Auftragsdatenverarbeitung (ADV): Wenn die Datenverarbeitung ausgelagert wird
Auftragsdatenverarbeitung (ADV): Wenn die Datenverarbeitung ausgelagert wird
Was zum Schutz von Unternehmens- und Kundendaten zu beachten ist
Ob in der Produktion von Waren, bei der Kundenbetreuung oder zur Bereitstellung zusätzlicher Dienstleistungen – viele Unternehmen lagern einzelne Arbeitsschritte oder sogar vollständige Geschäftsbereiche wie Callcenter an Dienstleister aus (Outsourcing) oder bedienen sich externer Hilfskräfte, um ihrem Leistungs- und Warenspektrum gerecht zu werden. In immer mehr Unternehmen machen sich die Beauftragung von Dienstleistern sowie flexible Beschäftigungsmodelle wie eine zeitlich begrenzte freie Mitarbeiterschaft bezahlt.
Gerade bei schwankender Auftragslage oder projektbezogener Arbeit ist die Beschäftigung von Freelancern und Mitarbeitern außerhalb eines festen Angestelltenverhältnisses besonders reizvoll. Allerdings stellt sich bei der Unterstützung durch externe Personen und Gesellschaften die Frage, wie sich die Daten und Geschäftsgeheimnisse des Auftraggebers und seiner Kunden vorschriftsgemäß im Sinne des Bundesdatenschutzgesetzes (BDSG) sichern lassen. Die nur punktuelle Bindung Dritter an das Unternehmen darf jedenfalls nicht dazu führen, dass im Umgang mit personenbezogenen Daten nachlässig umgegangen wird.
Datenweitergabe an Dritte zur Erledigung eigener Geschäftszwecke stellt meist eine Auftragsdatenverarbeitung dar
Wer zur effektiven Organisation von Datenmengen Cloud Computing wie Amazon Web Services, für die Analyse seines Website-Traffics Google Analytics, Piwik, Adobe Analytics oder ähnliche Tracking-Tools oder zur gezielten Bewerbung und Erweiterung seines Kundenstamms eine externe Marketingagentur einsetzt, dem dürfte das Schlagwort „Auftragsdatenverarbeitung“ (kurz: ADV) schon einmal über den Weg gelaufen sein.
Für all diese Formen der „Datenbearbeitung“ werden überwiegend Daten, die im Sinne des deutschen Datenschutzrechts als personenbezogene Daten zu bewerten sind, zu bestimmten Zwecken an Dritte weitergegeben. So erhalten beispielsweise E-Mail-Marketer, Zahlungsdienstleister oder andere Drittdienstleister vom beauftragenden Unternehmen für die auf Weisung zu erbringende Leistung Daten, die Rückschlüsse auf seine Kunden, Lieferanten oder Mitarbeiter zulassen. Zur Sicherung und zum Schutz dieser personenbezogenen Daten muss grundsätzlich ein schriftlicher Vertrag zur Auftragsdatenverarbeitung („ADV-Vertrag“ oder „Data Processor Agreement“) zwischen dem Unternehmen und dem beauftragten Dienstleister abgeschlossen werden. Ein solcher Vertrag muss die folgenden Mindestangaben enthalten:
Gegenstand und Dauer des Vertrags
Umfang, Art und Zweck der vorgesehenen Datenverarbeitung, Art der Daten und Kreis der davon betroffenen Personen
Technische und organisatorische Maßnahmen zu Datenschutz und -sicherheit
Vorschriften über die Berichtigung, Löschung und Sperrung von Daten
Festlegungen zu gesetzlichen datenschutzrechtlichen Pflichten (insbesondere Kontrollpflichten) des Auftragnehmers
Etwaige Befugnis zur Begründung von Unterauftragsverhältnissen
Kontrollrechte des Auftraggebers und Duldungs- und Mitwirkungspflichten des Auftragnehmers
Vorgehen bei Datenschutzverstößen und Datenpannen durch/bei Auftragnehmer
Weisungsbefugnisse des Auftraggebers gegenüber Auftragnehmer
Folgen der Auftragsbeendigung: Löschung Daten, Übergabe von Datenträgern
Dieser Katalog aus § 11 BDSG verdeutlicht, dass eine einfache Auftragserteilung, die zum Beispiel lediglich Leistungszeitraum, Leistungsziel und Vergütung klärt, in keinem Fall den gesetzlichen Anforderungen genügt. Vielmehr muss sich der Auftraggeber bereits bei der Auswahl des passenden Dienstleisters sowie bei den vertraglich festzulegenden Regelungen intensiv mit den datenschutzrechtlichen Anforderungen sowie den diesbezüglichen Gegebenheiten im eigenen Unternehmen auseinandersetzen.
