externe mitarbeiter arbeitnehmerüberlassung aü leiharbeitnehmer auftragsdatenverarbeitung funktionsübertragung schulung sensibilsierung

Einordnung externer Mitarbeiter

/von

Die Gründe, externe Kräfte einzusetzen sind vielfältig:

  • Auftragsspitzen sollen mit zusätzlichem Personal bearbeitet werden, ohne diese Personen dauerhaft einzustellen
  • Für bestimmte Aufgaben oder Projekte wird Expertenwissen benötigt, welches man nicht dauerhaft im Unternehmen benötigt
  • Aufgaben sollen dauerhaft an einen spezialisierten Dienstleister ausgelagert werden

Sicher gibt es noch zahlreiche weitere Gründe für den Einsatz von externem Personal. Unabhängig davon, ob Aufgaben nun von Internen oder von externen Dienstleistern erledigt werden, bleiben einige Anforderungen, die der Datenschutz an die verantwortliche Stelle stellt. Um diesen Anforderungen gerecht zu werden, ist es notwendig, nicht nur die Dienstleistung an sich zu betrachten. Vielmehr muss auch das Vertragsverhältnis zum Dienstleister und dessen Rechtsform in die Betrachtung mit einbezogen werden.

Vertragsformen

Mögliche Vertragsformen sind in der Regel:

  • Dienstvertrag
  • Werkvertrag
  • Arbeitnehmerüberlassungsvertrag

Arbeitnehmerüberlassung

Aus jeder Vertragsform ergeben sich unterschiedliche mögliche Arten der Eingliederung in den Betrieb der verantwortlichen Stelle. Eindeutig ist die Rechtslage bei der Beschäftigung von Mitarbeitern im Rahmen der Arbeitnehmerüberlassung gem. Gesetz zur Regelung der Arbeitnehmerüberlassung (AÜG). In diesem Fall ist die jeweilige Person in den Betrieb integriert und ist als Beschäftigter gem. § 3 Abs. 11 BDSG und damit Teil der verantwortlichen Stelle anzusehen und auch genauso zu behandeln.

Dienst- und Werkverträge

Werden Dienstleistungen im Rahmen von Werk- oder Dienstverträgen erbracht, so ist eine Eingliederung in den Betrieb des Auftraggebers hingegen nicht möglich. Hier hängt die notwendige (bzw. mögliche) Regelung davon ab, wie eigenverantwortlich die Tätigkeit ausgeführt wird. Handelt es sich um Tätigkeiten, die beratenden Charakter haben oder anderweitig mit einem hohen Anteil von Eigenverantwortung durchgeführt werden, so liegt eine sog. Funktionsübertragung vor. Damit wird der Dienstleister selbst zur verantwortlichen Stelle. Für eine Datenweitergabe an ihn muss eine valide Rechtsgrundlage existieren.

Auftragsdatenverarbeitung ist auch möglich

Ist der Dienstleister hingegen weisungsgebunden, ist es möglich, dass eine Datenverarbeitung im Auftrag nach § 11 BDSG vorliegt. In diesem Fall liefert ebendieser § 11 BDSG die Rechtsgrundlage zur Weitergabe der Daten an den Dienstleister.

Eine Auftragsdatenverarbeitung kann sowohl als Dienst- als auch in Form eines Werkvertrags erbracht werden. Ausschlaggebend ist ausschließlich die Weisungsgebundenheit des Auftragnehmers.

Kettengeschäfte

Erwähnen möchte ich an dieser Stelle noch die immer häufiger auftretenden Kettengeschäfte. Hier wird ein Vertrag zwischen Auftraggeber und einem Dienstleister (meist eine GmbH oder eine AG) geschlossen. Dieser Dienstleister setzt allerdings keine eigenen angestellten Mitarbeiter für die Abwicklung des Auftrags ein, sondern Freiberufler oder sonstige Selbständige, mit denen er entsprechende Unterauftragsverhältnisse begründet. Häufig handelt es sich bei diesen Aufträgen um Projektarbeit oder Unterstützung im Tagesgeschäft, so dass die Personen, welche die Tätigkeiten ausführen, für einen gewissen Zeitraum zu 100% nur für diesen einen Auftraggeber tätig sind. Auch liegt eine starke Eingliederung in die Organisation und Abläufe des Auftraggebers vor. Abgesehen von einer eventuellen Diskussion um das Thema Scheinselbständigkeit stellt sich hier die Frage, ob es sinnvoll ist, aufgrund der hohen Weisungsgebundenheit einen Auftragsdatenverarbeitungsvertrag zu schließen. Sowohl wir als auch die Bayerische Landesaufsichtsbehörde für den Datenschutz sind der Ansicht, dass Auftragsdatenverarbeitung hier kein probates Mittel ist. Der Einfachheit halber zitiere ich an dieser Stelle einmal die Stellungnahme der Aufsichtsbehörde:

