externe mitarbeiter arbeitnehmerüberlassung aü leiharbeitnehmer auftragsdatenverarbeitung funktionsübertragung schulung sensibilsierung

Einordnung externer Mitarbeiter

/von

Die Gründe, externe Kräfte einzusetzen sind vielfältig:

  • Auftragsspitzen sollen mit zusätzlichem Personal bearbeitet werden, ohne diese Personen dauerhaft einzustellen
  • Für bestimmte Aufgaben oder Projekte wird Expertenwissen benötigt, welches man nicht dauerhaft im Unternehmen benötigt
  • Aufgaben sollen dauerhaft an einen spezialisierten Dienstleister ausgelagert werden

Sicher gibt es noch zahlreiche weitere Gründe für den Einsatz von externem Personal. Unabhängig davon, ob Aufgaben nun von Internen oder von externen Dienstleistern erledigt werden, bleiben einige Anforderungen, die der Datenschutz an die verantwortliche Stelle stellt. Um diesen Anforderungen gerecht zu werden, ist es notwendig, nicht nur die Dienstleistung an sich zu betrachten. Vielmehr muss auch das Vertragsverhältnis zum Dienstleister und dessen Rechtsform in die Betrachtung mit einbezogen werden.

Vertragsformen

Mögliche Vertragsformen sind in der Regel:

  • Dienstvertrag
  • Werkvertrag
  • Arbeitnehmerüberlassungsvertrag

Arbeitnehmerüberlassung

Aus jeder Vertragsform ergeben sich unterschiedliche mögliche Arten der Eingliederung in den Betrieb der verantwortlichen Stelle. Eindeutig ist die Rechtslage bei der Beschäftigung von Mitarbeitern im Rahmen der Arbeitnehmerüberlassung gem. Gesetz zur Regelung der Arbeitnehmerüberlassung (AÜG). In diesem Fall ist die jeweilige Person in den Betrieb integriert und ist als Beschäftigter gem. § 3 Abs. 11 BDSG und damit Teil der verantwortlichen Stelle anzusehen und auch genauso zu behandeln.

Dienst- und Werkverträge

Werden Dienstleistungen im Rahmen von Werk- oder Dienstverträgen erbracht, so ist eine Eingliederung in den Betrieb des Auftraggebers hingegen nicht möglich. Hier hängt die notwendige (bzw. mögliche) Regelung davon ab, wie eigenverantwortlich die Tätigkeit ausgeführt wird. Handelt es sich um Tätigkeiten, die beratenden Charakter haben oder anderweitig mit einem hohen Anteil von Eigenverantwortung durchgeführt werden, so liegt eine sog. Funktionsübertragung vor. Damit wird der Dienstleister selbst zur verantwortlichen Stelle. Für eine Datenweitergabe an ihn muss eine valide Rechtsgrundlage existieren.

Auftragsdatenverarbeitung ist auch möglich

Ist der Dienstleister hingegen weisungsgebunden, ist es möglich, dass eine Datenverarbeitung im Auftrag nach § 11 BDSG vorliegt. In diesem Fall liefert ebendieser § 11 BDSG die Rechtsgrundlage zur Weitergabe der Daten an den Dienstleister.

Eine Auftragsdatenverarbeitung kann sowohl als Dienst- als auch in Form eines Werkvertrags erbracht werden. Ausschlaggebend ist ausschließlich die Weisungsgebundenheit des Auftragnehmers.

Kettengeschäfte

Erwähnen möchte ich an dieser Stelle noch die immer häufiger auftretenden Kettengeschäfte. Hier wird ein Vertrag zwischen Auftraggeber und einem Dienstleister (meist eine GmbH oder eine AG) geschlossen. Dieser Dienstleister setzt allerdings keine eigenen angestellten Mitarbeiter für die Abwicklung des Auftrags ein, sondern Freiberufler oder sonstige Selbständige, mit denen er entsprechende Unterauftragsverhältnisse begründet. Häufig handelt es sich bei diesen Aufträgen um Projektarbeit oder Unterstützung im Tagesgeschäft, so dass die Personen, welche die Tätigkeiten ausführen, für einen gewissen Zeitraum zu 100% nur für diesen einen Auftraggeber tätig sind. Auch liegt eine starke Eingliederung in die Organisation und Abläufe des Auftraggebers vor. Abgesehen von einer eventuellen Diskussion um das Thema Scheinselbständigkeit stellt sich hier die Frage, ob es sinnvoll ist, aufgrund der hohen Weisungsgebundenheit einen Auftragsdatenverarbeitungsvertrag zu schließen. Sowohl wir als auch die Bayerische Landesaufsichtsbehörde für den Datenschutz sind der Ansicht, dass Auftragsdatenverarbeitung hier kein probates Mittel ist. Der Einfachheit halber zitiere ich an dieser Stelle einmal die Stellungnahme der Aufsichtsbehörde:

