Auftragsverarbeiter oder gemeinsame Verantwortlichkeit bei Diensten für Mitarbeitervorteile

Ich bekommen von Anbietern von Mitarbeiterbenefits immer wieder die Antwort, dass es sich um eine gemeinsame Verantwortlichkeit zwischen Arbeitgeber und dem Anbieter handelt und deshalb kein Auftragsverarbeitungsvertrag abgeschlossen werden muss.
Dafür spricht, dass sie ziemlich eigenwillig die Daten verarbeiten, also nicht auf Weisungen hören bzw. die Daten auch zu eigenen Zwecken verarbeiten.
Dagegen spricht aus meiner Sicht, dass keine Rechtsgrundlage für die Datenverarbeitung existiert. Es wird als Rechtsgrundlage immer auf den Vertrag zwischen Arbeitgeber und Anbieter verwiesen. Der Arbeitgeber muss einen Vertrag mit dem Arbeitnehmer abschließen, bestimmt, wer von dem Angebot gebrauch machen darf (also auch wessen Daten überhaupt verarbeitet werden) und muss auch bei Austritten entsprechende Meldungen vornehmen.
Die Anbieter meinen aber, damit dass Sie die Informationspflicht nach Art. 13 und 14 DSGVO (Ausschließlich dass Sie verantwortlicher wären, eine Vereinbarung zur gemeinsamen Verantwortlichkeit ist darin nicht beschrieben) erfüllen, haben Sie ausreichend Rechtsgrundlage die Daten mit dem Arbeitgeber auszutauschen (auch ohne Einwilligung, sondern nur wegen des Leistungsvertrages zwischen Anbieter und Arbeitgeber) und vom Mitarbeiter in eigener Verantwortung zu verarbeiten.
Die Anbieter weigern sich absolut auch nur die Thematik der Auftragsverarbeitung in betracht zu ziehen, können die gemeinsame Verantwortlichkeit aber auch nicht anders begründen, als dass sie die Daten ohne Einflussnahme des Arbeitgebers verarbeiten möchten (Auswerten, analysieren, etc.).

Aus meiner Sicht erhalten die Daten die Anbieter ausschließlich, wegen des Vertrages zwischen Arbeitgeber und Anbieter und dieser ist auch für die Aktualität und Pflege verantwortlich. Damit dürfte eine gemeinsame Verantwortlichkeit nur in Betracht kommen, wenn der Anbieter auch einen eigenen Vertrag mit dem Mitarbeiter abschließt und das Angebot dann auch unabhängig vom Arbeitsverhältnis bzw. abgekoppelt vom Vertrag mit dem Arbeitgeber weiter genutzt werden kann (bspw. bei Austritt wird bei einigen Anbietern der Name des Arbeitnehmers und der Arbeitgeber entanonymisiert und unbegrenzt gespeichert) bspw. in dem der Mitarbeiter auf eigene Kosten das Angebot weiter nutzen kann.

Ich würde mir aber gerne dazu auch noch andere Meinungen einholen, da ich leider von den zuständigen Aufsichtsbehörden zu dieser Thematik noch keine Auskunft erhalten habe.

Ich denke, das kann man so, so oder so machen… (Übermittlung an eigenständig Verantwortlichen, gemeinsame Verantwortung, Auftragsverarbeitung.) Kommt darauf an, welche Reichweite die Einflussmöglichkeit des Arbeitgebers haben soll.

Bei Gesundheitsangeboten möchte der Arbeitgeber vielleicht gar nicht so genau wissen, was davon die Arbeitnehmer in Anspruch nehmen. Andererseits muss er sehen, dass auf seine Zahlungen hin entsprechende Leistungen erbracht werden; bzw. für Steuern und evtl. Beitragspflichten müssen geldwerte Leistungen nachverfolgbar sein. Doch das ließe sich auch über vorsichtig formulierte Bestätigungen nachweisen, ohne Detail-Kontrolle des “Verantwortlichen”.

Evtl. gibt es eine Betriebsvereinbarung oder einen Tarifvertrag, der die Auslagerung der Leistung regelt; dann brauchts keine Vereinbarung mit den Arbeitnehmern. Das Angebot kann aufwandsneutral sein, z. B. Rabattgemeinschaften, so dass der Arbeitgeber über die einzelnen Leistungen nichts wissen muss; oder es ist so in einem betrieblichen Vorgang /Arbeitgeberpflicht integriert, dass die Auslagerung nur als Auftragsverarbeitung denkbar ist.

