Aktualisierte Vereinbarungen zur Auftragsverarbeitung bei der Datev

Die Datenschutzgrundverordnung (DSGVO) wirft so langsam ihre Schatten voraus und auch größere Unternehmen passen ihre Vereinbarungen und Formulare an die neue Gesetzgebung an. Dies gilt auch für die Auftragsverarbeitung von personenbezogenen Daten. Daraus entsteht auch für die Nutzer der entsprechenden Dienstleistungen Handlungsbedarf.

Was bedeutet Auftragsverarbeitung?

Die DATEV eG verarbeitet im Auftrag ihrer Kunden und Mitglieder besonders schutzwürdige personenbezogene Daten, zum Beispiel bei der Lohnabrechnung  die Religionszugehörigkeit, Krankenkassendaten und weitere sensible Daten. Damit diese Daten weiter verarbeitet werden können muss das Vertragsverhältnis zwischen dem Auftragsverarbeiter und dem Auftraggeber neu geordnet werden.

Der Auftraggeber ist die verantwortliche Stelle und muss dementsprechend sicherstellen das der Auftragsverarbeiter auch alle notwendigen Maßnahmen zum Schutz dieser Daten trifft. Das realistische Risiko einer Datenpanne bei der Datev selbst ist zwar als gering einzuschätzen, unabhängig davon fehlt aber die rechtliche Grundlage für die Datenverarbeitung ohne den Vertrag.

Wer ist betroffen?

Betroffen sind alle Kunden der DATEV eG welche personenbezogen Daten an diese übermitteln, unabhängig von der Größe des Auftraggebers. Dazu zählen u.a. die Nutzer der Lösungen wie DATEV Unternehmen Online oder sonstiger DATEV-Dienste aus der Cloud.

Dies gilt auch für Steuerberater, die das Angebot der DATEV zur Leistungserbringung nutzen. Aus datenschutzrechtlicher Sicht ist die DATEV ein Dienstleister der mit der Verarbeitung von personenbezogenen durch den StB beauftragt wird.

Der Steuerberater selbst muss dabei aber bisher keinen AV-Vertrag mit seinen Mandanten abschließen, da die Steuerberatung als „Funktionsübertragung“ gilt und er bereits durch berufsrechtliche Vorschriften zur Verschwiegenheit verpflichtet ist. Details finden sich dazu in diesem, bei der DATEV verlinkten, Artikel.

Was muss getan werden?

Bis zum 24.05.2018 muss der aktualisierte AV-Vertrag mit der DATEV abgeschlossen sein.

Dies kann bequem auf der DATEV-Seite selbst getan werden, Nutzer mit den entsprechenden Zugängen bekommen sogar bereits vorausgefüllte Verträge nach dem Login präsentiert.

Hier geht es zur entsprechenden Seite.

Wenn Sie weiterführende Informationen wünschen, sprechen Sie uns an (Kontaktformular)oder informieren sich über unser Angebot im Bereich Datenschutzmanagement.

 

Stefan Lorenz ist der Geschäftsführer der OSYSCON GmbH und seit mehr als 5 Jahren im IT-Sicherheitsumfeld und dem IT-Service tätig.

Schreiben Sie einen Kommentar