Darf ein Steuerberater die Kundenbuchhaltung im Ausland bearbeiten?
DSGVO Art 4-6, 44-50, 82, 83
Übermittlung personenbezogener Daten ins Ausland - Ausgangslage - Datenübermittlung - Voraussetzungen - Fallbeispiele - Conclusio - Datenübermittlung bei natürlichen Personen - Geldstrafe und Schadenersatz
Für die Übermittlung personenbezogener Daten innerhalb Österreichs, in EU-Länder und Drittländer sieht das Datenschutzrecht besondere Regelungen vor. Die Datenschutz-Grundverordnung (DSGVO) verlangt eine entsprechende Rechtsgrundlage für jede Datenübermittlung (Art 6 DSGVO) und besondere rechtliche Vorkehrungen (Art 44 - 50 DSGVO) für Übermittlungen in Drittstaaten.
Ausgangslage
Eine österreichische Steuerberatungskanzlei betreut ihre Kunden. Der Steuerberater ist für die Buchhaltung, Lohnverrechnung und Bilanzierung seiner Mandanten zuständig. Bei Geschäftsreisen von Mitarbeitern ins Ausland muss trotz Teilnahme an Konferenzen die Mandantenbetreuung gewährleistet sein.
Datenübermittlung
Alle Datenverarbeitungen finden über eine Remotedesktopverbindung mit einem Server in Österreich statt. Dadurch erfolgt ein grenzübergreifender Datenaustausch, eine Verarbeitung findet letzlich (ganz oder teilweise) im Ausland statt. Schon die Anzeige persönlicher Daten ist als Verarbeitung zu werten.
Voraussetzungen zur rechtmäßigen Datenübermittlung ins Ausland gemäß DSGVO:
(1) Es liegt eine Datenübermittlung innerhalb der EU vor.
(2) Für das Drittland liegt ein angemessenes Datenschutzniveau gemäß Art 45 Abs 2 DSGVO vor.
(3) Es liegt eine Einwilligung des Kunden vor.
(4) Es ist für die Erfüllung des Vertrages notwendig.
(5) Es ist für die Geltendmachung, Ausübung oder Verteidigung von Rechten des Kunden erforderlich.
(6) Es ist zum Schutz des Kunden erforderlich, sofern der Kunde aus körperlichen oder rechtlichen Gründen nicht einwilligen kann.
(7) Es ist im Interesse des Kunden, z.B. bei Vertragsabschluss des Unternehmens mit Dritten.
(8) Es ist aus wichtigen Gründen des öffentlichen Interesses notwendig.
(9) Es liegen geeignete Garantien (Standardschutzklauseln, genehmigte Verhaltensregeln, genehmigte Zertifizierungsmechanismen oder Vertragsklauseln) für den Datentausch vor.
(10) Es liegen verbindliche interne Datenschutzvorschriften (Binding Corporate Rules) vor.
(11) Es liegt eine Einzelgenehmigung der Aufsichtsbehörde vor.
Fallbeispiele
In folgenden Fallbeispielen wird veranschaulicht, welche Kriterien zum Schutz von Daten bei der Datenübermittlung ins Ausland angewandt werden können.
Fall 1: Deutschland
Die Steuerberatungskanzlei darf personenbezogene Daten innerhalb der EU (nach Deutschland) übermitteln (1), sofern die Grundsätze der Verarbeitung gemäß Art 5 DSGVO und die Kriterien für die Rechtmäßigkeit dieser Datenverarbeitung gemäß Art 6 DSGVO eingehalten werden. Damit wird ein Datentausch mit einem Mitgliedstaat (Österreich) gewährleistet, sofern die Verordnungsbestimmungen eingehalten werden. Datenübermittlungen sind innerhalb der EU deshalb wie Datenübermittlungen innerhalb Österreichs zu behandeln. Folglich darf ein Steuerberater seine Tätigkeiten im Zuge seiner Geschäftsreise in Deutschland erledigen.
Fall 2: Kanada
Für eine Übermittlung personenbezogener Daten aus Österreich (EU-Mitgliedstaaten) nach Kanada (in Drittländer) muss im Empfängerland ein angemessenes Datenschutzniveau vorliegen (2). Als grundsätzliche Regel gilt, wenn die Übermittlung innerhalb Österreichs unzulässig wäre, dann wäre sie es jedenfalls auch ins Drittland (Kanada). Art 45 Abs 1 DSGVO erlaubt die Übermittlung von Daten in Drittländer, wenn dort ein angemessenes Datenschutzniveau besteht.
Die EU-Kommission entscheidet mittels eines Angemessenheitsbeschlusses, welche Staaten ein angemessenes Datenschutzniveau gewährleisten. Gemäß Art 47 Abs 9 DSGVO gelten die nach dem altem Recht (Art 25 Abs 6 DSRL) ergangenen Angemessenheitsfeststellungen so lange, bis sie nach einem Prüfverfahren von der EU-Kommission geändert, ersetzt oder aufgehoben werden. Die EU-Kommission wird voraussichtlich bis am 25. Mai 2018 einen neuen Angemessenheitsbeschluss gemäß der DSGVO beschließen. Geplant ist die bisherigen Genehmigungen weiter zu erteilen.
Weiters bestehen derzeit Verhandlungen mit Japan und Südkorea.
