Jusletter IT

Bei einer Beauftragung Externer ist häufig der erste datenschutzrechtliche Reflex, einen Vertrag zur Auftragsvereinbarung nach Art. 28 Abs. 3 DS-GVO zu schließen. In den Konstellationen, in denen externe Mitarbeiter für den oder bei dem Verantwortlichen tätig werden, stellt sich jedoch die Frage, ob dies im Einzelfall erforderlich und das richtige datenschutzrechtliche Instrument ist. Neben der Auftragsverarbeitung sieht Art. 29 DS-GVO die Rechtsfigur der Verarbeitung unter der Aufsicht des Verantwortlichen durch eine diesem unterstellte Person vor. Der Begriff der unterstellten Person ist in der DS-GVO nicht legaldefiniert. Nach der herrschenden Auffassung in der Literatur ist er jedoch weit zu verstehen. Dem Verantwortlichen unterstellte Personen können demnach alle Personen sein, denen der Verantwortliche rechtlich verbindliche Weisungen erteilen kann.¹ Dies können neben den eigenen Arbeitnehmern des Verantwortlichen bei diesem eingesetzte Leiharbeitnehmer, wie auch im Rahmen von Werkverträgen tätige Personen sein.²

Bei Personen, die im Rahmen einer Arbeitnehmerüberlassung eingesetzt werden, findet sich eine entsprechende Regelung in § 1 Abs. 1 Satz 2 AÜG, wonach Arbeitnehmer zur Arbeitsleistung überlassen werden, wenn sie in die Arbeitsorganisation des Entleihers eingegliedert sind und dessen Weisungen unterliegen. Hier ist die Eingliederung in die Arbeitsorganisation des Verantwortlichen als einem eigenen Mitarbeiter entsprechend anzusehen. Diese Wertung findet sich auch in § 26 Abs. 8 Nr. 1 BDSG, wonach Leiharbeitnehmerinnen und Leiharbeitnehmer im Verhältnis zum Entleiher als Beschäftigte im Sinne des BDSG anzusehen sind. Weiterhin gilt nach § 8 Abs.1 Satz 1 AÜG der Gleichstellungsgrundsatz, wonach Leiharbeitnehmern die im Betrieb des Entleihers für einen vergleichbaren Arbeitnehmer geltenden wesentlichen Arbeitsbedingungen gewährt werden müssen. Daher ist der Leiharbeitnehmer als eine dem Verantwortlichen unterstellte Person im Sinne von Art. 29 DS-GVO anzusehen. Mithin ist kein darüberhinausgehender Vertrag zur Auftragsverarbeitung erforderlich.

