Auftragsverarbeitung oder eigene Verantwortlichkeit? Erbringung von Prüfungsleistungen als Abschlussprüfer – die lettische Datenschutzbehörde hat dazu eine Entscheidung gefällt
Ist ein vereidigter Wirtschaftsprüfer bei der Erbringung von Prüfdiensten für eine Organisation im Sinne der DSGVO ein Verantwortlicher oder ein Auftragsverarbeiter?
Vai zvērināts revidents, sniedzot finanšu pārskata revīzijas pakalpojumus organizācijai, ir uzskatāms par pārzini vai par apstrādātāju? So liest sich die Fragestellung in lettischer Sprache. Auch in Lettland ist die DSGVO mit den in Resteuropa relevanten Fragen angekommen. Die lettische Datenschutzbehörde hat in dieser Frage eine Entscheidung gefällt und am 29.01.2019 veröffentlicht.
Warum ist der vom Unternehmen beauftragte Wirtschaftsprüfer im Sinne der DSGVO Art. 28 kein Auftragsverarbeiter?
Im Art. 4 Abs. 8 DSGVO definiert den „Auftragsverarbeiter“ als eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.
Das Konzept des „Verantwortlichen“ und seine Interaktion mit dem „Auftragsverarbeiter“ ist bereits für die Anwendung der Richtlinie 95/46 / EG von grundlegender Bedeutung, da es bestimmt, wer für die Einhaltung der Datenschutzvorschriften verantwortlich ist und wie die betroffenen Personen ihre Rechte in der Praxis wahrnehmen können.
In Beispiel 21 der Stellungnahme 1/2010 der Art. 29 Arbeitsgruppe und jetzt der Europäische Datenschutz Ausschuss (EDSA) heißt es, dass bei der Bestimmung der Zuständigkeit der Parteien die traditionelle Rolle und die fachliche Kompetenz des Dienstleisters, die mit der Qualifikation des für die Verarbeitung Verantwortlichen in Zusammenhang stehen können, entscheidend ist.
Das Beispiel „Rechtsanwälte“ (in der Stellungnahme 1/2010) zeigt, dass ein Anwalt, der einen Mandanten vor Gericht vertritt personenbezogene Daten, die sich auf den Fall des Mandanten beziehen im Rahmen seiner Aufgaben verarbeitet. Die Rechtsgrundlage für die Verwendung der erforderlichen Informationen ist die Autorisierung durch den Kunden. Die Vollmacht, die durch den Mandanten gegeben wird, bezieht sich jedoch nicht auf die Verarbeitung der Daten, sondern auf die Vertretung vor Gericht, und dafür haben Rechtsanwälte normalerweise eine entsprechende rechtliche Grundlage. Solche Berufsstände sieht der Europäische Datenausschuss daher als unabhängige „für die Verarbeitung Verantwortliche“, wenn sie im Rahmen der rechtlichen Vertretung ihrer Klienten Daten verarbeiten.
Bei analoger Anwendung des Beispiels der Rechtsanwälte auf die Erbringung von Dienstleistungen im Rahmen der Abschlussprüfung kann festgestellt werden, dass ein vereidigter Wirtschaftsprüfer, ob ein Wirtschaftsprüfungsunternehmen oder selbständiger Prüfer gemäß den länderspezifischen Gesetzen über Abschlussprüfungsleistungen, Prüfungsleistungen im Einklang mit einem schriftlichen Vertrag im Sinne eines „Prüfers“ erbringen müssen.
Wie bereits in der o.a. Definition des Artikels 4 Absatz 8 DSGVO festgelegt ist, verarbeiten „Auftragsverarbeiter“ ausschließlich personenbezogene Daten im Auftrag des für die Verarbeitung Verantwortlichen.
In diesem Fall kann bei der Beurteilung der Bedeutung des Prüfungsdienstes, d.h. zur Erfüllung der direkt vom Gesetz übertragenen Aufgaben, der Schluss gezogen werden, dass der Abschlussprüfer oder die vereidigte Abschlussprüferfirma bei der Durchführung der Prüfung kein Bearbeiter sein kann.
Diese Ansicht bestätigt auch die österreichische Datenschutzbehörde gegenüber der Kammer der Steuerberater und Wirtschaftsprüfer (KSW). Darin wird bestätigt, dass Steuerberater Verantwortliche sind und keine Auftragsverarbeiter, selbst wenn sie “bloß” als Lohnverrechner für Klienten tätig sind.
Ist eine Auftragsverarbeiter-Vereinbarung mit dem Steuerberater erforderlich?
Sehr viele Unternehmen haben sich mit Inkrafttreten der DSGVO am 25. Mai 2018 bereits mit dem Thema auseinandergesetzt mit welchen Partnern Vereinbarungen, Zustimmungen und auch Auftragsverarbeiter Verträge geschlossen werden müssen.
Auch Steuerberater und Wirtschaftsprüfer waren im Visier dieser Überlegungen. Mit Bescheid der Datenschutzbehörde vom 22. Jänner 2018, GZ DSB-D122.767/0001-DSB/2018 wurde entschieden, dass Wirtschaftsprüfer und Steuerberater Verantwortliche sind und keine Auftragsverarbeiter. Eine Vereinbarung nach Art 28 DSGVO ist daher nicht erforderlich.
03.02.2019, Autor:
Alexandra Stallinger, zert DSBA
Kommentar schreiben