Wer hier nachlässig arbeitet, riskiert, dass im Falle eines Datenlecks („Data Breach“) beim Dienstleister ein hohes Bußgeld für den Auftraggeber fällig wird. Verstöße gegen § 11 BDSG sind Ordnungswidrigkeiten nach § 43 Abs. 1 Nr. 2b BDSG, der Bußgeldrahmen des § 43 Abs. 3 BDSG ist individuell und soll den wirtschaftlichen Vorteil beim Auftraggeber abschöpfen. Berücksichtigt man dies, kann aus einer günstigen, aber nachlässig durchgeführten Beauftragung Dritter plötzlich wegen Datenschutzverstößen ein erhebliches Minusgeschäft resultieren. Vor dem Hintergrund, dass die vertragliche Absicherung der Auftragsdatenverarbeitung nach § 11 BDSG kein allzu kompliziertes Unterfangen ist, wäre das Eingehen eines solchen Risikos völlig unnötig.
Auch wenn spezialisierte Rechtsanwälte Unternehmen in der Vertragsgestaltung und bei datenschutzrechtlichen Bewertung von Beauftragungen Externer effektiv unterstützen können, spart es Geld und Zeit, wenn Entscheidungsträger im Unternehmens wissen, wann eine Vereinbarung zur Auftragsdatenverarbeitung abzuschließen ist und wann zum Beispiel eine bloße Verpflichtung auf das Datengeheimnis nach § 5 BDSG ausreichend ist, um ein adäquates Schutzniveau zu sichern.
Verpflichtung auf das Datengeheimnis oder Vertrag zur Auftragsdatenverarbeitung?
Eine bloße Verpflichtung auf das Datengeheimnis mit der Aussage, dass es
den bei der Datenverarbeitung beschäftigten Personen untersagt ist, personenbezogene Daten unbefugt zu erheben, zu verarbeiten oder zu nutzen (vgl. § 5 BDSG)
soll häufig signalisieren, dass geltendes Datenschutzrecht beachtet und eingehalten wird. Diese Vereinbarung allein genügt jedoch in vielen Fällen nicht, sie hat für den Unterzeichner vor allem konditionierenden Charakter.
Unterscheidungskriterium für eine umfassende Sicherung der Beachtung datenschutzrechtlicher Vorgaben ist, ob eine personell-organisatorischen Einheit zwischen Beauftragten und dem beauftragenden Unternehmen besteht. Diese Einheit ist regelmäßig dann gegeben, wenn ein Unternehmen zur Unterstützung seines Teams oder zur Erledigung bestimmter Projekt freie Mitarbeiter oder sonstige Angestellte beschäftigt. Zwar sind diese Mitarbeiter strenggenommen wie beauftragte Dritte „externe Unterstützer“, die nach Weisungen des Unternehmens Aufgaben erledigen, dennoch werden sie der Betriebsorganisation des Unternehmens zuzuordnen und voll in die Unternehmensstruktur integriert. In derartigen Fällen genügt es, einen entsprechenden kurzen Passus zum Datengeheimnis in den Freelancer-Vertrag aufzunehmen.
Es bleibt zu bedenken, dass auch externe Dienstleister, mit denen das Unternehmen gegebenenfalls einen Auftragsdatenverarbeitungsvertrag abschließt, Freelancer oder freie Mitarbeiter einbinden können. In diesen Fällen muss die unterstützende Datenverarbeitung durch diese Mitarbeiter nicht über einen weiteren Auftragsdatenverarbeitungsvertrag abgesichert werden. Hat der Auftragnehmer seine externen Mitarbeiter ordnungsgemäß auf das Datengeheimnis verpflichtet, ist weder ein weiterer ADV-Vertrag noch eine Erlaubnis zur Unterbeauftragung des Freelancers als Subunternehmer notwendig.
