Fragen & Antworten

Ich biete Datenschutz-Coaching-Mitglieder und manchmal auch Newsletter-Lesern die Möglichkeit Fragen zum Datenschutz zu stellen. Die Antworten finden sich dann in dieser Kategorie.

Dürfen Arbeitgeber den Führerschein von Beschäftigten kopieren?

Wenn Unternehmen Firmenwagen für Beschäftigte zur Verfügung stellen, stellt sich die datenschutzrechtliche Frage, ob in dem Zusammenhang die Kopie von Führerscheinen von Beschäftigten zulässig ist?

Um diese Frage zu beantworten, müssen wir uns im Ergebnis die Frage stellen, ob die Kopie von Führerscheinen rechtlich erforderlich ist und davor vor allem, welche Rechtsgrundlage hierfür in Betracht kommt.

Richtig ist zunächst, dass die Arbeitgeberin wohl ein Recht der Überprüfung hat, ob eine Beschäftigte im Besitz einer gültigen Fahrerlaubnis hat. Dieses Recht leitet sich aus § 21 Abs. 1 Nr. 2 StVG her. Dort heißt es nämlich (verkürzt):

(1) Mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe wird bestraft, wer (…)
2. als Halter eines Kraftfahrzeugs anordnet oder zulässt, dass jemand das Fahrzeug führt, der die dazu erforderliche Fahrerlaubnis nicht hat (…).

Das beantwortet aber noch nicht die Frage, ob hierfür auch die Kopie eines Führerscheins zulässig ist oder nicht.

Finden einer Rechtsgrundlage

Also müssen wir uns auf die Suche nach einer Rechtsgrundlage begeben. Denn zweifelsohne stellt die Anfertigung einer Kopie eines Führerscheins im Kontext mit einem Beschäftigungsverhältnis eine Verarbeitung personenbezogener Daten dar.
Nach § 26 Abs. 7 BDSG gelten die Regelungen zur Verarbeitung von personenbezogenen Daten von Beschäftigten nämlich auch für Daten, die nicht-automatisiert verarbeitet werden.

Apropos § 26 BDSG – da wären wir auch schon bei der ersten einschlägigen Rechtsgrundlage, an die wir beim Anfertigen von Kopien von Führerscheinen von Beschäftigten denken könnten.

§ 26 BDSG als Rechtsgrundlage?

Nach § 26 BDSG dürfen personenbezogene Daten von Beschäftigten für Zwecke des Beschäftigungsverhältnisses verarbeitet werden, wenn dies für die Entscheidung über die Begründung eines Beschäftigungsverhältnisses oder nach Begründung des Beschäftigungsverhältnisses für dessen Durchführung oder Beendigung (…) erforderlich ist.

Knackpunkt – Erforderlichkeit

Knackpunkt ist hier (wie so häufig) die Erforderlichkeit – und…da wir uns im (zunächst) deutschen Recht befinden…wohl auch eine „Erforderlichkeit“ i.S.d. deutschen „Verhältnismäßigkeitsgrundsatzes“.

So würden jedenfalls die Arbeitsgerichte mit hoher Wahrscheinlichkeit sozusagen „reflexartig“ auf die Prüfung der Verhältnismäßigkeit springen, wenn sie den Begriff der Erforderlichkeit hören. Und ja…ich muss mir das auch gerade mühsam abtrainieren. Denn genau genommen ist sehr fraglich, ob bei einer Regelung wie z.B. § 26 BDSG, die nach meinem Verständnis wohl eine Art spezifischerer Regelung zu Art. 6 Abs. 1 lit. b) DSGVO darstellt, der deutsche Grundsatz der Verhältnismäßigkeit anzuwenden ist.

Aber egal…ich würde jedenfalls vermuten, dass ein Arbeitsgericht genau diesen Schritt aus o.g. Gründen („Reflex“) durchführen würde. Also schauen wir uns das mal an:

Wann liegt eine „Erforderlichkeit“ nach dem Grundsatz der Verhältnismäßigkeit im deutschen Recht vor?

Eine Maßnahme (wie die Kopie von Führerscheinen) ist verhältnismäßig, wenn

  1. die Datenverarbeitung geeignet ist, um den verfolgten Zweck der „Führerscheinüberprüfung“, zu erfüllen („Eignung“),
  2. es kein milderes Mittel gibt, dass gleich effektiv ist, um den Zweck zu erfüllen und schließlich („Erforderlichkeit“)
  3. die Schwere des mit der Datenverarbeitung einhergehenden Eingriffs in die Persönlichkeitsrechte der Beschäftigten nicht außer Verhältnis zum „Gewicht“ des verfolgten Zwecks steht („Angemessenheit“)

Zweck der Verarbeitung ist hier übrigens nicht die Überprüfung des Vorliegens einer Fahrerlaubnis, sondern meines Erachtens vielmehr die Vermeidung einer Halterhaftung der Arbeitgeberin nach dem StVG. Die Überprüfung der Fahrerlaubnis und die Anfertigung einer Kopie sind hier nur Mittel zum Zweck. Das sollte man also immer differenziert betrachten.

Prüfen wir das also einmal durch.

Beispiel 1: Nehmen wir mal eine Vertriebsmitarbeiterin im Außendienst. Die soll einen Firmenwagen zur Verfügung gestellt bekommen. In dem Kontext möchte man eine Kopie des Führerscheins zu ihrer Personalakte nehmen. Ist das nach § 26 BDSG rechtlich zulässig?

Eignung: Zunächst einmal ist eine Überprüfung des Führerscheins und das Anfertigen einer Kopie zweifelsfrei geeignet, den Zweck der Vermeidung einer Halterhaftung wegen der schuldhaften Überlassung eines Fahrzeuges an Personen ohne eine Fahrerlaubnis zu erfüllen. Dahinter können wir also einen „Haken“ machen.

Anmerken möchte ich hier, dass es nach der Rechtsprechung des BVerfG bei der Frage der „Eignung“ oder „Geeignetheit“ noch nicht einmal erforderlich ist, dass das verwendete Mittel den Zweck erreicht. Es reicht aus, wenn das verwendete Mittel die Erreichung des Zwecks fördert. Das ist also schon sehr weit auszulegen. Zumindest wohl hier im deutschen Recht (§ 26 BDSG), in dem wir uns gerade befinden.

Erforderlichkeit: Diese Stufe der Verhältnismäßigkeitsprüfung ist die „Skeptikerinnen-Stufe“. Und die werden wir häufig bei Aufsichtsbehörden vorfinden. Denn Aufsichtsbehörden setzen „Datenschutz“ gerne auf genau dieser Ebene um. Und zwar indem sie den Standpunkt vertreten, dass es ein milderes Mittel gibt, um den Zweck zu erreichen.

So einfach ist das aber nicht. Denn das BVerfG (und die Rechtswissenschaft) hat den Grundsatz der Verhältnismäßigkeit zunächst einmal für staatliches Handeln in den o.g. Stufen der Eignung, Erforderlichkeit und Angemessenheit geprägt. Und zwar als unmittelbaren Ausfluss des Rechtsstaatsprinzips. Und danach gibt es für die Stufe der Erforderlichkeit ein dem „Gesetzgeber“ zugestandenen Beurteilungs- und Ermessensspielraum.

In der Folge können wir bei Gesetzen z.B. sehr häufig viele mildere Mittel finden, die gleich geeignet wären. Aber der Gesetzgeber hat hier eben einen Spielraum der Beurteilung und Entscheidung, in dem er sich bewegen kann. So sollen Gerichte eben nicht „Gesetzgebung“ spielen, sondern vielmehr nur die Schranken aufweisen, bei denen durch Gesetzte z.B. unzulässig in die Rechte von Bürgerinnen eingegriffen wird.

Nur gilt dieser o.g. Spielraum eben nicht in gleicher Weise für die Exekutive. Und fraglich ist auch, ob und inwieweit dieser Spielraum für die nichtöffentlichen Stellen, d.h. die Unternehmen gilt. Es ist aber unbestritten, dass die Verwaltung und auch Unternehmen auf der Stufe der „Erforderlichkeit“ einen eigenen Einschätzungsspielraum haben. Nur die „Weite“ ist halt unklar.

Das bedeutet im Ergebnis auch – zumindest hier im BDSG als einschlägig anzuwendendes Recht – dass eine Aufsichtsbehörde nicht ohne Weiteres ihre eigene Ansicht über ein milderes Mittel ansetzen darf, um eine Maßnahme z.B. für unzulässig zu halten.

Dass die Aufsichtsbehörden dies gleichwohl gerne so vertreten, können wir unlängst im Hinblick auf eine Erforderlichkeit bei der Datenverarbeitung für Vertragszwecke bei Online-Services nachlesen. Und zwar in den „Guidelines 2/2019 on the processing of personal data under Article 6(1)(b) GDPR in the context of the provision of online services to data subjects“ (PDF) des Europäischen Datenschutzausschusses. Das ist allerdings wiederum ein anderes Thema, dessen Abhandlung hier den Rahmen sprengen würden.

Jedenfalls wird es in der Praxis beim Merkmal der „Erforderlichkeit“ in der Praxis interessant. Denn viele Aufsichtsbehörden erkennen hier einen Spielraum nicht oder kaum an.

Praktisch würde ich empfehlen, das Merkmal der „Erforderlichkeit“ bei der Datenverarbeitung durch Unternehmen im unmittelbaren Kontext mit der „Angemessenheit“ zu prüfen. Warum? Weil es so zu sachgerechteren Ergebnissen führt. Um das durchführen zu können, müssen wir uns aber um die „Angemessenheit“ kümmern.

Angemessenheit: Eine Datenverarbeitungsmaßnahme ist in ihrer konkreten Ausgestaltung dann angemessen, wenn die Beeinträchtigung, die der Datenverarbeitung für den Betroffenen bedeutet und der mit der Verarbeitung verfolgte Zweck in einem wohl abgewogenem Verhältnis zueinander stehen.

Und hier schlägt dann auch die Stunde der Abwägungen unterschiedlicher Rechtspositionen und vor allem der Grundrechte. Und im Ergebnis sind dann hier gute Argumente gefragt.

Da die oben angeführte „Erforderlichkeit“ – also die Frage nach einem milderen Mittel, das gleich geeignet zur Zweckerreichung ist – kann ehrlicherweise wohl nur dann praktisch erfolgen, wenn wir die rechtlichen Ansprüche, Interessen oder Schutzgüter von Verantwortlichen und Betroffenen miteinander abwägen. Daher würde ich immer dazu raten, im Datenschutzrecht die Prüfung der Erforderlichkeit und Angemessenheit zusammenzuziehen.