D., der sagen würde, es kommt jeweils drauf an.

Wie @Domasla schon schrieb zwischen Arbeitgeber und Arbeitnehmer eine Betriebsvereinbarung.

Die Nutzung der Vorteile freiwillig machen (wer auf den Bonus verzichtet ist selbst schuld).

Ansonsten kann ich nur sagen, wir hatten bei unserem Anbieter mit AVV überhaupt keine Probleme und er ist sogar auf unsere Wünsche eingegangen bei Anpassungen von deren Vorlage.

Ansonsten was die Rechtsgrundlage angeht ieinerseits die Betriebsvereinbarung und falls diese wegfällt haben wir noch die Einwilligung des Arbeitnehmers (durch die Freiwilligkeit - und da die Mitarbeiter hier ja einen Bonus / Vorteil haben ist die Einwilligung auch im Angestelltenverhältnis belastbarer.

Die Einwilligung würde aber doch bedingen, dass die Verarbeitung jederzeit eigenständig bei dem Anbieter widerrufen können werden muss (die meisten verweisen hier aber auf den Arbeitgeber). Bei einem Vertrag, der erfüllt werden muss, ist das aber wiederum sinnfrei, da die Datenverarbeitung dann ja trotzdem weiter erfolgt.

Ich spreche hier nicht von Mitarbeiterangeboten, die Vergünstigungen bringen, wie Rabatte auf Onlinestores, sondern bspw. Verträge zu Firmenfitness oder Leasing von Fahrzeugen, Fahrrädern, etc. bei der das ganze fest mit dem Arbeitsverhältnis und der Lohnabrechnung des Arbeitgebers verbunden ist.

Soweit ich weiß löst eine Betriebsvereinbarung auch nicht die Problematik, dass keine Rechtsgrundlage für die Verarbeitung beim Anbieter vorhanden ist. Man könnte zwar sagen, für die Übermittlung und Verarbeitung beim Anbieter wird eine Einwilligung eingeholt, aber sobald der Mitarbeiter beim Arbeitgeber die Einwilligung widerruft, müsste ja alles auch beim Anbieter gelöscht werden - dazu fehlt aber ohne Auftragsverarbeitungsvertrag die Weisungsbefugnis und es wird im Grunde schon von Anfang an ausgeschlossen, dass die Daten in dem Moment gelöscht werden.

Ok Fitnessstudio und Co sind natürlich andere Fälle.

Betriebsvereinbarungen sind nach §26 Abs 4 BDSG als Rechtsgrundlage zulässig aufgrund der Öffnungsklausel in Art 88 DSGVO. Diese gilt natürlich nicht für den Dienstleister.

Die Frage ist nun wie es ausgestalltet wird. Ich sehe hier 2 Optonen:

1. Der Dienstleister (z.B. Fitnessstudio) schließt einen Vertrag zu Sonderkonditionen dierekt mit dem Mitarbeiter - Ähnlich wie es bei Betriebsrenten der Fall ist. Hier hat dann der Arbeitgeber oft nur die Infos Mitarbeiter Max Mustermann nimmt das Angebot in Anspruch. Diesen Fall knnte ich mir als Gemeinsame Verantwortung vorstellen. Denn der Arbeitgeber hat die Betriebsvereinbarung als Grundlage und as Fitnessstudio den Vertrag mit Mitarbeiter.
2. Der Dienstleister schließt einen Vertrag mit dem Arbeitgeber und bekommt Namen etc von den Mitarbeitern, damit dieser seinen Vertrag erfüllen kann. Der Mitarbeiter hat also keinen Vertrag mit dem Fitnessstudio. Hier stelle ich mir die Frage ob das überhaupt eine AVV ist - denn die Daten sind ja nicht Hauptzweck der Beauftragung. Andere Beispiele wären die Firma bucht für die Mitarbeiter Hotelzimmer, gut die brauchen auch den Namen aber der Mitarbeiter hat mit dem Hotel keinen Vertrag. Dies ist ja auch keine AVV.

Also wenn ich es richtig verstehe aus deiner Beschreibung - denke ich trifft bei euch eher Fall 2 zu.

Ich lasse mich gerne von anderen hier korrigieren.

Zum einen frage ich mich, ob Betriebsvereinbarungen bei Gesundheitsdaten hier noch in den Regelungsbereich eines Betriebsrats fallen.

