Die EU-Datenschutzgrundverordnung (DSGVO) schreibt vor, dass Auftragsverarbeiter einen Vertrag mit dem Verantwortlichen abschließen müssen. Keinen Vertrag brauchen Verantwortliche, da diese von sich aus alle Datenschutzbestimmungen einhalten müssen.
Kein Auftragsverarbeiter-Vertrag
Die DSGVO trat am 25. Mai 2018 in Kraft. Vielen Unternehmen haben sich bereits mit dem Thema auseinandergesetzt und beschäftigen sich auch laufend mit der DSGVO. Im Zuge dessen werden wir öfters gefragt, warum wir keinen Vertrag als Auftragsverarbeiter schicken, wenn wir doch die Lohnverrechnung machen. Denn die Wirtschaftskammer und die Ärztekammer haben in ihren Informationen darauf hingewiesen, dass man einen Auftragsverarbeiter-Vertrag mit seinem Steuerberater benötigt.
Steuerberater werden als Verantwortliche tätig
Entgegen dieser anders lautenden Aussagen sind wir als Steuerberater keine Auftragsverarbeiter sondern Verantwortliche, da wir aufgrund unserer gesetzlichen Standesvorschriften allein oder gemeinsam mit anderen über Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheiden. In der Zusammenarbeit mit unseren Kunden werden wir als Verantwortliche tätig, also quasi von „Verantwortlichem“ zu „Verantwortlichem“. Es ist daher keine Vereinbarung zur Auftragsverarbeitung abzuschließen, sondern es gelten die Sorgfaltsmaßstäbe für Verantwortliche.
Bestätigung der Datenschutzbehörde
Die Datenschutzbehörde hat gegenüber der Kammer der Steuerberater und Wirtschaftsprüfer (KSW) bestätigt, dass Steuerberater Verantwortliche sind und keine Auftragsverarbeiter, selbst wenn sie “bloß” als Lohnverrechner für Klienten tätig sind. Dabei hat die Datenschutzbehörde auf eine kürzlich veröffentlichte rechtskräftige Entscheidung verwiesen:
Bescheid der Datenschutzbehörde vom 22. Jänner 2018, GZ DSB-D122.767/0001-DSB/2018
Hinweis: Im Bescheid wird der Verantwortliche als “datenschutzrechtlicher Auftraggeber“ bezeichnet, da dieser Begriff im alten Datenschutzgesetz verwendet wurde.