Zurück zum Beispiel 1

Also tun wir das noch mal im Hinblick auf das konkrete Beispiel 1 . Die Geeignetheit hatten wir oben ja schon festgestellt. Offen sind also noch Erforderlichkeit und Angemessenheit.

Gibt es ein milderes Mittel, das Vorliegen einer Fahrerlaubnis für eigene Zwecke zu dokumentieren, um seine Risiken aus der Halterhaftung zu minimieren? Ja, das gibt es. Denn es wäre ein milderes Mittel, sich den Ausweis vorzeigen zu lassen, und sich einen Vermerk darüber anzufertigen (bzw. es geeignet zu dokumentieren), dass Mitarbeiterin X am Tag X im Besitz einer Fahrerlaubnis der Fahrerlaubnisklasse Z war.

Ich kenne einige Arbeitgeberinnen, die hier jetzt sofort einwerfen würden, dass die Anfertigung einer Kopie viel weniger Aufwand bereiten würde und zudem nur so „beweissicher“ eine Halterhaftung vermieden werden könnte.

Tja…und dann geht es los. Denn jetzt müssen wir hier die entgegenstehenden Positionen miteinander abwägen. Und hier werden wir auch die Grundsätze der Datenverarbeitung aus Art. 5 DSGVO heranziehen müssen. Und dort speziell Art. 5 Abs. 1 lit. c) DSGVO – den Grundsatz der Datenminimierung. Danach muss die Verarbeitung personenbezogener Daten insbesondere „auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein“.

Erinnern wir uns diesbezüglich noch einmal um den Zweck. Der Zweck ist die Vermeidung der Halterhaftung aus § 21 StVG. Für diesen Zweck muss eine Maßnahme getroffen werden, die sicherstellt, dass nur die Beschäftigten ein Firmenfahrzeug fahren, die im Besitz einer gültigen Fahrerlaubnis sind.

Sicher kann da das Anfertigen einer Kopie ein geeignetes Mittel für die Dokumentation der Prüfung sein.

Nur wiegt das Argument nicht schwer. Denn auch eine Kopie einer Fahrerlaubnis ist nicht geeignet, sicherzustellen, dass eine Beschäftigte zu einem späteren Datum noch im Besitz einer gültigen Fahrerlaubnis ist.

Genau genommen ist das Anfertigen einer Kopie nur ein Mittel der Dokumentation der erfolgten Überprüfung der Fahrerlaubnis. Ist diese erforderlich, um die Gefahren der Halterhaftung zu minimieren. Unter Berücksichtigung der Angemessenheit der Maßnahme muss ich das ehrlicherweise verneinen. Denn ein Gericht würde keine Verurteilung vornehmen dürfen, nur weil ein Unternehmen entgegen seinen datenschutzrechtlichen Pflichten zur Datenminimierung keine Kopie von Fahrerlaubnissen angefertigt hat. Das Argument der „Beweissicherheit“ überzeugt daher hier auch insgesamt nicht.

Denkbar wäre, dass einige KfZ-Haftpflichtversicherer die Anfertigung von Kopien von Führerscheinen als vertragliche Pflicht der Versicherungsnehmerin in Versicherungsverträgen vornehmen. Das ist derzeit aber wohl nicht bzw. nicht häufig der Fall. Mir ist jedenfalls kein Versicherer bekannt, der dies fordert. Entsprechende Klauseln dürften zudem mit hoher Wahrscheinlichkeit unzulässig sein, da sie einer gesetzlichen Regelung zum Datenschutz (s.o.) widersprechen bzw. mit dieser nicht in Einklang zu bringen wären.

Damit bliebe als „PRO“-Argument für die Kopie nur noch eine Arbeitserleichterung für die Arbeitgeberin. Nur ist diese wiederum bei einer Gesamtschau unter Berücksichtigung der Rechte der Betroffenen nicht angemessen. Insbesondere weil es nicht schwierig sein dürfte, hier einen effektiveren „Workflow“ einzurichten, der eine schnelle Dokumentation einer Überprüfung der Fahrerlaubnis ohne Mehraufwand ermöglicht.

Ergebnis:

§ 26 BDSG ist keine ausreichende Rechtsgrundlage für die Anfertigung von Führerscheinkopien

Ergebnis zu Beispiel 1: Ich halte § 26 BDSG nicht für eine Rechtsgrundlage, die das Anfertigen von Kopien von Führerscheinen erlaubt.

Rechtlich ist übrigens auch ein anderes Ergebnis vertretbar, überzeugt mich aber nicht. Dann wäre eine Zulässigkeit nach § 26 BDSG nach meinem Dafürhalten allerdings nur dann vertretbar, wenn es sich um Beschäftigte handelt, die deren Tätigkeit für das Unternehmen einen „fahrbaren Untersatz“ in Form eines Kraftfahrzeugs voraussetzt.

Rechtspflicht zur Anfertigung von Führerscheinkopien?

Auf der nächsten Stufe könnte man sich überlegen, ob es nicht eine rechtliche Verpflichtung zum Anfertigen von Kopien von Führerscheinen gibt.

Aus dem StVG ergibt sich dies jedenfalls nicht direkt. Insoweit wird man also auch hier keine Rechtsgrundlage für die Anfertigung von Führerscheinkopien finden können.

Zulässigkeit auf Basis einer Interessenabwägung

Nächste Station beim Finden einer Rechtsgrundlage für das Anfertigen von Führerscheinkopien wäre dann die Datenverarbeitung aus Basis einer Interessenabwägung nach Art. 6 Abs. 1 lit. f) DSGVO.

Hier muss ich zunächst ein Interesse an der Datenverarbeitung für den Verantwortlichen oder einen Dritten bestehen.

Hier reicht jedes Interesse aus, das von der Rechtsordnung gebilligt wird. Dazu kann auch gehören, dass ich mich möglichst gut, gegen eine etwaige Haftung oder gar Strafbarkeit absichern möchte und daher z.B. gerne Führerscheinkopien vorhalten möchte. Und dazu kann es „erforderlich“ sein, die Kopien zu speichern.

Dann muss ich auf der nächsten Stufe jedoch mit einem möglicherweise überwiegenden entgegenstehenden Interesse der betroffenen Beschäftigten abwägen.

Wenn wir es mal plastisch machen wollen, wäre das Interesse der Arbeitgeberin im Hinblick auf Sinnhaftigkeit und Erforderlichkeit der Speicherung von Führerscheinkopien auf einer Skala von 1 – 10 vielleicht auf „2“ einzuordnen. Zumindest wäre das meine persönliche Einordnung.

Das Interesse der durchschnittlichen Betroffenen, dass ihre Führerscheinkopien beim Arbeitgeber nicht digital gespeichert werden, da diese bereits vorgezeigt wurden, dürfte auf der Skala nach meiner Einschätzung aber sicher bei 8 – 9 liegen.

Ohne lange herumdiskutieren zu wollen, meine ich nicht, dass die Interessenabwägung hier zugunsten der Speicherung durch die Arbeitgeberin ausfallen kann.

Daher kann die Speicherung nicht auf der Rechtsgrundlage von Art. 6 Abs. 1 lit. f) DSGVO erfolgen.

Wenn nichts mehr hilft, hilft die Einwilligung…

Da alle anderen Rechtsgrundlagen offensichtlich ausscheiden, bleibt noch die Einwilligung.

Nach Art. 6 Abs. 1 lit. a) DSGVO ist die Datenverarbeitung zulässig, wenn die betroffene Person ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben hat.

Und nach Art. 4 Nr. 11 DSGVO ist eine Einwilligung „jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist.“

Dabei werden diese Anforderungen an die Einwilligung in Deutschland im Beschäftigungsverhältnis hinsichtlich der Freiwilligkeit durch § 26 Abs. 2 BDSG konkretisiert.

Hier können wir schon daran zweifeln, ob insoweit eine Regelungskompetenz der Bundesrepublik Deutschland bestand, aber lassen wir das mal so stehen. Denn sinnvoll ist die Regelung in § 26 Abs. 2 BDSG aufgrund des im Arbeitsverhältnis ggf. bestehenden Ungleichgewichts zwischen Arbeitgeberin und Arbeitnehmerin im Hinblick auf die Freiwilligkeit meines Erachtens schon.

Was ist denn nun dort zur Freiwilligkeit in § 26 Abs. 2 BDSG geregelt? Wörtlich heißt es dort:

Erfolgt die Verarbeitung personenbezogener Daten von Beschäftigten auf der Grundlage einer Einwilligung, so sind für die Beurteilung der Freiwilligkeit der Einwilligung insbesondere die im Beschäftigungsverhältnis bestehende Abhängigkeit der beschäftigten Person sowie die Umstände, unter denen die Einwilligung erteilt worden ist, zu berücksichtigen. Freiwilligkeit kann insbesondere vorliegen, wenn für die beschäftigte Person ein rechtlicher oder wirtschaftlicher Vorteil erreicht wird oder Arbeitgeber und beschäftigte Person gleichgelagerte Interessen verfolgen.

Dass Beschäftigte generell eine Einwilligung erteilen können, weil sie – übertrieben formuliert – ihr Gehirn nicht am Werkstor abgeben, hat das BAG schon vor einiger Zeit entschieden (vgl. dazu mein Beitrag hier).

Festgestellt werden kann, dass eine Einwilligung die Speicherung von Führerscheinkopien zulässig sein kann.

Voraussetzung ist aber, dass dann eine freie Wahl besteht. Und daran könnten u.U. Zweifel bestehen, weil fraglich ist, was denn die Konsequenz ist, wenn die Einwilligung nicht erteilt wird. Darf der Arbeitgeber dann ggf. die Nutzung eines Firmenwagens untersagen? Das ist tatsächlich nicht so einfach zu beantworten.

Meine Empfehlung

Da sich der Sinn für eine Speicherung von Führerscheinkopien mir nicht gänzlich erschließt und diese vor allem rechtlich nicht geboten sind, würde ich generell eher davon abraten, diese Kopien zu speichern.

Es gibt aber ein in der Praxis wichtiges Ausnahme-Szenario. Dieses kann vor allem bei Unternehmen mit mehreren Standorten einschlägig sein. Oder auch dann, wenn z.B. Lebenspartner von Beschäftigten den Dienstwagen mitnutzen können sollen.

