Als Arbeitgeber digitale Tools einzusetzen, um den eigenen Beschäftigten Prozesse wie Zeiterfassung, Urlaubsanträge oder Reisekostenabrechnungen schnell und einfach im Self-Service zu ermöglichen, ist mittlerweile weitverbreitete Praxis.
Im Normalfall ist der Anbieter der jeweiligen Software dabei Auftragsverarbeiter nach Art. 28 DSGVO – die Daten der Beschäftigten werden, soweit seitens des Dienstleisters z. B. zu Wartungszwecken im Einzelfall Zugriff bestehen kann, im Auftrag und nach Weisung des Arbeitgebers als Verantwortlichem verarbeitet.
Der Arbeitgeber als Verantwortlicher hat dabei sicherzustellen, dass die Datenverarbeitung über die Software rechtmäßig abläuft, sollte also einen Dienstleister auswählen, dessen Tool entsprechende Möglichkeiten bietet, dies auch – z. B. durch bestimmte Sichtbarkeitseinstellung und Rollenkonzepte – entsprechend umzusetzen. Darüber hinaus sind die technischen und organisatorischen Maßnahmen des Dienstleisters zu prüfen und sicherzustellen, dass auch diese den Anforderungen der DSGVO genügen.
Datenverarbeitungen zu eigenen Zwecken des Dienstleisters
Was gilt aber in dem Fall, dass der Dienstleister die Daten der Beschäftigten auch noch zu eigenen Zwecken verarbeitet? Denkbar ist hier beispielsweise das Webtracking durch Cookies und andere Techniken zu eigenen statistischen oder werblichen Zwecken, wenn es sich um Cloud-Lösungen handelt, die von den Beschäftigten über ein Webportal oder eine App genutzt werden.
Der Arbeitgeber, der das jeweilige Tool einsetzt, hat typischerweise weder tiefergehende Kenntnisse dieser Verarbeitungen des Dienstleisters noch einen Vorteil davon oder eine tatsächliche Einflussmöglichkeit. Dennoch sind seine Mitarbeitenden auf seine Veranlassung hin überhaupt erst dem entsprechenden Tracking ausgesetzt. Wie sieht es hier also mit der datenschutzrechtlichen Verantwortlichkeit aus?
Auftragsverarbeitung, eigene Verantwortlichkeit, gemeinsame Verantwortlichkeit?
Teil der Auftragsverarbeitung für den Arbeitgeber ist ein entsprechendes Tracking in den beschriebenen Fällen nicht: Die Datenverarbeitung findet weder zu dessen Zwecken noch nach dessen Weisung statt. Vielmehr gestaltet der Softwareanbieter selbst die Art und Weise der Datenverarbeitung und führt diese auch zu seinen eigenen Zwecken durch – er ist deshalb selbst Verantwortlicher (vgl. dazu auch: OH Auftragsverarbeitung des BayLDA, S.12).
Damit ist der Arbeitgeber allerdings noch nicht automatisch „fein raus“. Durch die enge Verknüpfung der Datenverarbeitung des Dienstleisters mit der Datenverarbeitung durch den Verantwortlichen ist hier eine gemeinsame Verantwortlichkeit nach Art. 26 DGVO zumindest nicht fernliegend:
Aus Sicht der Beschäftigten wird bei der Nutzung entsprechender Tools kaum klar ersichtlich sein, welche Datenverarbeitung in den Verantwortungsbereich nur ihres Arbeitgebers und welche in den Verantwortungsbereich des externen Softwareanbieters fällt.
Teilweise wird in solchen Fällen deshalb vertreten, dass vor dem Hintergrund der Schutzziele des Art. 26 DSGVO (Transparenz für Betroffene und Schutz von deren Rechten) eine einheitliche Betrachtung des Gesamtverarbeitungsvorgangs erfolgen müsse und dieser nicht in einzelne Schritte mit getrennten Verantwortlichkeiten aufgespalten werden solle (vgl. Ehmann/Selmayr/Bertermann, 2. Aufl. 2018, DS-GVO Art. 26 Rn. 8).
Vergleichbarkeit mit der Ausgangssituation im Facebook Fanpage Urteil?