Die Kommission veröffentlicht im Amtsblatt der Europäischen Union und auf ihrer Website eine Liste aller Drittländer und aller internationalen Organisationen, die ein angemessenes Schutzniveau gewährleisten bzw. nicht mehr gewährleisten. Bei Drittländern, die vom Angemessenheitsbeschluss nicht umfasst sind, muss im Einzelfall geprüft werden, ob ein angemessenes Schutzniveau angenommen werden kann.
Für Kanada hat die EU gemäß der alten Rechtslage (Art 25 Abs 6 DSRL) anerkannt, dass deren Datenschutzniveau angemessen ist. Das heißt der Steuerberater darf seinen geschäftlichen Tätigkeiten in Kanada nachgehen. Dies wird - aller Voraussicht - auch nach dem 25. Mai 2018 gelten.
Fall 3: Malaysia (Südostasien)
Malaysia gilt als Drittland und damit liegt keine Datenübermittlung innerhalb der EU vor (1). Gemäß der alten Rechtslage (Art 25 Abs 6 DSRL) bietet Malaysia kein angemessenes Datenschutzniveau (2). Der Sachverhalt gibt keinen Hinweis auf das Vorliegen einer Einwilligung des Kunden (3). Der Aufenthalt ist nicht für die Vertragserfüllung notwendig (4). Für die Bejahung einer der Gründe von (5) bis (8) gibt der Sachverhalt zu wenig Aufschluss. Im vorliegenden Fall liegen auch keine geeigneten Garantien (9) oder verbindliche interne Datenschutzvorschriften (10) vor.
Als Faustregel gilt, dass ein Verantwortlicher Datenverarbeitungen im unsicheren Drittland (Malaysia) vornehmen darf, wenn dies im Interesse des Kunden ist, ohne dass eine Verletzung des Datenschutzes zu erwarten ist. In allen anderen Fällen muss bei der Datenschutzbehörde eine Genehmigung beantragt werden. Wann und mit welcher Begründung muss im Einzelfall geprüft werden.
Die Einholung der Einwilligungserklärung des Kunden ist hier die günstigste Lösung. Diese kann auch global erfolgen (für alle Staaten der Erde), sofern der Verantwortliche dem Kunden geeignete Garantien für den sicheren Datenverkehr zusichert.
Geiegnete Garantien wären jedenfalls:
- verschlüsselte Datenübertragung
- ausschließliche Verwendung eigener Geräte, deren Daten verschlüsselt sind
- kein Anfertigen oder Hinterlegen von Kopie der persönlichen Daten im Drittland
Fall 4: USA
Eine Besonderheit gilt für die Datenübermittlung in die USA. Die Übermittlung personenbezogener Daten in die USA sind auf Grundlage von EU-US Privacy Shield rechtmäßig. Das heißt sofern eine Rechtsgrundlage für die Übermittlung nach der DSGVO vorliegt und US-Unternehmen, die im Privacy Shield geregelten Datenschutzgrundsätze einhalten, dürfen an sie personenbezogene Daten aus Österreich übermittelt werden. Die EU Kommission wird voraussichtlich auch in diesem Fall eine neue Angemessenheitsfeststellung gemäß den neuen Bestimmungen der DSGVO treffen.
Conclusio
Generell gilt, dass die Datenübermittlung nur gemäß den Übermittlungsvoraussetzungen (1) bis (10) möglich ist. Die Einzelgenehmigung der Aufsichtsbehörde kann die Remotedesktopverbindung unter Einhaltung strenger technischer Auflagen nur das letzte Mittel sein. Um den technischen Anforderungen der DSGVO zu entsprechen, muss die Steuerberatungskanzlei beispielsweise eine sichere VPN-Verbindung gewährleisten. Weiters muss die sichere Verwahrung des Notebooks und ein umfassender Schutz vor Diebstahl durch Dritte gewährleistet sein. Die lokale Datenspeicherung auf einem Notebook ist verboten.
Übermittlung von personenbezogenen Daten natürlicher Personen
Bei allen diesen Datenübermittlungen ist zu berücksichtigen, dass die DSGVO grundsätzlich nur auf Daten anzuwenden ist, die sich gemäß Art 4 Zif 1 DSGVO auf natürliche Personen beziehen. Daten juristischer Personen sind daher nicht von der DSGVO geschützt und stellen allenfalls Geschäftsgeheimnisse dar.
Geldstrafe und Recht auf Schadenersatz
Bei Verstößen gegen die Vorschriften der Art 44 bis 50 drohen gemäß Art 83 DSGVO Geldstrafen bis zu 20 Mio. Euro oder bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres.
Art. 82 Abs. 1 DSGVO enthält eine Anspruchsgrundlage zum Ersatz materieller und immaterieller Schäden für Datenschutzverletzungen. Voraussetzung eines Schadenersatzanspruches gegen die Steuerberatungskanzlei als Verantwortlicher ist, dass dieser gegen seine Pflichten gemäß DSGVO verstoßen hat.
mehr --> Übermittlung personenbezogener Daten in ein Drittland
mehr --> Entwicklung der EU Datenschutz-Grundverordnung (DSGVO)
mehr --> Auskunftsrecht gemäß Datenschutz-Grundverordnung (DSGVO)
mehr --> Lehrgang ISO-zertifizierter Datenschutzbeauftragter
mehr --> Das Recht auf Datenübertragung (Datenportabilität)
mehr --> http://ftp.freenet.at/privacy/ds-eu/eu-ds-gvo-aktuell.pdf
andere --> EU-Kommission Datenschutz international gleichwertig
|