In diesen Fällen kann es sein, dass aufgrund einer nicht vorhandenen örtlichen Nähe eine Speicherung von Führerscheinkopien zulässig sein kann. Denn dann ist im Interesse des Beschäftigten, z.B. über eine Internet-, Intranetportal oder über eine App, Bilder von seinem Führerschein zu übermitteln, damit diese dann für Zwecke der Prüfung des Vorliegens einer Fahrerlaubnis gespeichert werden können.

Und für die Angehörigen von Beschäftigten, für die insoweit nicht die Einschränkungen von § 26 Abs. 2 BDSG greifen, kann eine Einwilligung in diesem Szenario ebenfalls zulässig erteilt werden.

Voraussetzung ist hier immer eine transparente und verständliche Beschreibung der Verarbeitungszwecke und der Verarbeitungsumfangs (inkl. Speicherdauer) sowie ein Hinweis auf den Widerruf der Einwilligung und dessen Folgen.

Wenn die Einwilligung dann noch entsprechend protokolliert wird, steht der Speicherung von Führerscheinkopien im o.g. Szenario grundsätzlich nichts im Wege.

Einbindung der Datenschutzbeauftragten bei einem „Sozialplan“

In der Rubrik „Fragen & Antworten“ kommen erfreulicherweise auch manchmal Fragen, die ich zwischen Tür & Angel kurz beantworten kann.

So wie diese:

Bei meinem Arbeitgeber muss ein Sozialplan erstellt werden. Ist dieses Thema ausschließlich zwischen Betriebsrat und Arbeitgeber zu sehen oder gibt es ggf. Mitwirkungsanforderungen/-pflichten für die betriebliche Datenschutzbeauftragte? Und wenn ja, welche?

Meine Antwort

Ich sehe bei der Erstellung von Sozialplänen keine gesonderten Mitwirkungspflichten seitens der Datenschutzbeauftragten.

Gleichwohl sind Sozialpläne jedoch häufig mit der Verarbeitung besonders schutzbedürftiger personenbezogener Daten verbunden. Und da kann es schon sein, dass die Beratungsaufgabe der Datenschutzbeauftragten nach Art. 39 Abs. 1 lit. a) DSGVO von Arbeitgeberin oder Betriebsrat intensiver nachgefragt wird.

Eingeschränkte Kontrollrechte des Auftraggebers im Auftragsverarbeitungsvertrag

Es sind offenbar einige Auftragsverarbeitungsverträge im Umlauf, bei denen die Auftragnehmer einer „sehr, sehr auftragnehmerfreundliche“ Klausel bzgl. eingeschränkter Kontrollrechte durch den Auftraggeber vorsehen.

So wird z.B. diese Klausel häufiger verwendet:

Wenn im Einzelfall dennoch eine Inspektion beim Auftragnehmer erforderlich sein sollte, wird diese auf Kosten des Auftraggebers durch einen unabhängigen externen Prüfer / eine unabhängige externe Prüferin durchgeführt, den / die der Auftragnehmer benennt. Der Auftragnehmer darf nur solche Prüfer/Prüferinnen benennen, die gegenüber dem Auftraggeber ihre Unabhängigkeit vom Auftragnehmer versichert und sich zur Verschwiegenheit verpflichtet haben.

Ich denke, wir sind uns einig, dass das sicher einigen Auftraggebern einer Auftragsverarbeitung nicht „schmecken“ dürfte.

Die Frage ist aber. Ist eine solche Klausel überhaupt zulässig?

Das Kontrollrecht des Auftraggebers einer Auftragsverarbeitung ist in Art. 28 Abs. 3 lit. h) DSGVO geregelt. Besser gesagt ist dort geregelt, dass im Auftragsverarbeitungsvertrag Regelungen zu treffen sind, die eine wirksame Kontrolle des Auftragsverarbeiters durch den Auftraggeber ermöglichen.

Wörtlich ist dort auch von „Inspektionen, die vom Verantwortlichen oder einem anderen beauftragten Prüfer durchgeführt werden“ die Rede.

Frage ist nun im Kern also diese:

Kann der Auftragnehmer einer Auftragsverarbeitung bei einer durchzuführenden Kontrolle den Prüfer selbst benennen, wenn er versichert, dass dieser gegenüber dem Auftragnehmer unabhängig ist?

Unternehmen, die eine derartige Klausel verwenden, behaupten gerne, dass dies zulässig sei und im Übrigen diese Ansicht im Übrigen auch so von der rechtswissenschaftlichen Literatur geteilt werde.

Was meint die rechtswissenschaftliche Literatur?

Da wir keine Rechtsprechung zu dieser Thematik haben, dürfen wir zunächst einen Blick in die Literatur werfen.

Richtig ist, dass in Teilen der Literatur durchaus vertreten wird, dass im Hinblick auf Vor-Ort-Kontrollen ausreichend sei, wenn diese Vor-Ort-Kontrollen durch Prüfer durchgeführt werden, die vom Auftragsverarbeiter beauftragt wurden. So findet sich z.B. diese Äußerung in der rechtswissenschaftlichen Literatur:

Wie vielfach in Auftragsverhältnissen bereits üblich und nach dem etwa von den deutschen Datenschutzbehörden sowie der Art.-29-Gruppe im Falle von Cloud Computing anerkannten Mechanismus ist hier keine eigene Kontrolle durch den Verantwortlichen erforderlich, ausreichend ist die Beauftragung von externen Prüfern durch den Auftragsverarbeiter.
Quelle: Hartung, in: Kühling/Buchner, DS-GVO BDSG, 2. Auflage 2018, Art. 28 Rn. 78

Und selbst in Gesetzeskommentaren, die tendenziell eher weite Kontrollrechte für Auftraggeber einer Auftragsverarbeitung vertreten, wird vertreten, dass vertraglich vereinbart werden könne:

(…) können Inspektionen nunmehr durch spezialisierte Dienstleister durchgeführt werden. Ob diese oder der Verantwortliche selbst prüft, kann verbindlich in einem Rechtsinstrument festgelegt, in Verträgen aber auch vereinbart werden.
Quelle: Petri, in: Simitis/Hornung/Spiecker gen. Döhmann, Datenschutzrecht, 1. Auflage 2019, Art. 28 Rn. 81

Dieses Zitat bezieht sich allerdings auch eine Passage bzgl. der Zertifizierung von Auftragsverarbeitern. Wenn also z.B. ein Auftragsverarbeiter eine Zertifizierung für seine Dienstleistungen nachweisen kann, dann könnte z.B. nach dieser Ansicht vertraglich vereinbart werden, dass weitere Vor-Ort-Kontrollen durch den Auftraggeber nicht zulässig sind.

Es gibt jedoch auch Stimmen in der juristischen Literatur, die eine Beschneidung von Kontrollrechten von Auftraggebern einer Auftragsverarbeitung für unzulässig halten:

Zuletzt muss die besondere Bedeutung von Kontrollen durch die Verantwortlichen für das Auftragsverarbeitungsrechtsverhältnis gesondert hervorgehoben werden. Durch die gesteigerte Dynamisierung der Verantwortlichkeit, wie sie besonders in Art. 24 Abs. 1 S. 2 DSGVO sowie Art. 5 Abs. 2 DSGVO zum Ausdruck kommt, sind die Verantwortlichen gehalten, regelmäßige Überprüfungen vorzunehmen, um die Datenschutzkonformität der von ihnen verantworteten Verarbeitungen zu gewährleisten.
(…)
An erster Stelle steht insoweit die unmittelbare Möglichkeit von Überprüfungen und Inspektionen durch die Verantwortlichen.
Quelle: Ingold, in: Sydow, Europäische Datenschutzgrundverordnung, 2. Auflage 2018, Art. 28 Rn. 70 f.

Das dürfte aber in der Weite eher eine Mindermeinung darstellen, auch wenn ich sie gut nachvollziehen kann.

Und was sagen die Aufsichtsbehörden?

Die Aufsichtsbehörden haben sich auf Basis des „alten“ Rechts – also vor Anwendung der DSGVO – zur Thematik von Kontrollen durch Verantwortliche bei einer Auftragsverarbeitung im Zusammenhang mit dem sog. „Cloud Computing“ geäußert. So gibt es von der Art. 29 Gruppe eine „Stellungnahme 05/2012 zum Cloud Computing“ (PDF). Und von den deutschen Aufsichtsbehörden gab es eine „Orientierungshilfe Cloud Computing“ (PDF).

In beiden Dokumenten wird deutlich vertreten, dass zwar eine Zertifizierung eines Auftragsverarbeiters geeignet sein kann, die Einhaltung der geforderten technischen und organisatorischen Maßnahmen nachzuweisen.

Ein Auftraggeber sollte sich dann die Prüfbescheinigungen zeigen lassen.

Unabhängig davon halten die Aufsichtsbehörden es aber für geboten, dass „eigene Kontrollrechte des Cloud-Anwenders vertraglich nicht ausgeschlossen werden, selbst wenn gewollt ist, dass die Auftragskontrolle in der Praxis in aller Regel durch die Vorlage geeigneter Zertifikate ausgeführt werden soll“..

Sofern die Aufsichtsbehörde – was nicht ganz klar ist –auf Basis der DSGVO diese Auffassung weiter vertreten sollten, würden sie eine Vertragsklausel wie die oben im Beitrag angeführt für unzulässig erachten.

Meine bescheidene Meinung

Ich meine, dass wir uns im Hinblick auf die Kontrollrechte bei einer Auftragsverarbeitung an der gesetzlichen Regelung in Art. 28 DSGVO zu orientieren haben. Nach Art. 28 Abs. 3 lit. h) DSGVO sind in einem Auftragsverarbeitungsvertrag Regelungen zu treffen, die eine wirksame Kontrolle der Verarbeitung von Daten im Auftrag durch den Verantwortlichen ermöglichen.

Dreh- und Angelpunkt ist also hier die „vertragliche Regelung“. Ich meine schon, dass vertragliche Regelungen auch dahingehend getroffen werden können, dass dem Auftraggeber keine eigenen Kontrollrechte zustehen, wenn eine Auditierung durch eine unabhängige „Instanz“ erfolgt ist und dem Auftraggeber prüffähige Unterlagen durch den Auftragnehmer zur Verfügung gestellt werden.