Auch die Rechtsprechung des EuGH im „Facebook Fanpage Urteil“ (05.06.2018 – Az. C-210/16) geht in eine ähnliche Richtung: Beim Betrieb von Fanpages liegt eine Mitverantwortlichkeit der jeweiligen Betreiber vor, da diese Facebook erst ermöglichen, über die entsprechende Fanpage Cookies zu setzen. Zudem beeinflussen die Betreiber auch mithilfe bestimmter Voreinstellungen z. B. die Erstellung von Statistiken, die mithilfe dieser Cookies ausgewertet werden, oder bringen über die Nutzung der Werbefunktionen ihr Angebot bestimmten Zielgruppen näher. Die Taskforce Facebook-Fanpages der Datenschutzkonferenz argumentiert zudem, dass Fanpage-Betreiber ein „eigenes Interesse an der Verarbeitung der personenbezogenen Daten von Besucher:innen ihrer Fanpage zu Zwecken der Profilerstellung und – darauf aufbauend – zu Zwecken der gezielten (werblichen) Ansprache haben, u. a. weil durch dieses Geschäftsmodell für sie eine entgeltfreie Nutzung des Dienstes ermöglicht wird“.
Bei näherer Betrachtung dieser Argumentation werden allerdings auch die Unterschiede zwischen dem Betrieb einer Fanpage und dem Einsatz eines Tools zur Beschäftigtendatenverarbeitung klar: Arbeitgeber haben weder ein Interesse an werblicher Ansprache bestimmter Zielgruppen unter ihren Mitarbeitenden; noch wird in einer entsprechenden Konstellation typischerweise auf werbefinanzierte und daher kostenlos nutzbare Tools gesetzt. Ein (Mit-)Interesse am entsprechenden Tracking des Dienstleisters kann hier also gerade nicht in gleicher Weise bejaht werden wie bei Social Media-Präsenzen. Zudem ist auch gerade keine (Mit-)Steuerung der Datenverarbeitung im Tracking durch Setzen von Filtern o. Ä. möglich.
Nach hiesiger Einschätzung fällt die beschriebene Konstellation des Einsatzes einer Software, deren Anbieter Webtrackingmethoden einsetzt, deshalb zumindest nicht pauschal unter die Fanpage-Rechtsprechung und führt deshalb auch nicht zwingend in jedem Fall zu einer gemeinsamen Verantwortlichkeit.
Bedeutung der Einflussmöglichkeiten auf die Datenverarbeitung des Dienstleisters
Gegen die Annahme einer gemeinsamen Verantwortlichkeit spricht in erster Linie die komplett fehlende Einflussmöglichkeit und Beteiligung des jeweiligen Arbeitgebers an der Datenverarbeitung im Rahmen des Webtrackings durch den Dienstleister.
Der Europäische Datenschutzausschuss setzt für eine gemeinsame Verantwortlichkeit voraus, dass beide Verantwortlichen einen „spürbaren Einfluss auf die Bestimmung der Zwecke und Mittel der Verarbeitung“ nehmen und „die Verarbeitungsvorgänge beider Parteien untrennbar […] miteinander verbunden sind“ (vgl. Leitlinien 07/2020 zu den Begriffen „Verantwortlicher“ und „Auftragsverarbeiter“, S. 22). Allein der Umstand, dass eine der beteiligten Stellen keinen Zugang zu den verarbeiteten Daten hat, reicht allerdings auch nach Einschätzung des EDSA nicht aus, um eine gemeinsame Verantwortlichkeit auszuschließen (a.a.O., S.23).
Welche Risiken gibt es?
Würde seitens des Verantwortlichen von einer getrennten Verantwortlichkeit ausgegangen, von einer Aufsichtsbehörde im Falle einer Prüfung aber eine gemeinsame Verantwortlichkeit angenommen, läge mangels entsprechender Vereinbarung ggf. eine Verletzung der Pflichten nach Art. 26 Abs. 1 S. 2, Abs. 2 DSGVO und damit ein Fall des Art. 83 Abs. 4 lit. a DSGVO vor. Es könnte also ein Bußgeldrisiko bestehen.
