WPK Magazin 1/2010 - Wirtschaftsprüferkammer
WPK Magazin 1/2010 - Wirtschaftsprüferkammer
WPK Magazin 1/2010 - Wirtschaftsprüferkammer
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
<strong>WPK</strong> <strong>Magazin</strong> 1/<strong>2010</strong><br />
WP/vBP; ob darüber hinaus die Führung der Bücher<br />
insgesamt hierzu zählt, ist zweifelhaft und dürfte von<br />
der Ausgestaltung im Einzelfall abhängig sein).<br />
Hat die Tätigkeit des WP/vBP demgegenüber<br />
nicht lediglich eine Datenverarbeitung im Auftrag<br />
des Mandanten zum Inhalt, sondern darüber hinaus<br />
eigenständig beratenden oder gestaltenden Charakter<br />
(wie es jedenfalls bei der Erstellung von Steuererklärungen<br />
und Jahresabschlüssen für den Mandanten<br />
der Fall ist), liegt eine sogenannte Funktionsübertragung<br />
mit der Folge vor, dass es sich nicht mehr um<br />
eine Auftragsdatenverarbeitung im Sinne des § 11<br />
BDSG handelt (vgl. Gola/Schomerus, BDSG, 9. Auflage<br />
2007, § 11, Rn. 11). In den zuletzt genannten Fällen<br />
verarbeitet der WP/vBP die ihm vom Mandanten<br />
übermittelten Daten zu eigenen Geschäftszwecken<br />
und ist demzufolge selbst verantwortliche Stelle im<br />
Sinne des § 3 Abs. 7 BDSG.<br />
Letzteres gilt per se auch für die prüfende und<br />
gutachterliche Tätigkeit, die vom WP/vBP unabhängig<br />
im Sinne der §§ 49 2. Alt. WPO, 20 ff. BS WP/vBP<br />
durchzuführen ist (so im Ergebnis auch Aßmus,<br />
MMR 2009, 599 [601] für die gesetzliche Abschlussprüfung).<br />
Vertragsinhalt bei Auftragsdatenverarbeitung –<br />
Ausweitung durch BDSG-Novelle 2009<br />
Als Folge der alleinigen Verantwortlichkeit gegenüber<br />
Dritten (§ 11 Abs. 1 BDSG) hat der Auftraggeber,<br />
wenn er Daten durch einen Dritten im Auftrag verarbeiten<br />
lassen will, diesen vertraglich in besonderer<br />
Weise auf die Wahrung datenschutzrechtlicher Belange<br />
zu verpflichten. Eine generalklauselartige Regelung<br />
dieses Inhalts war bereits in § 11 Abs. 2 Satz 2<br />
BDSG a. F. enthalten. Im Rahmen der Datenschutznovelle<br />
vom 14.8.2009 ist die genannte Vorschrift nunmehr<br />
konkretisiert und um einen zehn Einzelpunkte<br />
umfassenden Katalog erweitert worden, zu denen<br />
der Auftraggeber in dem – von ihm schriftlich zu erteilenden<br />
– Auftrag zwingend Regelungen vorsehen<br />
muss. Wird ein Auftrag entgegen § 11 Abs. 2 Satz 2<br />
BDSG vorsätzlich oder fahrlässig „nicht vollständig<br />
(…) erteilt“, liegt gemäß § 43 Abs. 1 Nr. 2 b) BDSG<br />
eine Ordnungswidrigkeit vor, die mit einer Geldbuße<br />
bis zu 50.000 ¤ geahndet werden kann.<br />
Folgen für die Vertragsgestaltung<br />
Die beschriebene Erweiterung der datenschutzrechtlichen<br />
Pflichtenlage führt dazu, dass Mandanten<br />
nunmehr dort, wo aus ihrer Sicht eine Auftragsdatenverarbeitung<br />
durch den WP/vBP vorliegt, umfangreichere,<br />
sämtliche Punkte des § 11 Abs. 2 Satz 2<br />
BDSG ausdrücklich regelnde Vertragswerke verwenden.<br />
Da wegen § 11 Abs. 2 Satz 2 Nr. 2 BDSG unter<br />
anderem zu regeln ist, an wen personenbezogene<br />
Daten vom Auftragnehmer übermittelt werden dürfen,<br />
fordern Auftraggeber WP/vBP regelmäßig auch<br />
dazu auf, eine gesonderte Erklärung zur Verschwiegenheit<br />
abzugeben, obwohl eine entsprechende Verpflichtung<br />
bereits gemäß §§ 43 Abs. 1 Satz 1, 50 WPO<br />
besteht.<br />
Zwar ist zumindest Letzteres wegen der parallelen<br />
gesetzlichen Regelung inhaltlich zweifelhaft. Insgesamt<br />
ist das beschriebene Vorgehen jedoch nachvollziehbar,<br />
geht es dem Mandanten doch darum,<br />
nachweisen zu können, eigenen gesetzlichen Pflichten<br />
nachgekommen zu sein.<br />
Entsprechenden Anfragen von Seiten des Mandanten<br />
sollte mit Blick auf dessen datenschutzrechtliche<br />
Pflichtenlage daher grundsätzlich kooperativ<br />
begegnet werden. Gleichwohl ist anhand der oben<br />
aufgeführten Definition und Abgrenzung in jedem<br />
Einzelfall zu prüfen, ob eine Auftragsdatenverarbeitung<br />
tatsächlich vorliegt, da die besonderen Pflichten<br />
des § 11 Abs. 2 BDSG nur in diesem Fall greifen.<br />
go<br />
Newsletter der <strong>WPK</strong><br />
Auf ihren Internet-Seiten informiert die <strong>WPK</strong> in der Rubrik „Neu auf <strong>WPK</strong>.de“ über neue Beiträge,<br />
Download-Angebote und andere Aktualisierungen.<br />
Diese Übersicht stellt die <strong>WPK</strong> in einem monatlich erscheinenden Newsletter zur Verfügung.<br />
Sie können den Newsletter unter k www.wpk.de durch Eingabe Ihrer E-Mail-Adresse bestellen.<br />
Aus der Arbeit der <strong>WPK</strong> 23