Wir können jetzt lange darüber streiten, ob hier die Vertragsfreiheit besteht oder durch den „Datenschutz“ eingeschränkt werden kann. Diese Diskussion würde hier aber zu weit führen.

Ich meine jedenfalls schon, dass unter Kaufleuten auf Augenhöhe vertragliche Regelungen getroffen werden können, die beide für hinreichend halten, um eine rechtskonforme Verarbeitung zu gewährleisten.

Und ganz ehrlich. Kein Rechenzentrum wird unbedingt sicherer, wenn es einen „Audit-Tourismus“ gibt und jeden Tag Besucherströme durch ein Rechenzentrum „wandern“.

Da macht es für einen Dienstleister schon mehr Sinn, die von ihm getroffenen technischen und organisatorischen Maßnahmen zum Datenschutz von einer unabhängigen Stelle überprüfen lassen zu können und dann weitere Kontrollen auszuschließen.

Und genauso kann ich verstehen, wenn andere Menschen diese Auffassung für kritisch halten.

Nur: Wer als Auftraggeber Daten im Auftrag verarbeiten lassen möchte, dem steht es frei, sich einen alternativen Anbieter zu suchen, der die nach seiner Meinung erforderliche eigene Kontrolle einräumt.

Einen verbindlichen Anspruch gibt die DSGVO hierfür jedoch m.E. nicht her.

Warum die o.g. Klausel dennoch unzulässig ist

Dass die o.g. Klausel meiner Meinung nach dennoch unzulässig ist, hat ausschließlich damit zu tun, dass der Auftragnehmer hier nicht nur den Prüfer selbst bestimmen möchte, sondern darüber hinaus der Auftraggeber diesen auch noch bezahlen soll.

Zum Verständnis möchte ich kurz darauf hinweisen, dass auf solche Auftragsverarbeitungsverträge, die nicht nur für einen Einzelfall erstellt worden sind, das sog. „AGB-Recht“ i.S.d. §§ 305 ff. BGB zur Anwendung kommt. Dieses Recht schützt nicht nur Verbraucher, sondern auch Unternehmen in Vertragsbeziehungen untereinander vor unzulässigen Klauseln, die in AGB zum Einsatz kommen.

Die hier diskutierte Klausel weicht m.E. derart von dem gesetzlichen Leitbild des Art 28 Abs. 3 lit. h) DSGVO ab, dass die wegen § 305c BGB schon nicht wirksam in den Vertrag einbezogen wird. Das Leitbild des Art. 28 Abs. 3 lit. h) DSGVO geht meiner Meinung nach recht deutlich davon aus, dass dem Auftraggeber grundsätzlich die Kontrollrechte zustehen und eine Klausel, die eine Kostentragungspflicht für einen vom Auftragsverarbeiter ausgewählten Prüfer vorsieht, ist insoweit auch in Verträgen zwischen Unternehmen ungewöhnlich und überraschend.

Darüber hinaus ist die Klausel m.E. unzulässig, da sie eine unangemessene Benachteiligung i.S.d. § 307 Abs. 2 BGB darstellt. Dem Auftraggeber steht nach Art. 28 DSGVO grundsätzlich selbst das Recht zu, seine Kontrollmaßnahmen zu wählen. Dabei kann zwar vertraglich vereinbart werden, dass diese Kontrollen nicht selbst durch den Verantwortlichen vorgenommen werden. Diese Regelung stellt jedoch eine Privilegierung des Auftragnehmers dar. Hier ist dem Auftraggeber nicht zuzumuten, dass er die Kosten dieser Privilegierung auch noch unmittelbar zu zahlen hat.

Eine solche Regelung ist mit der Regelung in Art. 28 Abs. 3 lit. h) DSGVO unvereinbar und damit eine unangemessene Benachteiligung i.S.d. § 307 Abs. 2 Nr. 1 BGB.

Darüber hinaus könnte man auch ggf. annehmen, dass hier schon ein Fall des § 307 Abs. 2 Nr. 2 BGB vorliegt, da hier wesentliche Rechte des Verantwortlichen (hier: Kontrollrechte) so eingeschränkt werden, dass die Erreichung des Vertragszwecks gefährdet wird. Der Fall ist aber juristisch nicht so klar, dass ich auf diese Karte setzen würde.

Fazit:
Im Ergebnis halte ich die o.g. Klausel, nach der der Auftragnehmer einer Auftragsverarbeitung den Prüfer bei einer Inspektion selbst auswählen darf, der Auftraggeber aber die Kosten zu tragen hat, für unzulässig.

Als externe Datenschutzbeauftragte bei eigener Arbeitgeberin tätig?

Datenschutz-Coaching-Mitglieder habe die Möglichkeit, Fragen zum Datenschutz über ein Formular zu stellen. Einen Teil dieser Fragen beantworte ich dann im Rahmen der mir zur Verfügung stehenden Zeit als Anwalt.

Folgende Frage wurde gestellt:

Ich bin demnächst als Angestellte in einem Unternehmen beschäftigt, für das ich momentan als externe Datenschutzbeauftragte (DSB) benannt bin.

Kann dies so weitergeführt werden oder muss die externe zur internen DSB werden?

Abrechnungstechnisch ist für mich natürlich die Tätigkeit als externe DSB lukrativer und zeitmäßig wird es sonst auch kaum funktionieren.

Als Anwalt würde ich darauf wie folgt antworten:

Mein erster Gedanke…

…war, dass das wohl kaum zulässig sein könne, zumal hier ggf. eine Umgehung des gesetzlichen Kündigungsschutzes nach § 38 Abs. 2 BDSG i.V.m. § 6 Abs. 4 BDSG im Raum stehen könnte.

Und wenn wir dann einmal genauer hinschauen, zeigt sich, dass das nicht unbedingt stimmen muss.

Sicher ließe sich darüber streiten, ob es sich hierbei um eine zulässige Konstellation handelt. Ich sehe hier aber weniger ein datenschutzrechtliches, sondern eher ein arbeitsrechtliches bzw. sozialversicherungsrechtliches Problem.

So drängt sich gleich der Gedanke einer sozialversicherungsrechtlichen Scheinselbstständigkeit auf.

Der zweite Blick

Und dann habe ich doch noch einmal näher recherchiert und einige Gerichtsentscheidungen gefunden, die sich mit der Grundthematik, ob eine Beschäftigte parallel zum Beschäftigungsverhältnis auch eine freie Tätigkeit („Dienstverhältnis“) bei ihrer Arbeitgeberin haben kann, befassen.

Und siehe da…mein erster Gedanke, dass die Antwort auf die gestellte Frage „Nein“ lauten muss, habe ich dann doch revidiert.

Was sagt die arbeitsgerichtliche Rechtsprechung?

Denn nach der Rechtsprechung des Bundesarbeitsgerichts ist es grundsätzlich zulässig, neben dem Beschäftigungsverhältnis eine freie Tätigkeit bei derselben Arbeitgeberin auszuüben.

Voraussetzung ist nach der Rechtsprechung (vgl. BAG, Urteil vom 27.06.2017, Az.: 9 AZR 852/16 und das Parallelurteil BAG, Urteil vom 27.06.2017, Az.: 9 AZR 852/16) zunächst, dass das arbeitsvertragliche Direktionsrecht der Arbeitgeberin nicht für das parallele Dienstverhältnis gilt.

Ferner ist nach der o.g. Rechtsprechung Voraussetzung, dass die der freien Tätigkeit zugrundeliegende Tätigkeit grundsätzlich in zulässiger Weise als Rechtsverhältnis sowohl als abhängige Beschäftigung als auch als freies Mitarbeiterinnenverhältnis ausgestaltet werden kann.

So kann es z.B. Beruf geben, in denen eine freie Mitarbeit rechtlich gar nicht erlaubt wäre.

Bei der Tätigkeit einer Datenschutzbeauftragten ist jedoch festzustellen, dass diese sowohl im Rahmen eines Beschäftigungsverhältnisses („interne DSB“) als auch als freies Dienstverhältnis („externe DSB“) gestaltet werden kann.

Ferner kann auch der Vertrag mit der externen Datenschutzbeauftragten so gestaltet werden, dass im Hinblick auf diese Tätigkeit kein Direktionsrecht der Arbeitgeberin greift. Empfehlen würde ich ferner, dass auch der Arbeitsvertrag insoweit eine Klarstellung beinhaltet, dass die Tätigkeit der Datenschutzbeauftragten von einem Direktionsrecht der Arbeitgeberin unberührt bleibt.

Und was ist sozialversicherungsrechtlich zu beachten?

Sozialversicherungsrecht ist sicher nicht meine Domäne. Hier würde ich also immer eine gesonderte Abklärung dieser Thematik empfehlen.

Wenn eine Person zugleich bei einem Unternehmen angestellt ist und zugleich als externe Datenschutzbeauftragte tätig ist, dann drängt sich der Gedanke einer Scheinselbstständigkeit auf.

Oder mit anderen Worte. Es wäre gut denkbar, dass die Deutsche Rentenversicherung auf die Idee kommen würde, dass auch die Tätigkeit der externen Datenschutzbeauftragten als abhängige Beschäftigung i.S.d. § 7 SGB IV einzustufen ist.

Im Falle eines Musiklehrers, der seine Tätigkeit als freie Honorarkraft, für eine Musikschule erbracht hat, hat das BSG (Urteil vom 14.03.2018, Az.: B 12 R 3/17 R) entschieden, dass den vertraglichen Vereinbarungen zwischen Arbeitnehmerin/Auftragnehmerin und Arbeitgeberin/Auftraggeberin für die Frage, ob eine Tätigkeit sowohl aufgrund einer Beschäftigung als auch selbstständig erbracht werden kann, zwar keine allein ausschlaggebende, doch eine gewichtige Rolle zukäme.

Das BSG hat diese Rechtsprechung mit Blick auf Honorarärzte in Krankenhäusern noch einmal konkretisiert bzw. verschärft. Denn bei Honorarärzten im Krankenhaus – so das BSG – müssten schon für die als Ausnahme anzusehende Annahme einer selbstständigen Tätigkeit (im Krankenhaus) im sozialversicherungsrechtlichen Sinn gewichtige Indizien bestehen (BSG, Urteil vom 04.06.2019, Az.: B 12 R 5/19 R, BSG, Urteil vom 04.06.2019, Az.: B 12 R 20/18 R, BSG, Urteil vom 04.06.2019, Az.: B 12 R 11/18 R)

Das bedeutet im Ergebnis wohl, dass bei entsprechender vertraglicher Gestaltung (s.o.) und vor allem mit Blick auf die in der DSGVO und im BDSG geregelte Tätigkeit von Datenschutzbeauftragten zumindest grundsätzlich denkbar ist, dass diese Tätigkeit nicht als sozialversicherungspflichtige, abhängige Beschäftigung ausgeübt werden kann. Hier würde ich aber in jedem Fall eine verbindliche Abklärung mit den Sozialversicherungsträgern empfehlen.