Fazit: Alles bleibt unklar
Die datenschutzrechtliche Verteilung der Verantwortlichkeiten im Falle des Webtrackings zu eigenen Zwecken durch einen Softwareanbieter kann nicht pauschal bestimmt werden. Es ist wie immer jeder Einzelfall konkret zu prüfen. Häufig wird es sich in dieser Konstellation um Grenzfälle handeln, in denen sowohl eine getrennte als auch eine gemeinsame Verantwortlichkeit vertretbar erscheint. Rechtssicherer wäre dann der Abschluss einer Vereinbarung nach Art. 26 DSGVO – allerdings muss dabei beachtet werden, dass idealerweise bereits vor Beauftragung des Dienstleisters die Rechtmäßigkeit von dessen Datenverarbeitung im Rahmen des Trackings geprüft werden sollte, da auch diese sodann in den Verantwortungs- und Haftungsbereich des jeweiligen Arbeitgebers fällt. Für Arbeitgeber ist es wichtig, die Beschäftigten transparent zu informieren und ihnen ggf. Alternativen zur Nutzung des jeweiligen Tools zur Verfügung zu stellen, wenn diese aufgrund der damit verbundenen weiterreichenden Datenverarbeitung die digitale Lösung nicht nutzen möchten.
Christian B.
3. Juli 2023 @ 8:43
Vielen Dank für die Kommentare/Ergänzungen.
Offensichtlich ist die Sache nicht unproblematisch. Aber korrekt scheint zu sein, dass die Verarbeitung zu eigenen Zwecken jedenfalls nicht unmittelbar mit dem AVV vereinbar sein dürfte.
Hier sind meine Gedanken dazu:
Um Advocatus Diaboli zu spielen bestünde m. E. noch folgende Sichtweise: Der Auftragnehmer schuldet qua Servicevertrag dem Auftraggeber eine funktionierende, sichere Softwarelösung. Daher argumentiert er, dass z. B. Crashanlayse und aber auch bestimmte Nutzeranalysen erforderlich sind (etwa zu schnellen Erkennung von Hacker-Angriffen) um den Vertrag erfüllen zu können.
Diese Betrachtungsweise ist freilich an Bedingungen geknüpft:
– Soweit sich der Auftragnehmer Drittanbietern bedient, müssen diese ihrerseits Auftragnehmer sein (Unterauftragnehmerverhältnis) und nicht selbst zu eigenen Zwecken Daten verarbeiten (bei gängigen SDKs für Apps mag das bezweifelt werden).
– Die Analyse und Überwachung darf ausschließlich dem Zweck der Sicherstellung von Sicherheit und Stabilität der Software dienen und nicht zur Profilbildung, werblichen Zwecken oder Weitergabe an Dritte etc.
Wenn man so argumentiert dürfte das außerdem dünnes Eis sein, denn wo hört die Sicherstellung von Stabilität und Sicherheit auf und wo fangen eigene Zwecke des Softwareanbieters an.
Beispiel: Usability. Erhebt der Softwareanbieter etwa Daten der Nutzer zur Überprüfung der Usability, dient das einerseits der (vertraglich geschuldeten) Sicherstellung einer funktionierenden Softwarelösung, andererseits aber auch dem Marketing des Anbieters, der aus der.Nuttu.g.von Daten von „Versuchskaninchen“ Profit schlägt. Die Grenzen dürften hier fließend sein.
Wie wäre diese Sichtweise zu bewerten?
Unabhängig von der Grauzone: es wurde ja gesagt, dass in vielen Fällen ein Vertrag nach Artikel 26 DS-GVO erforderlich wäre. Hierfür wiederum frage ich nach einer Rechtsgrundlage aus Sicht der Arbeitnehmer. Auch eine Einwilligung dürfe im Lichte von EG 43 schwerlich möglich sein.
Es bleibt also eigentlich nur die Möglichkeit entsprechende Softwareanbieter zu meiden (?).
Christian B.
22. Juni 2023 @ 13:04
Danke für die interessanten Ausführungen. Ich finde insbesondere spannend, dass diese Frag gar nicht einfach beantwortet werden kann.
Mir ist aber Folgendes nicht klar: zwischen dem AG und den Softwareanbieter besteht ein Service-Vertrag und ein AVV.
Der Softwareanbieter bekommt also ausschließlich (!) deswegen überhaupt Kenntnis von den AN-Daten, weil er als Vertragspartner und gleichzeitig Auftragnehmer im Sinne von Artikel 28 DS-GVO für den AG diese Daten verarbeitet. Dies darf er laut AVV nur auf Weisung tun.
Warum also kann der Softwareanbieter also überhaupt Daten zu eigenen Zwecken verarbeiten oder auch mehr davon erheben, als im AVV festgelegt etwa durch Webtracking?
Ist das nicht ein Verstoß gegen den AVV? Ich meinte, die AN sind doch gar keine Kunden des Softwareanbieters – hier bestehen keinerlei vertragliche Verbindungen.