In den Fällen, in denen die Beauftragung durch Werk- bzw. Dienstverträge erfolgt, ist die datenschutzrechtliche Einordung im Einzelfall nicht so eindeutig. Wesensgehalt der Auftragsverarbeitung ist die Verarbeitung personenbezogener Daten im Auftrag eines Verantwortlichen (Art. 28 Abs. 1 DS-GVO) und auf dessen Weisung (Art. 28 Abs. 3 Satz 2 lit. a) DS-GVO). Die Abgrenzung von Art. 28 DS-GVO und Art. 29 DS-GVO findet sich in der DS-GVO selbst nicht. Es ist jedoch für die Einschlägigkeit des Art. 29 DS-GVO bei gleichzeitiger Entbehrlichkeit eines Vertrages nach Art. 28 Abs. 3 DS-GVO notwendigerweise davon auszugehen, dass bei der Verarbeitung unter Aufsicht durch eine unterstellte Person ebendiese Aufsicht über reine Weisungen nach Art. 28 Abs. 3 Satz 2 lit. a) DS-GVO hinausgehen muss. Sie erfordert vielmehr eine Eingliederung in die Arbeitsorganisation des Verantwortlichen, wie dies § 1 Abs. 1 Satz 2 AÜG für die Arbeitnehmerüberlassung ausdrücklich klarstellt. Gegen eine entsprechende Einbindung spricht es, wenn der externe Mitarbeiter ohne Aufsicht klar definierte Aufgaben übernimmt und lediglich für deren Umsetzung einsteht. Für eine entsprechende Einbindung spricht wiederum, wenn der externe Mitarbeiter entsprechend einem eigenen Mitarbeiter in die betrieblichen Abläufe eingebunden ist. Dies wäre anzunehmen, wenn der externe Mitarbeiter einen Mitarbeiterausweis erhält und in der Arbeitsstätte des Verantwortlichen tätig ist. Ein Problem entsteht jedoch, wenn der externe Mitarbeiter nicht in den Räumlichkeiten des Verantwortlichen tätig ist, sondern remote arbeitet. Es wird vertreten, dass hier keine hinreichende Einbindung in die Arbeitsorganisation gegeben sei und daher der externe Mitarbeiter eigener Verantwortlicher im Sinne von Art. 4 Nr. 7 DS-GVO sei.³ Diese Auffassung vermag jedoch nicht zu überzeugen. Es ist vielmehr zu berücksichtigen, dass mittlerweile ein Recht eines Arbeitnehmers begründet wurde, remote arbeiten zu dürfen. Zwar ist die Regelung des § 28b Abs. 4 IfSG zum 20.03.2022 ausgelaufen. Allerdings ist auch nach diesem Datum die Unterscheidung in An- bzw. Abwesenheit in den Räumlichkeiten des Verantwortlichen nicht tragfähig. So bestehen mit den §§ 1 Abs. 4; 2 Abs. 7 ArbStättV zur sog. Telearbeit Normen, die von einer regelmäßigen Ausübung der Tätigkeit unabhängig von der jeweiligen Arbeitsstätte ausgehen. Daher ist der externe Mitarbeiter auch in diesen Konstellationen nicht als eigener Verantwortlicher, sondern als unter der Aufsicht des Verantwortlichen Tätiger im Sinne von Art. 29 DS-GVO anzusehen.

Damit ist allerdings noch nichts dazu gesagt, ob dies auch bedeutet, dass der externe Mitarbeiter dem Verantwortlichen im Sinne von Art. 29 DS-GVO unterstellt und damit ein Vertrag zur Auftragsverarbeitung nicht erforderlich ist. Leider sind die Auffassungen der deutschen Aufsichtsbehörden hierzu nicht eindeutig. Die Fälle, die dort als Auftragsverarbeitung angesehen werden, sind regelmäßig solche, die ausgelagerte Datenverarbeitungen betreffen, die grundsätzlich vom Verantwortlichen selbst zu erbringen wären.⁴ Auf europäischer Ebene wiederum wurden die Probleme bei der Einbindung externen Personals zwar gesehen, aber dennoch auch im Ergebnis offengelassen. So finden sich in den Leitlinien zu den Begriffen „Verantwortlicher“ und „Auftragsverarbeiter“ die Fallbeispiele „Allgemeine IT-Dienstleistungen“ und „IT-Berater, der einen Software-Fehler behebt“.⁵ In dem ersten Fallbeispiel kommt das einsetzende Unternehmen zu dem Schluss, dass ein Vertrag zur Auftragsvereinbarung zu schließen ist, obwohl die Verarbeitung personenbezogener Daten nur gelegentlich des Auftrags erfolgt und nicht dessen Hauptzweck darstellt. Im zweiten Fallbeispiel kommt das einsetzende Unternehmen wiederum zu dem Schluss, dass kein Vertrag zur Auftragsverarbeitung zu schließen ist, da ein Zugriff auf personenbezogene Daten nur gelegentlich erfolge und daher in der Praxis sehr begrenzt sei. Leider ist nicht ersichtlich, wie der EDSA selbst diese Fälle bewertet und was der datenschutzrechtlich relevante Unterschied zwischen beiden Fallgestaltungen ist. Ein Indiz jedoch ist, dass im ersten Fall ein Unternehmen beauftragt wird, im zweiten Fall ein einzelner Consultant.