Fazit

Es sprechen – wider meiner ersten Einschätzung – gute Gründe dafür, dass eine Arbeitnehmerin neben ihrem „Arbeitsvertrag“ eine freie Tätigkeit als Datenschutzbeauftragte für ihre Arbeitgeberin ausführt. Hier sollte darauf geachtet werden, dass das die Tätigkeit als Datenschutzbeauftragte vom Direktionsrecht der Arbeitgeberin ausgenommen wird. Idealerweise finden sich hier Regelungen sowohl im Arbeitsvertrag sowie im Vertrag zur Übernahme der Tätigkeit der externen Datenschutzbeauftragten.

Schließlich sollte die Tätigkeit als externe Datenschutzbeauftragte noch bzgl. einer sozialversicherungspflichtigen Tätigkeit geprüft werden.

Wie kann ich ein Vimeo-Video datenschutzfreundlicher „einbetten“?

Wer heutzutage Videos auf seinen Internetseiten einbinden möchte, wird sich in aller Regel eines Dienstleisters bedienen, der die Videos hosted und über einen „Player“ auf der Seite einbinden kann.

Beim Aufruf dieser Player und beim Abspielen der Videos werden dann notwendigerweise die Server des jeweiligen Anbieters aufgerufen. Da es leider derzeit keine wirklich wettbewerbsfähigen Alternativen zu YouTube, Vimeo und Wistia gibt, sollte man dann zumindest dafür sorgen, dass das Tracking durch diese Videodienstleister unterbleibt oder eingeschränkt wird.

Bei YouTube kann man dies über den erweiterten Datenschutzmodus und das „No Cookie“-Embedding machen. Dazu findest du tonnenweise Informationen im Netz.

Ich benutze Vimeo für die Anzeige meiner Videos. Und beim Aufruf eines Videos werden von Vimeo standardmäßig auch Cookies in deinem Browser gesetzt – von Vimeo. Das dient dazu, deine Einstellungen für die Lautstärke zu speichern und auch z.B. den Abspielstand. Alles schon hilfreiche Funktionen, aber nicht essentiell. Daher werde ich wohl künftig das Setzen von Cookies durch Vimeo unterbinden. Und das geht tatsächlich recht einfach, in dem man eine sog. „Do-No-Track“-Bezeichnung in den Einbettungscode einbindet.

Üblicherweise sieht ein Einbettungscode für Vimeo so aus:

<iframe src="https://player.vimeo.com/video/**Nummer des Videos**?" width="760" height="428" frameborder="0" webkitallowfullscreen mozallowfullscreen allowfullscreen></iframe>

Hier fügst du dann einfach hinter dem Fragezeichen diesen Code ein: dnt=1

Dann sieht das Ganze so aus:

<iframe src="https://player.vimeo.com/video/Nummer des Videos?**dnt=1**" width="760" height="428" frameborder="0" webkitallowfullscreen mozallowfullscreen allowfullscreen></iframe>

Für ein Video mit der Nummer „12345678“ sieht der Code also exakt so aus:

<iframe src="https://player.vimeo.com/video/12345678?dnt=1 title=0&byline=0&portrait=0" width="760" height="428" frameborder="0" webkitallowfullscreen mozallowfullscreen allowfullscreen></iframe>

Die Größe des „Players“ von dort 760x428px musst du dann natürlich noch anpassen.

Weitergabe von Kundendaten beim Asset Deal – Einwilligung erforderlich?

Es kommt immer wieder vor, dass Unternehmen verkauft werden. So kann z.B. bei einer GmbH ein Wechsel der Gesellschafterinnen (Genderhinweis) erfolgen, so dass das Unternehmen sozusagen in „andere Hände“ gelangt.

Dieser Umstand selbst ist datenschutzrechtlich unproblematisch, weil die „Verantwortliche“ selbst sich nicht ändert. Dort bleibt alles gleich. Der Wechsel der Gesellschafterinnen ist insoweit unbedeutend.

Häufig möchte ein Unternehmen aber nur einen Geschäftszweig veräußern, also z.B. eine bestimmte Sparte eines Produktes oder eine bestimmte Dienstleistungsabteilung. Wenn so ein „Asset“ von einem anderen Unternehmen gekauft wird, dann haben wir einen „Asset Deal“. Natürlich hat die Käuferin heute in der Regel ein großes Interesse daran, auch alle insoweit bestehenden Kundendaten dieser Sparte zu bekommen, um die Ware oder Dienstleistung weiter erfolgreich auch an bestehende Kunden anzubieten.

Rechtlich gesehen handelt es sich dabei um eine Weitergabe bzw. Offenlegung von personenbezogenen Daten. Und dazu benötigen wir eine Rechtsgrundlage. Hier stellt sich dann schnell die Frage?

Brauche ich für die Weitergabe von personenbezogenen Daten von Kunden an die Käuferin bei einem Asset Deal die Einwilligung des Kunden?

Einigkeit besteht zunächst darüber, dass eine Weitergabe der Kundendaten an die Käuferin erfolgen darf, wenn eine wirksame Einwilligung hierfür vorliegt. Besonders praktikabel ist das natürlich für die Vertragsparteien des Asset Deals nicht. Zumal die Verkäuferin die Kunden alle anschreiben und um Einwilligung bitten müsste. Denn schon die Weitergabe der Daten an die Käuferin für Zwecke der Einholung einer Einwilligung bedürfte ja einer Rechtsgrundlage. Das wird in der Praxis viel Aufwand und wenig Erfolg bereiten. Die „Conversion Rate“ für diese Einwilligungsschreiben ist praktisch sehr niedrig.

Hier sollte man daher schon beim Aushandeln des Asset Deals schon darauf achten, wie man mit diesem Szenario umgehen möchte.

Zum Teil wird vertreten, dass allein die Einwilligung die einzig mögliche Rechtsgrundlage wäre, um die Weitergabe der Kundendaten beim Asset Deal zu ermöglichen. Dem ist jedoch nicht so.

Denn die DSGVO sieht verschiedene Zulässigkeitstatbestände für die Weitergabe von Daten in Art. 6 DSGVO vor. Die Einwilligung ist nur eine davon. Und auch wenn ich es immer wieder betonen muss. Die Einwilligung ist mitnichten „die Königin“ der Rechtsgrundlagen. Ehrlich gesagt ist sie eher sehr häufig der Notgroschen, den ich nehme, wenn nichts anderes mehr geht und/oder Art. 9 DSGVO im Raum steht. Tatsache ist, dass alle Zulässigkeitstatbestände in Art. 6 DSGVO gleichrangig nebeneinander stehen.

Neben der Einwilligung ist die weitere mögliche und einschlägige Rechtsgrundlage Art. 6 Abs. 1 lit. f) DSGVO. Bei dieser Datenverarbeitung auf Basis einer Interessenabwägung ist eine Weitergabe der Kundendaten bei einem Asset Deal zulässig, wenn die Verkäuferin ein rechtlich legitimes Interesse an der Weitergabe hat und entgegenstehende Interessen der Betroffenen nicht überwiegen.

Dass die Verkäuferin bei einem Asset Deal ein Interesse an der Weitergabe der Daten hat, liegt auf der Hand. Die Daten der Kunden sind häufig ein wesentlicher Bestandteil dieser Verträge. Dieses Interesse ist auch rechtlich legitim, also von der Rechtsordnung gebilligt. Die Krux liegt also jetzt in der Frage, ob das Interesse der Kundin an einer Nicht-Weitergabe das Interesse der Verkäuferin überwiegt.

Bei dieser Interessenabwägung sind insbesondere die Grundrechte und Grundfreiheiten der Kundin zu berücksichtigen und dazu gehört z.B. das Grundrecht auf Datenschutz nach Art. 8 der EU-Grundrechte-Charta (GRCh) oder auch das Recht auf Privatheit nach Art. 7 GRCh.

Diese Interessenabwägung ist meist wackelig und birgt einige Unwägbarkeiten. Diese werden höher, wenn z.B. die Käuferin ihren Sitz in einem Drittstaat, also außerhalb der EU hat. Dann kann schon ein Zweifel am Datenschutzniveau dazu führen, dass entgegenstehende Interessen der Kundin überwiegen und die Weitergabe der Daten unzulässig ist.

Insgesamt ist der Bereich auch in der rechtswissenschaftlichen Literatur extrem umstritten. Zum Teil wird vertreten, dass nur die Zweckänderungsklausel nach Art 6 Abs. 4 DSGVO einschlägig sei. Andere vertreten wiederum ein Opt-Out-Modell, bei dem die Kunden vor der Weitergabe der Daten über die Umstände des Verkaufs und die geplante Datenweitergabe informiert und dieser binnen einer angemessenen Frist (z.B. drei Wochen) widersprechen können. Erfolgt dann kein Widerspruch, kann die Datenübermittlung erfolgen. Ich denke, dass dieser Weg eine ausgewogene und für beide Seiten interessenwahrende Möglichkeit ist, Kundendaten im Kontext mit einem Asset Deal zu übergeben. Also eine gute Idee.

Das Ganze ließe sich aber noch weiter optimieren. So empfehle ich Mandantinnen, die schon im Vorwege in Erwägung ziehen, eine Sparte eines Unternehmens zu veräußern, diese Möglichkeit in ihren AGB anzusprechen. Wenn sich aus den AGB ergibt, dass es durchaus sein kann, dass das Unternehmen Teile des Unternehmens veräußert und in dem Kontext eine Datenweitergabe auf Basis der o.g. Widerspruchslösung erfolgt, dann lässt sich recht gut argumentieren, dass die „reasonable expectations“ der Betroffenen, also die vernünftigen Erwartungen hier schon durch die AGB so vorgestaltet waren, dass ein Verkauf beim Vertragsschluss bzw. im Laufe der Kundenbeziehung für die Kundin erwartbar war.

