WPK Magazin 1/2010 - Wirtschaftsprüferkammer
WPK Magazin 1/2010 - Wirtschaftsprüferkammer
WPK Magazin 1/2010 - Wirtschaftsprüferkammer
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
22 Aus der Arbeit der <strong>WPK</strong> <strong>WPK</strong> <strong>Magazin</strong> 1/<strong>2010</strong><br />
Informationen für die Berufspraxis<br />
BDSG-Novelle 2009: Erweiterte Pflichten des<br />
Mandanten bei Auftragsdatenverarbeitung durch<br />
WP/vBP<br />
Seit dem Inkrafttreten der jüngsten Datenschutznovelle<br />
im September 2009 wird bei Anbahnung oder<br />
Verlängerung von Auftragsverhältnissen von WP/<br />
vBP in zunehmendem Maße verlangt, einen Vertrag<br />
zur Auftragsdatenverarbeitung gemäß § 11 BDSG<br />
n. F. zu unterschreiben. Dieser ist in der Regel umfangreich<br />
und enthält unter anderem eigenständige<br />
Regelungen zur Beachtung des Datengeheimnisses.<br />
Insbesondere vor diesem Hintergrund wurde in der<br />
letzten Zeit häufiger bei der <strong>WPK</strong> angefragt, ob und<br />
in welchen Fällen eine Verpflichtung besteht, solche<br />
Regelungswerke zu unterschreiben; schließlich<br />
bestehe die Pflicht zur Verschwiegenheit bereits unmittelbar<br />
kraft Gesetzes.<br />
Grundsatz: Vollumfängliche Geltung des BDSG<br />
für den WP/vBP<br />
Die <strong>WPK</strong> geht davon aus, dass der WP/vBP, soweit er<br />
personenbezogene Daten zu eigenen Geschäftszwecken<br />
verarbeitet, im Grundsatz vollumfänglich den<br />
Regelungen des BDSG unterliegt. Zwar ist das BDSG<br />
bei Vorliegen einer spezialgesetzlichen Regelung –<br />
wie sie grundsätzlich auch die Verschwiegenheitspflicht<br />
gemäß § 43 Abs. 1 Satz 1 WPO darstellt – gemäß<br />
§ 1 Abs. 3 Satz 1 BDSG subsidiär. Dies schließt<br />
die Anwendung des BDSG jedoch nur bei deckungs-<br />
gleichen Regelungen aus (sogenannte Tatbestandskongruenz;<br />
vgl. Gola/Schomerus, BDSG, 9. Auflage<br />
2007, § 1, Rn. 24). Die detaillierten Regelungen des<br />
BDSG können daher durch die Generalklausel des<br />
§ 43 Abs. 1 Satz 1 WPO nur verdrängt werden, wenn<br />
die Verschwiegenheitspflicht in der konkret zu beurteilenden<br />
Situation den gleichen Regelungsgehalt<br />
aufweist oder aber hinsichtlich der Übermittlung<br />
personenbezogener Daten eine strengere Regelung<br />
als das allgemeine Datenschutzrecht trifft (vgl. zum<br />
Thema auch Wollburg, in: Hense/Ulrich, WPO-Kommentar,<br />
§ 43, Rn. 116 ff.).<br />
Sonderfall: Auftragsdatenverarbeitung für den<br />
Mandanten<br />
Gemäß § 11 Abs. 4 BDSG ergibt sich hinsichtlich der<br />
datenschutzrechtlichen Pflichten des WP/vBP jedoch<br />
eine wesentliche Einschränkung, wenn er personenbezogene<br />
Daten lediglich im Auftrag des Mandanten<br />
erhebt, verarbeitet oder nutzt (sogenannte Auftragsdatenverarbeitung,<br />
§ 11 Abs. 1 BDSG). Gemäß § 11<br />
Abs. 1 BDSG trifft die Außenverantwortlichkeit für<br />
die Einhaltung datenschutzrechtlicher Vorschriften<br />
in diesen Fällen allein den Auftraggeber (Mandant).<br />
Für den Auftragnehmer (WP/vBP) gelten gemäß § 11<br />
Abs. 4 Nr. 2 BDSG neben den allgemeinen Vorschriften<br />
der §§ 5, 9 BDSG und den Ordnungswidrigkeiten-<br />
und Strafvorschriften des § 43 Abs. 1 Nr. 2, 10 und<br />
11, Abs. 2 Nr. 1 bis 3 und Abs. 3 sowie des § 44 BDSG<br />
lediglich die Vorschriften über die Datenschutzkontrolle<br />
und die Aufsicht. Im Außenverhältnis wird der<br />
WP/vBP, sofern er Daten lediglich im Auftrag seines<br />
Mandanten verarbeitet, demzufolge als Teil des Auftraggebers<br />
(Mandant) gesehen.<br />
Beispiele für die Auftragsdatenverarbeitung<br />
durch WP/vBP – Abgrenzung zur Funktionsübertragung<br />
In Bezug auf die berufliche Tätigkeit des WP/vBP liegt<br />
eine Auftragsdatenverarbeitung ausschließlich bei<br />
solchen Mandaten vor, die eine weisungsgebundene<br />
Datenverarbeitung im Rechtskreis des Mandanten betreffen<br />
(z. B. Lohn- und Gehaltsabrechnung durch den