Wenn die von extern kommenden Personen „wie Mitarbeiter“ miteingegliedert sind und unter Aufsicht und nach Anweisung des Unternehmens […] tätig werden, halten wir die Annahme eines ADV-Verhältnisses [Anm.: zum Dienstleister] bzw. zu den extern Beschäftigten oder freien Mitarbeitern nicht für sachgerecht. Diese Personen sind als „sonstige Beschäftigte“ (vergleichbar den arbeitnehmerähnlichen Personen nach § 3 Abs. 11 Nr. 6 BDSG) auf das Datengeheimnis nach § 5 BDSG zu verpflichten und wie die eigenen Mitarbeiter von der Unternehmensleitung […] im Hinblick auf deren datenschutzrechtlichen Verantwortlichkeit zu beaufsichtigen.

Keine Dienstleister ohne Rechtsgrundlage

Letztlich ausschlaggebend für die zu treffenden technischen und organisatorischen Maßnahmen des Auftragnehmers sind allerdings ohnehin nur die Anforderungen, denen der Auftraggeber unterliegt. Nicht vergessen werden darf dabei allerdings die Frage, ob der Auftraggeber eine valide Rechtsgrundlage zur Delegation von Aufgaben an den Dienstleister hat und damit zur Weitergabe oder zumindest Offenlegung von personenbezogenen Daten an den Dienstleister berechtigt ist.

Das Datengeheimnis gilt auch innerhalb des Dienstleisters

Noch ein Wort zum Thema Arbeitnehmerüberlassung: Es ist wichtig, dem entliehenen Mitarbeiter klarzumachen, dass die sich z. B. aus der Verpflichtung auf das Datengeheimnis ergebenden Pflichten sich selbstverständlich auch auf eine Weitergabe von Daten an den Verleiher (also seinen eigentlichen Arbeitgeber) beziehen.

Die Rechtsform des Dienstleisters

Wie oben bereits erwähnt, ist auch die Rechtsform des Dienstleisters relevant. So können Freiberufler oder Selbständige, die als Einzelperson tätig sind, nicht in Arbeitnehmerüberlassung tätig werden. Bei der Gestaltung von Werk- oder Dienstverträgen mit solchen selbständigen Personen sind Regelungen analog zu denen mit Dienstleistern, die beispielsweise die Rechtsform einer GmbH haben, zu treffen. Diese Anforderung kann die Zusammenarbeit mit selbständigen Einzelpersonen aus ganz profanen Gründen, wie beispielsweise der finanziellen Leistungsfähigkeit, solche Maßnahmen umzusetzen, erschweren.

Der Einsatz von externen Kräften erfordert immer eine Einzelfallprüfung. Beziehen Sie Ihren Datenschutzbeauftragten mit ein, dafür ist er da!


Diesen Beitrag teilen

Das könnte Dich auch interessieren
datenschutzerklärung werbung ds-gvo datenpanne automatisierte einzelfallentscheidung schadenersatz meldung des datenschutzbeauftragten auskunft verweigertDatenverarbeitung zu Werbezwecken unter der DSGVO
vorabkontrolle videoüberwachung beweismittel bundesarbeitsgericht bag 4 bdsg europarechtswidrig bundesarbeitsgericht bag lag landesarbeitsgericht verwertungsverbotBundesarbeitsgericht lässt alte Videoaufzeichnungen als Beweismittel zu
eu-dsgvo europa datenschutz-grundverordnung arbeitnehmerdatenschutz privacy shield safe harbor eprivacy verordnung dsgvo epvo brexit angemessenheitsbeschluss ukAuftragsdatenverarbeitung unter der DSGVO
aufsichtsbehörde bußgeld eprivacy verordnung epvo schadensersatzErste Bußgelder nach DSGVO verhängt
bdsg-neu abdsg recht gesetz ldsg bdsg landesdatenschutzgesetz bundesdatenschutzgesetz datenschutzbeauftragter besondere arten kategorien personenbezogener daten ds-gvo bundesrat bundestag ausweis kopieren scannen pauswg personalausweisgesetz beschäftigtendatenschutz abmahnung eprivacy-verordnung epvo stberg steuerberater auftragsverarbeitungScannen und Kopieren von Ausweisen
TOM Technikgestaltung technische organisatorische Maßnahmen private nutzung kommunikationsmittel supportende windows 7Datenschutz durch Technikgestaltung im Rahmen der DSGVO