In diesen Fällen wird man schwerlich zu dem Ergebnis kommen können, dass die Interessen der Betroffenen gegen die Weitergabe prinzipiell überwiegen und kein Widerspruchsmodell zulassen.

So lässt sich also eine für die Vertragsparteien günstige Interessenabwägung weiter optimieren.

Fazit: Die Weitergabe von Kundendaten bei einem Asset Deal ist unter bestimmten Voraussetzungen sehr wohl ohne eine Einwilligung zulässig. Zumindest bis der BGH oder der EuGH das einmal anders entschieden hat.

Wahr ist allerdings auch, dass wir bei jedem Asset Deal genau hinschauen dürfen, um die Möglichkeiten und Risiken bei der Auswahl der passenden Rechtsgrundlage und der Gestaltung gut abzuwägen.

Umsetzung von Informationspflichten mit Link-Lösung für „Offliner“

Wer die Umsetzung der Informationspflichten der DSGVO per „Link-Lösung“ noch nicht kennt, der kann die Hintergründe hier nachlesen: Erfüllung der DSGVO-Informationspflichten – Die „Link-Lösung“ (mit Muster)

Nun fragt aber ein Datenschutz-Coaching-Mitglied eine gute Frage. Denn wie setze ich die „Link-Lösung“ um, wenn ich keine Internetseite habe?

Hier die Frage dazu:

Die Link-Lösung ist für viele Firmen ja doch das Non plus Ultra, um der DSGVO in Sachen Infopflichten etc. gerecht zu werden.

Wenn jetzt aber ein kleiner Handwerksbetrieb so gar nichts mit dem Internet zu tun hat, keine Website hat oder sonstiges? Muss er dann wirklich immer seine Datenschutzhinweise in der Tasche haben, um diese gegebenenfalls an den Betroffenen auszuhändigen? Oder bei telefonischer Anfrage gleich Post mit den Unterlagen versenden? Oder gibt es ein Pendant zur Link-Lösung für solche Firmen?

Meine Antwort:
Wenn der Handwerker aus dem Beispiel nicht jedesmal seinen „Datenschutz-Flyer“ an den Kunden oder Interessenten aushändigen möchte, dann könnte er darüber nachdenken, zumindest in seinen Unterlagen (Angebot, Rechnung etc.) die Informationen aus Art. 12, 13 DSGVO auf der Rückseite von Angebot, Rechnung etc. unterzubringen.

Eine andere risikoarme Möglichkeit sehe ich nicht.

Und wenn ich ganz ehrlich bin, würde ich jedem Handwerksbetrieb sehr deutlich machen, dass wir im Jahr 2018 (bald 2019) leben und es wirklich nicht nachvollziehbar ist, wenn man nicht eine Internetseite hat. Es ist weder schwierig, noch teuer eine kleine Internetpräsenz vorzuhalten, mit der dann zugleich die Informationspflichten „charmant“ erledigt werden können. Dazu bedarf es heute auch keines besonderen Fachwissens mehr. Es gibt eine Reihe von Dienstleistern, bei denen man ohne Vorwissen leicht eine Internetseite zum Leben erwecken und pflegen kann (z.B. Jimdo).

Fotos von Sportveranstaltungen in Vereinszeitung

Fragen zu Fotos kommen von vielen Datenschutz-Coaching-Mitglieder. Und ich bin selbst auch immer ein wenig fraglos, da die Rechtslage derzeit noch alles andere als klar ist.

Gilt nun das Kunst- und Urheberrechtsgesetz weiterhin oder wird dieses durch die DSGVO verdrängt. Oder gelten beide parallel nebeneinander? Es ist insgesamt ein ganz schönes Kuddelmuddel.

Passend dazu folgende Frage eines Datenschutz-Coaching-Mitglieds:

Ein Sportverein möchte für seine Vereinszeitung Fotos verwenden, die während eines Fußballspiels aufgenommen wurden. Auf den Bildern sind die Spieler beider Mannschaften und auch Zuschauer zu sehen.

Der Fotograf ist eine Privatperson. Er hat Angst, dass er wegen des Datenschutzes ein Problem bekommt.

Meine Antwort:
Die Tatsache, dass der Fotograf hier eine Privatperson ist, rettet in diesem Fall leider nicht vor der DSGVO. Denn damit ist meines Erachtens die Grenze einer rein privaten, familiären Nutzung überschritten, so dass kein „Haushaltsprivileg“ vorliegt, das im Ergebnis dazu geführt hätte, dass die Regelungen der DSGVO nicht anwendbar wären.

Auch auf etwaige Ausnahmen für die „Presse“ wird sich ein Verein bei einer Vereinszeitung nicht eindeutig berufen können. Das war übrigens schon zu Zeiten des früheren „Medienprivilegs“ im alten BDSG (vor dem 25.05.2018) umstritten. Denn das „Medienprivileg“, bei dem dann die Sonderregelungen zum Presse- und Medienrecht der Bundesländer gelten, wird nach herrschender Meinung nur für den Kernbereich journalistischer Tätigkeiten angewendet, also z.B. bei klassischen „Zeitungstätigkeiten“.

Und dann kommt hier zum Manifestieren der unklaren noch die Grundproblematik hinzu, dass im Hinblick auf die Veröffentlichung der Bilder nicht klar ist, ob nun das KUG, die DSGVO oder beides gilt.

Wir haben es hier mit einem Dilemma zu tun, dem wir vorerst nur mit „Best Practice“-Ansätzen zu Leibe rücken können. Der Best Practice Ansatz wäre hier, die Vorgaben der alten rechtlichen Regelungen des KUG in die DSGVO hineinzulesen. Konkret also in den Art. 6 Abs. 1 lit. f) DSGVO. Denn in der Regel wird die dort geregelte „Interessenabwägung“ bei Fotos auf öffentlichen Veranstaltungen die einschlägige Rechtsgrundlage sein.

Und genau diese Interessenabwägung kann nun zunutze gemacht werden, um die Wertungen des KUG, die das allgemeine Persönlichkeitsrecht betreffen, in die Interessenabwägung einzubeziehen. § 23 KUG hat – vereinfacht formuliert – in folgenden Konstellationen die Veröffentlichung von Fotos ohne Einverständnis der abgebildeten Personen erlaubt:

  1. Bildnisse aus dem Bereiche der Zeitgeschichte;
  2. Bilder, auf denen die Personen nur als Beiwerk neben einer Landschaft oder sonstigen Örtlichkeit erscheinen;
  3. Bilder von Versammlungen, Aufzügen und ähnlichen Vorgängen, an denen die dargestellten Personen teilgenommen haben;
  4. Bildnisse, die nicht auf Bestellung angefertigt sind, sofern die Verbreitung oder Schaustellung einem höheren Interesse der Kunst dient.

Speziell die Fälle aus den Ziff. 1-3 sind praxisrelevant. Und nach dem „Best Practice“-Ansatz würde man in den Fällen grundsätzlich kein überwiegendes Interesse der Betroffenen annehmen und hätte damit eine Rechtsgrundlage.

Einige Gerichte scheinen diesen Weg gehen zu wollen. Letztlich werden wir hier abwarten müssen. Solange wir hier keine Klarheit haben, halte ich den oben aufgezeigt Weg aber für praktikabel.

Blöd ist nur, dass gleichwohl die Informationspflichten des Art. 13 DSGVO bleiben. Wie das zu lösen ist, ist auch unklar. Hier fängt die Problematik schon damit an, dass nicht klar ist, wer überhaupt „Verantwortlicher“ ist. Ist es der Fotograf? Oder der Verein? Oder sind beide ggf. gemeinsam Verantwortliche? Das ist alles andere als eindeutig.

Wie dem auch sei…es wird zumindest von Aufsichtsbehörden empfohlen, an den Eingängen der Sportstätte auf die Anfertigung und Veröffentlichung von Fotos hinzuweisen und weitere Hinweise zu geben. Dabei darf man sich auch der „Link-Lösung“ bedienen. Da aber dann bitte einen Link auf konkrete Hinweise zur Fotoverwerwendung verwenden. Wenn ich hier beraten würde, würde ich wohl dazu neigen, dass der Verein sich als Verantwortlicher ausgibt, da der Schwerpunkt des „Eingriffs“ hier wohl in der Veröffentlichung liegen dürfte.

Auftragsverarbeitung bei Übermittlung von Daten von Reisenden

Vor einiger Zeit erreichte mich folgende Frage:

Wir als Reiseveranstalter verschicken (SEHR) häufig (manchmal auch einmalig) Namenslisten an Hotels , Tourismus -Verbände und Lift-Gesellschaften. Ist es wirklich notwendig mit allen einen Auftragsverarbeitungsvertrag abzuschließen?

Klare Antwort: Nein

Die Weitergabe von Daten von Reisenden an z.B. Hotels oder Lift-Gesellschaften stellt keine Verarbeitung von Daten im Auftrag dar. Vielmehr verarbeiten Hotels oder z.B. auch Lift-Gesellschaften die Daten für eigene Zwecke. Sie entscheiden sowohl über Zweck als auch Mittel der Datenverarbeitung selbst und sind damit selbst „Verantwortlicher“ i.S.d. Art. 4 Nr. 7 DSGVO.

Die Weitergabe ist auch unproblematisch auf Basis der Rechtsgrundlage des Art. 6 Abs. 1 lit. b) DSGVO zulässig. Denn diese dient der Erbringung von vertraglichen Leistungen gegenüber dem Betroffenen. Bei Übermittlungen in Drittstaaten ist hier noch einmal gesondert Art. 49 Abs. 1 lit. b) DSGVO zu prüfen.

Und in diesen Szenarien liegt im Übrigen auch keine gemeinsame Verantwortlichkeit vor. Eine gemeinsame Entscheidung über Zwecke oder Mittel der Datenverarbeitung ist nicht Gegenstand der rechtlichen oder tatsächlichen Beziehungen zwischen den einzelnen Unternehmen.

Datenschutzbeauftragte im Konflikt zwischen Betroffenem und Unternehmen

Gerade externe Datenschutzbeauftragte gelangen gerne einmal in einen Konflikt. Und zwar dann, wenn ein Betroffener sich mit einer Beschwerde direkt an den Datenschutzbeauftragten wendet. Und dieser stellt dann bei der Prüfung eines Sachverhalts fest, dass die Beschwerde des Betroffenen auch noch begründet ist. Mist.

