Login
Login
Banner Online Kompaktkurse für fundiertes Wissen zu neuesten Gesesetzesänderungen und Abrechnungskriterien
Breadcrumb-Navigation
Free

Datenschutz : Auftragsverarbeiter: Die Finger im Honigtopf?!

Dr. Niels LepperhoffPraxis
Lesezeit 4 Min.
Leuchtend gelber Keramiktopf auf weißem Hintergrund.

1 Herr und Sklave

Die Datenschutz-Grundverordnung (DS-GVO) kennt genau zwei Rollen, die Unternehmen einnehmen können: Verantwortlicher (engl. „Controller“) und Auftragsverarbeiter (engl. „Processor“). Bspw. führt die PersoAb GmbH die Personalabrechnungen für ihre Auftraggeber durch. Für die Personalabrechnung im Auftrag agiert die PersoAb GmbH als Auftragsverarbeiter. Für den eigenen Recruiting-Prozess ist sie jedoch Verantwortliche.

Ein Auftragsverarbeiter agiert als Erfüllungsgehilfe für seinen Auftraggeber. Zugespitzt formuliert: „Auftragsverarbeiter = Sklave“.

Ein Verantwortlicher bestimmt über Zwecke oder Mittel der Verarbeitung. Zugespitzt formuliert: „Verantwortlicher = Herr“.

Was passiert, wenn der Sklave aus dem Honig(Daten)topf des Herrn nascht?

2 Naschen aus dem Honigtopf

Exemplarisch wird Software-as-a-Service betrachtet. Einsatzgebiete sind bspw. Recruiting, Zeiterfassung, Personalverwaltung, Projektzeiterfassung und Rechnungsstellung. Als Administrator hat der Auftragsverarbeiter vollen Zugriff auf alle personenbezogenen Daten (im Folgenden kurz Daten genannt) seiner Auftraggeber. Deshalb liegt regelmäßig eine Auftragsverarbeitung vor.

Manche Hersteller möchten wissen, wie die eigene Software genutzt wird (Telemetriedaten). Dazu erfassen sie z. B. Mausbewegung, aufgerufene Module oder genutzte Funktionen. Andere Hersteller wollen die Daten der Auftraggeber zu Benchmarks verdichten, um diese weiterzuverkaufen. Dritte wollen die Kontaktdaten der Mitarbeiter der Auftraggeber nutzen, um diesen die eigene Werbung zuzusenden. Allen diesen Wünschen gemeinsam ist, dass es sich datenschutzrechtlich um eigene Zwecke der Auftragsverarbeiter handelt. Der Sklave möchte aus dem Honigtopf des Herrn naschen.

3 Sklave nascht – Herr muss handeln

Angenommen, die „Master GmbH“ nutzt eine Recruitingplattform der „Sklave AG“ zur Bewerberverwaltung. Die Bewerberverwaltung stützt die Master GmbH auf die Erforderlichkeit zur Begründung eines Beschäftigungsverhältnisses. Als Auftragsverarbeiter braucht die Sklave AG keine eigene Rechtsgrundlage. Die Sklave AG möchte nun Bewerberdaten auswerten und an Dritte verkaufen.

Sobald ein Auftragsverarbeiter Daten des Auftraggebers für eigene Zwecke verwendet, wird er für diese Verarbeitung Verantwortlicher (Art. 28 Abs. 10 DS-GVO). Der „Sklave“ schwingt sich zum „Herren“ auf.

Der Zugriff der Sklave AG für eigene Zwecke bedeutet, dass

  • die Master GmbH eine Rechtsgrundlage für die Übermittlung und
  • die Sklave AG eine weitere Rechtsgrundlage für die Datenverarbeitung besitzen müssen.

Die bisherige Rechtsgrundlage „Begründung eines Beschäftigungsverhältnisses“ trägt nicht, da die Aktivitäten der Sklave AG zur Begründung eines Beschäftigungsverhältnisses nicht erforderlich sind. Eine Interessenabwägung scheitert regelmäßig an dem Geheimhaltungsinteresse der Bewerber. Im Übrigen stehen regelmäßig die Grundsätze zur Vertraulichkeit von Personaldaten einer Übermittlung an Dritte im Weg. Denkbar wäre eine Einwilligung, die die Master GmbH zu Gunsten der Sklave AG von ihren Bewerbern einholen müsste.

Ein hölzerner Honiglöffel, der vor einem weißen Hintergrund auf dem Rand eines Honigtopfes aus Keramik ruht.