Bei der Beauftragung eines externen Mitarbeiters,⁶ der beim Verantwortlichen selbst tätig ist oder mittels ihm von diesem überlassener Hardware remote auf personenbezogene Daten zugreift, besteht bzgl. einer Auftragsverarbeitung schon das Problem, dass der externe Mitarbeiter keine eigenen technisch-organisatorischen Maßnahmen nach Art. 28 Abs. 3 Satz 2 lit. c) in Verbindung mit Art. 32 DS-GVO zusichern kann. Dies wären dann die technisch-organisatorischen Maßnahmen des Verantwortlichen selbst. Gibt der Verantwortliche diese jedoch auch durch Überlassung der Hardware vor, wäre in dieser Hinsicht bereits das Kriterium der Unterstellung nach Art. 29 DS-GVO erfüllt und ein Vertrag zur Auftragsverarbeitung nicht erforderlich. Da aus arbeitsrechtlicher Sicht jedoch keine strenge Weisungsgebundenheit und Unterstellung gewünscht ist,⁷ wäre jedenfalls eine entsprechende Klarstellung in den Vertrag aufzunehmen, wonach ein Ausschluss von Weisungen nicht den Ausschluss datenschutzrechtlicher Weisungen umfasst.

Besteht jedoch eine Rechtsbeziehung zu einem Unternehmen, wie im ersten Fallbeispiel des EDSA, zumal wenn von diesem Unternehmen mehrere Arbeitnehmer beim Verantwortlichen tätig werden, wäre grundsätzlich ein Vertrag zur Auftragsverarbeitung zu schließen. Die nach Art. 29 DS-GVO erforderliche Unterstellung unter den Verantwortlichen ist hier schwer darstellbar, da das Unternehmen, bei dem die externen Mitarbeiter angestellt sind, diesen gegenüber zunächst Weisungsrechte hätte und im Regelfall auch eine relevante Datenverarbeitung durch dieses Unternehmen selbst erfolgen wird.

Weitere datenschutzrechtlichen Fragen stellen sich im Verhältnis zwischen dem einsetzenden und dem entsendenden Unternehmen. Häufig wird hier eine Arbeitnehmerüberlassung stattfinden, zumal diese durch die Entbehrlichkeit eines Vertrages zur Auftragsverarbeitung datenschutzrechtliche Vorteile für das einsetzende Unternehmen bietet. Zwar ist eine Auftragsverarbeitung hier nicht gegeben, da eine Einbindung des Leiharbeitnehmers in die Arbeitsorganisation des einsetzenden Unternehmens stattfindet. Im Einzelfall können jedoch eine gemeinsame Verantwortlichkeit im Sinne von Art. 26 DS-GVO oder eine jeweils eigene Verantwortlichkeit vorliegen.⁸ Nach Art. 26 Abs. 1 Satz 1 DS-GVO sind mehrere Verantwortliche als gemeinsam verantwortlich anzusehen, wenn sie gemeinsam die Zwecke der und die Mittel zur Verarbeitung festlegen. Bei einem engen Verständnis der Norm wäre die gemeinsame Festlegung der Verarbeitungszwecke durchaus fraglich. Beide Beteiligte verfolgen zunächst eigene separate Geschäftszwecke. Das entsendende Unternehmen verarbeitet die personenbezogenen Daten der Leiharbeitnehmer und der Ansprechpartner auf Kundenseite grundsätzlich für den eigenen Geschäftszweck der Arbeitnehmerüberlassung. Das einsetzende Unternehmen wiederum verarbeitet diese Daten für den Zweck des jeweiligen Einsatzes der Leiharbeitnehmer. Somit ist in Fällen, in denen sich diese Trennung der jeweiligen Verantwortungsbereiche vornehmen lässt, von zwei eigenen Verantwortlichen im Sinne von Art. 4 Nr. 7 DS-GVO auszugehen.⁹ Nach der weiten Auffassung des EuGH ist es jedoch für die Annahme einer gemeinsamen Verantwortlichkeit ausreichend, dass über die gesamte Verarbeitungskette hinweg mehrere Verantwortliche identische personenbezogene Daten verarbeiten, was in einzelnen Phasen durchaus auch für eigene Geschäftszwecke geschehen kann.¹⁰ Hiervon ausgehend wäre in Fällen, in denen z.B. Daten zur genauen Arbeitszeit von beiden Parteien genutzt werden, ein Vertrag nach Art. 26 DS-GVO zu schließen.