Wenn die von extern kommenden Personen „wie Mitarbeiter“ miteingegliedert sind und unter Aufsicht und nach Anweisung des Unternehmens […] tätig werden, halten wir die Annahme eines ADV-Verhältnisses [Anm.: zum Dienstleister] bzw. zu den extern Beschäftigten oder freien Mitarbeitern nicht für sachgerecht. Diese Personen sind als „sonstige Beschäftigte“ (vergleichbar den arbeitnehmerähnlichen Personen nach § 3 Abs. 11 Nr. 6 BDSG) auf das Datengeheimnis nach § 5 BDSG zu verpflichten und wie die eigenen Mitarbeiter von der Unternehmensleitung […] im Hinblick auf deren datenschutzrechtlichen Verantwortlichkeit zu beaufsichtigen.

Keine Dienstleister ohne Rechtsgrundlage

Letztlich ausschlaggebend für die zu treffenden technischen und organisatorischen Maßnahmen des Auftragnehmers sind allerdings ohnehin nur die Anforderungen, denen der Auftraggeber unterliegt. Nicht vergessen werden darf dabei allerdings die Frage, ob der Auftraggeber eine valide Rechtsgrundlage zur Delegation von Aufgaben an den Dienstleister hat und damit zur Weitergabe oder zumindest Offenlegung von personenbezogenen Daten an den Dienstleister berechtigt ist.

Das Datengeheimnis gilt auch innerhalb des Dienstleisters

Noch ein Wort zum Thema Arbeitnehmerüberlassung: Es ist wichtig, dem entliehenen Mitarbeiter klarzumachen, dass die sich z. B. aus der Verpflichtung auf das Datengeheimnis ergebenden Pflichten sich selbstverständlich auch auf eine Weitergabe von Daten an den Verleiher (also seinen eigentlichen Arbeitgeber) beziehen.

Die Rechtsform des Dienstleisters

Wie oben bereits erwähnt, ist auch die Rechtsform des Dienstleisters relevant. So können Freiberufler oder Selbständige, die als Einzelperson tätig sind, nicht in Arbeitnehmerüberlassung tätig werden. Bei der Gestaltung von Werk- oder Dienstverträgen mit solchen selbständigen Personen sind Regelungen analog zu denen mit Dienstleistern, die beispielsweise die Rechtsform einer GmbH haben, zu treffen. Diese Anforderung kann die Zusammenarbeit mit selbständigen Einzelpersonen aus ganz profanen Gründen, wie beispielsweise der finanziellen Leistungsfähigkeit, solche Maßnahmen umzusetzen, erschweren.

Der Einsatz von externen Kräften erfordert immer eine Einzelfallprüfung. Beziehen Sie Ihren Datenschutzbeauftragten mit ein, dafür ist er da!

Das könnte Sie auch interessieren
eu-dsgvo europa datenschutz-grundverordnung arbeitnehmerdatenschutz privacy shield safe harbor eprivacy verordnung dsgvo epvo brexit angemessenheitsbeschluss uk einwilligung newsletter werbung soft opt-inAuftragsdatenverarbeitung unter der DSGVO
scc p2p standardvertragsklauseln neu bgb 273 zahlen mit datenGesetzesänderung – Daten sind nun ganz offiziell ein Zahlungsmittel!
bußgeld ermittlungen staatsanwaltschaft herausgabeAuskunftsanfragen von Polizei und anderen Behörden
telefax vertraulichkeitVertraulichkeit bei der Verwendung von Telefax
mail verschlüsselung einwilligungE-Mail Verschlüsselung – Ein Überblick
vorabkontrolle videoüberwachung beweismittel bundesarbeitsgericht bag 4 bdsg europarechtswidrig bundesarbeitsgericht bag lag landesarbeitsgericht verwertungsverbotVideoüberwachung unter der EU-Datenschutz-Grundverordnung
Auftragsdatenverarbeitung – Anforderungen an den Vertrageinwilligung auftragsverarbeitung auftragsdatenverarbeitung accountability rechenschaftspflicht informationspflicht besucherliste 6 1 a dsgvoprivacy shield safe harbor usa übermittlung ausland drittländer drittstaat binding corporate rules bcr angemessenheitsbeschluss japanDatenübermittlungen in Drittstaaten und die DSGVO