Zum anderen gibt es für viele Unternehmen bzw Beschäftigte wegen fehlendem Betriebsrat diese Möglichkeit nicht (habe aber keine Statistiken zur Hand).

Im Prinzip ist es ja immer in Ordnung, wenn dann die Daten zur Anbahnung eines Vertrages bzw. wegen eines Vertrages vom Anbieter verarbeitet werden.

Die Problematik ist richtig wir im zweiten Punkt beschrieben, dass ja kein expliziter Vertrag mit dem Mitarbeiter besteht. Der Vergleich mit dem Hotelzimmer ist gut. Hier würden aber nur Daten verarbeitet werden, die die Buchung betreffen zur Identifikation der Person - aber hat hier die Datenangabe nicht rechtliche Gründe, wie bei der Besucherregistrierung im Unternehmen? (Identifikation zu Brandschutz, Behördenanfragen, usw.) Die gesetzliche Grundlage entfällt ja an der Stelle, bei einem freiwilligen Angebot wie Mitarbeitervorteilsangeboten. Die Argumentation beruht dabei komischer Weise immer auf einem Vertrag zwischen Arbeitgeber und Anbieter, aus der DSGVO geht aber hervor, dass eine der Vertragsparteien dabei die betroffene Person sein muss.
Die Betriebsvereinbarung / Einwilligung macht ja Sinn für die Anmeldung beim Anbieter, bzw. der Übertragung der Daten von Arbeitgeber zu Anbieter bzw. die Verarbeitung der Daten beim Arbeitgeber.

Die Problematik liegt hier ja eher darin, dass der Anbieter im Grunde gar keine Rechtsgrundlage für die Verarbeitung ohne Auftragsverarbeitungsvertrag hat (zumindest aus meiner Sicht, aber ich lasse mich gerne eines besseren belehren). Leider ist bei Mitarbeitervorteilen häufig sogar nur der Zweck die Datenverarbeitung und -auswertung, da diese ja meistens nicht der echte Leistungserbringer sind, sondern nur die Abrechnung machen und als Mehrwert bspw. Auswertungen für das Gesundheitsmanagement bereitstellen oder eine Beratung zur Lohnkostenoptimierung.

Primäre Punkte warum sie selbst Verantwortlicher sein wollen sind laut Aussage, dass Sie die Daten auch über das Auftragsverhältnis hinaus aufbewahren wollen (Nach Austritt Mitarbeiter und nach Kündigung des Vertrages des Arbeitgebers) und dass Sie entsprechende Auswertungen der Daten tätigen wollen ohne dem Arbeitgeber Rechenschaft dafür abzulegen.

Vermutlich geht es um betriebliche Gesundheitsförderung, z.B. https://www.haufe.de/steuern/finanzverwaltung/gesundheitsfoerderungsleistungen-des-arbeitgebers_164_541714.html, und bei Fitness-Studios dann um das dort erwähnte Urteil des BFH, https://www.bundesfinanzhof.de/de/presse/pressemeldungen/detail/teilnahme-an-einem-firmenfitnessprogramm-kann-steuerfrei-sein/, https://www.bundesfinanzhof.de/de/entscheidung/entscheidungen-online/detail/STRE202010277/.

Der “Hintergedanke” dabei ist: steuerfreie Lohnergänzungen, auch wenn die Beträge gering sind (und die sind nicht dauerhaft und fließen auch bei prozentualen Erhöhungen nicht ein, ein “Zuckerl”).

In der Konstellation gibt es wohl 3 Verträge:

MA <–> Arbeitgeber: das ist eine (temporäre) Zusatzvereinbarung zum Arbeitsvertrag
MA <–> Studio über eine persönliche Mitgliedschaft
Arbeitgeber <–> Studio über eine “Firmenmitgliedschaft”

Die Frage ist nun, welche Daten dabei fließen mit welcher Rechtsgrundlage und ob Verträge zur Auftragsverarbeitung bzw. gemeinsamen Verantwortung erforderlich sind.

Das kann man nicht pauschal beantworten, es hängt von der (zulässigen) Gestaltung ab (sagte ja domasla bereits).

Bei MA <–> ArbG braucht man keinen Betriebsrat und evtl. notwendige Zustimmungen zu Datentransfers oder -verarbeitungen kann man in dieser Vereinbarung unterbringen, man muss sie eben klar bezeichnen (oder sogar den Vertrag davon abhängig machen)

Analog bei MA <–> Studio.