Nun hat der Datenschutzbeauftragter einen Konflikt, wenn sein Auftraggeber (z.B. das Unternehmen, das ihn zum DSB benannt hat) von ihm erwartet, dass er gegenüber dem Betroffenen darlegt, dass die jeweilige Verarbeitung sehr wohl okay ist, obwohl der DSB selbst meint, dass das dies mitnichten der Fall ist und der Betroffene Recht hat.

Passend dazu wurde mir folgende Frage von einem externen Datenschutzbeauftragten gestellt, die ich etwas umformuliert und verkürzt hier wiedergebe:

Ich habe einen Aspekt zu Betroffenenanfragen (…)

Da Betroffenenanfragen ja dank der Veröffentlichung meiner (eDSB) Kontaktdaten im Zweifelsfall direkt bei mir landen können, kann ich schnell zwischen die Stühle geraten.

Gehen wir mal davon aus, dass ich den Kunden dahingehen beraten habe, dass etwas so ggf. nicht (ganz) rechtskonform ist, der Kunde will den Kurs aber weiter so fahren.

Später bekomme ich eine „Anfrage“, man könnte auch „Ärgerbrief“ sagen: „So geht das ja wohl nicht, was sind Sie denn für ein DSB?!“

Nun stellt sich für diesen externen Datenschutzbeauftragten die Frage, wie hier geschickt reagiert werden kann. Auf der einen Seite möchte man als DSB sicher sein „Gesicht“ wahren und auf der anderen Seite nicht seinen Kunden „in die Pfanne hauen“.

Hier haben wir den Fall, dass die Empfehlung für eine Reaktion in diesem Fall weniger im Datenschutzrecht, sondern vielmehr in der Kommunikation und der Lenkung von Kommunikation liegt.

Bevor ich darstelle, wie diese Probleme im Vorwege besser vermieden werden können, kommt hier zunächst meine Empfehlung für eine Reaktion im konkreten Fall.

Empfehlung für eine Reaktion auf einen „Ärgerbrief“

Wenn Betroffene sich direkt an Datenschutzbeauftragte wenden, dann ist immer genau auf die Worte zu achten. Und vor allem auf das, was mit den Worten bezweckt werden soll. Im juristischen Bereich sprechen wir von dem Begehren, also dem, was der Betroffene tatsächlich möchte.

Wichtig für den weiteren Umgang ist zudem, wie hoch das „Eskalationsrisiko“ eingeschätzt wird. Also die Frage danach, ob der Betroffene sich im nächsten Schritt vielleicht an die Aufsichtsbehörde wendet. Sicher lässt sich dies nie klar einschätzen. Und nur weil jemand mit der Aufsichtsbehörde droht, heißt das noch lange nicht, dass das auch passieren wird. Manchmal beißen bellende Hunde nämlich gar nicht.

Wenn man sich sicher ist, dass eine Eskalation unwahrscheinlich ist, bietet sich an, gar nicht mehr zu reagieren. Ausgenommen hiervon sind die Fälle, in denen das Begehren des Betroffenen sich auch auf die Geltendmachung von Betroffenenrechten richtet (also z.B. Auskunft, Löschung, Berichtigung etc.). Hier ist Vorsicht und vor allem die Einhaltung der Monatsfrist nach Art. 12 Abs. 4 DSGVO geboten.

Wenn ihr euch allerdings nicht sicher seid, dann empfehle ich, zu reagieren. Dies sollte aber relativ unbestimmt und „einfühlsam“ erfolgen. Ich habe hier ein Video für Datenschutz-Coaching-Mitglieder bereitgestellt, in dem ich näher darauf eingehe, wie psychologisch mit Betroffenen bei Auskunftsersuchen umgegangen werden sollte.

Jedenfalls bietet sich bei einem „Ärgerbrief“ oder einer „Ärger-Mail“ mit Eskalationsrisiko z.B. folgender Text an, mit dem ihr als DSB euer Gesicht wahren und zugleich den Kunden nicht „bloßstellt“. Apropos „bloßstellen“. Für externe Datenschutzbeauftragte ist es meiner Meinung nach ein schmaler Grat, der hier zu wandern ist. Denn wenn aus einer Antwort des Datenschutzbeauftragten hervorgehen sollte, dass dieser die Datenverarbeitung des Verantwortlichen für rechtswidrig hält, dann kann hieraus u.U. eine Verletzung einer vertraglichen Nebenpflicht des Vertrages über die Erbringung der Dienstleistungen des Datenschutzbeauftragten gesehen werden. Das wird zwar nicht regelmäßig der Fall sein, aber das Risiko besteht zumindest. Daher ist etwas Vorsicht bei den Formulierungen geboten.

In ähnlicher Weise kann es aber für den Datenschutzbeauftragten selbst ein Problem darstellen, wenn er möglicherweise hier ein „Problem“ herunterspielt und damit selbst offenlegt, dass er seinen Pflichten zur Überwachung der Einhaltung der DSGVO beim Unternehmen vielleicht nicht oder nicht sorgfältig genug nachgekommen ist. Es ist also – wie gesagt – ein schmaler Grat.

Wenn nun also ein Datenschutzbeauftragter eigentlich meint, dass die Verarbeitung des Unternehmens rechtswidrig ist, das Unternehmen dies aber anders sieht, dann kann gegenüber dem Betroffenen z.B. so formuliert werden:

Sehr geehrte Frau / sehr geehrter Herr,

vielen Dank für Ihre Nachricht. Ich habe diese zum Anlass genommen, noch einmal mit der zuständigen Abteilung des Unternehmens zu sprechen. Man ist dort jedoch der Auffassung, dass die Verarbeitung rechtmäßig ist.

Auf die Datenschutzhinweise des Unternehmens, die Sie hier finden, habe ich ja bereits schon hingewiesen. Sollten Sie noch weitere Fragen haben, können Sie sich gerne an das Unternehmen oder mich wenden.

Mit freundlichen Grüßen

Beim Wort „Unternehmen“ sollte natürlich dann der jeweils richtige Name des Unternehmens angegeben werden.

Der letzte Absatz mit dem Verweis auf die Datenschutzhinweise ist wichtig. Denn in den Datenschutzhinweisen sollte sich dann die Information finden, dass ein Beschwerderecht bei der Aufsichtsbehörde besteht. Natürlich könnte man auch direkt in der Antwort auf das Beschwerderecht hinweisen. Das wäre aus Sicht einer Deeskalation jedoch kontraproduktiv, denn dann würde der Betroffene quasi noch einmal mit der Nase darauf gestupst werden, sich an eine Aufsichtsbehörde zu wenden. Und genau das wollen sicher Datenschutzbeauftragte und Unternehmen nicht.

Wie dieser Konflikt besser vermieden werden kann

Um es vorwegzunehmen: Ich kann jedem Unternehmen nur empfehlen, Anfragen von Betroffenen nach Möglichkeit so zu steuern, dass diese nicht direkt an den Datenschutzbeauftragten, sondern an ein internes „Datenschutzteam“ (DST) gehen. Das kann dann entweder (meine Empfehlung) ein echtes Datenschutzteam sein oder eine entsprechende Sparte der Support-Abteilung bzw. des Kundendienstes. Wer mehr über Datenschutzmanagement und die Umsetzung durch ein DST erfahren möchte (gerade für KMU), dem empfehle ich diesen Beitrag von mir hier (inkl. Muster eines Datenschutzhandbuchs).

Allerdings kann ein Unternehmen nicht verhindern, dass ein Betroffener sich direkt an den Datenschutzbeauftragten wendet. Schon vor Geltung der DSGVO war die Rechtslage im „alten“ BDSG so, dass der Datenschutzbeauftragte „Anlaufstelle“ für Betroffene war. Wörtlich hieß es dort: „Betroffene können sich jederzeit an den Beauftragten für den Datenschutz wenden.“

Eine entsprechende Regelung gibt es auch in der DSGVO. Denn nach Art. 38 Abs. 4 DSGVO können „betroffene Personen den Datenschutzbeauftragten zu allen mit der Verarbeitung ihrer personenbezogenen Daten und mit der Wahrnehmung ihrer Rechte gemäß dieser Verordnung im Zusammenhang stehenden Fragen zu Rate ziehen.“

Wenn der Betroffene also möchte, kann er sich jederzeit direkt an den Datenschutzbeauftragten wenden. Übrigens ist der Datenschutzbeauftragte in diesen Fällen durch den Verweis von § 38 Abs. 2 BDSG auf § 6 Abs. 5 Satz 2 BDSG zur Verschwiegenheit bzgl. der Identität der betroffenen Person sowie über Umstände, die Rückschlüsse auf die betroffene Person zulassen, verpflichtet, soweit er nicht davon durch die betroffene Person befreit wird. Hier kann man sich als Datenschutzbeauftragter also theoretisch (und manchmal praktisch) auch noch einmal in die Nesseln setzen.

Also noch ein Grund mehr für Unternehmen übrigens, eine „Anlaufstelle“ für Datenschutzanfragen einzurichten, die nicht der Datenschutzbeauftragte ist. Aber wie lenke ich die Kommunikation nun so, dass Anfragen auch tatsächlich bei dieser Anlaufstelle und nicht beim Datenschutzbeauftragten landen? Das kann ich „neudeutsch“ etwas „nudgen“. Das bedeutet, dass ich den Betroffenen in die gewünschte Richtung „stupsen“ kann. Das sollte also kein Drücken oder Pressen sein, sondern ein „Stups“ in die richtige Richtung. Und das ist gar nicht schwer. Natürlich muss in den Datenschutzhinweisen eine Kontaktmöglichkeit zum Datenschutzbeauftragten angegeben werden.

Ich sollte es dem Betroffenen dann aber so einfach wie möglich machen, Fragen zum Datenschutz zu stellen. An ein Support-Team. Hierfür gebe ich eine klare E-Mail-Adresse oder ein Kontaktformular (bitte mit verschlüsselter Übertragung der Formulardaten) für Datenschutzfragen an. Es sollte dem Betroffenen sozusagen entgegenspringen, dass er – wenn er Fragen hat – sich am besten direkt über den angegebenen Weg beim Unternehmen melden kann. Mit dem Gefühl, dass es dort die schnellste Hilfe gibt.

