dabei von A nach B gehen.

Ein bisschen mehr hilft uns die Definition, dass der Auftragsverarbeiter die personenbezogenen Daten nur auf dokumentierte Weisung des Verantwortlichen verarbeitet, so der Wortlaut aus Artikel 28 DSGVO. Das bedeutet also, der Auftragsverarbeiter erbringt die Dienstleistung weisungsgebunden. Damit können wir schon gut abgrenzen, wobei es sich grundsätzlich nicht um eine solche Auftragsverarbeitung handeln kann. Das sind all die Dienstleister, die Ihre Leistung weisungsfrei erbringen, beispielsweise Berater, Coaches, insgesamt Tätigkeiten aus dem freiberuflichen Bereich. Das ist auch der Grund, warum noch keiner Ihrer Mandanten mit Ihnen einen Auftragsverarbeitungsvertrag abschließen wollte: Steuerberater gelten grundsätzlich als weisungsfrei tätig. Anders sieht das ggf. schon wieder im Falle eines Lohnbüros oder reinen Buchhaltungsbüros aus.

Hier also einige Beispiele für klassische Auftragsverarbeitungsverhältnisse, wie Sie auch in Ihrer Kanzlei bestimmt vorkommen:

Outsourcing der Datenverarbeitung in ein Rechenzentrum

Nutzung von Cloudlösungen

Werbeagenturen, z.B. bei Zugriff auf Newsletterdaten, Adressdaten oder bei Websiteentwicklung

IT-Systemhäuser

Beauftragung eines Callcenters oder Telefonsekretariats

Papier- und Aktenvernichtung sowie die Vernichtung von Datenträgern

Externe Lohn- und Gehaltsabrechnung

Webhosting der eigenen Homepage

In manchen Fällen liegt es vielleicht nicht ganz auf der Hand, warum der Dienstleister nun unter den Bereich der Auftragsverarbeitung fällt. Hier haben sich eine Menge Menschen schon sehr viele Gedanken dazu gemacht, die ich Ihnen an dieser Stelle aber ersparen möchte.

Fakt ist: wenn Sie entsprechende Dienstleister beauftragt haben, müssen Sie tätig werden. Optimalerweise eigentlich schon, bevor Sie einen Dienstleister beauftragen. Sonst geben Sie Daten an ein Unternehmen weiter, dessen Datenschutzniveau Sie im Vorfeld nicht überprüft haben. Nun könnte man ja denken, dass es nicht Ihr Problem ist, wenn der Dienstleister sich nicht an datenschutzrechtliche Vorschriften hält. Aber genau das ist nicht der Fall, und das beabsichtigt die DSGVO auch so. Damit soll erreicht werden, dass der Verantwortliche – also die Kanzleileitung – sich nicht einfach durch Outsourcing an irgendwelche Geschäftspartner aus der Verantwortung dafür stehlen können, wie der Dienstleister mit Ihren Daten und den Daten Ihrer Mandanten umgeht.

Sie stehen also in der Pflicht, Ihre Auftragsverarbeiter zu prüfen. Sie müssen Fragen stellen, und wenn diese Fragen zu Ihrer Zufriedenheit beantwortet sind, unterzeichnen Sie einen sog. Auftragsverarbeitungsvertrag, in dem festgelegt wird, wie die Datenverarbeitung konkret vor sich geht und welche datenschutzrechtlichen Rahmenbedingungen definiert werden.

Welche Fragen stellen Sie nun Ihren Geschäftspartnern? Nun, im Grunde die gleichen, die wir Ihnen stellen würden, wenn wir den Status Ihrer Datenschutzorganisation herausfinden wollen, nur vielleicht nicht ganz so detailliert. Vor allem geht es dabei um die sogenannten Technisch-Organisatorischen Maßnahmen, die wesentlich dazu beitragen, den Schutz Ihrer Daten beim Dienstleiter zu gewährleisten.

Ganz wichtig ist dabei die Frage nach den Subunternehmern. Hier können sich spannende Dienstleister-Ketten entwickeln, was gerade im Bereich der Cloudlösungen schnell einmal passiert. Denn Sie müssen sich zumindest vergewissern, dass der Dienstleister sich davon überzeugt hat, dass beim Subunternehmer die gleichen Datenschutzstandards angesetzt werden wie bei ihm selbst, da Ihre Daten ja dann auch an den Subunternehmer weitergegeben werden.

