DATEV - Praxisreport - Datenschutz - Daten - Personenbezogene Daten - DSGVO - Bußgelder

DATEV® – Ein Praxisreport

Aus unserer täglichen Praxis als Datenschutzbeauftragte vieler Unternehmen wissen wir, dass DATEV® oft zum Einsatz kommt, um die betriebswirtschaftlichen Abläufe im Unternehmen zu managen. DATEV bietet hier ein breites Spektrum für EDV-basierte Buchführung, für Personalführung und für Jahresabschlüsse, um die häufigsten Anwendungsfelder zu nennen.

DATEV und die Verarbeitung personenbezogener Daten

Mit der Verwendung geht die Verarbeitung personenbezogener Daten nach Art. 4 Nr. 1 DSGVO einher. Folglich müssen Unternehmen die Vorgaben der DSGVO und des BDSG einhalten.

DATEV und seine Rolle nach DSGVO

Die datenschutzrechtliche Rolle von DATEV muss im Einzelfall geprüft werden. Denn nicht immer fungiert DATEV als Auftragsverarbeiter nach Art. 4 Nr. 8 DSGVO. Entscheidend für die Beurteilung sind die zivilrechtlichen Vertragsbeziehungen zwischen den verschiedenen Akteuren DATEV – Steuerkanzlei – Unternehmen.

DATEV und die Steuerkanzlei

Die DATEV eG bietet verschiedene Vertriebsmodelle an. Eine in der Praxis weit verbreitete Lösung besteht darin, dass das Unternehmen DATEV nicht direkt bezieht, sondern die beratende Steuerkanzlei die Software zur Verfügung stellt.

Damit besteht eine zivilrechtliche Vertragsbeziehung zwischen dem Unternehmen und der Steuerkanzlei. Nicht jedoch zwischen dem Unternehmen und DATEV. Demzufolge tritt DATEV hier nicht als Auftragsverarbeiter für das Unternehmen auf. DATEV tritt in dieser Konstellation als Auftragsverarbeiter für die Steuerkanzlei auf, verarbeitet DATEV die personenbezogenen Daten doch im Auftrag der Steuerkanzlei, die Verantwortliche i.S.d. Art. 4 Nr. 7 DSGVO ist.

DATEV und das Unternehmen

Die Software kann in gewissen Fällen vom Unternehmen auch direkt bezogen werden, ohne zwischengeschaltete Steuerkanzlei. Die Folge davon ist, dass DATEV aus datenschutzrechtlicher Sicht anders einzuordnen ist, weil DATEV nicht die Funktion eines Steuerberaters innehat, folglich die Daten im Auftrag des Unternehmens verarbeitet, handelt es sich um klassische Auftragsverarbeitung. Um diese Auftragsverarbeitung datenschutzrechtlich zu legitimieren, muss mit DATEV direkt eine Vereinbarung nach Art. 28 DSGVO geschlossen werden.

DATEV und die Verarbeitungstätigkeiten

Je nachdem, in welchen Bereichen es im Unternehmen zum Einsatz kommt, hat dieser Einsatz Auswirkungen auf die damit verbundenen Verarbeitungstätigkeiten. Die vorgenannten Punkte sind bei der Dokumentation zu beachten. Um den Anforderungen des Art. 30 Abs. 1 DSGVO gerecht zu werden, müssen die Verarbeitungstätigkeiten entsprechend dokumentiert werden. Abhängig davon, welche zivilrechtliche Vertragsbeziehung, mit anderen Worten, welches Vertriebsmodell in Ihrem Unternehmen gewählt wurde, ist DATEV Auftragsverarbeiter – oder nicht. Ist DATEV nicht Auftragsverarbeiter, so ist die Verwendung trotzdem in der Verarbeitungstätigkeit zu dokumentieren, um den Datenverarbeitungsprozess authentisch wiederzugeben.

Die Bußgeldtatbestände

Fehlt es an der datenschutzrechtliche Legitimation nach Art. 28 DSGVO oder an der rechtskonformen Dokumentation der mit der Verwendung von DATEV einhergehenden Verarbeitungstätigkeiten nach Art. 30 Abs. 1 DSGVO, liegt jeweils der Bußgeldtatbestand des Art. 83 Abs. 4 lit. a DSGVO vor und kann mit Geldbußen von bis zu 10 Millionen Euro geahndet werden.

Unsere Unterstützung

Brauchen Sie professionelle Unterstützung bei der Prüfung und Bewertung des Einsatzes von DATEV in Ihrem Unternehmen, sowie bei der damit verbundenen Dokumentation?  Unsere Experten und unsere eigens zu Dokumentationszwecken entwickelte Software docu-safe stehen Ihnen jederzeit zur Verfügung.

Wir unterstützen Sie gerne in allen Belangen rund um die Informationssicherheit und den Datenschutz in Ihrem Unternehmen. Sprechen Sie uns einfach an! Nutzen Sie unser Kontaktformular oder rufen Sie uns an unter 08505 91927-0.

 

*DATEV ist eine eingetragene Marke der DATEV eG