Und das hat immense Vorteile. Gerade, wenn ein Unternehmen viele Datenschutzanfragen bekommt, wird der Datenschutzbeauftragte nicht überlastet. Und er wird vor allem auch „aus der Schusslinie“ genommen. Die Betroffenenrechte selbst sind zudem primär gegenüber dem „Verantwortlichen“, also dem Unternehmen geltend zu machen. Der Datenschutzbeauftragte kann bezüglich der Geltendmachung von Betroffenenrechten lediglich „zu Rate gezogen“ werden – so die Formulierung in Art. 38 Abs. 4 DSGVO. Es passt also auch in der Sache selbst, wenn ein Unternehmen diesen Weg einer Anlaufstelle (außerhalb des Datenschutzbeauftragten) wählt.

Durch diese Herangehensweise wird ein möglicher Konflikt des Datenschutzbeauftragten im Hinblick auf seine Rolle als Ansprechpartner für Betroffene auf der einen Seite und – auf der anderen Seite – seiner Aufgabe, die Einhaltung der DSGVO beim Unternehmen zu überwachen bzw. überwacht zu haben, von Anfang an besser vermieden.

Gleichwohl macht es erfahrungsgemäß Sinn, den Datenschutzbeauftragten in Anfragen einzubinden, wenn diese nicht durch maximal zwei Antworten abgeschlossen werden können oder wegen anderer Umstände eine Beschwerde bei der Aufsichtsbehörde zu befürchten ist.

Der Datenschutzbeauftragte wird dann sozusagen als 2nd-Level-Support eingebunden, der also bei komplexeren Eingaben von Betroffenen hinzugezogen wird.

Letztlich muss das alles zum Unternehmen und in die bestehenden Abläufe passen. Es spricht jedoch vieles dafür, den Datenschutzbeauftragten nicht direkt als „einzigen“ Ansprechpartner nach außen darzustellen. Manchmal wird dies allerdings – gerade bei kleineren Unternehmen – kaum anders möglich sein. Dessen bin ich mir bewusst. Wenn die Ressourcen es jedoch hergeben, würde ich unbedingt die o.g. Vorgehensweise bzw. eine ähnliche empfehlen.

Ist eine Datenschutz-Folgenabschätzung bei einem „Headhunter“ erforderlich?

Ein Datenschutz-Coaching-Mitglied hat folgende Frage gestellt:

Ein Headhunter hat eine Datenbank mit ca. 10.000 Bewerbungen. Das Vermitteln von Bewerbern ist natürlich sein Hauptgeschäft.
Ist das umfangreiche Datenverarbeitung, so dass er eine DSFA machen muss und demnach auch einen DSB braucht?

Eine Datenschutz-Folgenabschätzung (DSFA) ist nach Art. 35 DSGVO immer dann erforderlich, wenn aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen resultieren kann.

In Art. 35 Abs. 3 DSGVO sind dann ferner noch Fälle genannt, in denen insbesondere eine DSFA durchzuführen ist. Und zwar in diesen Fällen:

  1. Bei einer systematischen und umfassenden Bewertung persönlicher Aspekte natürlicher Personen, die sich auf automatisierte Verarbeitung einschließlich Profiling gründet und die ihrerseits als Grundlage für Entscheidungen dient, die Rechtswirkung gegenüber natürlichen Personen entfalten oder diese in ähnlich erheblicher Weise beeinträchtigen oder
  2. bei einer umfangreichen Verarbeitung besonderer Kategorien von personenbezogenen Daten gemäß Art. 9 DSGVO oder Daten über Straftaten gemäß Art. 10 DSGVO oder
  3. bei einer systematischen umfangreichen Überwachung öffentlich zugänglicher Bereiche.

Letzteres (Ziff. 3) fällt im Falle des Headhunters schon einmal weg.

Ich kann generell empfehlen, bei einer Entscheidung über die Frage, ob eine DSFA durchzuführen ist, einen Blick in die sog. „DSFA Liste Deutschland – Nicht-öffentlicher Bereich“ der Datenschutzkonferenz (DSK) zu werfen. Das Dokument findet sich hier (PDF).

Wenn eine Verarbeitung bzgl. der Durchführung einer DSFA beurteilt werden soll und sich diese in der o.g. „Positivliste“ der DSK (wir Anwälte nennen sie eher „Blacklist“) findet, dann führt kein Weg an der Durchführung einer DSFA vorbei. Sie ist dann schlichtweg zu machen.

Wenn eine Verarbeitung sich jedoch nicht in der Liste wiederfindet, dann heißt dies nicht automatisch im Umkehrschluss, dass eine DSFA entbehrlich wäre. Genau hier müssen wir uns dann wieder die o.g. Ziff. 1-3 ansehen – hier nur die Ziff. 1-2.

Und da tritt dann auch schon das erste Sorgenfältchen in der Beantwortung der Frage zum Headhunter auf. Denn auch wenn weder Ziff. 1 noch Ziff. 2 klar bejaht werden können, können sie in gleicher Weise auch nicht klar verneint werden.

Schauen wir uns z.B. einmal die Ziff. 2 mit ihren besonderen Kategorien von personenbezogenen Daten an. Hier kann eine DSFA erforderlich werden, weil eine Verarbeitung von besonders schutzbedürftigen Daten leicht ein Risiko für den Betroffenen darstellen kann. Insbesondere dann, wenn die Daten unbefugt in dritte Hände gelangen.

Ein Headhunter hat regelmäßig wohl Daten, die sich z.B. aus einem Lebenslauf und der beruflichen Qualifizierung ergeben. Viele dieser Daten können auch besondere Kategorien personenbezogener Daten darstellen. Wenn jetzt 10.000 oder mehr Personen betroffen sind, wird man schon begründen können, dass hier eine „umfangreiche“ Verarbeitung von besonderen Kategorien personenbezogener Daten vorliegt. Und dann wäre eine DSFA erforderlich.

Und auch bei Ziff. 1 ist die Situation beim Headhunter nicht klar zu verneinen. Art. 35 Abs. 3 Nr. 1 DSGVO ist allerdings sprachlich sehr unbestimmt und schwer auszulegen. Liegt im Falle eines Headhunters eine systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen vor? Und das auf Basis einer automatisierten Verarbeitung?

Die Frage ist nicht eindeutig zu beantworten. Ein guter Headhunter wird allerdings aus den Daten, die ihm zu einer Kandidatin oder einem Kandidaten vorliegen, eine bestmögliche Auswahl und ein „Matching“ mit den Anforderungskriterien des künftigen potentiellen Arbeitgebers treffen wollen. Und das wird sehr häufig auch durch Anwendung von Filterkriterien oder Abfragen durchgeführt werden.

Auch hier spricht also einiges (aber auch nicht alles) für die Durchführung einer DSFA.

Meine Empfehlung wäre hier aber, dass in den Fällen in denen wie hier kumulativ sogar in zwei Fallvarianten des Art. 35 Abs. 3 DSGVO eine DSFA im Raum steht, auch tatsächlich eine DSFA durchgeführt wird.

Konsequenz hieraus ist dann allerdings, dass nach § 38 Abs. 1 Satz 2 BDSG auch ein Datenschutzbeauftragter vom Headhunter zu benennen wäre.

Vertragspartner bei externem Datenschutzbeauftragten

Aus der Reihe Fragen & Antworten hier mal wieder eine Frage, die mir mehrfach so oder ähnlich im Kontext mit der DSGVO gestellt wurde:

Wir haben folgende Frage: Muss der Vertrag mit einem Datenschutzbeauftragten persönlich geschlossen werden oder kann als Vertragspartner auch das Unternehmen eingesetzt werden und dem Vertragspartner wird lediglich ein Ansprechpartner genannt.

Während es umstritten ist (auch unter der DSGVO), ob eine juristische Person (z.B. eine GmbH) zum „Datenschutzbeauftragten“ benannt werden kann, ist rechtlich UNumstritten, dass ein Unternehmen einen Vertrag über die Erbringung von Leistungen des Datenschutzbeauftragten mit einer juristischen Person, also z.B. einem Unternehmen, abschließen kann. Das ist also rechtlich zulässig.

Wenn man dann jedoch weiteren juristischen Streitigkeiten aus dem Weg gehen möchte, sollte dann eine „Benennung“ einer natürlichen Person, also eines bestimmten Menschen (und ggf. auch ein Vertreter) zum Datenschutzbeauftragten erfolgen.

Und der Vertrag sollte dann vielleicht auch beinhalten, dass ein anderer Beschäftigter des Dienstleisters/Vertragspartners zum Datenschutzbeauftragten benannt wird, wenn der amtierende Datenschutzbeauftragte das Unternehmen des Vertragspartners wechselt. Dieser „Beraterwechsel“ sollte im Sinne beider Parteien vertraglich geregelt sein.

Für rechtlich sauberer würde ich persönlich ja die andere Auffassung halten, nämlich die Bestellung eines Unternehmens zum Datenschutzbeauftragten. Und das halten die europäischen Aufsichtsbehörden offenbar auch für möglich. Denn es gibt ein Arbeitspapier der Art. 29 Gruppe zu „Leitlinien in Bezug auf Datenschutzbeauftragte („DSB“)“ – WP 243 rev.01 (PDF). Und da gibt es auch eine Passage, in der die Art. 29 Gruppe sich zur Möglichkeit der Bestellung von juristischen Personen zum Datenschutzbeauftragten äußert – zumindest am Rande. Dort steht:

Die Funktion eines DSB kann auch auf Grundlage eines Dienstleistungsvertrags ausgeübt werden, der mit einer natürlichen oder juristischen Person geschlossen wird (…)

Im Falle einer juristischen Person sei es

unverzichtbar, dass jedes Mitglied der Einrichtung, das die Funktionen eines DSB wahrnimmt, sämtliche in Abschnitt 4 der DS-GVO genannten Anforderungen erfüllt (sodass Interessenkonflikte ausgeschlossen werden können).

Die Art. 29 Gruppe geht dann weiter davon aus, dass sozusagen ein „DSB-Team“ gebildet werden kann. Die Art. 29 Gruppe empfiehlt aber, eine klare Aufgabenverteilung innerhalb des DSB-Teams vorzusehen und eine einzelne Person als „primären Ansprechpartner“ festzulegen, der zugleich für den jeweiligen Kunden „zuständig“ ist.

Das ist ein recht „progressiver Ansatz“, den ich grundsätzlich fachlich auch für sinnvoll halte.

Nur wird diese Auffassung in der Kommentarliteratur zur DSGVO nicht unbedingt geteilt. Daher wäre der sicherer Weg derzeit der der Benennung einer natürlichen Person zum Datenschutzbeauftragten.