Nur bei Weisungsbefugnis Auftragsdatenverarbeitung, sonst Funktionsübertragung
Ob ein ADV-Vertrag abzuschließen ist, hängt vor allem vom Vorliegen einer Weisungsgebundenheit ab. Dahinter versteckt sich die Frage, ob der Auftragnehmer vom Auftraggeber zur Erledigung seiner Geschäftszwecke unterstützend in seinem Namen herangezogen wird und insbesondere für die Verwendung personenbezogener Daten nur auf seine Weisungen hin arbeiten darf (Auftragsdatenverarbeitung), oder ob dem Auftragnehmer eine eigene Handhabe und Entscheidungsbefugnis zum Umgang mit den Daten eingeräumt wird (Funktionsübertragung).
Ist Letzteres der Fall, so ist meist nicht von einer Verarbeitung von Auftragsdaten auszugehen. Vielmehr erhält der Dienstleister Daten, die er selbst und eigenständig auch für sich nutzen darf und man spricht von einer „Funktionsübertragung“. Beispielsweise ist dies anzunehmen, wenn Daten zur weiteren Verarbeitung oder Aufbereitung an Dritte gesendet werden („Lettershops“, aber auch beim sogenannten „Adresshandel“), oder bei der Übermittlung von Patientendaten an Spezialkliniken oder Fachärzte im medizinische Umfeld.
Im Übrigen wird im Fall einer Funktionsübertragung die Verantwortlichkeit für die übermittelten Daten an das Unternehmen abgegeben, das die Daten empfängt. Aufgrund dessen kann auf einen Auftragsdatenverarbeitungsvertrag verzichtet werden, der grundsätzlich zur vertraglichen Regelung der sonst bestehenden Verantwortlichkeiten notwendig ist. Allerdings muss auch bei der Funktionsübertragung die zulässige Übermittlung von personenbezogenen Daten abgesichert sein. Dies kann durch die direkte Einwilligung der Personen, deren Daten weitergegeben werden, oder auf Basis der gesetzlichen Erlaubnisregelungen erfolgen.
Sollen Dienstleister beauftragt werden, die nicht in der Europäischen Union (EU) oder dem Europäischem Wirtschaftsraum (EWR) ansässig sind, können faktisch die Voraussetzungen für eine Auftragsdatenverarbeitung vorliegen. Allerdings muss aufgrund der abweichenden Sicherheitsstandards in internationalen Drittländern (außerhalb der EU und des EWR) auf andere Regelungssysteme zurückgegriffen werden.
Aufgrund der Komplexität und Einzelfallabhängigkeit der Auftragsdatenverarbeitung empfiehlt es sich, im Zweifel einen spezialisierten Rechtsanwalt oder Datenschutzbeauftragten hinzuzuziehen. Bei Spirit Legal LLP helfen unter anderem Peter Hense und Katja Rengers, Haftungsfälle durch vorsorgende Regelungen im Datenschutzbereich zu vermeiden und Bußgeldern und Schadensersatzzahlungen vorzubeugen.
Hallo Frau Rengers,
ich habe eine Frage zum Thema Freie Mitarbeiter und Auftragsdatenverarbeitung.
Sowohl aus Ihrem Artikel als auch aus dem Tätigkeitsbericht 2013/2014 des Landesamtes für Datenschutzaufsicht, entnehme ich, dass die datenschutzrechtliche Einordnung von solchen freien Mitarbeitern eines Unternehmens im Wesentlichen davon abhängt, ob der Externe/Freie nach den Vorgaben und unter der Aufsicht der verantwortlichen Stelle, vergleichbar den festangestellten Mitarbeitern (z. B. zur Bewältigung von Arbeitsspitzen), tätig wird, oder ob der Externe/Freie auf weitgehend eigenständiger Basis seine Dienstleistungen für die verantwortliche Stelle erbringt (z. B. beauftragt mit Programmierung und Wartung von spezieller Software). Im letzteren Fall wäre eine vertragliche Beauftragung des Externen nach § 11 BDSG das richtige Mittel nach dem BDSG, im ersteren Fall eine Verpflichtung nach § 5 BDSG auf das Datengeheimnis.
