Datenschutz und Absicherung : Auftragsverarbeitung: Umgang mit Datenschätzen
Am 05.11.2020 stellte die Firma Atlassian die Ergebnisse einer Studie zur Auswirkung von Homeoffice auf die Work-Life-Balance in einem Blog vor.
Dazu wertete Atlassian das Nutzungsverhalten von Mitarbeitern ihrer Kunden aus. Der Blogautor, Arik Friedman, schreibt dazu: „With usage data from millions of people across the world at my fingertips, I wondered whether activity patterns could illuminate changes in our collective work habits with the transition to remote work.“ Kunden aus der EU sollte dieser Satz aufhorchen lassen, denn Atlassian agiert als Auftragsverarbeiter insbesondere für die von Atlassian gehosteten Produkte Jira und Confluence.
Kundendaten – eine Verführung
Im Rahmen einer Auftragsverarbeitung verarbeitet der Auftragnehmer als Erfüllungsgehilfe personenbezogene Daten für den Auftraggeber. Wie weit die Befugnis zur Verarbeitung reicht, ergibt sich im Wesentlichen aus dem Leistungsgegenstand. Ein Hoster beispielsweise darf regelmäßig nur dann personenbezogene Daten des Auftraggebers verarbeiten, wenn dies für Anmeldungen, Rechtesteuerung oder Fehlerbehebung erforderlich ist. Unerheblich bleibt, ob ein Auftragsverarbeiter die Daten mit eigenen Programmen sammelt oder durch den Auftraggeber übermittelt bekommt.
Sobald ein Auftragsverarbeiter die ihm anvertrauten personenbezogenen Daten für eigene Zwecke verarbeitet, beispielsweise für Studien, Branchenreports, Produktoptimierungen usw., verlässt er seine Rolle als Auftragsverarbeiter und wird „Verantwortlicher“ (Art. 28 Abs. 10 Datenschutz-Grundverordnung (DS-GVO)). Die Rechtsfolgen dieses Schrittes sind vielfältig. Dazu zählen u. a.: Ein Verantwortlicher benötigt eine Rechtsgrundlage, die ihm die Verarbeitung der personenbezogenen Daten erlaubt. Weiterhin muss ein Verantwortlicher die von der Datenverarbeitung betroffenen Personen fristgerecht informieren, was ihm regelmäßig nicht gelingt. Aber auch den Auftraggeber treffen plötzlich Rechtsfolgen: Er muss seinerseits eine Rechtsgrundlage für die Übermittlung personenbezogener Daten an seinen Dienstleister finden. Regelmäßig fehlt es beiden Parteien an einer Rechtsgrundlage, personenbezogene Daten zu übermitteln oder zu verarbeiten. Dieses gilt umso mehr für Personaldaten, die dem Grundsatz der Vertraulichkeit beim Auftraggeber unterliegen, d. h. grundsätzlich Dritten nicht offenbart werden dürfen. Zahlreiche Gesetzesverstöße beider Parteien sind die Folge. Werden personenbezogene Daten unrechtmäßig verarbeitet, lebt regelmäßig die Meldepflicht an die Datenschutzaufsichtsbehörde und, bei hohen Risiken, an die betroffenen Personen auf.
Statistik – der vermeintliche Ausweg
Auch wenn das Ergebnis einer Statistik keinen Personenbezug aufweist, so dienen personenbezogene Daten als Grundlage. Diese personenbezogenen Daten hat ein Auftragsverarbeiter für eine Verarbeitung innerhalb der Weisungen für die Zwecke des Auftraggebers und nicht für eigene Zwecke erhalten. Deshalb führt jede Nutzung für eigene Zwecke – ganz unabhängig davon, ob das Ergebnis eine Statistik ist oder nicht – zu der oben erläuterten Rolle als „Verantwortlicher“.
Rechteeinräumung im Kundenvertrag
Ein Auftragsverarbeiter darf nur innerhalb der Weisungen des Auftraggebers handeln. Warum sich nicht vertraglich das Recht zur Datenverarbeitung für eigene Zwecke durch den Kunden einräumen lassen? Eine solche „Erlaubnis“ verlässt die Auftragsverarbeitung, denn der Auftragsverarbeiter bestimmt hier über Zwecke und Mittel. Art. 28 Abs. 10 DS-GVO kommt mit den oben geschilderten Folgen zur Anwendung.
Lösungsweg zur Nutzung für eigene Zwecke
Ein Ausweg liegt in der eigenen Erhebung von Daten. Sobald ein Dienstleister Daten selbst für eigene Zwecke erhebt, findet seine Verarbeitung nicht mehr innerhalb einer Auftragsverarbeitung statt. Selbstverständlich muss er über eine Rechtsgrundlage zur Verarbeitung verfügen und die übrigen Pflichten als Verantwortlicher einhalten. Das Beispiel einer Befragung nach Wunschgehältern in einem Bewerberportal illustriert den Weg:
Ruft ein Bewerber das Portal auf, so sieht er das Logo des Auftraggebers, dessen Impressum und Datenschutzinformation (nach Art. 13 und 14 DS-GVO). An der rechten Seite sieht er einen Kasten mit der Überschrift „Gehaltsumfrage“. Der Kasten enthält das Logo des Auftragsverarbeiters, dessen Impressum und Datenschutzinformationen. Der Auftragsverarbeiter erhebt im eigenen Namen den Gehaltswunsch vom Bewerber. Denkbare Rechtsgrundlagen wären Einwilligung, Vertrag mit der befragten Person oder Interessenabwägung, je nachdem wie die Befragung im Einzelfall ausgestaltet wird. Die eingegebenen Daten erhält der Auftraggeber nicht.
Die Eingabe hat im Regelfall freiwillig zu sein, da sonst diese Datenerhebung zu einer gemeinsamen Verantwortung i. S. d. Art. 26 DS-GVO mit dem Auftraggeber führen würde. Eine gemeinsame Verarbeitung bedeutet insbesondere, eine zusätzliche Vereinbarung neben dem Auftragsverarbeitungsvertrag zu schließen und in eine gesamtschuldnerischen Haftung mit dem Auftraggeber einzutreten.
Fazit
Sobald ein Dienstleister Daten selbst für eigene Zwecke erheben will, wird die Auftragsverarbeitung verlassen. Dieser Dienstleister ist in der Folge vollumfänglich datenschutzrechtlich für die Verarbeitung verantwortlich, d. h. er benötigt beispielsweise eine Rechtsgrundlage gemäß Art. 6 oder 9 DS-GVO und hat über die Verarbeitung zu informieren. Es empfiehlt sich, eine Verarbeitung außerhalb der Auftragsverarbeitung sorgfältig zu gestalten.
Dr. Niels Lepperhoff, Xamit Bewertungsgesellschaft mbH