Weiterhin können externe Mitarbeiter auch über Unternehmen vermittelt werden, die kein Verleiher im Sinne des AÜG sind. Hier vermitteln diese Unternehmen externe Mitarbeiter, die dann wiederum nicht als Beschäftigte im Sinne von § 26 Abs. 8 Nr. 1 BDSG tätig sind. Datenschutzrechtlich handelt es sich bei dem entsendenden und dem einsetzenden Unternehmen jeweils um eigene Verantwortliche im Sinne von Art. 4 Nr. 7 DS-GVO. Eine weisungsgebundene Tätigkeit des vermittelnden Unternehmens liegt nicht vor, da es die angeforderte Tätigkeit nicht selbst erbringt und damit keine personenbezogenen Daten weisungsgebunden für das einsetzende Unternehmen verarbeitet. Die durch das vermittelnde Unternehmen verarbeiteten personenbezogene Daten der Ansprechpartner bei dem einsetzenden Unternehmen und des jeweils vermittelten externen Mitarbeiters werden für ausschließlich eigene Geschäftszwecke verarbeitet. Zu der datenschutzrechtlichen Abbildung des Einsatzes des jeweiligen externen Mitarbeiters gilt wiederum das oben zu Ziff. 1 Aufgeführte.

Die datenschutzrechtliche Abbildung der Einbindung externer Mitarbeiter ist komplex und man sollte mitunter dem ersten Reflex, einen Vertrag zur Auftragsverarbeitung schließen zu wollen, nicht nachgeben. Im Einzelfall können unkomplizierte Möglichkeiten, wie Art. 29 DS-GVO, möglich sein. Jedoch können auch kompliziertere Erfordernisse, wie eine gemeinsame Verantwortlichkeit nach Art. 26 DS-GVO, bestehen. Es verbleibt regelmäßig bei einer Einzelfallbetrachtung und -bewertung. Zur Herstellung von größerer Rechtssicherheit in diesen Konstellationen wären entsprechende Leitlinien des EDSA oder zumindest der DSK wünschenswert.

Conrad, Conrad Sebastian: Freelancer als Auftragsverarbeiter? Einschätzung im Sinne der Datenschutz-Grundverordnung, DuD 2019, S. 134–136.

Datenschutzkonferenz: Kurzpapier Nr. 13 – Auftragsverarbeitung, Art. 28 DS-GVO.

Europäischer Datenschutzausschuss: Leitlinien 07/2020 zu den Begriffen „Verantwortlicher“ und „Auftragsverarbeiter“ in der DSGVO, Version 2.0, angenommen am 7. Juli 2021.

Gierschmann, Sibylle/Schlender, Katharina/Stentzel, Rainer/Veil, Winfried: Datenschutz-Grundverordnung, Kommentar, 1. Aufl., Köln 2018.

Landesbeauftragter für Datenschutz und Informationsfreiheit Baden-Württemberg: Ratgeber Beschäftigtendatenschutz, 4. Aufl., Stand: April 2020.

Paal, Boris P./Pauly, Daniel A.: Datenschutz-Grundverordnung/Bundesdatenschutzgesetz, Kommentar, 3. Aufl., München 2021.

Schuster, Fabian: Auftragsverarbeitung und gemeinsame Verantwortung bei der Arbeitnehmerüberlassung – Insbesondere bei mehreren Zeitarbeitsfirmen und Nutzung eines Vendor-Management-Systems, RDV 2021, S.141–147.

Schütt, Manuel/Seidel, Hendrik: Wer eine Person „unterstellt“, gliedert diese auch ein? Datenschutzrechtliche Einbindung von Fremdpersonal, DSB 2022, S. 80–83.

Wolff, Heinrich Amadeus/Brink, Stefan: Beck’scher Online-Kommentar Datenschutzrecht, 39. Edition, Stand 01.11.2021.