Bei Arbeitgeber <–> Studio kann man aus dem Urteil und der Darstellung des 1ten Links erraten, welche Daten ausgetauscht werden müssen, damit die Konstruktion haltbar ist. Und dies nimmt man in die Verträge mit dem MA.

Man sieht, dass der ArbG wissen muss, ob der MA ein Studio-Mitglied ist und dazu auch (monatliche) Belege zur Lohn-/Gehaltsabrechnung braucht (vermutlich auch zu Leistungsabgrenzungen, aber das kann man im Vertrag festschreiben).

Und das Studio vermutlich die (monatliche) Info, ob der MA am Programm des ArbG teilnimmt.

Damit ist man aus meiner Sicht bei einer gemeinsamen Verarbeitung von MA-Daten, für die nach Art. 26 DS-GVO ein Vertrag nötig ist, https://www.datenschutz-wiki.de/DSGVO:Art_26.

Auf das Thema “wie wird gezahlt” will ich nicht eingehen, das kann in Auftragsverarbeitung münden.

Hier noch ein Update zu dem Thema (aus aktueller eigener Erfahrung)

Wenn man hier Mitarbeitervorteile mit Sportanbietern vereinbaren will (vergleichbar mit Fahrzeugleasing fur MA, Incentives etc die als geldwerter Vorteil gelten), sehen die Anbieter sich als eigenständiger Verantwortlicher - und weigern sich häufig ein JointControll zu unterschreieben/zu vereinbaren. Dieser Ansicht ist oft sogar der DSB dieser Anbieter.

Aber wenn man sich streng an die Guidlines des EDSA hält wäre es eine Joint Control - nur es sind eben Gudielines und keine Gesetze: https://edpb.europa.eu/system/files/2022-02/eppb_guidelines_202007_controllerprocessor_final_de.pdf (Seite 22 unten - Randnummer 54, 55 halte ich für passend)

Naja, man sollte es gegenüber dem Anbieter begründen (das wird von der Konstruktion abhängen, es könnten ja auch anonyme Tickets wie für Einkäufe / Essen sein).

Ja schon - habe ja eine Begründung… nur der stimme ich nicht zu (zumindest nicht in allen Punkten)

In Kurzform heißt es:

1. Es entsteht ein direktes Vertragsverhältnis zwischen dem Anbieter und dem Mitarbeitenden.
2. Das Unternehmen schließt eine Firmensport Vereinbarung mit dem Anbieter. Darin wird unter anderem die Höhe des Eigenanteils der Mitarbeitenden festgelegt.
3. Die Mitarbeitenden melden sich selbstständig über eine firmenindividuelle Anmeldeseite an.
4. Die Datenverarbeitung durch den Anbieter erfolgt zur Erfüllung des Vertrages mit dem Mitarbeitenden
5. Das Unternehmen erhält über den Firmen Login-Bereich die Übersicht der aktuell angemeldeten Mitarbeitenden und kann darüber sicherstellen, dass nur teilnahmeberechtigte Mitarbeitende des entsprechenden Unternehmens am Programm teilnehmen
6. Zur Abmeldung eines Mitarbeitenden kann der zuständige Ansprechpartner des Unternehmens im Firmen Login-Bereich das Ende der Mitgliedschaft eines Mitarbeitenden festlegen.

Da das Unternehmen die Daten bereitstellt und über Punkte 2, 3,5, und 6 die Kontrolle hat sehe ich den Anbieter nicht als eigenständigen verantwortlichen sondern sehe hier ein Joint Controll - insbesondere da der Eigenanteil 0€ ist und das Unternehmen alles zahlt.

Bei 1 und 4 stimme ich dem Anbieter zu.

Ja. Und? Das löst doch nicht das Problem.

Du musst sauber und systematisch zur Notwendigkeit nach Art 26 argumentieren und kannst dabei Paper einbeziehen.

Naja das ist die Argumentation des Anbieters - warum er glaubt eigenständig verantwortlich zu sein.
Ich sagte ja schon das ich da nicht zustimme - auch wegen der Guidelines des EDSA.

Und klar löst es das Problem nicht… ich wollte aber die Sicht/Begründung teilen und somit zur Dikussion beitragen.

Meine Meinung ist weiterhin es ist ein JC - wegen EDSA Guidelines.