Im Auftragsverarbeitungsvertrag, den Sie mit Ihrem Dienstleister abschließen müssen, wenn das Datenschutzniveau dort Ihren Vorstellungen entspricht, werden zusätzlich noch ein paar rechtliche Vorgaben geregelt, wie z.B. Informations- und Meldepflichten und Regelungen zum Umfang der Weisungsrechte.

So weit also zur Theorie. In der Praxis sollten Sie hier Ihren Datenschutzspezialisten zum Zuge kommen lassen. Behalten Sie aber folgende Punkte im Hinterkopf:

Bevor Sie einen Dienstleister beauftragen, müssen Sie überprüfen lassen, ob es sich um ein Auftragsverarbeitungsverhältnis handelt. An dieser Stelle geben Sie am Besten schon direkt ab an Ihren Datenschutzprofi ab.

Wenn Sie den Datenschutz im Haus organisieren, müssen Sie nun das Datenschutzniveau des Dienstleisters unter die Lupe nehmen und herausfinden, ob ein Vertragsschluss überhaupt rechtlich möglich ist.

Wenn das der Fall ist, fehlt nun noch der Auftragsverarbeitungsvertrag.

Und schon kann es losgehen…

Noch ein Tipp aus der Praxis: denken Sie bei einem potentiellen Geschäftspartner bitte nie Dinge wie „das ist ja ein renommiertes Unternehmen, da passt bestimmt alles“. Zum einen zeigt uns die Praxis, das das durchaus nicht immer so ist, sondern sogar erstaunlich häufig nicht. Und zum anderen haben Sie bitte immer im Auge, dass Steuerkanzleien doch andere Anforderungen an den Datenschutz und die Vertraulichkeit bei Dienstleistern stellen müssen und sollten, als manch anderer. Außerdem sind hier auch Vorschriften außerhalb des Datenschutzrechts zu beachten, wie z.B. aus dem Berufsrecht oder der Abgabenordnung.

Denken Sie bitte auch daran, dass ein Dienstleister, der kein solides Datenschutzniveau nachweisen kann, sehr wahrscheinlich auch ungute Mängel im Bereich der IT-Sicherheit im Gepäck hat, die beiden Themen hängen in diesem Bereich ja sehr eng zusammen. Einem Geschäftspartner mit Lecks im Sicherheitskonzept wollen Sie Ihre Daten sicher nicht anvertrauen.

Und: achten Sie bitte auch bei Lösungen, die Sie nur mal für einen Mandanten oder für sich selbst zum Test nutzen darauf, das Thema Auftragsverarbeitung zu regeln. Das wird allzu oft übersehen, und nicht nachgeholt, wenn es dann später zu einer Beauftragung kommen sollte.

Mit diesem kleinen Einblick in das Thema Auftragsverarbeitung habe ich mal wieder etwas an der rechtlichen Oberfläche gekratzt, aber das hatte ich Ihnen ja versprochen: keine Paragraphenpoesie. Für uns ist die Organisation der Zusammenarbeit mit Ihren Dienstleistern jedoch eine ganz wichtige Stellschraube für die Qualität Ihrer Datenschutzorganisation, denn diese Qualität kommt ganz schnell spürbar ins Wanken, wenn Sie auf die falschen Partner setzen.

In den nächsten Episoden sehen wir uns das Thema „Technisch-Organisatorische Maßnahmen“ noch etwas genauer an, also die Themen, die Sie beim Dienstleister prüfen, aber auch selbst in Ihrer Kanzlei organisieren müssen, wenn Sie eine Datenschutzorganisation aufbauen möchten. Und genau um diese Themen geht es uns ja aktuell hier im Podcast.

Und damit sind wir wieder einmal am Ende angekommen. All die Informationen, die Sie hier im Podcast hören, können Sie übrigens auch in Schriftform direkt in Ihr E-Mail-Postfach bekommen. Für alle, die lieber lesen als hören, gibt es nämlich den „So geht sicher.“ Newsletter, damit liefern wir Ihnen die gleichen News und Infos als Text auf den Tisch. Abonnieren können Sie den Newsletter auf unserer Webseite www.munker.info unter dem Menüpunkt „Kontakt“, den Link dazu stelle ich auch noch hier in die Shownotes.

Wenn Sie spezielle Themenwünsche haben, oder Fragen zur heutigen Episode, Hinweise oder Kritik, dann schreiben Sie uns gerne, die Kontaktdaten finden Sie wie immer in den heute wirklich viel zitierten Shownotes. Und wenn Sie mehr von diesem Podcast hören wollen, sollten Sie „so geht sicher“ JETZT GLEICH abonnieren. Bis bald!