Auch bei Telemetriedaten stellt sich eine ähnliche Situation ein, weil ein Arbeitgeber die Nutzung von Programmen nicht lückenlos aufzeichnen darf. Eine Einwilligung scheitert an der fehlenden Freiwilligkeit. Für die Durchführung des Beschäftigungsverhältnisses ist diese Verarbeitung nicht erforderlich. Es bleibt die Interessenabwägung übrig. Gegen die Übermittlung spricht das Interesse der Beschäftigten, sich unbeobachtet zu verhalten. Ob ausnahmsweise das Interesse der Sklave AG überwiegt, hängt vom Umfang der verarbeiteten Daten ab und von der Art der Verarbeitung. Die Prüfung und das Risiko, dass die Interessenabwägung von einer Datenschutzaufsichtsbehörde angegriffen wird, trägt auch die Master GmbH.

Teilweise lassen Auftragsverarbeiter sich vertraglich Zugriffs- und Verwertungsrechte an den Daten des Auftraggebers einräumen. Diese Rechteeinräumung legitimiert die Datenübermittlung nicht.

Abgesehen von der neu zu findenden Rechtsgrundlage ist weiterhin zu prüfen, ob bei Bestandsdaten eine Zweckänderung zulässig ist. Bei neuen Daten wäre der neue Zweck bei der Erhebung bspw. in der entsprechenden Datenschutzinformation nach Art. 13 und 14 DS-GVO zu dokumentieren.

Weitere rechtliche Folgen, wie z. B. das Vorliegen einer Vertragsverletzung oder der Verstoß gegen das Geschäftsgeheimnisgesetz, können zusätzlich eintreten.

4 Sanktionen für Herr und Sklave

Wird ein Auftragsverarbeiter beauftragt, der Daten für eigene Zwecke verarbeiten will, läuft der Auftraggeber Gefahr, gegen das Gebot zur sorgfältigen Auswahl zu verstoßen (Art. 28 Abs. 1 DS-GVO).

Durch das Verfolgen eigener Zwecke wird für diese Zwecke der Auftragsverarbeiter zum Verantwortlichen (Art. 28 Abs. 10 DS-GVO). Er muss alle Pflichten eines Verantwortlichen erfüllen. In der Praxis geschieht dies regelmäßig nicht.

Das Bild zeigt eine Tabelle mit zwei Spalten, die jeweils eine Liste mit Begriffen zum Thema Datenschutz und -verarbeitung enthalten. Die Begriffe werden in Aufzählungsform dargestellt, was einen Vergleich oder eine Korrelation zwischen den Elementen in den beiden Spalten suggeriert. Es scheint sich um ein Dokument oder einen Abschnitt eines Dokuments zu handeln, das Datenschutzbestimmungen betrifft und möglicherweise Grundsätze, Pflichten oder Rechte beschreibt.

 

5 Fazit

Auftraggeber tun gut daran, sehr genau die Vertragsunterlagen, den Vertrag zur Auftragsverarbeitung, die Software selbst und andere Dokumente des Auftragnehmers zu prüfen. Sollte der Auftragnehmer Daten für eigene Zwecke verarbeiten wollen, empfiehlt sich eine kritische Prüfung, insbesondere ob man als Auftraggeber gegen die Zweckbindung verstoßen würde und ob eine Rechtsgrundlage für die Übermittlung vorhanden wäre.

Wer als Auftragsverarbeiter eigene Zwecke verfolgen will, sollte deutlich im Vertrag die Tätigkeiten als Auftragsverarbeiter und Verantwortlicher abgrenzen. Die Pflichten als Verantwortlicher sind vollumfänglich umzusetzen. Selbst wenn ein Auftraggeber den Auftragsverarbeiter beauftragt, Daten zu anonymisieren und anschließend die anonymisierten Daten an diesen Auftragsverarbeiter zu übermitteln, benötigt der Auftraggeber eine Rechtsgrundlage für die Anonymisierung. Ein solcher Vorgang wird üblicherweise vertraglich flankierend zu regeln sein.

Je nach Ausgestaltung kann der eigenverantwortliche Teil auch eine gemeinsame Verantwortung („Joint Controller“) nach Art. 26 DS-GVO begründen. Dann warten weitere Pflichten auf Auftraggeber und Auftragnehmer bzw. Auftragsverarbeiter sowie eine gesamtschuldnerische Haftung für materielle und immaterielle Schäden den betroffenen Personen gegenüber.

Dr. Niels Lepperhoff

Diesen Beitrag teilen:

Lesen Sie weiter

Diese Beiträge könnten Sie ebenfalls interessieren.