DSGVO: Auftragsverarbeiter oder Verantwortlicher: Wer hat Recht?

Bild Datenschutz-GrundverordnungDie Datenschutz-Grundverordnung lässt trotz ihrer 99 Artikel und 173 Erwägungsgründe viel Interpretationsspielraum zu. Der europäische Gesetzgeber sieht darin eine Maßnahme zur Entbürokratisierung, denn er gibt den Unternehmen damit weiten Ermessensspielraum für die eigenverantwortliche Umsetzung der Vorschriften.

Das am Schreibtisch in Brüssel entworfene Regelwerk wurde wohl geschaffen, um Datenkraken á la Facebook, Google & Co. in die Schranken zu weisen. Verständlicher Weise fühlen sich EPUs und KMUs – für die die DSGVO ja gleichlautend gilt – als ob mit Kanonen auf Spatzen geschossen wird. In meiner alltäglichen Praxis zeigt sich, welche enormen Herausforderungen von Unternehmen jeder Größenordnung beim Umsetzen zu bewältigen sind.

Dazu kommt, dass der im Gesetz vorgesehene Ermessensspielraum oftmals zu widersprüchlichen Interpretationen ein und desselben Details führt. Als Beispiel sei die Rolle des Steuerberaters genannt. Ist dieser im Sinne der DSGVO als Verantwortlicher zu sehen, oder als Auftragsverarbeiter. Je nach Rolle ergeben sich gänzlich unterschiedliche Pflichten.

Die Wirtschaftskammer Österreich WKO sieht den Steuerberater in ihrer letzten Ausgabe der Wiener Wirtschaft (Nr. 18/19 vom 3. Mai 2018) als Auftragsverarbeiter mit dem ein schriftlicher Vertrag abzuschließen ist. Die Kammer der Steuerberater und Wirtschaftsprüfer KSW wiederum sieht ihre Mitglieder als Verantwortliche. Widersprüchlicher kann die Meinung von zwei Interessenvertretungen nicht sein.

Fallwiese kommen auch Unternehmen derselben Branche bzw. mit beinahe identischen Verarbeitungstätigkeiten (zum Beispiel, weil diese gesetzlich streng normiert sind wie in der Finanzdienstleistung) zu widersprüchlichen Interpretationen. Wann sind Erfüllungsgehilfen wie Vertraglich gebundene Vermittler als Auftragsverarbeiter zu sehen, und wann als Verantwortliche für die personenbezogenen Daten, die sie erheben und verarbeiten?

Ab 25. Mai 2018 nimmt auch die mit neuen Kompetenzen ausgestattete Datenschutzbehörde ihre Arbeit auf. Sie soll nicht nur kontrollieren, ggf. verwarnen und strafen, sondern auch beraten. Einen langen Katalog an offenen Fragen gibt es jedenfalls schon.

P.S.: Die Kammer der Steuerberater und Wirtschaftsprüfer KSW hat die Rolle ihrer Mitglieder rechtlich prüfen lassen. Das Ergebnis ist, dass Steuerberater im Sinne der DSGVO als Verantwortliche zu sehen sind. Sie müssen mit Ihren Steuerberater also keinen Auftragsverarbeiter-Vertrag abschließen.

PP.S.: Die Frage, welche Rolle Erfüllungsgehilfen in der Finanzdienstleistung einnehmen, ist nicht so einfach zu beantworten und bedarf daher einer individuellen Betrachtung. Ich stehe Ihnen dafür aber sehr gerne zur Verfügung!


So bleiben Sie auf dem Laufenden!

Nach Klick auf den Button können Sie mir eine Nachricht an meine Adresse jaichwillnews@andreasdolezal.at mit Ihren Kontaktdaten in der Signatur senden. Diese Nachricht verstehe ich als Ihre Zustimmung für das Zusenden von Informationen an Ihre Absender-Mailadresse sowie das Akzeptieren der Datenschutzerklärung.


Weitere interessante Beiträge:

Datenschutz-Deregulierungsgesetz: Verwarnen statt strafen

DSGVO: Grundsätze für die Verarbeitung personenbezogener Daten (1)