Die datenschutzrechtliche Rolle von DATEV muss im Einzelfall geprüft werden. Denn nicht immer fungiert DATEV als Auftragsverarbeiter nach Art. 4 Nr. 8 DSGVO. Entscheidend für die Beurteilung sind die zivilrechtlichen Vertragsbeziehungen zwischen den verschiedenen Akteuren DATEV – Steuerkanzlei – Unternehmen.
Die DATEV eG bietet verschiedene Vertriebsmodelle an. Eine in der Praxis weit verbreitete Lösung besteht darin, dass das Unternehmen DATEV nicht direkt bezieht, sondern die beratende Steuerkanzlei die Software zur Verfügung stellt.
Damit besteht eine zivilrechtliche Vertragsbeziehung zwischen dem Unternehmen und der Steuerkanzlei. Nicht jedoch zwischen dem Unternehmen und DATEV. Demzufolge tritt DATEV hier nicht als Auftragsverarbeiter für das Unternehmen auf. DATEV tritt in dieser Konstellation als Auftragsverarbeiter für die Steuerkanzlei auf, verarbeitet DATEV die personenbezogenen Daten doch im Auftrag der Steuerkanzlei, die Verantwortliche i.S.d. Art. 4 Nr. 7 DSGVO ist.
Die Software kann in gewissen Fällen vom Unternehmen auch direkt bezogen werden, ohne zwischengeschaltete Steuerkanzlei. Die Folge davon ist, dass DATEV aus datenschutzrechtlicher Sicht anders einzuordnen ist, weil DATEV nicht die Funktion eines Steuerberaters innehat, folglich die Daten im Auftrag des Unternehmens verarbeitet, handelt es sich um klassische Auftragsverarbeitung. Um diese Auftragsverarbeitung datenschutzrechtlich zu legitimieren, muss mit DATEV direkt eine Vereinbarung nach Art. 28 DSGVO geschlossen werden.
Je nachdem, in welchen Bereichen es im Unternehmen zum Einsatz kommt, hat dieser Einsatz Auswirkungen auf die damit verbundenen Verarbeitungstätigkeiten. Die vorgenannten Punkte sind bei der Dokumentation zu beachten. Um den Anforderungen des Art. 30 Abs. 1 DSGVO gerecht zu werden, müssen die Verarbeitungstätigkeiten entsprechend dokumentiert werden. Abhängig davon, welche zivilrechtliche Vertragsbeziehung, mit anderen Worten, welches Vertriebsmodell in Ihrem Unternehmen gewählt wurde, ist DATEV Auftragsverarbeiter – oder nicht. Ist DATEV nicht Auftragsverarbeiter, so ist die Verwendung trotzdem in der Verarbeitungstätigkeit zu dokumentieren, um den Datenverarbeitungsprozess authentisch wiederzugeben.
Fehlt es an der datenschutzrechtliche Legitimation nach Art. 28 DSGVO oder an der rechtskonformen Dokumentation der mit der Verwendung von DATEV einhergehenden Verarbeitungstätigkeiten nach Art. 30 Abs. 1 DSGVO, liegt jeweils der Bußgeldtatbestand des Art. 83 Abs. 4 lit. a DSGVO vor und kann mit Geldbußen von bis zu 10 Millionen Euro geahndet werden.
Brauchen Sie professionelle Unterstützung bei der Prüfung und Bewertung des Einsatzes von DATEV in Ihrem Unternehmen, sowie bei der damit verbundenen Dokumentation? Unsere Experten und unsere eigens zu Dokumentationszwecken entwickelte Software docu-safe stehen Ihnen jederzeit zur Verfügung.
Wir unterstützen Sie gerne in allen Belangen rund um die Informationssicherheit und den Datenschutz in Ihrem Unternehmen. Sprechen Sie uns einfach an! Nutzen Sie unser Kontaktformular oder rufen Sie uns an unter 08505 91927-0.
*DATEV ist eine eingetragene Marke der DATEV eG
Unser Team – Ihr Vorteil | Hier stellen wir uns vor.
Unser Team besteht aus erfahrenen Juristen, Webspezialisten, IT-Experten, zertifizierten Datenschutz- und Informationssicherheitsbeauftragten. Mit unserer Erfahrung, Expertise und erprobten Verfahren, helfen wir Unternehmen, praxisnahe Lösungen im Bereich Datenschutz und Informationssicherheit zu finden. So helfen wir beispielsweise bei der Umsetzung der DSGVO oder der Einführung von Informationssicherheitsmanagementsystemen (ISMS).