Könnte man bei Kenntnis solcher DV Vorgänge durch an Auftragnehmer nicht die Verträge außerordentlich kündigen oder gar Vertragsstrafen verhängen?
P.S.: mir ist klar, dass z.B. Webtracking als Auftragsverarbeiter seitens sehr vieler Softwareanbieter einfach gemacht wird, korrekt ist es doch dennoch nicht?
Oder offenbare ich hier einen Denkfehler?
Annika Rischmüller
26. Juni 2023 @ 10:28
Vielen Dank für den Kommentar – das ist in der Tat eine spannende Frage.
Wenn Art. 28 Abs. 10 greift und man von einem rechtswidrigen Überschreiten der Weisungen durch den Auftragsverarbeiter ausgeht, wären jedenfalls die Mittel der Art. 82 ff. möglich, insbesondere Art. 82 Abs. 2 S. 2.
Denkbar wäre in der Praxis auch, dass der Auftraggeber seinen Dienstleister innerhalb der Vertragsbeziehung zunächst einmal auffordert, die eigenen Datenverarbeitungen zu unterlassen.
Der Dienstleister wird in einer solchen Situation wohl argumentieren, dass die Datenverarbeitungen von vornherein nicht dem konkreten Auftragsverhältnis, sondern seinem eigenverantwortlichen Betrieb seiner (z.T. frei verfügbaren) Website oder App zuzuordnen sind, sodass es sich auch nicht um ein Überschreiten der Weisungen handelt. Je nach konkreter Situation kann eine solche Argumentation aber m.E. auch relativ dünn sein (z.B. wenn Betroffene wie in der angesprochenen Konstellation ausschließlich Mitarbeitende der jeweiligen Auftraggeberunternehmen sind).
Der Auftraggeber hingegen könnte sich durch eine dokumentierte Aufforderung dieser Art zumindest dahingehend absichern, dass er sich von der Datenverarbeitung beim Tracking distanziert und das Risiko der Annahme einer gemeinsamen Verantwortlichkeit senkt. Denn im Falle eines rechtswidrigen Überschreitens von Weisungen oder entsprechenden Verstößen ist jedenfalls nur der Dienstleister allein Verantwortlicher.
Eine außerordentliche Kündigung des Hauptvertrages könnte in einer solchen durchaus schwerwiegenden Konfliktsituation zwischen den Parteien sicherlich aber auch denkbar sein.
T.H.
27. Juni 2023 @ 16:47
Ich vermute, dass sich der Auftragnehmer im AVV, in seinen AGB oder im Servicevertrag irgendwo zusichert auf Grundlage von Art 6 (1) f) DSGVO (Berechtigtes Interesse) Daten zur „Verbesserung der Software“ oder „Fehlermeldungen“ zu verarbeiten.
Wenn das gemacht wird, müsste hier aber auf jeden Fall eine gemeinsame Verantwortlichkeit gegeben sein, da der Auftragnehmer die Datenverarbeitung in seinem eigenen Interesse durchführt.
Wenn die Verarbeitung zu diesen Zwecken in den Vertragsdokumenten gar nicht vorkommt, müsste das direkt eine rechts- und vertragswidrige Verarbeitung sein.
In der Praxis wird vermutlich meistens einer dieser beiden Fälle zutreffen. Die allermeisten Auftraggeber wollen dieses Fass aber gar nicht aufmachen (gesetzt den Fall sie haben überhaupt das technische Know-How um die Hintergrunddatenübertragungen der Software zu überprüfen), weil es den Verantwortlichen egal ist, man es sich sonst evtl. mit dem Softwareanbieter verscherzt oder man als Konsequenz einen neue Softwarelösung suchen müsste.
Die Softwareentwickler werden sich dabei meistens hinter der Aussage verstecken, dass die Analysedaten nur „aggregiert“ oder „anonymisiert“ verarbeitet werden und damit ja gar nicht personenbezogen seien. Im Lichte der Überprüfungen des Datensendeverhaltens verschiedenster Apps durch den Kuketz-Blog ist das aber meistens nur Augenwäscherei.
Aber wenn man sich das (praktisch nicht vorhandene) Sanktionsverhalten der deutschen Datenschutzbehörden und die Bockigkeit der Bundesregierung (Facebook Fanpages) ansieht wundert man sich nicht, dass bei dem Thema niemand einen großen Handlungsbedarf sieht.
Aber das ist nur meine (zynische) Sicht als interessierter Datenschutzlaie aus der Softwarebranche.