Gilt dies nur im datenschutzrechtlichen Sinne oder auch im arbeitrechtlichem Sinn. Werden die freien Mitarbeiter nicht automatisch zu Scheinselbständigen, wenn sie nach den Vorgaben und unter Aufsicht der verantwortlichen Stelle tätig sind. Ich halte die Grenze für fließend.
Ich freue mich über Ihre Rückmeldung,
Kommentar von Katja Rengers |
Wie mein Artikel bereits darstellte und auch den Tätigkeitsberichten der Landesdatenschutzbehörden zu entnehmen ist, muss in Punkto Freelancer/freie Mitarbeiter zunächst in datenschutzrechtlicher Hinsicht abgewogen werden, inwiefern diese in die eigene Unternehmensstruktur eingeflochten sind.
Die starke Integration eines Freelancers ins eigene Unternehmen spricht für eine Verpflichtung dieser Person auf das Datengeheimnis (Abschluss ADV-Vertrag überwiegend abzulehnen), muss jedoch nicht bedeuten, dass dieser neben dem eigenen Unternehmen seine Arbeitskraft nicht auch noch bei anderen Betrieben anbieten kann. Grundsätzlich ist es möglich, dass der freie Mitarbeiter also auch bei anderen Auftraggebern tätig wird. Zugehörigkeit im datenschutzrechtlichen Sinne hat demnach nicht unweigerlich auch Auswirkungen auf die arbeits-/steuerrechtliche Stellung eines freien Mitarbeiters. Insbesondere dürfte in diesen Fällen eine Scheinselbstständigkeit des freien Mitarbeiters wohl auszuschließen sein.
Kurzum: Es ist strikt zwischen den datenschutzrechtlichen und arbeits-/steuerrechtlichen Belangen zu trennen. Demzufolge ist nach meinem Dafürhalten auch der Schluss unzutreffend, dass der auf das Datengeheimnis verpflichtete (freie) Mitarbeiter aufgrund seiner Einbindung in die Unternehmensstruktur quasi automatisch zu einem Scheinselbstständigen wird.
Kommentar von Paddy Gsell |
Hallo Frau Kollegin Rengers, Hallo Herr Kollege Hense,
es freut mich, dass Sie sich mit diesem Thema beschäftigen. Ich hirne gerade selbst (mal wieder) über diesen Konstellationen.
Wie beurteilen Sie die nachfolgende Konstellation nach DSGVO und BDSG neu: A ist ein Personaldienstleister, der im Rahmen von Dienstverträgen und Dienstverschaffungsverträgen Freie Mitarbeiter / Freelancer für temporäre Projekteinsätze bei Unternehmen zur Verfügung stellt.
B ist Freelancer im Bereich Finance & Accounting. Er prüft und erstellt u.a. Bilanzen. B ist in der Datenbank / im Kandidatenpool des A gelistet.
Das Unternehmen X fragt bei A an, ob A dem X einen Freelancer aus dem Bereich Finance anbieten könne, der u.a. Bilanzen prüft. Projektdauer: 9 Monate. Stundensatz 90,00 € Netto. 3 Tage vor Ort bei X, 1 Tag Home Office. Betriebsmittel wie Notebook, Smartphone, E-Mail Account stellt X dem B zur Verfügung, da X nicht möchte, dass B mit seinen eigenen Betriebsmitteln auf Systeme des X zugreift. A durchsucht seine Datenbank, findet und kontaktiert den B. Er stellt B das Projekt vor. B ist mit der Vorstellung seines Profils bei X einverstanden. Nach einem Vorstellungstermin entscheidet sich X für B.
A schließt mit B einen Dienstvertrag. Hauptleistung ist die Erbringung von Leistungen bei und für X u.a. Erstellung und Prüfung von Bilanzen. Im Rahmen dieses Dienstvertrags wird B auf Vertraulichkeit verpflichtet im Hinblick auf personenbezogene Daten der Beschäftigen von X wie z.B. Name, Vorname, E-Mail Adresse, USER ID, die dem B zur Kenntnis gelangen könnten, wenn er die Dokumente prüft. Ferner schließt A mit X einen Dienstverschaffungsvertrag. A verschafft X die Dienste des B zur u.a. Prüfung und Erstellung von Bilanzen. Ferner versichert A, dass B auf Vertraulichkeit hingewiesen wurde und geeignete TOM getroffen wurden zur Durchführung des Projekts.
X möchte zudem einen AVV mit A schließen, da es sein könne, dass B im Rahmen des Projekts personenbezogene Daten der Beschäftigten wie Name, Vorname, E-Mailadresse, USER ID sehen könne. Daraus folgend verlangt X von A, dass A mit B ebenfalls einen AVV schließt, da der B Unterauftragsverarbeiter des A sei.
Wie ist die Rechtslage? Muss A sowohl mit X, als auch mit B einen AVV schließen und muss A den B als Subunternehmer im AVV mit X aufführen? Oder reicht es, wenn A mit X einen AVV schließt und den B im Rahmen des Dienstvertrags auf Vertraulichkeit verpflichtet. Oder reicht ein Dienstvertrag zwischen A und B und ein Dienstverschaffungsvertrag zwischen A und X wie oben beschrieben aus?
Ich freue mich auf Ihre Rückmeldung.
Mit freundlichen kollegialen Grüßen Paddy Gsell
Antwort von Peter Hense
Lieber Kollege Gsell,
der Beitrag hier ist noch zur alten Rechtslage. Unter der DSGVO haben sich einige neue Facetten eingeschlichen, die über den Terminologiewechsel von "ADV" zu "AVV" hinausgehen. In Ihrem Fall vergleichbaren Fällen sind wir zunehmend der Auffassung, dass man die Verarbeitungsvorgänge in einem Vertrag mit Elementen AV, LC und C2C zusammenfassen sollte. Wenn man nur auf AV abstellen mag, sollte man vor allem auf Art. 28.4 GDPR achten. Im Übrigen gilt der Grundsatz, dass es keine Datenübertragung ohne Begleitvertrag geben kann. Bei der Gestaltung von dessen Inhalten ist man dann wiederum etwas freier, nur über die Stellung als Controller, Processor oder Joint controller kann man zwar nicht disponieren, wohl aber trefflich streiten.
Kommentar von Ass. iur. Jasmin Coeln |
Hallo Frau Rengers,
ich habe eine Frage zum Thema Freie Mitarbeiter und Auftragsdatenverarbeitung.
Sowohl aus Ihrem Artikel als auch aus dem Tätigkeitsbericht 2013/2014 des Landesamtes für Datenschutzaufsicht, entnehme ich, dass die datenschutzrechtliche Einordnung von solchen freien Mitarbeitern eines Unternehmens im Wesentlichen davon abhängt, ob der Externe/Freie nach den Vorgaben und unter der Aufsicht der verantwortlichen Stelle, vergleichbar den festangestellten Mitarbeitern (z. B. zur Bewältigung von Arbeitsspitzen), tätig wird, oder ob der Externe/Freie auf weitgehend eigenständiger Basis seine Dienstleistungen für die verantwortliche Stelle erbringt (z. B. beauftragt mit Programmierung und Wartung von spezieller Software). Im letzteren Fall wäre eine vertragliche Beauftragung des Externen nach § 11 BDSG das richtige Mittel nach dem BDSG, im ersteren Fall eine Verpflichtung nach § 5 BDSG auf das Datengeheimnis.
Gilt dies nur im datenschutzrechtlichen Sinne oder auch im arbeitrechtlichem Sinn. Werden die freien Mitarbeiter nicht automatisch zu Scheinselbständigen, wenn sie nach den Vorgaben und unter Aufsicht der verantwortlichen Stelle tätig sind. Ich halte die Grenze für fließend.
Ich freue mich über Ihre Rückmeldung,